JP2005086808A - 安全なワイヤレス・センサを供給する方法、装置、およびプログラム・プロダクト - Google Patents
安全なワイヤレス・センサを供給する方法、装置、およびプログラム・プロダクト Download PDFInfo
- Publication number
- JP2005086808A JP2005086808A JP2004248198A JP2004248198A JP2005086808A JP 2005086808 A JP2005086808 A JP 2005086808A JP 2004248198 A JP2004248198 A JP 2004248198A JP 2004248198 A JP2004248198 A JP 2004248198A JP 2005086808 A JP2005086808 A JP 2005086808A
- Authority
- JP
- Japan
- Prior art keywords
- information
- data
- credit guarantee
- preferred channel
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- G—PHYSICS
- G08—SIGNALLING
- G08C—TRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
- G08C17/00—Arrangements for transmitting signals characterised by the use of a wireless electrical link
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61B—DIAGNOSIS; SURGERY; IDENTIFICATION
- A61B5/00—Measuring for diagnostic purposes; Identification of persons
- A61B5/0002—Remote monitoring of patients using telemetry, e.g. transmission of vital signals via a communication network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
- Alarm Systems (AREA)
Abstract
【課題】 PKIのような安全な信用保証インフラストラクチャを生成するための、より単純な方法を提供する。
【解決手段】 我々は、素人のコンピュータ・ユーザが、簡単に、安全化されたインフラストラクチャ(インスタントPKI)を生成、提供、および維持することを可能とする技術を提供する。この技術は、有線およびワイヤレスのネットワーク、(医療ネットワークのような)安全なセンサ・ネットワーク、緊急警報ネットワーク、および、単純な自動的な提供ネットワーク装置を含む、広い範囲のアプリケーションで使用され得る。
【選択図】 図1
【解決手段】 我々は、素人のコンピュータ・ユーザが、簡単に、安全化されたインフラストラクチャ(インスタントPKI)を生成、提供、および維持することを可能とする技術を提供する。この技術は、有線およびワイヤレスのネットワーク、(医療ネットワークのような)安全なセンサ・ネットワーク、緊急警報ネットワーク、および、単純な自動的な提供ネットワーク装置を含む、広い範囲のアプリケーションで使用され得る。
【選択図】 図1
Description
本発明の実施例は、暗号方法の分野に関連する。
公開鍵暗号の採用は、「鍵管理問題」、即ち、ユーザが信頼して、彼らの意図する通信相手の公開鍵を識別することを可能とするという問題によって非常に制限されてきた。
PKI(Public Key Infrastructure)(公開鍵インフラストラクチャ)によって提起された主要な困難さは、鍵管理および分配の問題である。即ち、いかにして、鍵に依存する必要のある個人および装置に対する、特定の個人の、または装置の公開鍵の、認証された(authenticated)複製物を得るか、の判断の問題である。PKIは、良く知られ、信頼された、おそらく階層的に編成された(organized)公開鍵のシステムである。
そのようなPKIは、アプリオリ(a priori)を交換されねばならぬいくつかの鍵が、多くの信頼された公開鍵だけから渡るようにして、鍵管理問題を単純化する。
不幸にも、証明書の分配に加えて、PKIの生成および管理は、信じられない程の困難さおよび複雑さをもたらした。一つの組織内の一つのアプリケーションのための公開鍵暗号作成の使用をサポートするための、小さな特別目的のPKIの確立でさえ、一般的に、余りにも高価で困難と考えられる。
更に、PKIの文脈における上述の鍵管理および分配の問題は、信用証明書の発行のための信用保証発行権限を持つ、いかなる安全な信用保証インフラストラクチャにおいても存在する。
不幸にも、証明書の分配に加えて、PKIの生成および管理は、信じられない程の困難さおよび複雑さをもたらした。一つの組織内の一つのアプリケーションのための公開鍵暗号作成の使用をサポートするための、小さな特別目的のPKIの確立でさえ、一般的に、余りにも高価で困難と考えられる。
更に、PKIの文脈における上述の鍵管理および分配の問題は、信用証明書の発行のための信用保証発行権限を持つ、いかなる安全な信用保証インフラストラクチャにおいても存在する。
ワイヤレス・ネットワークに対して、派生的な問題が存在する。これらのネットワークは、知識を持つ企業IT部門においてさえも、安全に構成することが、悪名高く困難であることが証明された。
医療分野において、他の問題が存在する。病院環境における、患者データに対するセキュリティーは、常に重要であったが、新たなHIPAAガイドラインの出現に伴って、それはより法的に義務的となってきた。同時に、患者データを収集するセンサまたは装置は、コンピュータ技術に必ずしも精通していないかもしれない医師および看護士のコミュニティーによって高度に利用可能でなければならない。
今日、看護士の援助者が、体温および血圧を人手で測定し、記録する。これらの測定は、物理的チャートを通じて利用可能であるが、これは、データを時間軸上グラフ化する機能等を有さない。ナース・ステーションの警報装置に接続され得る、患者を自動的に監視するためのいくつかの設備(例えばEKG機器)が存在するが、これらの設備は、高価で、任意のセンサーの組み込みを可能とせず、それらは全て、センサおよび患者の間に、ケーブル、ワイヤ、またはチューブの使用を必要とする。これらのケーブル、ワイヤ、およびチューブは、室内を大きく散らかし、患者および医療スタッフが引っかかって転ぶ危険を引き起こす。
医療分野において、他の問題が存在する。病院環境における、患者データに対するセキュリティーは、常に重要であったが、新たなHIPAAガイドラインの出現に伴って、それはより法的に義務的となってきた。同時に、患者データを収集するセンサまたは装置は、コンピュータ技術に必ずしも精通していないかもしれない医師および看護士のコミュニティーによって高度に利用可能でなければならない。
今日、看護士の援助者が、体温および血圧を人手で測定し、記録する。これらの測定は、物理的チャートを通じて利用可能であるが、これは、データを時間軸上グラフ化する機能等を有さない。ナース・ステーションの警報装置に接続され得る、患者を自動的に監視するためのいくつかの設備(例えばEKG機器)が存在するが、これらの設備は、高価で、任意のセンサーの組み込みを可能とせず、それらは全て、センサおよび患者の間に、ケーブル、ワイヤ、またはチューブの使用を必要とする。これらのケーブル、ワイヤ、およびチューブは、室内を大きく散らかし、患者および医療スタッフが引っかかって転ぶ危険を引き起こす。
いくつかの会社が、ワイヤレス・センサを、患者に付加することによる患者監視の自動化を一般化することを開めている。本特許のデータは、802.11、他のワイヤレス・ネットワーク、または、ワイヤド・ネットワーク、を介して、患者データベースに送信され得る。しかし、そのようなシステムは、センサと患者データベースの間のリンクを確保することを必要とする。このセキュリティーは、不特定の攻撃者による盗聴を避けるだけでなく、HIPAAを遵守するために、病院コミュニティーの真正なメンバーの間のアクセス制御を実行しなければならない。この問題のための市場についての旨い解決法は存在せず、パスワードのような従来のアプローチは、センサのような埋め込まれた素子に対して、旨く機能しない。
更に別の状況では、家庭でセンサを用いる患者は、彼らの医師へのデータ送信を保護する際に(或いは、監視装置が、彼らの医師に適切にデータを通信するように構成する際にさえ)類似の問題に直面する。いくつかのセンサ素子は、データを適切な場所に確保することと、送出中のデータへのアクセスを制限すること、の双方を取り扱うために、電話ベースのデータ送出を用いる。しかし、データを保護するためのニーズの増大と同様に、そのようなデータを送出するための、ワイヤレス・センサの使用、およびインターネットまたは携帯電話ネットワークの使用が増大されることが予想される。
更に別の状況では、家庭でセンサを用いる患者は、彼らの医師へのデータ送信を保護する際に(或いは、監視装置が、彼らの医師に適切にデータを通信するように構成する際にさえ)類似の問題に直面する。いくつかのセンサ素子は、データを適切な場所に確保することと、送出中のデータへのアクセスを制限すること、の双方を取り扱うために、電話ベースのデータ送出を用いる。しかし、データを保護するためのニーズの増大と同様に、そのようなデータを送出するための、ワイヤレス・センサの使用、およびインターネットまたは携帯電話ネットワークの使用が増大されることが予想される。
PKIのような安全な信用保証インフラストラクチャを生成するための、より単純な方法を提供することが有利であろう。ワイヤド・ネットワークに対しての場合さえ含むネットワークを構成する工程の単純化に加えて、ワイヤレス・アクセス・ポイント(WAP)の構成(セキュリティー面を含む)を単純化することもまた有利であろう。更に、保護される(secured)必要があるデータを提供するセンサの供給(provisioning)を単純化することが有利であろう。
ここに開示された実施例の一つの特徴は、単純に使用ができる、安全な(secure)、信用保証(credential)インフラストラクチャを生成するための技術である。そのようなインフラストラクチャは、例えば、「インスタントPKI」であり得る。即ち、PKIによって提供されるセキュリティを減ずることなく、構築、構成、および使用が容易なPKIである。
他の特徴は、位置が限定されるチャンネルを用いた、自動的に提供する(automatically provisioning)装置のための技術であり、例えば、医療センサおよび家庭警報のような模範的システムでこの技術を用いる装置である。
開示された実施例の、更に他の特徴には、センサ・データを、目的地に安全に送ることが可能な、容易に提供されるセンサが含まれる。そのようなセンサは、広い種類のアプリケーションで使用され得る。
開示された実施例の更に別の特徴には、特定の受信機に向けられた情報を安全に受信し、それを提供するために使用され得る、安全状態通知装置が含まれる。
他の特徴は、位置が限定されるチャンネルを用いた、自動的に提供する(automatically provisioning)装置のための技術であり、例えば、医療センサおよび家庭警報のような模範的システムでこの技術を用いる装置である。
開示された実施例の、更に他の特徴には、センサ・データを、目的地に安全に送ることが可能な、容易に提供されるセンサが含まれる。そのようなセンサは、広い種類のアプリケーションで使用され得る。
開示された実施例の更に別の特徴には、特定の受信機に向けられた情報を安全に受信し、それを提供するために使用され得る、安全状態通知装置が含まれる。
図1は、本発明の一つの実施例を含む、ネットワーク化されたコンピュータ・システム100を示す。ネットワーク化されたコンピュータ・システム100は、CPU103、メモリ105、および、ネットワーク・インターフェース107、記憶システム115、および、リムーバブルな媒体データ装置117を含むコンピュータ101を含む。リムーバブルな媒体データ装置117は、プログラム・プロダクト121を一般的に含むコンピュータ読み取り可能なメディア119を読むことが出来る。コンピュータ読取可能な媒体119上のプログラム・プロダクト121は一般的に、メモリ105に、プログラムとして読み込まれる。更に、プログラム・プロダクト121、またはその更新版は、ネットワークから、ネットワーク・インターフェース107を通じて送信媒体中で実体化されたコンピュータ命令信号として提供され得る。
メンバ装置(member device)125は、ネットワーク接続127を介して、ネットワーク109を通じても通信可能である。メンバ装置125は、ネットワーク・インターフェース107またはI/Oインターフェース111(不図示)を介して、好ましいチャンネル129を通じて、コンピュータ101とも通信可能である。
メンバ装置(member device)125は、ネットワーク接続127を介して、ネットワーク109を通じても通信可能である。メンバ装置125は、ネットワーク・インターフェース107またはI/Oインターフェース111(不図示)を介して、好ましいチャンネル129を通じて、コンピュータ101とも通信可能である。
一つの実施例は、安全な(secure)信用保証(credential)インフラストラクチャーの構築に向けられる。そのような安全な信用保証インフラストラクチャーには、(1)暗号化された情報を表すデータが、意味(meaning)だけを、正しい鍵を持つコンピュータに運ぶように,または,(2)信用保証インフラストラクチャーが、他のメンバーへの認証を行うために装置が信用保証を使用することを可能とするように,または,(3) 信用保証インフラストラクチャーが、他のメンバーまたはサービス・プロバイダに対して認証を行うために装置が信用保証を使用することを可能とするように,ネットワークを介して送られた情報を暗号化するための、鍵(例えば、秘密鍵、または公開・秘密鍵の組)を用いる、有線の(wired)の、および、ワイヤレスのネットワークが含まれる。この実施例は、公開鍵インフラストラクチャーのような、安全な信用保証インフラストラクチャー、ワイヤレス・ネットワーク、有線ネットワーク、および、ハイブリッド・ネットワークに適用される。本発明の一つの実施例は、ターゲット装置を、公開鍵インフラストラクチャー(PKI)に加えるために使用され得、これによって、メンバー装置を有するPKIを構築する。以下のものの多くは、安全な信用保証インフラストラクチャーに向けられるが、本発明の特徴は、PKIにも適用される。
図2は、パワーが最初に信用保証発行装置に印加された時に呼び出される、または、信用保証発行装置がリセットされた時に呼び出される、「安全な信用保証インフラストラクチャー構築」の工程200を説明する。「安全な信用保証インフラストラクチャー構築(secure credential infrastructure construction)」の工程200は、開始され、信用保証発行権限を構成する「信用保証発行権限構成(credential issuing authority configuration)」の工程203に続く。
一旦、証明権限(certification authority)が構成されると、「安全な信用保証インフラストラクチャー構築」の工程200は、予想されるメンバー装置が、信用保証発行装置に、好ましいチャンネルを介して通信するために利用可能な時を検知すると、予想されるメンバー装置が、好ましいチャンネル以外のいくつかのネットワークを介して信用保証発行装置と通信することを可能とするために、ネットワーク構成情報を、予想されるメンバー装置に任意に提供し、予想される(prospective)メンバー装置を事前に認証(pre-authenticates)する、「予想されるメンバー装置の事前認証(prospective member device pre-authentication)」工程205に続く。
一旦、予想されるメンバー装置が事前に認証されると、「予想されるメンバー装置に信用保証を自動的に提供する(automatically provision prospective member device with credential)」手順207が、予想されるメンバー装置に、予想されるメンバー装置のための信用保証(PKIの場合には公開鍵証明)、および、信用保証装置の公開鍵証明、および、予想されるメンバー装置によって要求される何らかの他の情報、または、登録(enrollment)ステーションによって自動的に提供される何らかの他の情報、を提供することによって、予想されるメンバー装置を提供する(provisions)。
一旦、証明権限(certification authority)が構成されると、「安全な信用保証インフラストラクチャー構築」の工程200は、予想されるメンバー装置が、信用保証発行装置に、好ましいチャンネルを介して通信するために利用可能な時を検知すると、予想されるメンバー装置が、好ましいチャンネル以外のいくつかのネットワークを介して信用保証発行装置と通信することを可能とするために、ネットワーク構成情報を、予想されるメンバー装置に任意に提供し、予想される(prospective)メンバー装置を事前に認証(pre-authenticates)する、「予想されるメンバー装置の事前認証(prospective member device pre-authentication)」工程205に続く。
一旦、予想されるメンバー装置が事前に認証されると、「予想されるメンバー装置に信用保証を自動的に提供する(automatically provision prospective member device with credential)」手順207が、予想されるメンバー装置に、予想されるメンバー装置のための信用保証(PKIの場合には公開鍵証明)、および、信用保証装置の公開鍵証明、および、予想されるメンバー装置によって要求される何らかの他の情報、または、登録(enrollment)ステーションによって自動的に提供される何らかの他の情報、を提供することによって、予想されるメンバー装置を提供する(provisions)。
「安全な信用保証インフラストラクチャー構築」の工程200は反復して、各予想されるメンバー装置が、安全信用保証インフラストラクチャーに追加されるための、「予想されるメンバー装置の事前認証」工程205に戻る。
一旦予想されるメンバー装置が提供されると、それはメンバー装置になり、その信用保証を使用出来る。これは、ネットワークに亘った安全な通信を可能とするため信用保証を用いること、および、装置,ネットワーク,サービス,コンテイナ(containers),オフィス空間,または他の装置,エリア,または、認証及び/又は授権、または、アクセスへの信用保証を要求するサービス、へのアクセスを提供するために信用保証を使用することを含む。
他の安全なネットワークのための供給サービス(provisioning service)を実行するいかなる装置にも加えて、「安全な信用保証インフラストラクチャー構築」の工程200を実行するいかなる装置も、信用保証発行装置として考慮の対象とされる。しばしば、信用保証発行装置には、信用保証発行権限(authority)(PKIの文脈においては、証明権限(CA:certificate authority))が含まれる。公開鍵インフラストラクチャは、信用保証発行装置を通じた、予想される数の装置へ(公開鍵証明のような)信用保証を提供する、(証明権限のような)信用保証発行権限を含む安全信用保証インフラストラクチャの一つの場合に過ぎない。予想されるメンバー装置による信用保証の保持は、装置を、安全信用保証インフラストラクチャのメンバー装置にする。信用保証の保持は、メンバー装置に、認証(authenticate)及び/又は権限付け(authorize)する、またはアクセスする能力を提供する。
一旦予想されるメンバー装置が提供されると、それはメンバー装置になり、その信用保証を使用出来る。これは、ネットワークに亘った安全な通信を可能とするため信用保証を用いること、および、装置,ネットワーク,サービス,コンテイナ(containers),オフィス空間,または他の装置,エリア,または、認証及び/又は授権、または、アクセスへの信用保証を要求するサービス、へのアクセスを提供するために信用保証を使用することを含む。
他の安全なネットワークのための供給サービス(provisioning service)を実行するいかなる装置にも加えて、「安全な信用保証インフラストラクチャー構築」の工程200を実行するいかなる装置も、信用保証発行装置として考慮の対象とされる。しばしば、信用保証発行装置には、信用保証発行権限(authority)(PKIの文脈においては、証明権限(CA:certificate authority))が含まれる。公開鍵インフラストラクチャは、信用保証発行装置を通じた、予想される数の装置へ(公開鍵証明のような)信用保証を提供する、(証明権限のような)信用保証発行権限を含む安全信用保証インフラストラクチャの一つの場合に過ぎない。予想されるメンバー装置による信用保証の保持は、装置を、安全信用保証インフラストラクチャのメンバー装置にする。信用保証の保持は、メンバー装置に、認証(authenticate)及び/又は権限付け(authorize)する、またはアクセスする能力を提供する。
好ましいチャンネルは、位置が限定されたチャンネル(location-limited channel)、または、例証識別プロパティ(demonstrative identification property)および認証プロパティ(authentication property)の双方を持つ何らかの他のチャンネルであり得る。
例証識別プロパティは、識別が、物理的コンテキスト(physical context)(例えば、「私の前のプリンタ」、「部屋の中の全てのPDA」であるがこれに限定されない)に基づくことを要求する。好ましいチャンネルは、それらの送信についての固有の物理的制限を持つ通信技術を用いる。そのような技術の例(これには限定されない)には、可視的な、または不可視的な、赤外線通信、短い経路の電線を通じた通信、音声(可聴および不可聴(例えば超音波)の双方)、物理的なコンピュータ読取可能な媒体[リムーバルな媒体またはドライブ{例えばフレキシブル・ディスク、リムーバブル・ディスク、USB記憶装置(フラッシュ・メモリ・ペンまたはディスク・ドライブのような)或いは他の有形のデータ・キャリア)}のような]、物理的な電子接触、本体を横断する近似電界信号(near-field signaling across the body)、および短距離RF、および、オペレータがコードを入力することを要求する実施例(他の例は、図8を参照した議論の中に発見できる)、を用いて一つの装置から他の装置に情報を渡すことによる通信、のような電磁的放射通信が含まれる。好ましいチャンネルの例証識別プロパティは、人間のオペレータが、どの装置が、好ましいチャンネルを通じて互いに通信しているかを認知していること、および、人間のオペレータが、いつ、好ましいチャンネルに対して攻撃(attack)が為されているかを容易に検知できることを意味する。
例証識別プロパティは、識別が、物理的コンテキスト(physical context)(例えば、「私の前のプリンタ」、「部屋の中の全てのPDA」であるがこれに限定されない)に基づくことを要求する。好ましいチャンネルは、それらの送信についての固有の物理的制限を持つ通信技術を用いる。そのような技術の例(これには限定されない)には、可視的な、または不可視的な、赤外線通信、短い経路の電線を通じた通信、音声(可聴および不可聴(例えば超音波)の双方)、物理的なコンピュータ読取可能な媒体[リムーバルな媒体またはドライブ{例えばフレキシブル・ディスク、リムーバブル・ディスク、USB記憶装置(フラッシュ・メモリ・ペンまたはディスク・ドライブのような)或いは他の有形のデータ・キャリア)}のような]、物理的な電子接触、本体を横断する近似電界信号(near-field signaling across the body)、および短距離RF、および、オペレータがコードを入力することを要求する実施例(他の例は、図8を参照した議論の中に発見できる)、を用いて一つの装置から他の装置に情報を渡すことによる通信、のような電磁的放射通信が含まれる。好ましいチャンネルの例証識別プロパティは、人間のオペレータが、どの装置が、好ましいチャンネルを通じて互いに通信しているかを認知していること、および、人間のオペレータが、いつ、好ましいチャンネルに対して攻撃(attack)が為されているかを容易に検知できることを意味する。
好ましいチャンネルの確実性プロパティ(authenticity property)は、攻撃者にとって、正当な通信の当事者によって検知されること無しに、好ましいチャンネルを通じて送信すること、または、好ましいチャンネルを通じて送られたメッセージにいたずらをする(tamper)ことが不可能または困難であることを意味する。
攻撃者が、検知されずに好ましいチャンネル上で送信出来ない限り、好ましいチャンネルは、セキュリティを要求しない。好ましいチャンネルの、位置が制限された性質に起因して、攻撃者がチャンネルをモニタすることは困難であるし、検知されずにチャンネルの上で送信することは尚更困難である。
参加者の鍵を事前認証(pre-authenticate)するための、好ましいチャンネルの使用は、安全な信用保証インフラストラクチャのアドミニストレータが、鍵が、好ましいチャンネルへのアクセスを持つ、予想されるメンバー装置のみに提供されることを確信することを可能とする。予想されるメンバー装置のユーザは、好ましいチャンネルへの物理的アクセスを持っていたはずなので、このようにして、「信頼」を確立することになる。
事前認証工程の最中に、各参加者の公開鍵へのコミットメント(commitments)(後述)は、好ましいチャンネルを通じて交換される。一旦、コミットメントが交換されると、装置は、鍵交換プロトコルまたは手順を実行でき、更なる安全な通信を達成する。説明のために、一旦鍵が受け取られると、それは、受け取った鍵が、好ましいチャンネルを介して提供されたコミットメントに一致することをチェックすることによって照合される。一旦、鍵が照合されると、良く知られた技術が使用されて、鍵を用いて通信が開始される。一旦公開鍵が照合され、公開鍵の提供者が、公開鍵に対応する秘密鍵の保持を証明すると、信用保証発行権限は、その使用のために、予想されるメンバー装置が、PKIの実際のメンバー装置となるように、信用保証を予想されるメンバー装置に提供できる。
攻撃者が、検知されずに好ましいチャンネル上で送信出来ない限り、好ましいチャンネルは、セキュリティを要求しない。好ましいチャンネルの、位置が制限された性質に起因して、攻撃者がチャンネルをモニタすることは困難であるし、検知されずにチャンネルの上で送信することは尚更困難である。
参加者の鍵を事前認証(pre-authenticate)するための、好ましいチャンネルの使用は、安全な信用保証インフラストラクチャのアドミニストレータが、鍵が、好ましいチャンネルへのアクセスを持つ、予想されるメンバー装置のみに提供されることを確信することを可能とする。予想されるメンバー装置のユーザは、好ましいチャンネルへの物理的アクセスを持っていたはずなので、このようにして、「信頼」を確立することになる。
事前認証工程の最中に、各参加者の公開鍵へのコミットメント(commitments)(後述)は、好ましいチャンネルを通じて交換される。一旦、コミットメントが交換されると、装置は、鍵交換プロトコルまたは手順を実行でき、更なる安全な通信を達成する。説明のために、一旦鍵が受け取られると、それは、受け取った鍵が、好ましいチャンネルを介して提供されたコミットメントに一致することをチェックすることによって照合される。一旦、鍵が照合されると、良く知られた技術が使用されて、鍵を用いて通信が開始される。一旦公開鍵が照合され、公開鍵の提供者が、公開鍵に対応する秘密鍵の保持を証明すると、信用保証発行権限は、その使用のために、予想されるメンバー装置が、PKIの実際のメンバー装置となるように、信用保証を予想されるメンバー装置に提供できる。
一つの情報X(a piece of information X)へのコミットメントは、Xと一致するために認証され得る一つの情報Cである。コミットメントは、それが、XおよびCを知っている攻撃者にとってさえ、Cがやはり一致する、異なった情報(piece of information)Yを生成することが暗号的に困難であるときには、「バインディング(binding)」である。
コミットメントは、Cを知っている攻撃者にとって、Xについての部分的情報さえも抽出することが暗号的に困難である時には「ハイディング(hiding)」である。
Xに対するバインディング・コミットメントおよびハイディング・コミットメントの例は、Hが暗号的に安全なハッシュ関数であり得るときにH(X)であり得る。当業者は、コンテキスト(context)から、使用されたコミットメントが、バインディング、ハイディング、または、その双方、である必要があるか否かを理解するであろう。
コミットメントは、もしそれが、好ましいチャンネルを介して受信されたならば、或いは、受信人が信頼する当事者からデジタル署名を与えられたならば、信用を確立するために使用され得る。信頼されたコミットメントは、(恐らく、信頼されないチャンネルを介して受信された、或いは、署名がされていない)情報の一致部分(matching piece of information)の信頼のレベルが、コミットメントと同じ信用のレベルまで評価されることを可能とする。
コミットメントは、Cを知っている攻撃者にとって、Xについての部分的情報さえも抽出することが暗号的に困難である時には「ハイディング(hiding)」である。
Xに対するバインディング・コミットメントおよびハイディング・コミットメントの例は、Hが暗号的に安全なハッシュ関数であり得るときにH(X)であり得る。当業者は、コンテキスト(context)から、使用されたコミットメントが、バインディング、ハイディング、または、その双方、である必要があるか否かを理解するであろう。
コミットメントは、もしそれが、好ましいチャンネルを介して受信されたならば、或いは、受信人が信頼する当事者からデジタル署名を与えられたならば、信用を確立するために使用され得る。信頼されたコミットメントは、(恐らく、信頼されないチャンネルを介して受信された、或いは、署名がされていない)情報の一致部分(matching piece of information)の信頼のレベルが、コミットメントと同じ信用のレベルまで評価されることを可能とする。
図3は、「信用保証発行権限構成」工程203によって使用され得る「信用保証発行権限構成」工程300を示す。この工程は、信用保証発行装置が信用された(trusted)信用保証(credential)を持つように、信用保証発行装置を初期化するために使用され得る。「信用保証発行権限構成」工程300が開始され、良く知られた技術を用いて公開鍵および秘密鍵を生成する「信用された鍵の組の生成(create trusted key pair)」の工程303に継続する。「信用された鍵の組の記憶(store trusted key pair)」工程305は、信用される鍵の組を、記憶装置に記憶する。一旦、信用された鍵の組が生成されると、「信用保証発行権限構成」工程300が、「発行権限信用保証の生成(create issuing authority credential)」工程307に続く。
「発行権限信用保証の生成」工程307は、自己署名された(self-signed)信用保証(「ルート」信用保証(a "root" credential))を生成できる。「発行権限信用保証の生成」工程307は、連鎖的信用保証(chained credential)を得て、連鎖的信用保証を、信用保証発行装置にインポート(import)して戻すために、親証明権限へのアクセスも行う。一旦、信用保証が生成され、或いは得られると、「発行権限信用保証の記憶(store issuing authority credential)」工程309が、いくらかの利用可能な記憶部に、後の利用のために、信用保証を記憶する。
他のサービスまたは特徴が、「他の初期化(other initialization)」工程311によって初期化され得る。これらのサービス及び/又は特徴は、ディレクトリ・サービス、認証取消リスト(CRLs:certificate revocation lists)の生成、または、信用保証状態処理、および他のサービスを含み得る。更に、これらのサービスは、例えば、鍵の組の生成サービス、802.11a/b/g提供サービス(provisioning services)、ネットワーク・アドレス提供サービス、等、を含み得る。「信用保証発行権限構成」工程300は、「終了」ターミナル313を通じて完了する。
「発行権限信用保証の生成」工程307は、自己署名された(self-signed)信用保証(「ルート」信用保証(a "root" credential))を生成できる。「発行権限信用保証の生成」工程307は、連鎖的信用保証(chained credential)を得て、連鎖的信用保証を、信用保証発行装置にインポート(import)して戻すために、親証明権限へのアクセスも行う。一旦、信用保証が生成され、或いは得られると、「発行権限信用保証の記憶(store issuing authority credential)」工程309が、いくらかの利用可能な記憶部に、後の利用のために、信用保証を記憶する。
他のサービスまたは特徴が、「他の初期化(other initialization)」工程311によって初期化され得る。これらのサービス及び/又は特徴は、ディレクトリ・サービス、認証取消リスト(CRLs:certificate revocation lists)の生成、または、信用保証状態処理、および他のサービスを含み得る。更に、これらのサービスは、例えば、鍵の組の生成サービス、802.11a/b/g提供サービス(provisioning services)、ネットワーク・アドレス提供サービス、等、を含み得る。「信用保証発行権限構成」工程300は、「終了」ターミナル313を通じて完了する。
図4は、「予想されるメンバー装置の事前認証」工程205によって用いられる、信用保証発行装置400のための事前認証工程を説明する。
信用保証発行装置400のための事前認証工程は、予想されるメンバー装置に、信用保証が提供され得、安全信用保証インフラストラクチャのメンバー装置となるように、信用保証発行装置と予想されるメンバー装置の間の信頼を確立するために使用され得る。
信用保証発行装置400のための事前認証工程は、開始されて、予想されるメンバー装置について、好ましいチャンネルを確立するために用いられることになる、一つあるいはそれ以上の、信用保証発行装置のI/Oポートを起動する「位置限定のポートの初期化(initialize location-limited ports)」工程403に続く。
好ましいチャンネルは、図8を参照して記載されるもののような、何らかの位置限定(location-limited)通信メカニズムを用いて確立され得る。一旦好ましいチャンネル・ポートが初期化されると、信用保証発行装置のための事前認証工程400は、「位置限定ポートの初期化」工程403によって初期化された位置限定ポートの一つを用いて、信用保証発行装置と予想されるメンバー装置の間の好ましいチャンネルを通じた通信を確立する「好ましいチャンネルを通じた通信の確立(establish communication over preferred channel)」工程405に続く。一旦、(例えば、装置上のIRポートをアライニング(aligning)させることによって)予想されるメンバー装置と信用保証発行装置の間に通信が確立されると、信用保証発行装置のための事前認証工程400は、公開鍵のためのコミットメントを生成する「コミットメント情報の交換(exchange commitment information)」工程407に続く。コミットメントは、好ましいチャンネルを通じて予想されるメンバー装置に送られる。信用保証発行装置は、鍵に対する予想されるメンバー装置からのコミットメント、または、予想されるメンバー装置が信用保証発行装置に送る秘密、をも受信する。
信用保証発行装置400のための事前認証工程は、予想されるメンバー装置に、信用保証が提供され得、安全信用保証インフラストラクチャのメンバー装置となるように、信用保証発行装置と予想されるメンバー装置の間の信頼を確立するために使用され得る。
信用保証発行装置400のための事前認証工程は、開始されて、予想されるメンバー装置について、好ましいチャンネルを確立するために用いられることになる、一つあるいはそれ以上の、信用保証発行装置のI/Oポートを起動する「位置限定のポートの初期化(initialize location-limited ports)」工程403に続く。
好ましいチャンネルは、図8を参照して記載されるもののような、何らかの位置限定(location-limited)通信メカニズムを用いて確立され得る。一旦好ましいチャンネル・ポートが初期化されると、信用保証発行装置のための事前認証工程400は、「位置限定ポートの初期化」工程403によって初期化された位置限定ポートの一つを用いて、信用保証発行装置と予想されるメンバー装置の間の好ましいチャンネルを通じた通信を確立する「好ましいチャンネルを通じた通信の確立(establish communication over preferred channel)」工程405に続く。一旦、(例えば、装置上のIRポートをアライニング(aligning)させることによって)予想されるメンバー装置と信用保証発行装置の間に通信が確立されると、信用保証発行装置のための事前認証工程400は、公開鍵のためのコミットメントを生成する「コミットメント情報の交換(exchange commitment information)」工程407に続く。コミットメントは、好ましいチャンネルを通じて予想されるメンバー装置に送られる。信用保証発行装置は、鍵に対する予想されるメンバー装置からのコミットメント、または、予想されるメンバー装置が信用保証発行装置に送る秘密、をも受信する。
次に、「通信可能化情報の提供(provide communication enablement information)」工程409が、予想されるメンバー装置に、信用保証発行装置が、予想されるメンバー装置と、(好ましいチャンネルと比較して)所望の通信メディアを介して通信するために要求されるネットワーク構成情報を提供できる。例えば、信用保証発行装置がWAPである場合には、それは、SSID、および恐らくワイヤレス・チャンネル選択、及び/又はWEP鍵を指定出来る。そして、有線ネットワークのためには、信用保証発行装置は、MACアドレス及び/又は静的なIPアドレスを指定出来る。「通信可能化情報を提供」工程409は、多くの実施例においてオプションであり、予想されるメンバー装置は、ネットワーク通信のために事前に構成されたもので有り得る。しかし、「通信可能化情報を提供」工程409の一つの利点は、それが、予想されるメンバー装置のためのネットワーク構成工程を単純化することである。例えば、しかしこれに限定されることなく、信用保証発行装置は、(DHCPアドレスに比較して)固定ネットワークアドレスを、予想されるメンバー装置に自動的に割り当てること、SSIDを指定すること、WEP鍵,ドメイン名,IPアドレス,VPNアドレス,ゲートウェイ・アドレス,ブルートゥース・アドレス,セキュリティ設定,セキュリティ・ポリシー,ビット長,または、信用保証発行装置と予想されるメンバー装置の間の、好ましいチャンネル以外のチャンネルを介した通信を確立するために必要な他の情報、を指定すること、が可能である。更に、ただのネットワーク構成情報を越えた、他の情報が提供され得る。更に、通信可能化情報は、予想されるメンバー装置を更に提供するために使用され得る、安全通信チャンネルをブート・ストラップするために使用され得る。
一旦コミットメントが交換されると、信用保証発行装置および予想されるメンバー装置が、好ましいチャンネルではないネットワークを介しての通信を実行可能となるように、「鍵交換」手順411が鍵を交換する。「鍵交換」手順411は、公開鍵を交換するために、好ましいチャンネルまたは暗号化されたデータ・パスを使用する必要は無い。しかし、もし秘密鍵が交換されているならば、安全な通信(secure communication)が要求される。更に、何らかの秘密データが暗号化されている限り、好ましいチャンネル(preferred channel)が、「鍵交換」手順とともに使用され得る。これは、好ましいチャンネルが、時宜を得たタイミングでプロトコルを運ぶ(carry)ために十分な帯域幅を持つ場合には有用であり得る。
一旦鍵が交換されると、「鍵のコミットメントとの照合(verify keys with commitment)」手順413が、受信された鍵が、コミットメントと一致することを照合する。例えば、受信された鍵が、コミットメントと一致することを照合することは、鍵の暗号のハッシュを計算して、このハッシュがコミットメントと等しいことを照合することによって実行され得る。一旦公開鍵が、コミットメント情報によって照合されると、「秘密鍵の保持の照合(verify possession of private key)」手順414が、照合された公開鍵を提供している装置が、対応する秘密鍵をも保持する、というプルーフ(proof)を確立する。信用保証発行装置400のための事前の認証工程は、終了する。
本発明の実施例において、実際の鍵は、コミットメントとして提供され得る。次に、鍵が交換された時に、受信された鍵が、以前受信したコミットメントと一致することを照合することは、単に、それらが等しいことを確かめることによって為され得る。
一旦コミットメントが交換されると、信用保証発行装置および予想されるメンバー装置が、好ましいチャンネルではないネットワークを介しての通信を実行可能となるように、「鍵交換」手順411が鍵を交換する。「鍵交換」手順411は、公開鍵を交換するために、好ましいチャンネルまたは暗号化されたデータ・パスを使用する必要は無い。しかし、もし秘密鍵が交換されているならば、安全な通信(secure communication)が要求される。更に、何らかの秘密データが暗号化されている限り、好ましいチャンネル(preferred channel)が、「鍵交換」手順とともに使用され得る。これは、好ましいチャンネルが、時宜を得たタイミングでプロトコルを運ぶ(carry)ために十分な帯域幅を持つ場合には有用であり得る。
一旦鍵が交換されると、「鍵のコミットメントとの照合(verify keys with commitment)」手順413が、受信された鍵が、コミットメントと一致することを照合する。例えば、受信された鍵が、コミットメントと一致することを照合することは、鍵の暗号のハッシュを計算して、このハッシュがコミットメントと等しいことを照合することによって実行され得る。一旦公開鍵が、コミットメント情報によって照合されると、「秘密鍵の保持の照合(verify possession of private key)」手順414が、照合された公開鍵を提供している装置が、対応する秘密鍵をも保持する、というプルーフ(proof)を確立する。信用保証発行装置400のための事前の認証工程は、終了する。
本発明の実施例において、実際の鍵は、コミットメントとして提供され得る。次に、鍵が交換された時に、受信された鍵が、以前受信したコミットメントと一致することを照合することは、単に、それらが等しいことを確かめることによって為され得る。
図5は、図4の信用保証発行装置400に対する事前認証工程に非常に類似する、予想されるメンバー装置500に対する事前の認証工程を説明する。予想されるメンバー装置500のための事前認証工程には、「開始」ターミナル501、「位置制限されたポートの初期化(initialize location-limited ports)」工程503、「好ましいチャンネルを介した通信の確立(establish communication over a preferred channel)」工程505、「コミットメント情報の交換(exchange commitment information)」工程507、「通信可能化情報の受信(receive communication enablement information)」工程509、「鍵交換(key exchange)」工程511、「鍵のコミットメントとの照合(verify keys with commitment)」工程513、「秘密鍵の保持の照合(verify possession of private key)」工程514、および、「終了」ターミナル515が含まれる。これらの工程は、「通信可能化情報の受信(receive communication enablement information)」工程509を除いて、実質的に図4に示される対応する工程と同じである。
「通信可能化情報の受信」工程509は、信用保証発行装置によって提供された情報を、「通信可能化情報の提供」工程409で受信し、予想されるメンバー装置が一つあるいはそれ以上のネットワークを介して通信するように、予想されるメンバー装置を調節するか、さもなければ、適切に、通信可能化特有の情報(communication enablement-specific information)を処理する。
「好ましいチャンネルを介した通信の確立」工程405、および、「好ましいチャンネルを介した通信の確立」工程505に関しては、好ましいチャンネルを介した通信を確立するための、少なくとも2つのモードが存在する。これらのモードは、如何にして通信が確立されるか、において異なる。第1のモードにおいては、予想されるメンバー装置は明白に、好ましいチャンネルを介して信用保証発行装置への接続を開始出来、信用保証を要求出来る。これは、予想されるメンバー装置に、指定された信用保証発行装置との信用保証の交換を開始させることによって実現できる。好ましいチャンネルの確立の一つの例は、予想されるメンバー装置と、信用保証発行装置の、赤外線または可視光の光ポートのアライニング(aligning)によるものである。接続例の、更なる例は、図8を参照して以下に説明される。
「通信可能化情報の受信」工程509は、信用保証発行装置によって提供された情報を、「通信可能化情報の提供」工程409で受信し、予想されるメンバー装置が一つあるいはそれ以上のネットワークを介して通信するように、予想されるメンバー装置を調節するか、さもなければ、適切に、通信可能化特有の情報(communication enablement-specific information)を処理する。
「好ましいチャンネルを介した通信の確立」工程405、および、「好ましいチャンネルを介した通信の確立」工程505に関しては、好ましいチャンネルを介した通信を確立するための、少なくとも2つのモードが存在する。これらのモードは、如何にして通信が確立されるか、において異なる。第1のモードにおいては、予想されるメンバー装置は明白に、好ましいチャンネルを介して信用保証発行装置への接続を開始出来、信用保証を要求出来る。これは、予想されるメンバー装置に、指定された信用保証発行装置との信用保証の交換を開始させることによって実現できる。好ましいチャンネルの確立の一つの例は、予想されるメンバー装置と、信用保証発行装置の、赤外線または可視光の光ポートのアライニング(aligning)によるものである。接続例の、更なる例は、図8を参照して以下に説明される。
信用保証発行装置の指定は明示的(explicit)(例えば、「私が電子的接続を確立したこの装置」、「私が触るこの装置」、「特定のIRポートとアラインされているこの装置」)、または、黙示的(implicit)(例えば、「私が、私の装置から発行された可聴信号を受信できる何らかの装置」)で有り得る。
第2のモードにおいて、好ましいチャンネルを介した通信は、ユーザが、予想されるメンバー装置を、シリアル・ポートによって、またはUSBポートによって、または、予想されるメンバー装置に安全信用保証インフラストラクチャ(secure credential infrastructure)に対応付けられた信用保証授与トークン(credential-granting token)に応答させることによって、信用保証発行装置に付着されたクレードル(cradle)、の中に置くことのようなアクションに応じて、信用保証発行装置によって開始され得る。このアプローチを用いて、予想されるメンバー装置は一般的に、信用保証発行装置からの、事前認証要求の受領が可能なように構成され得る。この構成における予想されるメンバー装置は、例えば、信用保証を受け取るアプリケーションを実行でき、受信した信用保証を判断し処理することができる。他の例において、予想されるメンバー装置は、信用保証を受け取るバックグラウンド・プログラムをサポートでき、(オプションのユーザ確認又は他のフィードバックを伴って)それを、他の登録されたアプリケーションに利用可能とできる。
信用保証授与トークンは、(JAVA(登録商標)カードのような)ポータブルな信用保証発行装置、信用保証を生成可能で、予想されるメンバー装置を直接提供可能なスマート・カード、を含み得る。他の装置は、たとえば、安全信用保証インフラストラクチャに所属すべき、予想されるメンバー装置のグループの間の通信を蓄積し、記憶するための記憶装置として機能する。最後に、信用保証発行装置は、信用保証発行装置の信用保証発行ファンクションを可能とするために、鍵の身元識別(identification)を要求できる(例えば、そのような鍵は、信用保証発行装置が信用保証を提供する前にアクセスされねばならない、USB記憶、または、生物測定のセンサーで有り得る。)。
好ましいチャンネルは、検知されないアクティブな攻撃に対して耐性を持つはずであり、それ故、それを通じて輸送されたデータに、真正特性(authenticity property)を与えるはずなので、鍵は、好ましいチャンネルを介して輸送される。公開情報(例えば、公開鍵、または、公開鍵へのコミットメント)だけが、そのチャンネルを介して送られるので、好ましいチャンネルとして用いられるチャンネルは、盗聴者に対して耐性を持つ必要が無い。そして、そのような鍵またはコミットメント情報を、好ましいチャンネルを介して送ることによって、互いに一組の装置自身を認証する一組の装置が、互いとの安全な通信をセット・アップすることが可能である。何故なら、それらは、好ましいチャンネルを介してコミットされたまたは交換された公開鍵に対応する秘密鍵の保持を立証出来るからである。好ましいチャンネルを介して送られたコミットメントまたは鍵を検知する盗聴は、対応する秘密鍵の保持を立証できず、それ故、正当な当事者の間の通信に影響を与えることが不可能である。更に、鍵コミットメント(そして恐らく、LANまたはインターネットのような、好ましくないチャンネルに対する重要な通信パラメータ)を運ぶに際して、好ましいチャンネルは、非常に狭い(low)帯域のチャンネルであり得る。信用保証および他の情報の、予想されるメンバー装置への提供は、好ましくない(non-preferred)、一つあるいはそれ以上のチャンネルを用いて実現され得る。
第2のモードにおいて、好ましいチャンネルを介した通信は、ユーザが、予想されるメンバー装置を、シリアル・ポートによって、またはUSBポートによって、または、予想されるメンバー装置に安全信用保証インフラストラクチャ(secure credential infrastructure)に対応付けられた信用保証授与トークン(credential-granting token)に応答させることによって、信用保証発行装置に付着されたクレードル(cradle)、の中に置くことのようなアクションに応じて、信用保証発行装置によって開始され得る。このアプローチを用いて、予想されるメンバー装置は一般的に、信用保証発行装置からの、事前認証要求の受領が可能なように構成され得る。この構成における予想されるメンバー装置は、例えば、信用保証を受け取るアプリケーションを実行でき、受信した信用保証を判断し処理することができる。他の例において、予想されるメンバー装置は、信用保証を受け取るバックグラウンド・プログラムをサポートでき、(オプションのユーザ確認又は他のフィードバックを伴って)それを、他の登録されたアプリケーションに利用可能とできる。
信用保証授与トークンは、(JAVA(登録商標)カードのような)ポータブルな信用保証発行装置、信用保証を生成可能で、予想されるメンバー装置を直接提供可能なスマート・カード、を含み得る。他の装置は、たとえば、安全信用保証インフラストラクチャに所属すべき、予想されるメンバー装置のグループの間の通信を蓄積し、記憶するための記憶装置として機能する。最後に、信用保証発行装置は、信用保証発行装置の信用保証発行ファンクションを可能とするために、鍵の身元識別(identification)を要求できる(例えば、そのような鍵は、信用保証発行装置が信用保証を提供する前にアクセスされねばならない、USB記憶、または、生物測定のセンサーで有り得る。)。
好ましいチャンネルは、検知されないアクティブな攻撃に対して耐性を持つはずであり、それ故、それを通じて輸送されたデータに、真正特性(authenticity property)を与えるはずなので、鍵は、好ましいチャンネルを介して輸送される。公開情報(例えば、公開鍵、または、公開鍵へのコミットメント)だけが、そのチャンネルを介して送られるので、好ましいチャンネルとして用いられるチャンネルは、盗聴者に対して耐性を持つ必要が無い。そして、そのような鍵またはコミットメント情報を、好ましいチャンネルを介して送ることによって、互いに一組の装置自身を認証する一組の装置が、互いとの安全な通信をセット・アップすることが可能である。何故なら、それらは、好ましいチャンネルを介してコミットされたまたは交換された公開鍵に対応する秘密鍵の保持を立証出来るからである。好ましいチャンネルを介して送られたコミットメントまたは鍵を検知する盗聴は、対応する秘密鍵の保持を立証できず、それ故、正当な当事者の間の通信に影響を与えることが不可能である。更に、鍵コミットメント(そして恐らく、LANまたはインターネットのような、好ましくないチャンネルに対する重要な通信パラメータ)を運ぶに際して、好ましいチャンネルは、非常に狭い(low)帯域のチャンネルであり得る。信用保証および他の情報の、予想されるメンバー装置への提供は、好ましくない(non-preferred)、一つあるいはそれ以上のチャンネルを用いて実現され得る。
コミットメントを交換するための例示のプロトコルは、以下のようなものである。
2つの鍵のための事前認証は、好ましいチャンネルを介して為される。
1.A→B:addrA, h(PKA)
2.B→A:addrB, h(PKB)
認証は、PKAおよびPKBを交換して安全な通信を確立するための、何らかの標準鍵交換プロトコルを伴った、好ましいものでない(non-preferred)(ワイヤレス)チャンネルを介して続く。例えば、
1.A→B:TLS CLIENT HELLO
2....等々。
種々のシンボルは:
addrB,addrB:便利さのためだけに、ワイヤレス空間でのAの(およびBの)アドレスを意味する。
PKA,PKB:A(またはB)に属する公開鍵で、長寿命鍵か、この交換でのみ使用される短命な鍵かのいずれか;
h(PKA):PKAへの通信。例えば、鍵の符号化の一方方向のハッシュ。
好ましいチャンネルを介して行われる、一つの鍵のための事前認証:
1.A→B:addrA, h(PKA)
2.B→A:addrB, h(SB)
認証は、PKAおよび秘密を交換するための、何らかの標準鍵交換プロトコルを伴う、好ましいものではない(non-preferred)(ワイヤレス)チャンネルを介して継続する。例えば、
1.A→B:PKA
2.B→A:EPKA(SB)
2つの鍵のための事前認証は、好ましいチャンネルを介して為される。
1.A→B:addrA, h(PKA)
2.B→A:addrB, h(PKB)
認証は、PKAおよびPKBを交換して安全な通信を確立するための、何らかの標準鍵交換プロトコルを伴った、好ましいものでない(non-preferred)(ワイヤレス)チャンネルを介して続く。例えば、
1.A→B:TLS CLIENT HELLO
2....等々。
種々のシンボルは:
addrB,addrB:便利さのためだけに、ワイヤレス空間でのAの(およびBの)アドレスを意味する。
PKA,PKB:A(またはB)に属する公開鍵で、長寿命鍵か、この交換でのみ使用される短命な鍵かのいずれか;
h(PKA):PKAへの通信。例えば、鍵の符号化の一方方向のハッシュ。
好ましいチャンネルを介して行われる、一つの鍵のための事前認証:
1.A→B:addrA, h(PKA)
2.B→A:addrB, h(SB)
認証は、PKAおよび秘密を交換するための、何らかの標準鍵交換プロトコルを伴う、好ましいものではない(non-preferred)(ワイヤレス)チャンネルを介して継続する。例えば、
1.A→B:PKA
2.B→A:EPKA(SB)
種々のシンボルは、
addrA,addrB:便利さのためだけのための、ワイヤレス空間でのA(或いはBの)アドレス;
PKA:長寿命鍵か、この交換だけのために使用される短寿命鍵かのいずれかの、Aに属する公開鍵;
SB:Bに属する秘密(secret);
h(PKA):PKAへのコミットメント。例えば、鍵の符号化の一方方向のハッシュ;
h(SB):SBへのコミットメント;
EPKA(SB):PKAの下でのSBの暗号;
を表す。
addrA,addrB:便利さのためだけのための、ワイヤレス空間でのA(或いはBの)アドレス;
PKA:長寿命鍵か、この交換だけのために使用される短寿命鍵かのいずれかの、Aに属する公開鍵;
SB:Bに属する秘密(secret);
h(PKA):PKAへのコミットメント。例えば、鍵の符号化の一方方向のハッシュ;
h(SB):SBへのコミットメント;
EPKA(SB):PKAの下でのSBの暗号;
を表す。
図6は、「予測されるメンバー装置への信用保証の自動的な提供(automatically provision prospective member device with credential)」工程207によって使用され得る、自動予測されるメンバー装置の信用保証提供工程600を示す。自動的な予測されるメンバー装置の信用保証提供工程600は、予測されるメンバー装置に、信用保証を提供する。それはまた、予想されるメンバー装置に、他の提供情報(provisioning information)をも送る。
自動的な予測されるメンバー装置の信用保証提供工程600は開始されて、「提供情報要求の獲得(acquire provisioning information request)」工程603に続く。この「提供情報要求の獲得(acquire provisioning information request)」工程603は、予測されるメンバー装置からの情報を提供するための要求を受信できる。更に、この「提供情報要求の獲得」工程603は、事前に決定された、または、ユーザが選択した、提供情報を提供するために信用保証発行装置をトリガする状態を検知できる。この要求には、単に信用保証を提供すること、を越えた情報またはサービスのための要求(request)が含まれ得る。
一旦信用保証発行装置が、その要求を獲得すると、「提供情報の生成(generate provisioning information)」工程605が、信用保証、および、何らかの他の要求された提供情報を生成する。「提供情報の生成」工程605は、登録エージェントからの信用保証のための権限を要求することを含み得る。
「信用保証の発送(send credential)」工程607は、信用保証発行装置が、一つあるいはそれ以上の信用保証を、予想されるメンバー装置に送ることを引き起こす。一旦予想されるメンバー装置が、信用保証を受信すると、それは、安全な信用保証インフラストラクチャのメンバー装置となる。更に、「提供情報の発送(send provisioning information)」工程609は、信用保証発行装置からの提供情報Bを、予想されるメンバー装置に送る。
予想されるメンバー装置は、それに、信用保証発行装置または利用可能であり得る何らかの他の情報によって生成された鍵の組が提供されることを要求することもできる。
いくつかの実施例では、予想されるメンバー装置によって要求されない提供情報を送ることが可能である。
更に、予想されるメンバー装置は、いくつかの他のメンバー装置、セキュリティ・ゲートウェイ、等とのバーチャル・プライベート・ネットワーク(VPN)を確立するために予想されるメンバー装置によって使用され得る情報を提供され得る。
いくつかの実施例での「予想されるメンバー装置への信用保証の自動的な提供(automatically provision prospective member device with credential)」工程207は、予想されるメンバー装置に、信用保証だけを提供する一方、他の実施例は、予想されるメンバー装置に、信用保証と他の要求された(またはデフォールトの)提供情報の双方を提供する(そして、いくつかの実施例では、信用保証を全く提供しない---図10およびそれについての説明を参照)。
自動的な予測されるメンバー装置の信用保証提供工程600は開始されて、「提供情報要求の獲得(acquire provisioning information request)」工程603に続く。この「提供情報要求の獲得(acquire provisioning information request)」工程603は、予測されるメンバー装置からの情報を提供するための要求を受信できる。更に、この「提供情報要求の獲得」工程603は、事前に決定された、または、ユーザが選択した、提供情報を提供するために信用保証発行装置をトリガする状態を検知できる。この要求には、単に信用保証を提供すること、を越えた情報またはサービスのための要求(request)が含まれ得る。
一旦信用保証発行装置が、その要求を獲得すると、「提供情報の生成(generate provisioning information)」工程605が、信用保証、および、何らかの他の要求された提供情報を生成する。「提供情報の生成」工程605は、登録エージェントからの信用保証のための権限を要求することを含み得る。
「信用保証の発送(send credential)」工程607は、信用保証発行装置が、一つあるいはそれ以上の信用保証を、予想されるメンバー装置に送ることを引き起こす。一旦予想されるメンバー装置が、信用保証を受信すると、それは、安全な信用保証インフラストラクチャのメンバー装置となる。更に、「提供情報の発送(send provisioning information)」工程609は、信用保証発行装置からの提供情報Bを、予想されるメンバー装置に送る。
予想されるメンバー装置は、それに、信用保証発行装置または利用可能であり得る何らかの他の情報によって生成された鍵の組が提供されることを要求することもできる。
いくつかの実施例では、予想されるメンバー装置によって要求されない提供情報を送ることが可能である。
更に、予想されるメンバー装置は、いくつかの他のメンバー装置、セキュリティ・ゲートウェイ、等とのバーチャル・プライベート・ネットワーク(VPN)を確立するために予想されるメンバー装置によって使用され得る情報を提供され得る。
いくつかの実施例での「予想されるメンバー装置への信用保証の自動的な提供(automatically provision prospective member device with credential)」工程207は、予想されるメンバー装置に、信用保証だけを提供する一方、他の実施例は、予想されるメンバー装置に、信用保証と他の要求された(またはデフォールトの)提供情報の双方を提供する(そして、いくつかの実施例では、信用保証を全く提供しない---図10およびそれについての説明を参照)。
提供情報は、予想されるメンバー装置によって使用され得る何らかの情報であり得る。この情報は、アプリケーション特有の情報、サイト特有の情報、ネットワーク特有の情報、または、他の情報を含み得る。この情報は例えば、アプリケーションに依存する情報、装置特有の割り当て情報(例えば、病院の環境において、患者の名称、案件の番号、または、装置からデータを獲得するため、または、装置が動作するようにするために要求されるデータ獲得情報)、データベース・アクセス情報、(携帯電話番号のような)携帯電話(cell phone)提供情報、何らかの種類の所有者情報、車両情報、位置情報、安全な通信リンクを確立するために要求される情報(例えば、VPN関連の情報)、協動的作業空間情報、無線チャンネル、何らかの種類のアプリケーション特有の情報、および、データベースにアクセスするために要求される情報、のような情報をも含み得るが、これに限定されない。従って、用語「提供(provisioning)」は、信用保証の提供に加えて、メンバー装置によって使用され得る他の情報の提供に適用される。いくつかの実施例において、提供情報は、複数の(multiple)通信チャンネルを用いて提供され得る。特に、提供情報(例えば、好ましいものでないチャンネルを介して一時的な通信を確立するために必要な情報)を、好ましいか、或いは好ましいものではない(non-preferred)チャンネルを介してブートス・トラップ後続通信(subsequent communication)(安全化されているか、いないかの、いずれか)に送るために、好ましいチャンネルが使用され得る。上述の「鍵交換手順(key exchange procedure)」および「鍵照合手順(key verification procedure)」に引き続いて、2つの当事者は次に、その好ましいものではないチャンネルを介した、追加の提供情報の交換(これは、好ましいものではないチャンネルを介した、当事者間の、安全で認証された通信を確立するために使用され得る)に進むことが出来る。この追加の提供情報は、新たなメンバー装置が、他の、好ましいものではない、提供(provisioning)中に使用されないネットワーク接続で通信することを可能とするために十分な通信可能化情報を含む、上述の何らかの提供情報タイプを含み得る。他の実施例において、予想されるメンバー装置を提供するために、恐らく、追加的にその通信のいくつかを安全化(secure)するための鍵交換プロトコルの使用を伴って、好ましいチャンネル(preferred channel)のみが使用され得る。より一般的な実施例は、第1の提供情報の組が、好ましいチャンネルを介して提供され、他の提供情報が、第2の(一般的に安全な)通信チャンネルを用いて提供される場合である。
図7は、信用保証発行装置から、信用保証および他の提供情報を自動的に受信するために、予想されるメンバー装置によって使用され得る「予想されるメンバー装置サイドの提供(prospective member device-side provisioning)」工程700を示す。「予想されるメンバー装置サイドの提供」工程700は一般的に、事象(event)に応答して開始され、(予想されるメンバー装置500のための事前認証工程を呼び出す)「事前認証(pre-authentication)」工程703に続く。一旦「事前認証」工程703が完了すると、予想されるメンバー装置は、ネットワークを介して通信出来る。「要求提供情報(request provisioning information)」工程705において、予想されるメンバー装置は、信用保証および他の所望で利用可能な提供情報のための要求を送る。「信用保証の受信(receive credential)」工程707は、信用保証を受信し、「提供情報の受信」工程709において、自動予想メンバー装置信用保証提供工程(automatic prospective member device credential provisioning process)600によって送られた他の要求(request)提供情報を受信する。受信された信用保証および、あり得る他の提供情報は次に、使用のために利用可能とされ得る(予想されるメンバー装置内のアプリケーションか、予想されるメンバー装置のリーダ(readers)か、信用保証を使用するための従来技術で既知の他の方法か、のいずれかによって)。「予想されるメンバー装置サイドの提供」工程700は、「エンド」ターミナル711を通じて完了する。
いくつかの実施例は、ワイヤレス・ネットワーク上の(或いは有線ネットワークのための)802.1XおよびEAP−TLSプロトコルの代わりに(または、それに加えて)IPSEC VPNを提供する。更に、ファイヤー・ウォールを含み、システム/ユーザに対して信用保証を自動的に提供し、システム/ユーザがファイヤー・ウォールを通じて通信することを可能とする他の実施例が構想される。これは、システムが、インターネットまたは有線のまたはワイヤレスのLANから、VPNを通じて、ファイヤー・ウォールによって保護されたネットワークに接続することを可能とすることを含み得る。当業者は、キード・ホッピング・パターン等のような技術を用いてワイヤレスLANsを安全化するために、いくつかの実施例が使用され得ることを理解するであろう。
いくつかの実施例は、ワイヤレス・ネットワーク上の(或いは有線ネットワークのための)802.1XおよびEAP−TLSプロトコルの代わりに(または、それに加えて)IPSEC VPNを提供する。更に、ファイヤー・ウォールを含み、システム/ユーザに対して信用保証を自動的に提供し、システム/ユーザがファイヤー・ウォールを通じて通信することを可能とする他の実施例が構想される。これは、システムが、インターネットまたは有線のまたはワイヤレスのLANから、VPNを通じて、ファイヤー・ウォールによって保護されたネットワークに接続することを可能とすることを含み得る。当業者は、キード・ホッピング・パターン等のような技術を用いてワイヤレスLANsを安全化するために、いくつかの実施例が使用され得ることを理解するであろう。
図8は、アンテナ803を通じて電子信号を提供するための、これもまたワイヤレス・アクセス・ポイント(WAP)として構成された、提供装置801を用いる、ワイヤレス・アクセス・ポイントの安全化信用保証インフラストラクチャ・システム(secure credential infrastructure system)800を説明する。WAPsは、良く知られた技術であり、一般的に802.11(a)、(b)、又は(g)に適合するが、それらは、現存するか、或いはこれから開発される他のスタンダードにも適合する。提供装置801は、信用保証発行装置及び/又は提供装置の一つの実施例である。
提供装置801は、スイッチ、ルータ、DSLまたはケーブル・モデム、ファイヤー・ウォール、VPNクライアントまたはターミネータ、および、信用保証発行権限(credential issuing authority)のような追加の機能を持ちうる。これらの機能は、図8には示されない。提供装置801は、好ましいチャンネルを確立するために使用され得る一つあるいはそれ以上のポートをも持つ。提供装置801は、色々なやり方で、ポートの一つを用いて、予想されるメンバー装置821について好ましいチャンネルを確立出来る。提供装置801によってサポートされた好ましいチャンネルは、赤外線、可聴または非可聴の音声、音声または他の信号の電子表現、予想されるメンバー装置821と提供装置801の間を、USB Bレセプタクルに付着されたUSBケーブルを通じて、USB−Aリセプタクル815にプラグ・インされ得、適切に装備された予想メンバー装置に渡され得る、除去可能なトークンを介して送られた情報、或いは、予想されるメンバー装置821上の検知エリアへ接触している間の、人間の、提供装置801上の近似フィールド検知エリア817への接触、による近似フィールドシグナリング(near field signaling)によって送られた情報、を含み得る。更に、好ましいチャンネルは、受話器を介したシグナリング・トーンを用いた、電話または携帯電話のスイッチング・システムを用いて確立された通信、または、電話ジャックを通じた直接接続によって確立された通信を含み得る。
他のあり得るポートは、(テキスト、データ・グリフ、または、変化するパターンのような)情報を表示するコンピュータ・スクリーンの画像を捕獲(capture)するために用いられるカメラでありうる。好ましいチャンネルのための、他のあり得る技術は、短距離無線周波数技術で有り得る。更に、ユーザがマニュアルで、情報を入力出来るための、キーボード、キーパッド、タッチ・スクリーン、等を用いて、情報が、予想されるメンバー装置821、および、提供装置801に提供され得る。
予想されるメンバー装置821は、好ましいチャンネル(この場合には、提供装置801の間の音声接続ケーブル825を用いた)、および、予想されるメンバー装置821を通じた通信を可能とする、アンテナ823、および一つあるいはそれ以上のポート(不図示)、を含む。
提供装置801は、スイッチ、ルータ、DSLまたはケーブル・モデム、ファイヤー・ウォール、VPNクライアントまたはターミネータ、および、信用保証発行権限(credential issuing authority)のような追加の機能を持ちうる。これらの機能は、図8には示されない。提供装置801は、好ましいチャンネルを確立するために使用され得る一つあるいはそれ以上のポートをも持つ。提供装置801は、色々なやり方で、ポートの一つを用いて、予想されるメンバー装置821について好ましいチャンネルを確立出来る。提供装置801によってサポートされた好ましいチャンネルは、赤外線、可聴または非可聴の音声、音声または他の信号の電子表現、予想されるメンバー装置821と提供装置801の間を、USB Bレセプタクルに付着されたUSBケーブルを通じて、USB−Aリセプタクル815にプラグ・インされ得、適切に装備された予想メンバー装置に渡され得る、除去可能なトークンを介して送られた情報、或いは、予想されるメンバー装置821上の検知エリアへ接触している間の、人間の、提供装置801上の近似フィールド検知エリア817への接触、による近似フィールドシグナリング(near field signaling)によって送られた情報、を含み得る。更に、好ましいチャンネルは、受話器を介したシグナリング・トーンを用いた、電話または携帯電話のスイッチング・システムを用いて確立された通信、または、電話ジャックを通じた直接接続によって確立された通信を含み得る。
他のあり得るポートは、(テキスト、データ・グリフ、または、変化するパターンのような)情報を表示するコンピュータ・スクリーンの画像を捕獲(capture)するために用いられるカメラでありうる。好ましいチャンネルのための、他のあり得る技術は、短距離無線周波数技術で有り得る。更に、ユーザがマニュアルで、情報を入力出来るための、キーボード、キーパッド、タッチ・スクリーン、等を用いて、情報が、予想されるメンバー装置821、および、提供装置801に提供され得る。
予想されるメンバー装置821は、好ましいチャンネル(この場合には、提供装置801の間の音声接続ケーブル825を用いた)、および、予想されるメンバー装置821を通じた通信を可能とする、アンテナ823、および一つあるいはそれ以上のポート(不図示)、を含む。
提供装置801は、アプリケーション特有の情報を提供(provision or provide)するために、或いは、信用保証を提供するために、IPアドレス、プロキシ情報、ドメイン情報等のようなネットワーク構成情報を提供することによって、ワイヤレスまたは有線のネットワーク装置を提供するために、SSIDコードおよびWEPキーを提供することによって、ワイヤレス・ネットワーク化された装置を提供するために使用され得る。
例えば、コンピュータ、ワイヤレス・アクセス・ポート(WAP)、または、好ましいチャンネルを持ち、「信用保証インフラストラクチャ構築の安全化(secure credential infrastructure construction)」工程200を実行するように構成された他の提供装置が、公開鍵インフラストラクチャを構築するために使用され得る。
信用保証発行装置が、ワイヤレス・アクセス・ポイント(WAP)内に取り込まれたときに、ネットワーク構成情報を持つWAPにアクセスするネットワーク装置を提供するために、本発明の一つの実施例が使用され得る。この提供は、ネットワーク装置が、予想されるよメンバー装置であるように、安全化信用保証インフラストラクチャにネットワーク装置を追加することで有り得る。更に、信用保証発行装置は、WAPによって認識された鍵(例えば、SSID、および、WAP内のワイヤド・イクイバレント・プライバシー(WEP:Wired Equivalent Privacy)機能によって使用されるための鍵)を、好ましいチャンネルを介して、ネットワーク装置に提供出来、これによって、現在の技術によって要求されるような、エラーが発生しがちで、混乱しがちな、鍵を表す長いストリングの文字の入力を自動化出来る(いくつかのWAPsは、実際の鍵を直接提供する代わりにパス・フレーズ(passphrase)の使用を可能とするが、パスフレーズの使用は、WEPセキュリティーを減少する。更に、長い、任意の文字のストリングを入力する時に言語障害を起こす誰かの困難さを考慮する。)。更に、鍵が魔法の基礎にある(is in hex base)ことを理解しないために、鍵のテキストを数文字(numeric characters)に限定することによって、潜在的な鍵の組み合わせの数を減少させる、初心なユーザの成り行き(consequences)を考慮する。
共有された秘密およびWEP鍵が提供されうる。特に、何らかの「ネットワーク・パスワード」または、何らかのタイプの対称鍵(symmetric key)は、装置をワイヤレス・ネットワークに認証する(authenticate)ためにワイヤレス・ネットワークのためのデータを直接暗号化することか、有線またはワイヤレス・ネットワークの上でVPNを確立するために要求される情報を直接暗号化することか、更なる鍵交換を保護する、ことのいずれかが意図されている。
例えば、コンピュータ、ワイヤレス・アクセス・ポート(WAP)、または、好ましいチャンネルを持ち、「信用保証インフラストラクチャ構築の安全化(secure credential infrastructure construction)」工程200を実行するように構成された他の提供装置が、公開鍵インフラストラクチャを構築するために使用され得る。
信用保証発行装置が、ワイヤレス・アクセス・ポイント(WAP)内に取り込まれたときに、ネットワーク構成情報を持つWAPにアクセスするネットワーク装置を提供するために、本発明の一つの実施例が使用され得る。この提供は、ネットワーク装置が、予想されるよメンバー装置であるように、安全化信用保証インフラストラクチャにネットワーク装置を追加することで有り得る。更に、信用保証発行装置は、WAPによって認識された鍵(例えば、SSID、および、WAP内のワイヤド・イクイバレント・プライバシー(WEP:Wired Equivalent Privacy)機能によって使用されるための鍵)を、好ましいチャンネルを介して、ネットワーク装置に提供出来、これによって、現在の技術によって要求されるような、エラーが発生しがちで、混乱しがちな、鍵を表す長いストリングの文字の入力を自動化出来る(いくつかのWAPsは、実際の鍵を直接提供する代わりにパス・フレーズ(passphrase)の使用を可能とするが、パスフレーズの使用は、WEPセキュリティーを減少する。更に、長い、任意の文字のストリングを入力する時に言語障害を起こす誰かの困難さを考慮する。)。更に、鍵が魔法の基礎にある(is in hex base)ことを理解しないために、鍵のテキストを数文字(numeric characters)に限定することによって、潜在的な鍵の組み合わせの数を減少させる、初心なユーザの成り行き(consequences)を考慮する。
共有された秘密およびWEP鍵が提供されうる。特に、何らかの「ネットワーク・パスワード」または、何らかのタイプの対称鍵(symmetric key)は、装置をワイヤレス・ネットワークに認証する(authenticate)ためにワイヤレス・ネットワークのためのデータを直接暗号化することか、有線またはワイヤレス・ネットワークの上でVPNを確立するために要求される情報を直接暗号化することか、更なる鍵交換を保護する、ことのいずれかが意図されている。
提供装置801が、ルータ、モデム、または、WAPとして動作する場合には、提供装置801は、トラフィックが、メンバー装置(即ち、安全なチャンネルを使用するために権限授与された装置)からのものか、いくつかの他の権限授与されていない装置からのものか、かを判断するために、提供装置801を通過するトラフィックをモニター出来る。提供装置801が、装置がメンバーであると決定する場合には、許可されない(unauthorized)装置をソースとすパケットがオープン・チャンネル(open channel)を通じてルーティングされる間に、メンバー装置をソースとするパケットは、自動的に安全化されたチャンネルを通じてルーティングされ得る。
これらの技術は、ルータ、ブリッジ、ハブ、ファイヤー・ウォール、VPNs、および、WAP以外の装置に応用され得る。
これらの技術は、ルータ、ブリッジ、ハブ、ファイヤー・ウォール、VPNs、および、WAP以外の装置に応用され得る。
図9は、異なった位置における複数のエンロールメント・ステーション(各々が、位置が限定されたチャンネルを持つ)にアクセスするための、信用保証発行装置901(または、証明権限(certification authority))を可能とする、エンロールメント・ステーション・ベースの構成(enrollment station based configuration)900を示す。これは、位置限定されたチャンネルが、(会社の各遠隔オフィスにおける、ような)複数の位置において配備されることを可能とする。エンロールメント・ステーションを、複数の位置に配備することによって、装置を、安全な信用保証インフラストラクチャに登録(enroll)することを求める人は、単に、エンロールメント・ステーションの一つに移動することによってそれを行うことが出来る。エンロールメント・ステーションの使用は、付加的な情報を追加し、予想されるメンバー装置の、安全な信用保証インフラストラクチャへの登録(enrollment)に権限付与するために、(登録エージェントまたは他のエージェントのような)証明工程に人間を含ませる一つの方法であり得る。エンロールメント・ステーションの使用の他の利点は、それが、(信用保証発行権限付与サービスを提供する)信用保証発行装置901が、事前の認証の知識、または、好ましいチャンネルの知識を持たない、棚から降ろした(off-the-shelf)ソフトウェアを使用することを可能とすることである。
登録エージェント(registration agent)または、他のエージェントもまた、例えば、事前の権限付与を承認するために特定のトークンを用いることによって、しかしこれに限定されずに、(これまで説明されてきたように、予想されるメンバー装置が、好ましいチャンネルへのアクセスを持つという要求を越えた)予想されるメンバー装置の付加を限定し得る。また、付加を承認するために、他の装置を用いる。
信用保証発行装置901は、ネットワーク903を介して、ネットワーク接続907によって、メンバー装置905に通信出来る。更に、信用保証発行装置901は、(VPNのような)安全なネットワーク接続911を介して、エンロールメント・ステーション909に通信出来る。エンロールメント・ステーション909は、好ましいチャンネル913を介して、メンバー装置905を登録(enroll)出来、安全なネットワーク接続911を介して信用保証発行装置901と通信出来る。信用保証発行装置901およびエンロールメント・ステーション909は、当該技術分野で既知の技術、およびここに記載される技術を用いて、相互に、互いに、認証出来る。
先に説明されたように、ネットワーク装置の構成を単純化することに伴う問題が存在する。この問題は、本発明の他の実施例、即ちネットワーク提供装置(network provisioning device)、によって言及される。ネットワーク提供装置は、ネットワーク装置が通信することを可能とするために、ネットワーク装置にネットワーク構成情報を提供するために使用され得る、好ましいチャンネルを持つ。この機能の詳細の多くは、これまでに説明されてきた。
登録エージェント(registration agent)または、他のエージェントもまた、例えば、事前の権限付与を承認するために特定のトークンを用いることによって、しかしこれに限定されずに、(これまで説明されてきたように、予想されるメンバー装置が、好ましいチャンネルへのアクセスを持つという要求を越えた)予想されるメンバー装置の付加を限定し得る。また、付加を承認するために、他の装置を用いる。
信用保証発行装置901は、ネットワーク903を介して、ネットワーク接続907によって、メンバー装置905に通信出来る。更に、信用保証発行装置901は、(VPNのような)安全なネットワーク接続911を介して、エンロールメント・ステーション909に通信出来る。エンロールメント・ステーション909は、好ましいチャンネル913を介して、メンバー装置905を登録(enroll)出来、安全なネットワーク接続911を介して信用保証発行装置901と通信出来る。信用保証発行装置901およびエンロールメント・ステーション909は、当該技術分野で既知の技術、およびここに記載される技術を用いて、相互に、互いに、認証出来る。
先に説明されたように、ネットワーク装置の構成を単純化することに伴う問題が存在する。この問題は、本発明の他の実施例、即ちネットワーク提供装置(network provisioning device)、によって言及される。ネットワーク提供装置は、ネットワーク装置が通信することを可能とするために、ネットワーク装置にネットワーク構成情報を提供するために使用され得る、好ましいチャンネルを持つ。この機能の詳細の多くは、これまでに説明されてきた。
図10は、ネットワーク提供装置によって使用され得る、自動ネットワーク装置構成工程1000を説明する。自動ネットワーク装置構成工程1000は、パワー・オン、または、リセットの状態で開始し、ネットワーク提供装置を初期化して、ユーザまたは初期化システムが、要求されるネットワーク情報を指定することを可能とする「構成提供装置」工程1003に続く。「好ましいチャンネルを介したネットワーク装置との通信の確立」工程1005は、これまでに説明されたのと類似のやり方での、チャンネルを介したネットワーク装置との通信を確立する。一旦、通信が確立されると、「ネットワーク構成情報のネットワーク装置への送信」工程1007が、ネットワーク構成情報をネットワーク装置に送る。
これまでに説明したように、ケーブル接続されたセンサを引きまわす(work around)ことが困難であるが、現時点では、患者のプライナシーを保護するために十分に安全なワイヤレス・センサを提供することが余りにも困難であるような、医療環境での問題が存在する。しかし、これまでに述べたように、単に、信用保証を発行し、管理する能力を持つことによって、この問題に対する新規の解決策が可能となる。
本発明の他の実施例は、ワイヤレス・センサによってデータが集められ、データがプライベートなものか法的に保護されているような環境での、情報の管理および分配に応用できる。そのような環境の1つの例は、病院である。現在の労働集約的で面倒な、患者の生命力の測定方法(即ち、人間が測定を行い、記録することを要求することによるもの)の代わりに、自動化されたセンサを用いて、患者のデータを捕捉し、正確に、そのデータをデータベースまたは他のリポジトリに送出するものである。しかし、導線がセンサに付着した状態は、病院の部屋を酷く散らかし、しばしば、患者、医者、看護士、および他の病院スタッフに迷惑をかける。したがって、ワイヤレスのセンサが望まれる。しかし、このアプローチが成功する前に、ワイヤレスセンサは、簡単に、セット・アップされねばならず、権限付与されない個人が、センサによって測定された患者データにアクセスできないように安全化されねばならない。
これまでに説明したように、ケーブル接続されたセンサを引きまわす(work around)ことが困難であるが、現時点では、患者のプライナシーを保護するために十分に安全なワイヤレス・センサを提供することが余りにも困難であるような、医療環境での問題が存在する。しかし、これまでに述べたように、単に、信用保証を発行し、管理する能力を持つことによって、この問題に対する新規の解決策が可能となる。
本発明の他の実施例は、ワイヤレス・センサによってデータが集められ、データがプライベートなものか法的に保護されているような環境での、情報の管理および分配に応用できる。そのような環境の1つの例は、病院である。現在の労働集約的で面倒な、患者の生命力の測定方法(即ち、人間が測定を行い、記録することを要求することによるもの)の代わりに、自動化されたセンサを用いて、患者のデータを捕捉し、正確に、そのデータをデータベースまたは他のリポジトリに送出するものである。しかし、導線がセンサに付着した状態は、病院の部屋を酷く散らかし、しばしば、患者、医者、看護士、および他の病院スタッフに迷惑をかける。したがって、ワイヤレスのセンサが望まれる。しかし、このアプローチが成功する前に、ワイヤレスセンサは、簡単に、セット・アップされねばならず、権限付与されない個人が、センサによって測定された患者データにアクセスできないように安全化されねばならない。
病院或いは医療機関によって新しい装置が得られるにつれて、それらの新しい装置は、病院または医療機関の安全インフラストラクチャの一部としての信用保証発行権限によって提供された、信用保証を持つエンロールメント・ステーションで構成され得る。更に、その装置が、その使用環境で作動することを可能とするために、他の構成可能な情報が、装置に提供され得る(この情報は、新規の装置がアクセスすることとなるデータ・サーバへのコミットメントを含み得、したがって、装置が、それが、正当なデータ・リポジトリと通信しているということを知り、患者のデータを、非合法的なやり方で集めるように設計された悪党(rogue)の装置、の使用を避けることを可能とする)。
特定のセンサは次に(一時的に)、その患者と対応付けられたベッド・サイド・エンロールメント・ステーション(これは単に、その患者のための権限付与された装置のリスト内のその装置の公開鍵についての情報を記憶する)との類似の事前認証交換、または、看護士のステーションまたは医者のデスクにおける構成インターフェースとの類似の事前認証交換を使用することによって、特定の患者と対応付けられ得る。センサとバック・エンド(back-end)の病院インフラストラクチャの間の通信、または、センサと遠隔のデータ収集サイトの間の通信は次に、標準的技術を用いて安全化される。そして、データは、装置によって、および、特定の患者と対応付けられたシステムの装置の記録によって、提供された情報の組み合わせによって、適切な患者と対応付けられる。
遠隔監視の場合には、病院または診療所のファイヤー・ウォールは、自己構成VPNにしたがって、何れかの装置から入って来るデータの、病院/診療所の信用保証(瞬時PKIの一部)との接続を可能とするように構成され得る。
図11は、家庭および病院の設定でのワイヤレス・センサーの使用を示した、安全なワイヤレス・センサ・システム1100を示す。上述のように、患者は、信用保証(および他のデータ)を提供されたセンサー1101と対応付けられ、患者識別情報(identification)が提供される。センサ1101は、患者に関連する情報を集め、ワイヤレス通信チャンネル1105を介して、ワイヤレス・アクセス・ポイント1103を通じて、その情報を安全に、患者データ記憶部1107に送る。センサは、患者が動きくにつれて、センサが情報を患者データ記憶部1107に送信するための連続的な能力を維持しながら、医療設備内のいかなるWAPへも、安全に通信できる。更に、ワイヤレス・センサは、いくつかの実施例によってエネーブルされているので、追加のセンサは、利用可能に、患者に付着され得る。一つのそのような例は、病院管理部が、何時でも、移動する患者がどこに存在するかを常に知ることができるようにして、患者の位置を認識するセンサである。そのようなセンサは、病院スタッフが、他のセンサが、患者での問題を示した場合、より迅速に応答すること、(および、どこに患者が存在し、医療管理を行う時刻が何時なのか、を検知すること)を可能とする。複数のWAPsのワイヤレス受信の強度に基づいて、三角測量法を用いることによって、患者を追跡するために、他の技術が使用され得る。
更に、適切な信用保証を持つ看護士または他の医療専門家が、センサに、患者識別情報、警報限界、服用量スケジュール、等、のような患者特有の情報を提供できる。
特定のセンサは次に(一時的に)、その患者と対応付けられたベッド・サイド・エンロールメント・ステーション(これは単に、その患者のための権限付与された装置のリスト内のその装置の公開鍵についての情報を記憶する)との類似の事前認証交換、または、看護士のステーションまたは医者のデスクにおける構成インターフェースとの類似の事前認証交換を使用することによって、特定の患者と対応付けられ得る。センサとバック・エンド(back-end)の病院インフラストラクチャの間の通信、または、センサと遠隔のデータ収集サイトの間の通信は次に、標準的技術を用いて安全化される。そして、データは、装置によって、および、特定の患者と対応付けられたシステムの装置の記録によって、提供された情報の組み合わせによって、適切な患者と対応付けられる。
遠隔監視の場合には、病院または診療所のファイヤー・ウォールは、自己構成VPNにしたがって、何れかの装置から入って来るデータの、病院/診療所の信用保証(瞬時PKIの一部)との接続を可能とするように構成され得る。
図11は、家庭および病院の設定でのワイヤレス・センサーの使用を示した、安全なワイヤレス・センサ・システム1100を示す。上述のように、患者は、信用保証(および他のデータ)を提供されたセンサー1101と対応付けられ、患者識別情報(identification)が提供される。センサ1101は、患者に関連する情報を集め、ワイヤレス通信チャンネル1105を介して、ワイヤレス・アクセス・ポイント1103を通じて、その情報を安全に、患者データ記憶部1107に送る。センサは、患者が動きくにつれて、センサが情報を患者データ記憶部1107に送信するための連続的な能力を維持しながら、医療設備内のいかなるWAPへも、安全に通信できる。更に、ワイヤレス・センサは、いくつかの実施例によってエネーブルされているので、追加のセンサは、利用可能に、患者に付着され得る。一つのそのような例は、病院管理部が、何時でも、移動する患者がどこに存在するかを常に知ることができるようにして、患者の位置を認識するセンサである。そのようなセンサは、病院スタッフが、他のセンサが、患者での問題を示した場合、より迅速に応答すること、(および、どこに患者が存在し、医療管理を行う時刻が何時なのか、を検知すること)を可能とする。複数のWAPsのワイヤレス受信の強度に基づいて、三角測量法を用いることによって、患者を追跡するために、他の技術が使用され得る。
更に、適切な信用保証を持つ看護士または他の医療専門家が、センサに、患者識別情報、警報限界、服用量スケジュール、等、のような患者特有の情報を提供できる。
遠隔の患者の上のセンサ、例えば遠隔センサ1109は、ワイヤレス通信チャンネル1113を介してワイヤレス・アクセス・ポイント1111に安全に通信する。ワイヤレス・アクセス・ポイント1111は、ネットワーク1115および病院ファイヤー・ウォール1117を通じて、患者のデータ記憶部1107に情報を送る。遠隔のセンサ1109は、病院,患者の医師のオフィスのエンロールメント・ステーション,或いは他の場所、で提供され得る。医療監視へのこのアプローチは、患者の部屋の酷い散らかり状態を無くす一方、依然として、患者データの安全な通信を提供する。
ワイヤレス・アクセス・ポイント1103およびワイヤレス・アクセス・ポイント1111もまた、病院において、信用保証発行装置との通信状態で、エンロールメント・ステーションとして使用され得、信用保証発行装置として使用され得、センサに特定の患者関連の、患者データ,制限データ,警報データ,服用量データ,インターバル・データ(interval data),アクセスデータ,医者のデータ、看護者データ,看護士データ,保険データ,および部屋割り当てデータ,のようなデータを提供するためにも使用され得る。
いくつかの実施例が、いかなるセンサーにも応用され得る。特に、いくつかの実施例は、監視、家庭またはオフィスのセキュリティ,または、安全化されるべき他の装置(位置および近接度センサ(proximity sensor)を含む),のためのセンサー・ネットワークの要素に応用され得る。更に、センサは、医療情報,位置情報,近接度情報,(粒子放射への露出,化学的気体,音声レベル,煙レベル,環境熱,高度,風速,振動,動作への近接(proximity to motion),湿度,および生物的エージェント(biological agents)のような)環境情報,および、乗物または乗物のグループ内のセンサ(乗物の速度,乗物の方向,乗物のサブ・コンポーネント(翼、エンジンまたはモータ測定,ブレーキ,のようなもの)の状態のようなもの)、または、ロボットを検知し、及び/又は、測定できる。位置,物体,人,およびターゲット,の画像を認識するために、および、特徴的なノイズを認識するために、更なるセンサが、使用され得る。そのようなセンサは、提供情報内のデータ(例えば、服用量データ、インターバル・データ(interval data)、起動データ(activation data)等)によって制御される起動要素(activation components)をも持ち得る。
ワイヤレス・アクセス・ポイント1103およびワイヤレス・アクセス・ポイント1111もまた、病院において、信用保証発行装置との通信状態で、エンロールメント・ステーションとして使用され得、信用保証発行装置として使用され得、センサに特定の患者関連の、患者データ,制限データ,警報データ,服用量データ,インターバル・データ(interval data),アクセスデータ,医者のデータ、看護者データ,看護士データ,保険データ,および部屋割り当てデータ,のようなデータを提供するためにも使用され得る。
いくつかの実施例が、いかなるセンサーにも応用され得る。特に、いくつかの実施例は、監視、家庭またはオフィスのセキュリティ,または、安全化されるべき他の装置(位置および近接度センサ(proximity sensor)を含む),のためのセンサー・ネットワークの要素に応用され得る。更に、センサは、医療情報,位置情報,近接度情報,(粒子放射への露出,化学的気体,音声レベル,煙レベル,環境熱,高度,風速,振動,動作への近接(proximity to motion),湿度,および生物的エージェント(biological agents)のような)環境情報,および、乗物または乗物のグループ内のセンサ(乗物の速度,乗物の方向,乗物のサブ・コンポーネント(翼、エンジンまたはモータ測定,ブレーキ,のようなもの)の状態のようなもの)、または、ロボットを検知し、及び/又は、測定できる。位置,物体,人,およびターゲット,の画像を認識するために、および、特徴的なノイズを認識するために、更なるセンサが、使用され得る。そのようなセンサは、提供情報内のデータ(例えば、服用量データ、インターバル・データ(interval data)、起動データ(activation data)等)によって制御される起動要素(activation components)をも持ち得る。
ネットワークは、(以前に説明されたデータおよび、コンピュータ・プログラムを定義するデータのような)情報を送信する。プログラムおよびデータは、(コンパクト・ディスク、フレキシブル・ディスク、磁気ディスクのような)有形の物理的メディアおよび、ネットワークの双方から共通に読まれる。したがって、有形の物理メディアのようなネットワークは、コンピュータによって利用可能なデータ・キャリア(data carrier)である。
更に、ここに提供されるフローチャートは、説明目的のためのものであり、本発明の実施例を教示するために用いられる。基本となるアイデア(またはその修正)を取りこむ他のフローチャートは、均等物として考慮されるためのものである。
当業者は、本発明の実施例が、安全な信用保証インフラストラクチャの生成、管理、および維持、を非常に単純化していることを理解するであろう。したがって、PKIは、安価で効率的に、生成され、管理され得る。更に、いくつかの実施例の特徴は、今、伝統的な安全な信用保証インフラストラクチャに関連する支出および必要経費が禁止された場合の、応用および環境における、安全な信用保証インフラストラクチャの使用を可能とする。
更に、ここに提供されるフローチャートは、説明目的のためのものであり、本発明の実施例を教示するために用いられる。基本となるアイデア(またはその修正)を取りこむ他のフローチャートは、均等物として考慮されるためのものである。
当業者は、本発明の実施例が、安全な信用保証インフラストラクチャの生成、管理、および維持、を非常に単純化していることを理解するであろう。したがって、PKIは、安価で効率的に、生成され、管理され得る。更に、いくつかの実施例の特徴は、今、伝統的な安全な信用保証インフラストラクチャに関連する支出および必要経費が禁止された場合の、応用および環境における、安全な信用保証インフラストラクチャの使用を可能とする。
以上の説明から、本発明の実施例が、(限定無しに)一つあるいはそれ以上の以下の利点を持つことが理解されるであろう。
1)非セキュリティ・エクスポート(non-security exports)によって、迅速に、そして単純に、安全な信用保証インフラストラクチャを生成し、維持し、そして管理する能力。
2)コストの削減、および、安全な信用保証インフラストラクチャの生成における努力による、公衆に利用可能な、動的に(dynamically)改善されたセキュリティが、今、コンピュータの門外漢(layperson)が、彼らの通信を安全に維持することを可能とする。
3)情報が傍受される、または、プライバシー法令に違反する、という危惧無しに、人に関する感度の高い個人データを提供するワイヤレス・センサの使用を可能とする。
4)安全なワイヤレス・アクセス・ポイントの単純なセット・アップを可能とする。
5)ネットワーク装置の単純な提供(信用保証、ネットワーク特有の情報、アプリケーション特有の情報、または、これらのの組み合わせ、を伴ったもののいずれか)を可能とする。
6)厄介な信用証明工程(trust verification process)を要求されずにPKIに参加する能力を可能とする。
1)非セキュリティ・エクスポート(non-security exports)によって、迅速に、そして単純に、安全な信用保証インフラストラクチャを生成し、維持し、そして管理する能力。
2)コストの削減、および、安全な信用保証インフラストラクチャの生成における努力による、公衆に利用可能な、動的に(dynamically)改善されたセキュリティが、今、コンピュータの門外漢(layperson)が、彼らの通信を安全に維持することを可能とする。
3)情報が傍受される、または、プライバシー法令に違反する、という危惧無しに、人に関する感度の高い個人データを提供するワイヤレス・センサの使用を可能とする。
4)安全なワイヤレス・アクセス・ポイントの単純なセット・アップを可能とする。
5)ネットワーク装置の単純な提供(信用保証、ネットワーク特有の情報、アプリケーション特有の情報、または、これらのの組み合わせ、を伴ったもののいずれか)を可能とする。
6)厄介な信用証明工程(trust verification process)を要求されずにPKIに参加する能力を可能とする。
100 ネットワーク化されたコンピュータ・システム
101 コンピュータ
103 CPU
105 メモリ
107 ネットワーク・インターフェース
109 ネットワーク
111 I/Oインターフェース
115 記憶システム
117 媒体データ装置
119 コンピュータ読み取り可能なメディア
121 プログラム・プロダクト
125 メンバ装置(member device)
127 ネットワーク接続
129 好ましいチャンネル
101 コンピュータ
103 CPU
105 メモリ
107 ネットワーク・インターフェース
109 ネットワーク
111 I/Oインターフェース
115 記憶システム
117 媒体データ装置
119 コンピュータ読み取り可能なメディア
121 プログラム・プロダクト
125 メンバ装置(member device)
127 ネットワーク接続
129 好ましいチャンネル
Claims (9)
- ワイヤレス・センサと提供装置(provisioning device)の間に、好ましいチャンネル(preferred channel)を介して通信を確立し、
前記提供装置から、前記好ましいチャンネルを介して提供情報(provisioning information)を受け取り、そして、
前記提供情報に応じて、センサ情報を、安全な通信チャンネルを介して送出するために、前記ワイヤレス・センサを自動的に構成する(configuring)
ステップを含む、コンピュータ制御された方法。 - ワイヤレス・センサ内のコンピュータによって実行された時に、コンピュータに、
ワイヤレス・センサと提供装置(provisioning device)の間に、好ましいチャンネル(preferred channel)を介して通信を確立し、
前記提供装置から、前記好ましいチャンネルを介して提供情報(provisioning information)を受け取り、そして、
前記提供情報に応じて、センサ情報を、安全な通信チャンネルを介して送出するために、前記ワイヤレス・センサを自動的に構成する(configuring)、
ステップを含む方法を実行させる命令を記憶するコンピュータ読取可能な記憶媒体。 - 好ましいチャンネルを確立(establish)するために構成された少なくとも1つのポート、
提供装置との、前記好ましいチャンネルを介した通信を確立するための好ましいチャンネル通信手段、
前記提供装置からの提供情報を、前記好ましいチャンネルを介して受信するための受信メカニズム手段、および、
前記ワイヤレス・センサが、前記提供情報に応じて確立された安全な通信チャンネルを介して、センサ情報を送出することを可能とするための自動構成メカニズム手段、
を備えるワイヤレス装置。 - 前記提供情報が、信用保証を含む、請求項1,2、または3に記載の発明。
- 前記提供情報が、一つあるいはそれ以上の、患者データ、制限データ、警報データ、服用量データ、インターバル・データ(interval data)、アクセス・データ、医師データ、看護者(caregiver)データ、看護士データ、保険データ、または部屋割当てデータ、を更に含む、請求項1,2、または3に記載の発明。
- 前記安全な通信チャンネルを介して前記センサ情報を送出するステップを更に含む、請求項1,または2に記載の発明。
- 前記提供情報が、一つあるいはそれ以上の、感度データ(sensitivity data)、ターゲット・データ、画像認識データ、または、ノイズ特性、を更に含む、請求項1,2、または3に記載の発明。
- 前記ワイヤレス・センサが、一つあるいはそれ以上の、医療情報、位置情報、近似情報(proximity information)、環境情報、または、乗物情報、を検知する、
請求項1,2、または3に記載の発明。 - 前記安全な通信チャンネルを介して前記センサ情報を送出するために構成された送出メカニズムを更に含む、請求項3に記載の発明。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/656551 | 2003-09-05 | ||
| US10/656,551 US7937089B2 (en) | 2002-02-06 | 2003-09-05 | Method, apparatus, and program product for provisioning secure wireless sensors |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2005086808A true JP2005086808A (ja) | 2005-03-31 |
| JP2005086808A5 JP2005086808A5 (ja) | 2007-10-11 |
| JP5312722B2 JP5312722B2 (ja) | 2013-10-09 |
Family
ID=34136707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004248198A Active JP5312722B2 (ja) | 2003-09-05 | 2004-08-27 | 安全なワイヤレス・センサを供給する方法、装置、およびプログラム・プロダクト |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US7937089B2 (ja) |
| EP (1) | EP1513288A3 (ja) |
| JP (1) | JP5312722B2 (ja) |
Families Citing this family (71)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030149874A1 (en) | 2002-02-06 | 2003-08-07 | Xerox Corporation | Systems and methods for authenticating communications in a network medium |
| US7937089B2 (en) * | 2002-02-06 | 2011-05-03 | Palo Alto Research Center Incorporated | Method, apparatus, and program product for provisioning secure wireless sensors |
| US7581096B2 (en) * | 2002-08-30 | 2009-08-25 | Xerox Corporation | Method, apparatus, and program product for automatically provisioning secure network elements |
| US7275156B2 (en) | 2002-08-30 | 2007-09-25 | Xerox Corporation | Method and apparatus for establishing and using a secure credential infrastructure |
| US7185199B2 (en) | 2002-08-30 | 2007-02-27 | Xerox Corporation | Apparatus and methods for providing secured communication |
| US7549047B2 (en) * | 2002-11-21 | 2009-06-16 | Xerox Corporation | Method and system for securely sharing files |
| US7443807B2 (en) * | 2003-06-16 | 2008-10-28 | Microsoft Corporation | System and process for discovery of network-connected devices |
| US11106424B2 (en) | 2003-07-28 | 2021-08-31 | Sonos, Inc. | Synchronizing operations among a plurality of independently clocked digital data processing devices |
| US11106425B2 (en) | 2003-07-28 | 2021-08-31 | Sonos, Inc. | Synchronizing operations among a plurality of independently clocked digital data processing devices |
| US8290603B1 (en) | 2004-06-05 | 2012-10-16 | Sonos, Inc. | User interfaces for controlling and manipulating groupings in a multi-zone media system |
| US11294618B2 (en) | 2003-07-28 | 2022-04-05 | Sonos, Inc. | Media player system |
| US8234395B2 (en) | 2003-07-28 | 2012-07-31 | Sonos, Inc. | System and method for synchronizing operations among a plurality of independently clocked digital data processing devices |
| US11650784B2 (en) | 2003-07-28 | 2023-05-16 | Sonos, Inc. | Adjusting volume levels |
| US7430181B1 (en) * | 2003-11-26 | 2008-09-30 | Cisco Technology, Inc. | Method and apparatus for automatically configuring devices on a wireless network |
| US7680484B2 (en) * | 2004-02-13 | 2010-03-16 | Edwin A. Kauppila | System and method for performing wireless remote monitoring |
| US9977561B2 (en) | 2004-04-01 | 2018-05-22 | Sonos, Inc. | Systems, methods, apparatus, and articles of manufacture to provide guest access |
| US8868698B2 (en) | 2004-06-05 | 2014-10-21 | Sonos, Inc. | Establishing a secure wireless network with minimum human intervention |
| US8326951B1 (en) | 2004-06-05 | 2012-12-04 | Sonos, Inc. | Establishing a secure wireless network with minimum human intervention |
| US7333604B2 (en) * | 2005-01-10 | 2008-02-19 | Infone Tech, Ltd. | Adaptive notification of an incoming call in a mobile phone |
| JP4628198B2 (ja) * | 2005-06-28 | 2011-02-09 | 株式会社バッファロー | セキュリティ設定処理システム |
| US8001584B2 (en) | 2005-09-30 | 2011-08-16 | Intel Corporation | Method for secure device discovery and introduction |
| DE102005051562B4 (de) * | 2005-10-26 | 2013-06-13 | Ista International Gmbh | Verfahren zum Aufbau eines Sensornetzwerkes |
| US20070178939A1 (en) * | 2006-01-31 | 2007-08-02 | Sbc Knowledge Ventures Lp | Method for reducing radio interference between wireless access points |
| DE102006027462B4 (de) * | 2006-06-12 | 2009-06-18 | Nec Europe Ltd. | Verfahren zum Betreiben eines drahtlosen Sensornetzwerks |
| US8483853B1 (en) | 2006-09-12 | 2013-07-09 | Sonos, Inc. | Controlling and manipulating groupings in a multi-zone media system |
| US8788080B1 (en) | 2006-09-12 | 2014-07-22 | Sonos, Inc. | Multi-channel pairing in a media system |
| US9202509B2 (en) | 2006-09-12 | 2015-12-01 | Sonos, Inc. | Controlling and grouping in a multi-zone media system |
| US9060325B2 (en) * | 2006-12-04 | 2015-06-16 | Intel Corporation | Method and apparatus for creating and connecting to an ad hoc wireless cell |
| US8548334B2 (en) * | 2006-12-06 | 2013-10-01 | Mohammad Mazed | Dynamic intelligent bidirectional optical access communication system with object/intelligent appliance-to-object/intelligent appliance interaction |
| WO2008087570A2 (en) * | 2007-01-19 | 2008-07-24 | Koninklijke Philips Electronics N.V. | Network configuration via a wireless device |
| US9918218B2 (en) * | 2007-06-12 | 2018-03-13 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and system for a networked self-configuring communication device utilizing user preference information |
| US8881038B1 (en) | 2007-11-19 | 2014-11-04 | Brian Palmer | Method of rendering dynamic vehicle telemetry on a graphical display |
| US20090171528A1 (en) * | 2007-12-27 | 2009-07-02 | Sandisk Il Ltd. | Apparatus and process for recording data associated with a vehicle |
| US8884749B1 (en) | 2012-10-23 | 2014-11-11 | Brian Palmer | Driver information and alerting system |
| US9349223B1 (en) * | 2013-04-10 | 2016-05-24 | Brian Palmer | System for advertising vehicle information wirelessly |
| US8897952B1 (en) | 2011-05-20 | 2014-11-25 | Brian Palmer | Vehicle diagnostic communications system and application |
| US11265652B2 (en) | 2011-01-25 | 2022-03-01 | Sonos, Inc. | Playback device pairing |
| US11429343B2 (en) | 2011-01-25 | 2022-08-30 | Sonos, Inc. | Stereo playback configuration and control |
| US8549600B2 (en) * | 2011-03-11 | 2013-10-01 | Abbott Point Of Care Inc. | Systems, methods and analyzers for establishing a secure wireless network in point of care testing |
| US8776246B2 (en) | 2011-03-11 | 2014-07-08 | Abbott Point Of Care, Inc. | Systems, methods and analyzers for establishing a secure wireless network in point of care testing |
| EP2509276B1 (de) * | 2011-04-05 | 2013-11-20 | F. Hoffmann-La Roche AG | Verfahren zum sicheren Übertragen von elektronischen Daten über eine Datenkommunikationsverbindung zwischen einem Gerät und einem weiteren Gerät |
| WO2012151653A1 (en) | 2011-05-06 | 2012-11-15 | Certicom Corp. | Validating a batch of implicit certificates |
| WO2013038047A1 (en) | 2011-09-14 | 2013-03-21 | Nokia Corporation | A system, an apparatus, a device, a computer program and a method for devices with short range communication capabilities |
| CA2861975C (en) * | 2011-12-15 | 2022-05-31 | Becton, Dickinson And Company | System for improved interpretation of physiological data and presentation of physiological condition management information |
| US8392712B1 (en) | 2012-04-04 | 2013-03-05 | Aruba Networks, Inc. | System and method for provisioning a unique device credential |
| EP2834748A4 (en) * | 2012-04-05 | 2015-12-09 | Openpeak Inc | SYSTEM AND METHOD FOR AUTOMATICALLY PROVIDING MANAGED DEVICES |
| EP2893721B1 (en) * | 2012-09-07 | 2019-01-09 | Telefonaktiebolaget LM Ericsson (publ) | Configuring a sensor device |
| EP2747370A1 (en) * | 2012-12-21 | 2014-06-25 | Gemalto SA | Method and apparatus for providing secure access to a network |
| US9277401B2 (en) | 2013-01-22 | 2016-03-01 | Qualcomm Incorporated | Device utilizing an optical signal to access an access point |
| US9215075B1 (en) | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| US10572700B2 (en) | 2013-06-26 | 2020-02-25 | Vypin, LLC | Wireless asset location tracking system and related techniques |
| US10121028B2 (en) | 2013-06-26 | 2018-11-06 | Vypin, LLC | Asset tag apparatus and related methods |
| US10438476B2 (en) | 2013-06-26 | 2019-10-08 | Vypin, LLC | Wireless hand hygiene tracking system and related techniques |
| US9904885B2 (en) | 2014-04-06 | 2018-02-27 | Vypin, LLC | Wireless medication compliance sensing device, system, and related methods |
| KR101567333B1 (ko) * | 2014-04-25 | 2015-11-10 | 주식회사 크레스프리 | IoT 디바이스의 통신 설정을 위한 이동통신 단말기와 통신설정모듈 및 이동통신 단말기를 이용한 IoT 디바이스의 통신 설정 방법 |
| US9699659B2 (en) | 2014-07-31 | 2017-07-04 | Qualcomm Incorporated | On-boarding a device to a secure local network |
| TW201618500A (zh) * | 2014-11-07 | 2016-05-16 | Loopcomm Technology Inc | 路由裝置 |
| US9565513B1 (en) * | 2015-03-02 | 2017-02-07 | Thirdwayv, Inc. | Systems and methods for providing long-range network services to short-range wireless devices |
| US10248376B2 (en) | 2015-06-11 | 2019-04-02 | Sonos, Inc. | Multiple groupings in a playback system |
| US10576889B2 (en) | 2015-10-18 | 2020-03-03 | Danielle Constantine | Wireless sensor or device, portable or detachable from either a motorized or unmotorized vehicle, connected via a phone or electronic tablet application system |
| US10778435B1 (en) * | 2015-12-30 | 2020-09-15 | Jpmorgan Chase Bank, N.A. | Systems and methods for enhanced mobile device authentication |
| US10303422B1 (en) | 2016-01-05 | 2019-05-28 | Sonos, Inc. | Multiple-device setup |
| US9930021B2 (en) * | 2016-01-05 | 2018-03-27 | Intel Corporation | Secure devices using entropy multiplexing |
| US10104526B2 (en) * | 2016-06-01 | 2018-10-16 | Motorola Solutions, Inc. | Method and apparatus for issuing a credential for an incident area network |
| US10712997B2 (en) | 2016-10-17 | 2020-07-14 | Sonos, Inc. | Room association based on name |
| US11076277B2 (en) * | 2018-12-31 | 2021-07-27 | Motorola Solutions, Inc. | Public safety systems and methods for providing emergency access to private networks |
| CN110234039A (zh) * | 2019-04-10 | 2019-09-13 | 苏州卓晋通信有限公司 | 用于在网络物理系统中实现互联网内容远程获取的系统 |
| US11997635B2 (en) * | 2019-04-29 | 2024-05-28 | Sonicwall Inc. | Establishing simultaneous mesh node connections |
| US11411829B1 (en) * | 2019-09-26 | 2022-08-09 | Juniper Networks, Inc. | Provisioning managed network nodes and/or managing network nodes |
| CN111885529B (zh) * | 2020-07-20 | 2021-07-20 | 安徽意通电力设备有限公司 | 数字式无源无线传感器及其采集系统 |
| US11924339B2 (en) * | 2021-04-15 | 2024-03-05 | Real Random IP, LLC | System and method for secure end-to-end electronic communication using a privately shared table of entropy |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001099369A2 (en) * | 2000-06-20 | 2001-12-27 | Koninklijke Philips Electronics N.V. | Method and system for electronic device authentication |
| JP2002124960A (ja) * | 2000-10-16 | 2002-04-26 | Link Evolution Corp | 通信装置、通信システム、及び、通信方法 |
| JP2003101540A (ja) * | 2001-09-19 | 2003-04-04 | Fuji Xerox Co Ltd | 通信システムおよびその方法 |
Family Cites Families (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05199342A (ja) * | 1991-05-20 | 1993-08-06 | Xerox Corp | 無声の手書きによる携帯式通信装置および方法 |
| US5341426A (en) * | 1992-12-15 | 1994-08-23 | Motorola, Inc. | Cryptographic key management apparatus and method |
| WO1995005712A2 (en) * | 1993-08-13 | 1995-02-23 | Frank Thomson Leighton | Secret key exchange |
| DE69330065T2 (de) * | 1993-12-08 | 2001-08-09 | Ibm | Verfahren und System zur Schlüsselverteilung und Authentifizierung in einem Datenübertragungssystem |
| DE19514084C1 (de) * | 1995-04-13 | 1996-07-11 | Siemens Ag | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N |
| US6243373B1 (en) * | 1995-11-01 | 2001-06-05 | Telecom Internet Ltd. | Method and apparatus for implementing a computer network/internet telephone system |
| US6243772B1 (en) * | 1997-01-31 | 2001-06-05 | Sharewave, Inc. | Method and system for coupling a personal computer with an appliance unit via a wireless communication link to provide an output display presentation |
| US6075860A (en) * | 1997-02-19 | 2000-06-13 | 3Com Corporation | Apparatus and method for authentication and encryption of a remote terminal over a wireless link |
| US6105133A (en) * | 1997-03-10 | 2000-08-15 | The Pacid Group | Bilateral authentication and encryption system |
| BR9809272A (pt) * | 1997-05-09 | 2000-06-27 | Connotech Experts Conseils Inc | Estabelecimento de chave secreta inicial incluindo instalações para verificação de identidade |
| US20020159598A1 (en) * | 1997-10-31 | 2002-10-31 | Keygen Corporation | System and method of dynamic key generation for digital communications |
| US6901241B2 (en) | 1998-02-11 | 2005-05-31 | Telefonaktiebolaget L M Ericsson (Publ) | System, method and apparatus for secure transmission of confidential information |
| US6396612B1 (en) * | 1998-02-11 | 2002-05-28 | Telefonaktiebolaget L M Ericsson | System, method and apparatus for secure transmission of confidential information |
| CA2235359C (en) * | 1998-03-23 | 2012-04-10 | Certicom Corp. | Implicit certificate scheme with ca chaining |
| US6366654B1 (en) * | 1998-07-06 | 2002-04-02 | Nortel Networks Limited | Method and system for conducting a multimedia phone cell |
| EP1024626A1 (en) | 1999-01-27 | 2000-08-02 | International Business Machines Corporation | Method, apparatus, and communication system for exchange of information in pervasive environments |
| WO2001017425A2 (en) | 1999-09-03 | 2001-03-15 | Tensys Medical, Inc. | Smart physiologic parameter sensor and method |
| US7155507B2 (en) * | 2000-03-25 | 2006-12-26 | Nippon Telegraph And Telephone Corporation | Method and system for providing environmental information on network |
| US20020022483A1 (en) * | 2000-04-18 | 2002-02-21 | Wayport, Inc. | Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure |
| US6616606B1 (en) * | 2000-05-19 | 2003-09-09 | Welch Allyn Protocol, Inc. | Patient monitoring system |
| US20030158960A1 (en) * | 2000-05-22 | 2003-08-21 | Engberg Stephan J. | System and method for establishing a privacy communication path |
| JP3585422B2 (ja) * | 2000-06-01 | 2004-11-04 | シャープ株式会社 | アクセスポイント装置及びその認証処理方法 |
| JP3628250B2 (ja) * | 2000-11-17 | 2005-03-09 | 株式会社東芝 | 無線通信システムで用いられる登録・認証方法 |
| US20020065065A1 (en) * | 2000-11-30 | 2002-05-30 | E. Michael Lunsford | Method and system for applying line of sight IR selection of a receiver to implement secure transmission of data to a mobile computing device via an RF link |
| US7440572B2 (en) * | 2001-01-16 | 2008-10-21 | Harris Corportation | Secure wireless LAN device and associated methods |
| US7047405B2 (en) * | 2001-04-05 | 2006-05-16 | Qualcomm, Inc. | Method and apparatus for providing secure processing and data storage for a wireless communication device |
| US7340438B2 (en) * | 2001-05-21 | 2008-03-04 | Nokia Corporation | Method and apparatus for managing and enforcing user privacy |
| US20020176579A1 (en) * | 2001-05-24 | 2002-11-28 | Deshpande Nikhil M. | Location-based services using wireless hotspot technology |
| US6738912B2 (en) * | 2001-06-11 | 2004-05-18 | Buettiker Daniel | Method for securing data relating to users of a public-key infrastructure |
| US7231521B2 (en) * | 2001-07-05 | 2007-06-12 | Lucent Technologies Inc. | Scheme for authentication and dynamic key exchange |
| US20030163686A1 (en) * | 2001-08-06 | 2003-08-28 | Ward Jean Renard | System and method for ad hoc management of credentials, trust relationships and trust history in computing environments |
| US7110982B2 (en) * | 2001-08-27 | 2006-09-19 | Dphi Acquisitions, Inc. | Secure access method and system |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| KR100415109B1 (ko) * | 2001-10-23 | 2004-01-13 | 삼성전자주식회사 | 셀룰러 무선통신 네트워크에서 상업적 방송 서비스 방법및 장치 |
| US7321784B2 (en) | 2001-10-24 | 2008-01-22 | Texas Instruments Incorporated | Method for physically updating configuration information for devices in a wireless network |
| US7688975B2 (en) * | 2001-10-26 | 2010-03-30 | Authenex, Inc. | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure |
| US20030095663A1 (en) * | 2001-11-21 | 2003-05-22 | Nelson David B. | System and method to provide enhanced security in a wireless local area network system |
| JP3792154B2 (ja) * | 2001-12-26 | 2006-07-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワークセキュリティシステム、コンピュータ装置、アクセスポイントの認識処理方法、アクセスポイントのチェック方法、プログラムおよび記憶媒体 |
| US7069444B2 (en) * | 2002-01-25 | 2006-06-27 | Brent A. Lowensohn | Portable wireless access to computer-based systems |
| US7091879B2 (en) * | 2002-02-05 | 2006-08-15 | Invivo Corporation | System and method for using multiple medical monitors |
| US20030149874A1 (en) | 2002-02-06 | 2003-08-07 | Xerox Corporation | Systems and methods for authenticating communications in a network medium |
| US7937089B2 (en) | 2002-02-06 | 2011-05-03 | Palo Alto Research Center Incorporated | Method, apparatus, and program product for provisioning secure wireless sensors |
| US20030212589A1 (en) * | 2002-05-13 | 2003-11-13 | Kish William Elmer | Enhancement incentive system using transaction events for user rewards, for workforce productivity on a distributed network |
| US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
| US7275156B2 (en) * | 2002-08-30 | 2007-09-25 | Xerox Corporation | Method and apparatus for establishing and using a secure credential infrastructure |
| US7581096B2 (en) * | 2002-08-30 | 2009-08-25 | Xerox Corporation | Method, apparatus, and program product for automatically provisioning secure network elements |
| US7185199B2 (en) * | 2002-08-30 | 2007-02-27 | Xerox Corporation | Apparatus and methods for providing secured communication |
| US7027836B2 (en) * | 2002-09-10 | 2006-04-11 | Eastman Kodak Company | Method and system for establishing a communication network |
| US7904720B2 (en) * | 2002-11-06 | 2011-03-08 | Palo Alto Research Center Incorporated | System and method for providing secure resource management |
| US7549047B2 (en) * | 2002-11-21 | 2009-06-16 | Xerox Corporation | Method and system for securely sharing files |
| US6816917B2 (en) | 2003-01-15 | 2004-11-09 | Hewlett-Packard Development Company, L.P. | Storage system with LUN virtualization |
| US7426271B2 (en) | 2003-04-25 | 2008-09-16 | Palo Alto Research Center Incorporated | System and method for establishing secondary channels |
| US20040215488A1 (en) * | 2003-04-28 | 2004-10-28 | Achim Hein | Therapy system as well as therapy method |
| US7757076B2 (en) * | 2003-12-08 | 2010-07-13 | Palo Alto Research Center Incorporated | Method and apparatus for using a secure credential infrastructure to access vehicle components |
| US20050129240A1 (en) * | 2003-12-15 | 2005-06-16 | Palo Alto Research Center Incorporated | Method and apparatus for establishing a secure ad hoc command structure |
-
2003
- 2003-09-05 US US10/656,551 patent/US7937089B2/en not_active Expired - Lifetime
-
2004
- 2004-08-27 JP JP2004248198A patent/JP5312722B2/ja active Active
- 2004-09-01 EP EP20040255294 patent/EP1513288A3/en not_active Withdrawn
-
2011
- 2011-02-14 US US13/026,665 patent/US8515389B2/en not_active Expired - Lifetime
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001099369A2 (en) * | 2000-06-20 | 2001-12-27 | Koninklijke Philips Electronics N.V. | Method and system for electronic device authentication |
| JP2002124960A (ja) * | 2000-10-16 | 2002-04-26 | Link Evolution Corp | 通信装置、通信システム、及び、通信方法 |
| JP2003101540A (ja) * | 2001-09-19 | 2003-04-04 | Fuji Xerox Co Ltd | 通信システムおよびその方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8515389B2 (en) | 2013-08-20 |
| US20040266449A1 (en) | 2004-12-30 |
| EP1513288A2 (en) | 2005-03-09 |
| EP1513288A3 (en) | 2005-05-11 |
| US20110134847A1 (en) | 2011-06-09 |
| JP5312722B2 (ja) | 2013-10-09 |
| US7937089B2 (en) | 2011-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5312722B2 (ja) | 安全なワイヤレス・センサを供給する方法、装置、およびプログラム・プロダクト | |
| US7454619B2 (en) | Method, apparatus, and program product for securely presenting situation information | |
| US7581096B2 (en) | Method, apparatus, and program product for automatically provisioning secure network elements | |
| US7275156B2 (en) | Method and apparatus for establishing and using a secure credential infrastructure | |
| US8146142B2 (en) | Device introduction and access control framework | |
| KR100415022B1 (ko) | 무선 장치들 사이에서 보안 통신을 초기화하고 이들 무선장치들을 배타적으로 페어링하기 위한 방법 및 장치 | |
| Pereira et al. | An authentication and access control framework for CoAP-based Internet of Things | |
| US6772331B1 (en) | Method and apparatus for exclusively pairing wireless devices | |
| US8484705B2 (en) | System and method for installing authentication credentials on a remote network device | |
| US20050129240A1 (en) | Method and apparatus for establishing a secure ad hoc command structure | |
| Jeong et al. | Integrated OTP-based user authentication scheme using smart cards in home networks | |
| EP1779595B1 (en) | Method for enrolling a user terminal in a wireless local area network | |
| KR20210006329A (ko) | 원격 생체 식별 | |
| Baek et al. | A Survey of WPA and 802.11 i RSN Authentication Protocols | |
| JP2004320139A (ja) | 遠隔制御システム及び中継装置 | |
| Henriksson | Authentication and Identification of Sensor Nodes to Avoid Unauthorized Access in Sensor Networks | |
| Ficco et al. | A bluetooth infrastructure for automatic services access in ubiquitous and nomadic computing environments | |
| Hämäläinen | Wireless Authentication and Authorization, case Wireless Access Control System | |
| Poroor et al. | SmartWhisper: Automated collaborative authentication with minimal human intervention in Secure Wireless Enterprise 802.11 Networks | |
| Arnesen et al. | Wireless Health and Care Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070823 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091216 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100104 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100330 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100726 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100906 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110322 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110713 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110720 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20110930 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121207 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130703 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5312722 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |