JP2010509808A - 分散装置取消 - Google Patents

分散装置取消 Download PDF

Info

Publication number
JP2010509808A
JP2010509808A JP2009535430A JP2009535430A JP2010509808A JP 2010509808 A JP2010509808 A JP 2010509808A JP 2009535430 A JP2009535430 A JP 2009535430A JP 2009535430 A JP2009535430 A JP 2009535430A JP 2010509808 A JP2010509808 A JP 2010509808A
Authority
JP
Japan
Prior art keywords
autonomous device
distributed
node
cancellation
revocation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009535430A
Other languages
English (en)
Inventor
ガルシア,オスカル
バルドゥス,ヘリベルト
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV, Koninklijke Philips Electronics NV filed Critical Koninklijke Philips NV
Publication of JP2010509808A publication Critical patent/JP2010509808A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61BDIAGNOSIS; SURGERY; IDENTIFICATION
    • A61B5/00Measuring for diagnostic purposes; Identification of persons
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Pathology (AREA)
  • Biomedical Technology (AREA)
  • Heart & Thoracic Surgery (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Surgery (AREA)
  • Animal Behavior & Ethology (AREA)
  • General Health & Medical Sciences (AREA)
  • Public Health (AREA)
  • Veterinary Medicine (AREA)
  • Small-Scale Networks (AREA)
  • Multi Processors (AREA)

Abstract

分散取消手法では、分散ネットワークの疑わしい自律装置ノード又は疑わしい分配鍵を分散ネットワークから除去すべきであるか否かを、分散ネットワークの複数の自律装置ノードそれぞれで個々に決定する。複数の自律装置ノードの個々の決定を組み合わせて、疑わしい自律装置ノード又は疑わしい部分配鍵を分散ネットワークから除去すべきであるか否かを決定する投票セッションが行われる。疑わしい自律装置ノード又は疑わしい配分鍵は、除去を支持する投票セッションに応じて、分散ネットワークから除去される。

Description

本明細書は、分散データ獲得、処理、及び関連した技術分野に関する。本明細書は特に、医療患者のバイタル・サインや、診断上重要な生理学的パラメータを監視し、患者に対する制御された医薬品送達を提供し、フロー制御された、患者に対する静脈内流体送達を提供するよう構成された、無線で相互通信する医療装置の分散ネットワークのセキュリティに関し、特にそれに関して説明する。以下は、より概括的には、医療アプリケーション、制御アプリケーション(例えば、気象制御レジスタや、分散ビル照明制御など)を行うよう構成された何れかの種類(無線接続されていても有線接続されていてもよい)の自律装置ノードの分散ネットワークのセキュリティに関する。別の一般化された局面では、以下は、概括的には、自律装置ノードをアドホックに追加し、除去することができる分散ネットワーク(電子装置のブルートゥース・ネットワークなど)、WiFiホットスポット(ラップトップ・コンピュータや他のWiFi対応装置がアドホックに接続し、切断することができるWiFiホットスポット、分散ピアツーピア・ファイル共有ネットワーク等のセキュリティに関する。
自律的な無線相互接続医療装置は、病院や他の医療施設において、一層使用されるようになってきている。前述の装置により、なくならなければ医療関係者及び患者の移動を妨げるケーブルや導線などの有線通信接続がなくなる。前述の無線自律医療装置は、アドホック分散ネットワークを形成するよう相互接続することが可能であり、これは、患者の医療状況により、医療装置を追加し、除去することを容易にする。分散ネットワークとして相互接続された無線自律装置の使用は、計算リソースの効率的な配分、装置の障害の場合の、冗長度の向上、一装置がそのメモリ内容を喪失すると効果的であり得る、データ記憶における冗長度等ももたらし得る。
分散ネットワークは重大なセキュリティ問題を伴う。各自律装置は、分散ネットワークのセキュリティを損なう潜在的な点を表す。装置の自律性により、何れの個々の装置も、基本的には、悪意のあるソフトウェア(例えば、ウイルス、トロイの木馬、ワーム等)によって乗っ取られ得る。侵入者は、自律装置のうちの1つを乗っ取ると、損なわれた装置を使用して分散ネットワークを不通にするか、又は医療データを盗み得る。患者の医療データのインテグリティ及びプライバシの維持におく重要度は、例えば、西暦1996年に米国で可決された医療保険の相互運用性と説明責任に関する法律(HIPAA)によって医療データに法的保護が与えられていることによって分かる。分散ネットワークが、患者に治療を提供する装置(静脈内流量計、医薬送達システム等など)を含む場合、前述のように分散ネットワークを損なうことを用いて患者に直接、害を与え得る。
ネットワークのセキュリティを確実にする2つの方法には、(1)何れのノードが損なわれることも阻止すること、又は(2)損なわれたノードを検知し、それをネットワークから排除することがある。第2の選択肢は本明細書及び特許請求の範囲において扱う。この後者の手法では、損なわれたノードが検知され、そのネットワーク特権が取り消され、よって、損なわれたノードがネットワークから切り離される。この手法は、損なわれたノードの直接制御下での領域に、損なわれたノードによって行うことが可能な損害を制限する。
集中ネットワークでは、中央サーバ・ノードが、通信を制御し、ネットワークの他のノードに対する権限を有する。よって、集中ネットワークでは、(中央サーバ・ノード以外の)何れの特定のノードの取消も簡単であり、損なわれたノードのネットワーク特権を優位な中央サーバ・ノードに取り消させることを伴う。しかし、分散ネットワークでは、取消はより難しい。取消を認可するよう構成可能な中央ノードが存在しないからである。同時に、分散ネットワークの装置の自律性により、単一のノードが損なわれることに伴うリスクが増加する。損なわれたノードは集中制御下になく、悪意のある行為又は破壊行為を行うことは比較的より自由である。
一局面によれば、分散取消方法を開示している。上記分散取消方法は、分散ネットワークの疑わしい自律装置ノードを分散ネットワークから除去すべきか否かに関し、分散ネットワークの少なくとも3つの自律装置ノード間で投票を行う工程と、上記投票が取消基準を満たしていることに応じて、疑わしい自律装置ノード以外の、分散ネットワークの自動装置ノードの少なくとも一部の間で分配される、疑わしい自律装置ノードを取り消すための部分取消情報を組み合わせることにより、取消メッセージを構成することにより、かつ、関係する分散ネットワークの自律装置ノード間で取消メッセージを相互通信することにより、分散ネットワークの疑わしい自律装置ノードと、その他の自律装置ノードとの間の通信を中止する工程とを含み、任意的には、他の分散ネットワークにおける他の自律装置ノードに取消メッセージを転送する工程を含む分散取消方法を開示する。
別の局面によれば、分散ネットワークを開示する。分散ネットワークは、複数の自律装置ノードを含み、自律装置ノードはそれぞれ、他の自律装置ノードとセキュアに通信して分散ネットワークを規定し、セキュアに通信している他の自律装置ノードと協調して前段落の分散取消方法を行う。
別の局面によれば、自律装置ノードを開示する。上記自律装置ノードは、分散ネットワークにおける他の自律装置ノードとセキュアに通信し、セキュアに通信する他の自律装置ノードと協調して、(i)分散ネットワークの疑わしい自律装置ノードを分散ネットワークから除去すべきか否かに関し、分散ネットワークの少なくとも3つの自律装置ノード間で投票を行う工程であって、上記投票が、分散ネットワークにおける疑わしい自律装置ノードの信頼性を示す信頼要因に基づいて重み付けされる工程と、(ii)上記投票が取消基準を満たしたことに応じて、上記疑わしい自律装置ノードとの通信を中止する工程とを含む分散取消方法を行うよう構成される。
別の局面によれば、分散取消方法を開示する。上記分散取消方法は、複数の自律装置ノードの個々の決定を組み合わせて、疑わしい自律装置ノードを分散ネットワークから除去すべきであるか否かを決定する時間制限された取消セッションを実施する工程と、上記取消セッションが除去を支持して決定したことに応じて上記疑わしい自律装置ノードを上記分散ネットワークから除去する工程とを含む。
別の局面によれば、自律装置ノードを開示する。上記自律装置ノードは、分散ネットワーク内の他の自律装置ノードとセキュアに通信し、セキュアに通信している他の自律装置ノードと協調して、前段落記載の分散取消方法を行うよう構成される。
別の局面によれば、複数のノードを開示する。上記複数のノードは、分散医療監視ネットワークにおいて開示する。ノードそれぞれは、疑わしい1つ又は複数の活動に従事していることが検知されたノードとのネットワーク通信を取り消すか否かについて、上記ネットワークの他のノードと協議し、民主的に決定するようプログラムされる。
別の局面によれば、複数のノードを備えた分散ネットワークを開示する。各ノードは、
(i)他の一ノードに分配された部分取消投票を別のノードによって複製又は偽造することが可能でないように上記ノードに対する取消メッセージを構成するよう組合せ可能な部分取消投票をランダムに生成し、他のノードに分配し、(ii)他のノードから受信された部分取消投票を記憶するよう構成される。
一利点は、疑わしい自律装置ノードのネットワーク特権を取り消すことができるようにすることにより、分散ネットワークのセキュリティを向上させることにある。
別の利点は、分散ネットワークの損なわれた自律装置ノードが、ネットワークからのその取消に干渉することを抑制することにある。
別の利点は、分散ネットワークの適切に機能している自律装置ノード又は分散鍵が、分散ネットワークから不適切に除去される可能性を削減することにある。
本発明の更なる利点は、以下の詳細な説明を読み、理解すると、当業者が分かるであろう。
分散装置取消方法を行うよう装置が構成された、患者を監視し、治療する医療装置の分散ネットワークを略示する図である。 図1の分散ネットワークにより、又は、別の分散ネットワークによって適切に行われる分散装置取消方法を略示する図である。 2分木を略示する図である。 マークル木を略示する図である。 例証的な分散装置取消システム・データ構造を略示する図である。 近傍の2つの取消セッションの相対タイミングを略示する図である。
本発明は、種々の構成部分、及び構成部分の配置、並びに、種々の工程、及び工程の配置の形態を呈し得る。図面は、好ましい実施例を例証する目的のために過ぎず、本発明を限定するものと解されるべきでない。
図1を参照すれば、分散ネットワーク8のアプリケーション例では、医療患者10が監視され、任意的には治療される。分散ネットワーク10は、例証的な胸部搭載センサ12、14、16などの複数の自律装置ノード、腕部搭載センサ18、静脈内(IV)流体ドリップ流量計20、及び天井搭載型外部表示モニタ22などの複数の自律装置ノードを含む。自律装置ノード12、14、16、18、20、22は、胸部搭載センサ及び腕部搭載センサ12、14、16、18によって行われる患者10のバイタル・サインや、診断上重大な生理学的なパラメータを監視する機能、流量計20によって制御される、IVバッグ24から患者10への静脈内流体のフローの供給などの治療機能を行う機能、センサ12、14、16、18によって獲得されたバイタル・サイン・データの表示モニタ22による表示などの補助タスクを行う機能等の種々の医療機能を行う。モニタ22の例示的な表示は、胸部ベースのセンサ12、14、16のうちの1つによって適切に獲得されたパルス情報26、及び腕部搭載センサ18によって獲得された血中酸素濃度(SpO)データ28を示す。
自律装置ノード12、14、16、18、20、22は、ブルートゥース、ジグビー、WiFi等などの適切な無線プロトコルによって相互通信する無線装置である。あるいは、有線イーサネット(登録商標)ネットワークなどの有線ネットワークを介して相互通信する有線装置を使用することができるが、有線構成は、配線が医療関係者又は患者の移動を妨げ得るという欠点を有する。自律装置ノード12、14、16、18、20、22は、各装置が、集中制御と無関係に動作し得るという点で自律的である。しかし、場合によっては、自律装置は、特定の他の装置と切り離されると一部の機能を失い得る。例えば、センサ12,14、16、18は、データ記憶容量が限定的であり、表示機能がわずかであるか、又は全くないことがあり得る。通常、前述のセンサ12、14、16、18は、趨勢データ等を示す大領域表示を設ける表示モニタ22とともに動作し、大容量データ記憶装置も有し得る。天井搭載型モニタ22との無線接触の範囲外にセンサ12、14、16、18が移動させられるように患者10が部屋の外に移動したか、又は移動させられた場合、表示モニタ22は一時的に分散ネットワーク8を離れ、センサ12、14、16、18はその機能の一部を失う。しかし、自律センサ12、14、16、18は、分散ネットワーク8内で、削減された機能レベルで動作し続けて、少なくともボード上メモリが使い果たされるまでデータを獲得し、記憶する。任意的には、データ獲得レート、分解能や他のパラメータは、前述の場合に、メモリ使用度のレートを削減するよう変更することができる。同様に、IV流量計20は通常、病院ネットワークと連絡して、IVフィードのステータスについての情報をナース・ステーションに提供することができる。病院ネットワークの範囲の外に患者が移動したか、又は移動させられた場合、ナース・ステーションと通信するという前述の機能は失われる。しかし、前述の削減された機能状態では、自律流量計20は、患者10に対するIV流体の流量を調節するよう動作し続ける。分散ネットワーク8は、装置ノードが種々の時点で加入又は脱落することができるアドホック・ネットワークである。しかし、本明細書及び特許請求の範囲記載の通り、分散装置取消システムに関する特定のプロトコルは、新たな装置ノードが分散ネットワーク8に加入するうえで必須である。
各自律装置ノードは通常、自律装置に対応するが、これは常に当てはまる訳でない。例えば、場合によっては、単一の自律装置は、2つ以上の仮想マシンを同時に実行する単一のコンピュータの場合などに、2つ以上の装置ノードを規定することができる。
分散ネットワーク8は、装置が、患者状況、患者の場所、患者の治療過程、装置の入手可能性等に応じて追加又は除去することができるアドホック・ネットワークである。例えば、図1では、天井搭載型表示モニタ22は分散ネットワーク8の一部である。しかし、患者が、部屋の外、及び表示モニタ22の範囲外に移動したか、又は移動させられた場合、表示モニタ22は、少なくとも患者10が無線通信範囲内に移動するか、移動させられるまで、分散ネットワーク8を離脱する。
分散ネットワーク8のセキュリティ及びインテグリティを維持するために、適切なセキュリティ・プロトコルが使用される。このプロトコルは、適切な認証鍵や他の適切な認証情報を含む、分散ネットワーク8の他の自律装置のみからのデータを分散ネットワーク8の自律装置が受け入れる鍵保護通信プロトコルの使用を含む。前述の認証は、階層決定論的ペア鍵事前格納方式(HDPKPS)、公開鍵/秘密鍵対等や、ほぼ何れの他のタイプのセキュア通信のセキュリティ鍵などのセキュリティ鍵に基づき得る。
分散ネットワーク8の自律装置ノード12、14、16、18、20、22の自律性は、更なるセキュリティ問題をもたらす。自律装置ノードの1つは、例えば、悪意のあるウイルスや、他の悪意のあるソフトウェア・コードによって感染することにより、又は、認可されていない個人にログインされること等によって、損なわれ得る。一般に認められた公開/秘密鍵ペア・プロトコルや他のセキュア通信プロトコルを使用して通信し続けることになるという点で、前述の損なわれた自律装置ノードは、分散ネットワーク8の他の自律装置ノードとの認可された通信のために構成され続ける。よって、前述の損なわれた装置は、セキュリティ上のかなりの脅威をもたらす。
よって、分散ネットワーク8の自律装置ノード12、14、16、18、20、22は更に、損なわれた自律装置を自律ネットワーク8から除外することを可能にする分散取消方法を協調的に実行する。損なわれた装置が、損なわれていない装置に対して、分散取消方法を使用することが可能でないことを確実にするために、取消方法は、装置ノード間の民主的な相互作用を含む。疑わしい装置に反対する投票が取消基準を満たした場合、損なわれていない装置は、疑わしく、取り消された自律装置との通信を中止する。自律装置の大半は損なわれていないので、この分散取消手法は、損なわれた自律装置が、損なわれていない装置を取り消すことが可能でないことを確実にし、それ自身の取消を妨げることが可能でない。損なわれていない装置が、得票数でまさることになるからである。
図2を参照すれば、分散取消処理を説明する。設定処理40では、自律ノード12、14,16、18、20、22それぞれに、セキュアな相互通信を可能にするセキュリティ情報が設定される。例えば、認証、機密性やインテグリティなどのセキュリティ・サービスを可能にするよう暗号鍵を供給し、管理する鍵管理手法を使用することができる。例示的な取消システムとともに動作する鍵管理手法は、2つの構成部分(鍵分配及び鍵取消)を含む。鍵分配は、自律ノード間で秘密情報を分配して、セキュアな通信を立ち上げるやり方を表す。分散取消方法は、認証されたやり方で、損なわれているか、又は損なわれている可能性がある旨の表示を表す疑わしい自律ノードの取消を可能にする。
本明細書及び特許請求の範囲記載の分散取消手法の構成は、以下の構成の一部又は全部を表す。まず、取消手法は分散取消手法である。分散ネットワーク8は、集中サーバやコントローラ・ノードを有しておらず、よって、分散取消手法を効果的にするアドホック・ネットワークである。第2に、分散取消手法は、分散ネットワーク8の自律ノードの協調を利用している。自律ノード12、14、16、18、20、22は、損なわれているか、又は損なわれているようにみえる自律ノードを見つけ、分散ネットワーク8から民主的に放出する。第3に、取消は認証される。分散装置取消方法は、自律装置ノードの十分に大きな部分集合が何れも、何れの疑わしい自律装置ノードの取消についても、前述の取消が行われる前に同意することを可能にする。適切に動作している自律装置ノードを取消システムが除外するという悪用を避けるために、取消メッセージは、少なくとも、疑わしい自律装置ノードを放出するよう投票する装置によって構成され、この取消メッセージは、装置ノードが、疑わしい自律装置ノードに対する取消メッセージが真実であることを検証することが可能であるように、分散ネットワーク8における何れの自律装置ノードにおいても認証されるよう構成される。
第4に、取消方法は任意的には、疑わしい装置の信頼性に基づく重み付けを使用する。自律装置ノード間の信頼は異なり得る。医療分野の例として、患者のバイタル・サインを監視する自律センサ装置群を検討する。かなり異なる(例えば、センサ装置でない)新たなセンサが、ネットワークへの加入の許可を要求した場合、センサ装置ノードはこれを不信任することができる。ネットワークに既にある装置ノードが新たな候補ノードを不信任する場合、取消は、取消の可能性を増加させるよう選択された信頼性要因で、新たなノードに重み付けすべきである。よって、特定の実施例では、装置取消手法は、重み付けされた柔軟な取消手法を構築するために、ノード間での種々のレベルの信頼を示す、別々のノード毎の別々の信頼度要因を含む。
第5の任意の構成は、分散取消手法のロバスト性に関する。何れの特定の自律ノードも、別のノードによって、疑わしいとみなされ得る時折の挙動を表し得る。例えば、自律センサ装置は、グリッチによる誤った測定を通信し得るか、又は、その測定の期待範囲の外の正当な測定を通信し得る。前述の挙動は、送出元ノードが損なわれていると受信先自律ノードに結論付けさせ、受信先ノードに送出元ノードの取消を求めて投票させ得る。経時的には、損なわれていないが、異常な挙動を時折表す、適切に機能している装置ノードを取消システムに除外させる旨の、十分な数の、取消を求める投票が蓄積する点まで、前述の時折の異常な挙動が蓄積され得る。この可能性に対処するために、分散取消システムは任意的には、時間制限された取消セッションを使用し、各投票は、時間的に制限された取消セッション中にみられる挙動に基づく。この手法により、取消が不適切になってしまう、長期間にわたる時折の異常な挙動の蓄積が避けられる。取消セッションは、装置に対する取消情報の有効性を制限する期間である。
図2の分散取消手法は、2つの段階(すなわち、設定処理40によって実施された事前格納段階、及び事後格納段階)に分割可能である。事前格納段階又は設定処理40では、サーバや他の設定コントローラ(図示せず)は、分散ネットワークに組み入れる対象の自律装置ノードそれぞれにセキュリティ鍵材料や他のセキュリティ・マテリアルを生成し、分配する。分配されるセキュリティ・マテリアルは、事後格納段階中に装置取消を可能にする装置ノード毎に取消情報を含む。
ネットワーク確立処理42では、分散ネットワークに加入しようとする自律装置ノードはそれぞれ、少なくとも一部の他の装置ノードと、取消情報を前述の他のノードに分配することによって相互作用する。前述の取消情報を首尾良く配分することは、分散ネットワークとの通信の確立に不可欠である。よって、自律装置ノードは全て、分散ネットワークの他の装置ノードに取消情報を配布する。ネットワーク確立処理42は、他の処理(セキュアな通信を可能にするための公開鍵の交換、相互に互換の通信プロトコルの決定等など)を含み得る。確立処理42の終了時に、分散ネットワーク8が確立され、各自律ノードは、分散ネットワークの少なくとも一部の他の自律ノード間でその取消情報を分配している。
投票及び取消メッセージを認証するために適切な認証手法の一部は、一方向関数を使用する。例えば、以下の2つの特性を有するハッシュ関数hを使用することができる。(i)ハッシュ関数hが、任意の有限ビット長の入力xを有限ビット長nの出力h(x)にマッピングする圧縮特性、及び(ii)h及び入力xがあれば、h(x)の計算が容易であるという点での計算特性の容易性。一方向ハッシュ関数は、所定のハッシュ値にハッシングする入力を求めることが難しいハッシュ関数である。一般に、一方向ハッシュ関数は、プリイメージ耐性及び2次プリイメージ耐性を有する。
図3を手短に参照すれば、2分木を認証に使用することもできる。高さHの完全な2分木は、2個の葉、及び2−1個の内部ノードを有する。図3の例(この例では、H=3である)に示すように、各内部ノードは、「0」(左)及び「1」(右)を付した二の子を有し、葉ノードには、それぞれ、3ビット(例えば、「000」、「001」等)が付される。前述の命名規則によれば、葉は、図3に示すような根から葉へのパスの2進表現により、自然に配列され、索引付けされる。
図4を手短に参照すれば、高さHのマークル木は、内部ノード及び葉それぞれにlビットの列を割り当てた2分木である。列は以下のように求められる。(i)葉値(L,j=0,...,2−1)は、L=h(m)であるように特定の葉プリイメージ(m)の一方向ハッシュ関数であり、(ii)内部ノードは、Nad=h(Nab||Ncd)であるか、又はNad=h(N||N)であるような子のノード又は葉の一方向ハッシュ関数である。マークル木は、プリイメージ値を効率的に認証するよう使用可能である。すなわち、2個のプリイメージを認証するためには、H個の値及びハッシュ計算のみが必要である。例えば、図4に示すマークル木に対してmを認証するために、h(h(h(h(m)||L)||N23||)N47)を計算し、その結果を木の根N07と比較する。
修正された認証マークル木(MAMT)を適切に使用してマークル木におけるパスを識別する。この目的で、列は以下のように求められる。(i)内部ノード(図3でNxyと付されたノードに対応する)は、Nad=h(a||Nab||Ncd||d)又はNad=h(a||L||L||d)で表される。(ii)(図3の「L」,i=07)と付されたノードに対応する)葉ノードは、L=h{a||m)で表される。MAMTの使用は、誕生日攻撃も阻止する。
前述の定義によれば、(m,...,m)の形式のハッシュ連鎖が規定される。これは、(最後の値m以外の)各値mが、次の値の一方向ハッシュ関数であるような値の集合体である。すなわち、mk+l=h{m)であり、ここで、h()は一方向ハッシュ関数である。特定の実施例では、ハッシュ連鎖の(k+l)番目の要素があれば、mΛ(k+l)番目の要素は、mΛ(k+l)=h(k||mΛk)として算出される。ハッシュ連鎖の構成により、このようにして、効果的には、誕生日攻撃が避けられる。
図2をもう一度参照すれば、ノード設定処理40は、分散装置取消システムの鍵材料を生成する。例示的な実施例では、この材料は、本明細書及び特許請求の範囲では部分取消値又は投票とも場合によっては呼ばれる取消情報を含む。この情報は、ネットワーク設定の一部として近傍自律装置ノードに開示される情報である。近傍自律装置ノードは、協調的に、部分取消投票情報を使用して、疑わしい自律装置ノードを取り消すことが可能である。一般に、自律装置ノードはそれぞれ、t(s+l)個の部分取消投票を保有する。ここで、tは取消セッション毎の部分取消投票数を表し、(s+1)は取消セッションの数を表す。例示的な実施例では、t個のランダム取消値の集合体、及びランダム取消値それぞれから生成された、長さsのt個のハッシュ連鎖を含む。
取消セッション中、疑わしい自律装置ノードの取消を支持するよう結論付ける投票が得られた場合、疑わしい自律装置ノードを取り消すものとする旨を明確に示す取消投票又は取消メッセージが生成される。前述の取消投票又はメッセージは、疑わしい自律装置ノードを取消セッションkで取り消すものとする旨を決定し、ネットワーク設定42中に他の装置ノードに事前に配分されている、疑わしい装置ノードのk番目の取消セッションの部分取消投票又は情報を使用することによってのみ生成することが可能である。
例示的な実施例では、分散装置取消システムの鍵材料は、部分取消投票又は情報を認証するために使用される部分取消投票MAMT、及び取消投票又は情報を認証するために使用される取消投票MAMTを更に含む。部分取消投票MAMTは、部分取消投票を認証するために使用される2つのMAMTを含む。(i)第1のMAMTは、装置ノードの部分取消投票を認証するために使用される部分取消投票認証ツリー(RAT、本明細書及び特許請求の範囲では、場合によっては、装置iの部分取消投票認証ツリーPMとしても表す)及び(ii)ネットワーク装置全てのRATを認証するために使用される大局取消認証ツリー(GRAT、本明細書及び特許請求の範囲では場合によっては、大局部分取消投票認証ツリー(GPM)としても表す)である。取消投票MAMTは、その機能が装置ノードの取消投票又は情報を認証するものである2つの更なるMAMTを含む。
図2を続けて参照し、図5を更に参照すれば、例示的な実施例では、分散装置取消システム鍵材料がノード設定40中に以下のように生成される。鍵材料生成は2つの主段階(すなわち、(i)装置毎の鍵材料生成、及び(ii)大局MAMT生成図)を有する。図5は、大局MAMT56、57、及び自律装置ノード55の生成された分散装置取消鍵材料を表す。
第1の段階では、鍵材料が装置ノード毎に生成される。部分取消投票情報の生成は以下の通りである。ランダムな取消投票の組が生成される。ランダムな取消投票はそれぞれ、長さlビットを有し、rijで識別され、iは装置を識別し、jは、装置ノードにおけるj番目のランダムな取消投票を識別する。図5では、装置iのランダムな取消投票は、自律装置ノード55の分配された装置取消システム情報の最終行にある。ランダムな取消投票rij毎に、設定サーバ(図示せず)が、長さsのハッシュ連鎖を生成する。ハッシュ要素は、本明細書及び特許請求の範囲ではハッシュ取消投票と呼ばれ、m i,jで表され、ここで、iは装置ノードを識別し、k及びjは、取消セッションkの装置ノードにおけるj番目のハッシュ取消投票を識別する。ハッシュ取消投票は、ランダム取消投票から、
i,j=h(ri,j)、m i,j=h(m i,j)、更に、s番目の値に一般化して、
i,j=h(ms−1 i,j)として生成される。図5では、ハッシュ取消投票m i,jは、自律装置ノード55の分散装置取消システム鍵材料内のs個の要素のt列で表す。
取消値又は情報は以下のように生成される。設定は、R と表すs+1個の取消値の生成を含み、ここで、iは装置ノードを識別し、kは、k番目の取消セッションを識別する。前述の値は、k=0の値の場合、R =h(ri,1||ri,2||||ri,j)で表され、k=1,,sの値の場合、Rs−k =h(m i,1||m i,2||||m i,j)で表される。図5では、自律装置ノード55の分散装置取消システム鍵材料の右側に取消値60を示す。
部分取消投票MAMTの計算は以下の通りである。このMAMTは、装置ノードが有する部分取消投票を認証する。装置iの部分取消投票MAMTは、j=1,,tの場合、Lai,jと表すt個の葉を有する。各葉は、Lai,j=h(j||m i,j)として算出される。装置iの部分取消投票MAMTの根は本明細書及び特許請求の範囲ではPMとして表す。部分取消投票MAMT61は、図5中、自律装置ノード55の分散装置取消システム鍵材料の上に示し、PMと呼ばれる。
取消投票MAMTの計算は以下の通りである。このMAMTは、装置が有する取消投票又は情報を認証する。装置iの取消投票MAMTは、k=0,sの場合、s+1個の葉Lr を有する。各葉は、Lr =h(k||R )として算出される。装置iの取消投票MAMTの根はRMと呼ばれる。取消投票MAMT62は、図5中、取消値60の右に示す。
鍵材料生成の第2の主要段階は大局MAMT56、57の生成である。GPM56と表す大局部分取消投票MAMTはネットワーク装置ノードの部分取消投票を認証する。GPMは、i=1,nの場合、値Lga=h(i||RAT)を有するn個の葉を有する。(場合によっては、大局取消投票認証ツリー(GRCT)とも呼ばれる)GRM57と表す大局取消投票MAMTはネットワーク装置ノード全ての取消投票を認証する。GRMは、i=1,nの場合、値Lgc=h(i||RCT)を有するn個の葉を有し、ここで、RCTは装置iの取消投票認証ツリーを表す。
図2及び図5を引き続き参照すれば、ノード設定40の一部として、設定サーバは、配分装置取消システム鍵材料((i)t個のランダムな取消投票{ri,j}(j=1,t)の組、及びランダムな取消投票から生成されるt個のハッシュ取消投票又はハッシュ連鎖{m i,j}(j=1,t、k=1,s)の組を含む自律装置ノードの分散装置取消システム鍵材料55、(ii)ハッシュ取消投票又はハッシュ連鎖の組に関連付けられた部分取消投票MAMT61、(iii)ランダムな取消投票及びハッシュ取消投票から生成された取消投票又は情報に関連付けられた取消投票MAMT62、(iv)ランダムな取消投票及びハッシュ取消投票を装置ノードiが認証することを可能にするGPM56のパス、及び(v)取消投票の認証を可能にするGRM57のパス)を各自律装置ノードに分配する。
図2を参照すれば、ネットワーク確立処理42において、各装置ノードはその近傍装置ノードに、装置ノードの取消を実効化するよう近傍装置ノードが協調することを可能にするために十分な取消情報を開示する。この開示は、分散ネットワークへの加入に不可欠である。各近傍装置ノードは、セッションkのt個の考えられる部分取消投票間で選ばれる現在の取消セッションの部分取消情報(すなわち、{ms−k i,j}j=1,t)を受信する。例えば、t=8、x=2の場合、現在のセッションは5であり、装置ノード#7が4個の近傍を有する場合、装置ノード#7は、{ms−5 7,0,ms−5 7,1}、
{ms−5 7,2,ms−5 7,3{ms−5 7,4,ms−5 7,5}及び{ms−5 7,6,ms−5 7,7
を第1の近傍装置ノード、第2の近傍装置ノード、第3の近傍装置ノード及び第4の近傍装置ノードそれぞれに開示することが可能である。各近傍装置ノードは、装置ノードが近傍装置ノードに開示する部分取消投票を認証する部分取消投票MAMT及びGPM56値を更に受信する。各近傍装置ノードは、現在の取消セッションkの取消投票を認証する大局取消投票MAMT(MRM)57及び取消投票MAMT62の値も受信する。前述の値は、ノードの取消投票が開示されないので、何れの単一の近傍装置ノードも、疑わしい装置ノードを取り消すには十分でない。取消投票は、開示された部分取消投票情報の共有による、近傍装置ノード間の協調によって生成することが可能であるに過ぎない。
図2を引き続き参照すれば、ネットワークは、動作40、42によって確立されると、図1に模式的に表す例示的な医療分散ネットワーク8の医療監視及び治療機能などのその意図された機能を行うよう動作する。前述の動作中、種々の自律装置ノードは、セキュアなメッセージを互いに送出することによって相互通信する。取消セッション70中、各自律装置ノードは、他の装置ノードが何らかのやり方で損なわれたことがあり得る疑わしい自律装置ノードであることを示唆し得る別の装置ノードの一部の疑わしい特性又は挙動を検出する目的で他の装置ノードとのその通信を監視する。疑わしい特性又は挙動の例には例えば、明らかに誤ったデータ値の送出、認可されていないサービス又は動作の要求、認可された要求への応答の拒否、認可された要求に対する不適切な、又は不測の応答、無効なセキュリティ情報を使用した通信等を含み得る。各装置ノードはよって、疑わしいノードの取消を支持して投票するか否かについて取消セッション70中に個々の決定を行う。取消を支持して投票するために、装置ノードは、疑わしいノードに対するその部分取消情報を他の装置ノードに開示する。
図2を引き続き参照すれば、取消セッション70中、いつでも、装置ノードは、疑わしい装置ノードを排除するか否かについて投票することが可能である。一般に、疑わしい装置に対する部分取消投票全てが開示されると、取消を支持する投票が行われる。決定74では、疑わしい装置に対する部分取消投票全ての開示などの取消基準を満たすか否かが決定される。否定の場合、取消セッション70は、その時間間隔が満了するまで続く。取消セッションが満了すると、開示された部分取消投票が開示され(76)、新たな取消セッションが始まる。例えば、取消基準は、疑わしい自律装置ノードの除去を支持する投票の数に基づいた閾値基準であり得る。例えば、疑わしい装置に対するT個の分散部分取消投票が存在している場合、決定74が取消を支持するためにはT個の装置ノードが取消を支持して投票しなければならない。他の実施例では、取消を支持する投票の、自律装置ノードの合計数に対する比に基づいた多数決原理が使用される。多数決原理の手法では、より多くのノードが追加されるにつれ、取消の閾値Tが増加する。他の取消基準も使用することが可能である。
特定の実施例では、ノード信頼性重み付け78が取消基準に組み入れられる。ノード信頼性重み付け78に含まれたノード信頼性は、疑わしい装置ノードが、疑わしい挙動を表しているか否かに無関係であり、その代わりに、多かれ少なかれ当てになるようにし得る装置ノードの固有の局面に関する。前述の固有の局面は例えば、全く異なる装置ノードが、(分散ネットワークへのアクセスを得ようとする無法な第三者によってもたらされる場合がある)損なわれたノードである可能性が高いという仮定の下で、分散ネットワークの他の装置ノードからの、疑わしい装置ノードの共通性又は相違を含み得る。例えば、非医療機能を行う装置ノードが図1の医療分散ネットワーク8に挿入された場合、前述の非医療装置ノードに、上記装置ノードを容易に信頼すべきでない旨を示すノード信頼性重み付け78の値を割り当てることが妥当である。
割り当てられたノード信頼性重み付け78に影響を及ぼし得る装置ノードの別の固有の局面は、疑わしい装置を損なう機会を前述の外部通信が提供するという仮定の下で、疑わしい装置ノードが、分散ネットワーク外の装置と通信するよう構成されるか否かということである。図1の医療分散ネットワーク8をもう一度考慮すれば、天井搭載外部表示モニタ22が外部病院ネットワーク又はインターネットに接続されている場合、装置ノードを容易に信頼すべきでない旨を示すノード信頼性重み付け78の値を表示モニタ22に割り当てることが妥当である。対照的に、胸部搭載センサ・ノード12、14、16が、分散ネットワーク8の他の装置ノードとのみ相互通信する場合、前述のセンサ・ノード12、14、16に、前述の装置ノードがより容易に信頼できる旨を示すノード信頼性重み付け78の値を割り当てることが妥当である。
割り当てられたノード信頼性重み付け78に影響を及ぼし得る装置ノードの別の固有の局面は、疑わしい自律装置ノードが実行している自律制御又は動作システムのタイプである。動作システムが、よりセキュアでなく、より容易に損なわれる種類のものである場合、前述の装置ノードに、上記装置ノードを容易に信頼すべきでない旨を示すノード信頼性重み付け78の値を割り当てることが妥当である。対照的に、動作システムが、よりセキュアであり、かつ、損なうことが困難な種類のものである場合、前述の、固有によりセキュアな装置ノードに、上記装置を容易に信頼すべきである旨を示すノード信頼性重み付け78の値を割り当てることが妥当である。
ノード信頼性重み付け78に影響を及ぼす種々の要因は、ノード信頼性重み付け78全体に種々の影響を及ぼし得る。例えば、情報に対する不適切な要求は、ノード信頼性に対して重く重み付けし得る一方、範囲外の測定出力には、ノード信頼度に対して、より重くない重み付けがされ得る。特定の実施例では、ノードの信頼度に対する種々の要因それぞれの影響は、各ノードにおけるデータベースにおいて、又は中央サーバにおいて記憶される。
図6は、前述の取消セッション手法を使用する利点を例証する例を略示する。図6では、疑わしいノードによる疑わしい異常挙動の各生起を黒点80で示す。第1の取消セッション70では、前述の2つの疑わしい事象80が生起し、それにより、2つの近傍装置ノードに、疑わしい装置ノードを取り消すよう個々に決定させる(疑わしい2つの事象が、別々の2つの近傍装置ノードによってみられるものとした場合)。前述の2つの装置ノードは個々に、取消を支持して投票するが、疑わしい挙動をみなかった残りの装置ノードが投票数で勝る。集団的な投票が、取消に反対するものであったからである。第1の取消セッション70が終結すると、取消を支持する個々の2つの決定が廃棄される。第2の取消セッション70は、第1の取消セッション70の終了時近くで始まる。
図6では、第2の取消セッション70が、小さな時間間隔Toverlap(すなわち、取消セッション70、70の持続時間に対して小さい)だけ、第1の取消セッション70と時間的に重なる。次の取消セッションが、先行取消セッションが終了すると、ちょうど始まる場合、(例えば、取消手順が取消セッションの終了時に開始されたが、(その取消セッションにしか有効でない)取消メッセージが、次の取消セッション中のある時点にしか残りのネットワークに達しない場合、)これはプロトコル誤動作につながり得る。隣接取消セッションの時間的重なりToverlapを設けることにより、取消手順のこの潜在的な異常終結がなくなるか、その可能性がより少なくなる。重なり時間間隔Toverlap中、取消手順は以下の規則に応じて機能する。(i)分散ネットワークのメンバが、最新の取消セッションからの部分取消投票を使用してノードが取り消されることに反対して部分投票を行う(すなわち、図6の重なり時間間隔Toverlapの取消セッション70)、しかし、(ii)ノードは、最新取消セッション(図6のセッション70)から、又は、先行取消セッション(図6のセッション70)からの、組み合わせられた取消を受信し、認証することが可能である。疑わしいノードは、いずれの場合にも、認証されると取り消される。重なり時間間隔Toverlapは特定の利点を有するが、重なりがないこと(すなわち、Toverlap=0)が想定される。
図6を引き続き参照すれば、第2の取消セッション70中に、単一の疑わしい事象がみられ、それにより、単一の近傍装置ノードにより、個々に、疑わしい装置ノードが取り消される。取消セッション70の投票では、したがって、集合的な投票は、取消に反対するものである。取消セッションを使用しない場合、その影響は、取消を支持する投票が経時的に蓄積し、最終的に、疑わしい装置ノードの取消につながるというものである。前述の結果は望ましくない。損なわれていない適切に機能している装置ノードが、しかしながら、明らかに無効なデータ出力等をもたらす時折のグリッチなどの、近傍ノードによって疑わしいと認められる挙動を時折表し得る。
取消セッションの使用は通常、効果的であるが、特定の実施例では、取消セッションは省略することができ、取消投票が経時的に蓄積することを可能にし得る。別の変形では、取消セッションの終了時に、開示された部分取消投票を単に廃棄する代わりに、部分取消投票を使用してノード信頼度重み付け78を調節することができる。例えば、その部分取消投票を開示することにより、いくつかのノードが、疑わしいノードの取消を支持して投票したが、取消動作を起動させるためには、取消を支持して投票する、損なわれていないノードが十分でなかった場合、疑わしい装置ノードに反対するいくつかの開示された部分取消投票が存在していることを使用して、疑わしい装置ノードのノード信頼性重み付け78を調節することができる。この手法は、取消セッションにわたって蓄積された投票が、疑わしいノードの取消に十分でなくても、疑わしいノードについて何かに問題があり得る旨を前述の部分取消投票の開示が示す旨を反映している。
図2をもう一度参照すれば、決定74において、投票が取消基準を満たす旨が決定された場合、装置ノードは、取り消された疑わしい装置ノードに関する開示された部分取消情報を組み合わせて取消メッセージを(例えば、取り消された疑わしい装置ノードに記憶された取消投票を再構成するために)構成するよう動作84において協調する。構成された取消メッセージは次いで、動作86において、分散ネットワークを介して相互通信され、取消メッセージを受信する各装置ノードは、取り消された疑わしい装置ノードとの通信を中止する。前述の相互通信86の効果は、分散ネットワークから、取り消された疑わしい装置ノードを除外するということである。任意的には、取消メッセージは、技術者による事後の診断を支援するための、観察される異常挙動のリストや識別情報などの、取消メッセージの認証を必要とする更なる情報を含み得る。
任意的には、取消メッセージは、取消メッセージを受信し、認証した、分散ネットワークの少なくとも1つの自律装置ノード(通常、疑わしい自律装置ノード以外)による、中央制御ノードとの連絡に応答して中央制御ノードに通信される。中央制御ノードは任意的には、更なる動作(取り消された疑わしい装置ノードに関する潜在的なセキュリティ上の問題を人間の要員に通知する動作や、取り消された疑わしい装置ノードが、他の分散ネットワークへの加入等を行わないことを確実にするための措置をとる動作、関連付けられた鍵を取り消す動作等)を行い得る。特定の実施例では、中央処理装置が、任意的に、疑わしいノードをネットワークに再構成し、再加入許可することが想定される。前述の再加入許可は任意的には、疑わしいノードの事後の挙動がみられることを条件とし、再加入許可されたノードに、より低い信頼要因を割り当てることを伴い得る。
動作84、86は、装置ノード取消段階を構成し、疑わしい装置ノードを取り消すものと投票決定74によって決定された場合にのみ行われる。この場合、疑わしい装置ノードの近傍ノードは、それに対する取消手順84、86を開始する。この目的で、近傍装置ノードは、疑わしい装置ノードからネットワーク確立段階42中に受信している、RAT値及びGRAT値を使用して認証されている部分取消投票を交換する。この時点で、取消セッションkの場合のt個の部分取消投票(ms−k i,1,ms−k i,2,ms−k i,t)は全て、開示されており、取り消された疑わしい装置ノードの何れかの近傍装置ノードは、現在のセッションkのt個のうまく構成された部分取消投票のハッシュを算出すること(R =h(ms−k i,1||ms−k i,2||…||ms−k i,t)により、それに反対する取消投票を計算することが可能である。計算された取消投票又は情報を認証して、疑わしい装置ノードを取り消す旨の認証を検証するために、近傍装置ノードは、計算された取消投票を、前述の取消投票を認証した取消投票認証ツリー(RCT)及び大局取消投票認証ツリー(GRCT)の値とともに同報通信する。
分散装置取消システムを使用して、現在鍵分配システムと組み合わせると、鍵取消をもたらすことも可能である。損なわれた鍵を取り消す手法は適切には、使用される鍵事前分配手法(KPS)のタイプに依存する。ランダムKPSの場合、鍵取消は、損なわれた鍵を削除することによって実効化することが可能である。例えば、装置ノード群が、疑わしい装置ノードの取消を支持して投票し、取消手順84、86をそれに対して開始した場合、分散ネットワークにおける装置ノードは全て、共通鍵を、取り消された装置ノードとともに削除することが可能である。しかし、この手法は、セキュアなリンクの数の減少をもたらし、ネットワークの接続性を低減させる。この問題を避けるために、損なわれた鍵が任意的には、削除される代わりに更新される。ブルンドの多項式(HDPKPS手法など)では、鍵材料を削除することは可能でない。前述の削除は、ネットワーク接続性におけるかなりの低減をもたらすからである。このタイプの鍵分配手法における鍵取消は、任意的には、装置が損なわれると、損なわれた鍵材料を更新する。この手法は、セキュアな設定サーバ又は中央制御ノードの協調を伴う。
鍵取消システムにおける投票は、ノード信頼性重み付け78が使用されるやり方と同様に、疑わしい分配鍵の信頼性を示す信頼要因に基づいて偏り得る。ここでは、個々の自律装置ノードによる、取消を支持して投票する旨の個々の決定は、適切には、疑わしい分配鍵の疑わしい使用に基づく。分配鍵を取り消すか否かについての集合的な投票は、鍵の疑わしい分配鍵の長さや他のセキュリティ・レベルを示す特性にその値が関するか、又は、分配鍵を発行した装置ノードの信頼性にその値が関する信頼要因に基づき得る。
既存のKPS手法は、ノード複製、シビル攻撃等によって損なわれることを感知し得る。例は、鍵のランダム分布、又はブルンドの多項式に基づいた鍵の事前分配手法にみられる。ランダムKPSでは、攻撃者は、いくつかの装置ノードからの鍵材料を使用して、新たなものを作成し、したがって、攻撃者は、新たな識別情報を偽造することが可能である。ブルンドの多項式に基づいたKPSでは、攻撃者は、首尾良く損なったことの閾値数よりも大きい装置数を捕捉し、次いで鍵材料を読み出し、鍵材料を再構成することにより、識別情報を偽造することが可能である。本明細書及び特許請求の範囲記載の分配装置取消手法を使用して前述の複製攻撃を避けることが可能である。部分取消投票がランダムに生成され、各受信装置ノードのみによって知られているので、分散装置取消システム鍵材料は複製又は偽造することが可能でないので、この回避結果が生じる。更に、部分取消投票は、MAMTを使用することによって認証することが可能である。よって、分散装置取消システムの鍵情報を再構成することが可能でないので、本明細書及び特許請求の範囲記載の分散装置取消手法により、識別情報の偽造が避けられる。
医療分散ネットワーク8では、疑わしい特性又は挙動が検知され、適切な投票結果により、疑わしい装置ノードの取消をもたらし得る。医療分散ネットワーク8におけるこの疑わしい特性又は挙動は通常、疑わしい装置ノードが、例えば、ディジタル・ウイルス、トロイの木馬、ワームや他の悪意のあるソフトウェア又は実行可能なディジタル・コードにより、侵入者によって、損なわれていると認識されているか、又は実際に損なわれているという認識されているか、又は実際のセキュリティ上の脅威に関する。しかし、より一般には、疑わしい自律装置ノードの「疑わしい」特性又は挙動は、分散ネットワークの関心又は目的に反すると認められる何れかの特性又は挙動として広く解されるものである。
例えば、本明細書及び特許請求の範囲記載の開示された分散装置取消手法の別の想定されたアプリケーションには、ピアツーピア・ファイル共有ネットワーク(インターネットベ―スのピアツーピア音楽共有ネットワーク、ピアツーピア映画共有ネットワーク等など)がある。前述のアプリケーションでは、疑わしい挙動は、該当する著作権の法律又は倫理的な考察点に違反する、著作権保護されたマテリアルを共有しようとする試行(すなわち、送出、送出の申し出、又は勧誘)を含み得る。例えば、合法の自律ノード(パソコン、携帯型音楽プレイヤ、インターネット対応ステレオや娯楽システムや、他の消費者向音楽装置など)はそれぞれ、著作権保護された楽曲のリストを保持し得る。著作権保護された楽曲の合法の自律ノードのリストにある楽曲を送出するよう勧誘するか、又は申し出る別の自律ノードが、合法の自律装置ノードに連絡した場合、合法の自律装置ノードは、ピアツーピア共有ネットワーク上のそのアクセス特権を取り消すべきである疑わしい自律ノードである旨の個々の決定を適切に行う。
この個々の決定は、人間の介入を必ずしも伴うものでない。むしろ、合法の自律ノードは、送出する旨の勧誘又は申出、著作権保護された楽曲に関係する旨の認識、申出の却下、及び人間の介入なしで取り消す旨の個々の決定の記録を行い得る。あるいは、人間の介入は、例えば、要求を表示し、取消を支持する投票を追跡するか否かについての決定を人間のユーザに求めることによって勧誘することが可能である。
想定された分散ピアツーピア・ファイル共有アプリケーションでは、ピアツーピア・ネットワークは時折、現在オンライン状態の自律装置ノードが、疑わしい自律ノード(ここでは、特権の取消を支持する個々の投票が少なくとも1つ存在する何れかの自律ノードとして適切に定義される)を支持する投票を行う取消セッションを保持する。やはり、前述の投票は通常、自動化されているが、任意的には、人間の利用者は、まず、参加を認可することを求められるか、若しくは取消を支持する特定の投票を認可することを求めるか、又はその他のやり方で介入が要求される。
ピアツーピア・ネットワーク上で現在オンライン状態の自律装置ノードの投票を行うことにより、合法のノードを単一のオンライン自律ノードによって任意に取り消すことが可能でないことが確実にされる。むしろ、前述の取消は、かなりの数の現在、オンライン状態の自律ノードが取消を支持して投票する(疑わしい自律ノードが、著作権の累犯者である可能性が高い旨を示す)投票の結果であるに過ぎない。更に、本明細書及び特許請求の範囲記載の他の任意の規定を任意的に施すことができる。例えば、特定の期間後に、取消を支持して個々の決定を行って、数年にわたる不意の不適切な楽曲要求にわたる蓄積による、合法のユーザの特権の取消を避けることによって、取消セッションの概念を組み入れることが可能である。しかし、ピアツーピア・ネットワークでは、投票時に実際にオンラインであった利用可能な装置ノードの割合が低いことがあり得るので、2つ以上の取消セッションにわって取り消すための個々の投票を確保して、前述の個々の投票の持続性を増加させることが効果的であり得る。同様に、信頼性に基づいた重み付けを、ピアツーピア・ネットワークに試験的に再加入許可されている先行違反者に適切に割り当てられた試験ステータスなどの適切な基準に基づいて使用することが可能である。取消メッセージは、任意的には、著作権違反者とされた者が、必要な場合(例えば、人間の査閲者の前で)、証拠を査閲し、取消に対して不服を申し立てることを可能にするために、取消メッセージの認証に十分な情報を超える更なる情報(取消の基礎を形成した、著作権違反であるとされたもの、又は明らかに著作権違反であるものであって、みられたものの詳細なリストなど)を含む。
前述のピアツーピア共有ネットワーク・アプリケーションでは、「疑わしい」特性又は挙動の概念は、著作権侵害の挙動を超えて他の局面(ウイルスを含むものとして検知されたファイルの共有、若しくは前述のファイルを共有する旨の試行、又は、ファイル共有ネットワークの過度の使用等など)に及び得る。更に、疑わしい装置ノードの取消を説明しているが、上記手法を使用して、特定の装置ノードと関連付けられていない疑わしい分配鍵も取り消すことが可能である。例えば、疑わしい分配鍵は、楽曲に関連付けられたディジタル署名であり得る。
本発明は、好ましい実施例を参照して説明している。上述の詳細な説明を読み、理解することにより、他者が修正及び改変を思いつくであろう。本発明が、本願特許請求の範囲記載の範囲又はその均等物の範囲内に収まる限り、前述の修正及び改変全てを含むものとして解釈されることが意図されている。

Claims (29)

  1. 分散取消方法であって、
    分散ネットワークの疑わしい自律装置ノードを分散ネットワークから除去すべきか否かに関し、分散ネットワークの少なくとも3つの自律装置ノード間で投票を行う工程と、
    前記投票が取消基準を満たしていることに応じて、(i)前記疑わしい自律装置ノード以外の、前記分散ネットワークの前記自律装置ノードの少なくとも一部の間で分配される、前記疑わしい自律装置ノードを取り消すための部分取消情報を組み合わせることにより、取消メッセージを構成し、(ii)前記分散ネットワークの前記自律装置ノード間で前記取消メッセージを相互通信することにより、前記分散ネットワークの前記疑わしい自律装置ノードとその他の自律装置ノードとの間の通信を中止する工程とを含む分散取消方法。
  2. 請求項1記載の分散取消方法であって、
    他の分散ネットワークにおける他の自律装置ノードに前記取消メッセージを転送する工程を更に含む分散取消方法。
  3. 請求項1記載の分散取消方法であって、
    自律装置ノードにおいて受信された取消メッセージを、一方向関数で処理された前記取消メッセージの第1の部分を前記取消メッセージの第2の部分と比較することによって認証する工程を更に含む分散取消方法。
  4. 請求項1記載の分散取消方法であって、
    自律装置ノードで受信された取消メッセージを、ハッシュ関数によって処理された前記取消メッセージの第1の部分を前記取消メッセージの第2の部分と比較することによって認証する工程を更に含む分散取消方法。
  5. 請求項1記載の分散取消方法であって、
    新たな自律装置ノードから前記分散ネットワークに既にある複数の自律装置ノードへの、新たな自律装置ノードの部分取消情報の転送に応じて、新たな自律装置ノードを前記分散ネットワークに組み入れる工程を更に含む分散取消方法。
  6. 請求項1記載の分散取消方法であって、前記投票は、前記分散ネットワーク内の前記疑わしい自律装置ノードの信頼性を示す信頼要因に基づいて重み付けられる分散取消方法。
  7. 請求項1記載の分散取消方法であって、前記投票は、時間制限された取消セッションにわたって繰り返され、先行取消セッションにおける投票はその後の取消セッションにおいて1つの投票とみなされない分散取消方法。
  8. 請求項1記載の分散取消方法であって、
    前記分散ネットワークの前記自律装置ノードの少なくとも一部を使用して複数の医療機能を行う工程を更に含む分散取消方法。
  9. 分散ネットワークであって、
    他の自律装置ノードとセキュアに通信して、前記分散ネットワークを規定し、セキュアな通信を行う他の自律装置ノードと協調して、請求項1の分散取消方法を行うようそれぞれが構成された複数の自律装置ノードを備える分散ネットワーク。
  10. 請求項1記載の方法を行うようプログラムされたディジタル媒体。
  11. 分散ネットワークにおける他の自律装置ノードとセキュアに通信し、セキュアに通信する他の自律装置ノードと協調して、(i)分散ネットワークの疑わしい自律装置ノードを前記分散ネットワークから除去すべきか否かに関し、分散ネットワークの少なくとも3つの自律装置ノード間で投票を行う工程、及び(ii)前記投票が取消基準を満たしたことに応じて、前記疑わしい自律装置ノードとの通信を中止する工程を含む分散取消方法を行うよう構成された自律装置ノード。
  12. 請求項11記載の自律装置ノードであって、
    他の自律装置ノードの部分取消情報を記憶するデータ記憶装置を更に備え、前記自律装置ノードは、他の自律装置ノードと協調して、前記データ記憶装置に記憶された疑わしい自律装置ノードの部分取消情報を、他の自律ノードに記憶された疑わしい自律装置ノードの部分取消情報と組み合わせて、前記投票が前記取消基準を満たしていることに応じて、前記疑わしい自律装置との通信の中止を実効化するために前記自律装置ノード間で通信される取消メッセージを構成するよう更に構成される自律装置ノード。
  13. 請求項12記載の自律装置ノードであって、
    完全な取消情報を記憶するデータ記憶装置を更に含み、前記自律装置ノードは、完全な取消情報から得られた部分取消情報を複数の他の自律装置ノードに通信する分散ネットワーク加入方法を行うよう更に構成され、他の自律装置ノードそれぞれに通信された部分取消情報は、(i)前記完全な取消情報を再構成することがそれ自体で不十分であるが、(ii)前記完全な取消情報を再構成するために他の自律装置ノードに通信された部分取消情報と組合せ可能である自律装置ノード。
  14. 請求項11記載の自律装置ノードであって、前記投票は、前記分散ネットワーク内の前記疑わしい自律装置ノードの信頼性を示す信頼要因に基づいて重み付けられる自律装置ノード。
  15. 分散取消方法であって、
    複数の自律装置ノードの個々の決定を組み合わせて、疑わしい自律装置ノードを前記分散ネットワークから除去すべきであるか否かを決定する時間制限された取消セッションを実施する工程と、
    前記取消セッションが除去を支持して決定したことに応じて前記疑わしい自律装置ノードを前記分散ネットワークから除去する工程とを含む分散取消方法。
  16. 請求項15記載の分散取消方法であって、
    前記取消セッションを実施する工程を、時間的に重なるその後の取消セッションについて繰り返す工程を更に含む分散取消方法。
  17. 請求項15記載の分散取消方法であって、
    前記取消セッションを実施する工程を、その後の取消セッションについて繰り返す工程を更に含む分散取消方法。
  18. 請求項17記載の分散取消方法であって、
    前記取消セッションが満了すると、取消セッション中に行われた前記個々の決定を廃棄する工程を更に含む分散取消方法。
  19. 請求項15記載の分散取消方法であって、前記疑わしい自律装置ノードを前記分散ネットワークから除去する工程は、
    前記分散ネットワークの前記自律装置ノードの少なくとも一部にわたって先行して分配された取消情報から取消メッセージを構成する工程と、
    前記疑わしい自律装置ノード以外の前記分散ネットワークの自律装置ノード間で前記取消メッセージを相互通信する工程とを更に含む分散取消方法。
  20. 請求項19記載の分散取消方法であって、前記疑わしい自律装置ノードを前記分散ネットワークから除去する工程は、
    前記取消メッセージを受信する疑わしい自律装置ノード以外の自律装置ノードそれぞれにおいて前記取消メッセージを認証する工程と、
    前記受信された取消メッセージが首尾良く認証されたことに応じて、前記疑わしい自律装置ノードと、前記取消メッセージを受信する自律装置ノードとの間の通信を中止する工程とを更に含む分散取消方法。
  21. 請求項19記載の分散取消方法であって、
    前記分散ネットワークに既にある前記自律装置ノードの少なくとも一部にわたる、新たな自律装置ノードの取消情報の分配に応じて、新たな自律装置ノードを前記分散ネットワークに組み入れる工程を更に含む分散取消方法。
  22. 請求項15記載の分散取消方法であって、前記取消セッションを実施する工程は、前記疑わしい自律装置ノードの信頼性を示す信頼要因に基づいて前記決定を偏らせる工程を更に含む分散取消方法。
  23. 分散ネットワーク内の他の自律装置ノードとセキュアに通信し、セキュアに通信している他の自律装置ノードと協調して、請求項15記載の分散取消方法を行うよう構成された自律装置ノード。
  24. 分散医療監視ネットワーク内の複数のノードであって、ノードそれぞれは、
    1つ又は複数の疑わしい活動に従事していることが検知されたノードとのネットワーク通信を取り消すか否かについて、前記ネットワークの他のノードと協議し、民主的に決定するようプログラムされた複数のノード。
  25. 請求項24記載の複数のノードであって、
    ノードの信頼性に関する複数の要因それぞれの効果を記憶するデータベースであって、前記協議及び前記決定は、前記データベースに記憶された前記要因に基づいて計算された前記1つ又は複数の疑わしい活動に従事していることが検知されたノードの信頼性によって偏らせるデータベースを更に含む複数のノード。
  26. 複数のノードを備えた分散ネットワークであって、各ノードは、
    (i)他の一ノードに分配された部分取消投票を別のノードによって複製又は偽造することが可能でないように前記ノードに対する取消メッセージを構成するよう組合せ可能な部分取消投票をランダムに生成し、他のノードに分配し。
    (ii)他のノードから受信された部分取消投票を記憶するよう構成された分散ネットワーク。
  27. 請求項26記載の分散ネットワークであって、前記ノードが、ピアツーピア・ファイル共有ネットワークのメンバを含む分散ネットワーク。
  28. 請求項27記載の分散ネットワークであって、各ノードは、
    著作権保護されたファイルのリストを含み、前記著作権保護されたファイルの前記リストに含まれるファイルにおける他のノードによる情報交換の検知に応じて別のノードに対するその部分取消投票を開示するよう各ノードが構成された分散ネットワーク。
  29. 請求項26記載の分散ネットワークであって、前記ノードは分散医療監視ネットワークのメンバを備え、各ノードは、他方のノードによる疑わしい活動の検知に応じて別のノードに対するその部分取消投票を開示するよう構成された分散ネットワーク。
JP2009535430A 2006-11-02 2007-10-31 分散装置取消 Pending JP2010509808A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US86402606P 2006-11-02 2006-11-02
PCT/US2007/083076 WO2008055191A2 (en) 2006-11-02 2007-10-31 Distributed device revocation

Publications (1)

Publication Number Publication Date
JP2010509808A true JP2010509808A (ja) 2010-03-25

Family

ID=39345066

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009535430A Pending JP2010509808A (ja) 2006-11-02 2007-10-31 分散装置取消

Country Status (6)

Country Link
US (1) US8424064B2 (ja)
EP (1) EP2080134B1 (ja)
JP (1) JP2010509808A (ja)
CN (1) CN101529795B (ja)
RU (1) RU2009120689A (ja)
WO (1) WO2008055191A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019230718A1 (ja) * 2018-05-29 2019-12-05 日本電信電話株式会社 投票システム、投票中継サーバ、クライアント端末、投票方法、広告配信システム、及びプログラム

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9585562B2 (en) * 2008-12-03 2017-03-07 Carefusion 303, Inc. Method and apparatus for automatically integrating a medical device into a medical facility network
US8607057B2 (en) * 2009-05-15 2013-12-10 Microsoft Corporation Secure outsourced aggregation with one-way chains
US8351454B2 (en) * 2009-05-20 2013-01-08 Robert Bosch Gmbh Security system and method for wireless communication within a vehicle
WO2012051078A1 (en) * 2010-10-15 2012-04-19 Marvell World Trade Ltd. Assignment of network addresses
US20130086635A1 (en) * 2011-09-30 2013-04-04 General Electric Company System and method for communication in a network
US8800004B2 (en) * 2012-03-21 2014-08-05 Gary Martin SHANNON Computerized authorization system and method
US9306743B2 (en) 2012-08-30 2016-04-05 Texas Instruments Incorporated One-way key fob and vehicle pairing verification, retention, and revocation
US9930066B2 (en) 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
US9215075B1 (en) 2013-03-15 2015-12-15 Poltorak Technologies Llc System and method for secure relayed communications from an implantable medical device
US9213820B2 (en) * 2013-09-10 2015-12-15 Ebay Inc. Mobile authentication using a wearable device
US9621644B2 (en) * 2013-09-16 2017-04-11 Axis Ab Joining a distributed database
US10747888B2 (en) 2014-06-30 2020-08-18 Nicira, Inc. Method and apparatus for differently encrypting data messages for different logical networks
US9537851B2 (en) * 2014-08-06 2017-01-03 Microsoft Technology Licensing, Llc Revoking sessions using signaling
US10075410B2 (en) 2015-05-18 2018-09-11 Marvell World Trade Ltd. Apparatus and methods for assigning internetwork addresses
US10051688B1 (en) 2015-05-28 2018-08-14 Marvell International Ltd. Bridging wireless network traffic
US20170180467A1 (en) * 2015-12-21 2017-06-22 Le Holdings (Beijing) Co., Ltd. Method, Device and System for Data Processing based on P2P Network
US10798073B2 (en) 2016-08-26 2020-10-06 Nicira, Inc. Secure key management protocol for distributed network encryption
US10469332B2 (en) 2016-08-26 2019-11-05 Marvell World Trade Ltd. Method and apparatus of remote configuration and management of wireless nodes
EP3530034B9 (en) * 2016-10-18 2022-01-19 Nokia Technologies Oy Accession control for network nodes
BR112019012719A2 (pt) 2016-12-21 2019-11-26 Gambro Lundia Ab sistema de dispositivo médico incluindo infraestrutura de tecnologia de informação tendo domínio de agrupamento seguro suportando domínio externo
EP3445009B1 (en) * 2017-08-17 2020-09-23 Nokia Solutions and Networks Oy Selection of network routing topology
US10595363B2 (en) * 2018-05-11 2020-03-17 At&T Intellectual Property I, L.P. Autonomous topology management for wireless radio user equipment
CN110035429B (zh) * 2019-04-09 2021-11-09 重庆邮电大学 WiFi与ZigBee共存模式下抗干扰最小冗余方法
CN111696245B (zh) * 2020-06-30 2022-01-18 郭平波 一种基于p2p网络的投票方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001358839A (ja) * 2000-06-15 2001-12-26 Image Partner:Kk 電子伝言板システム
JP2003513513A (ja) * 1999-10-27 2003-04-08 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおける配列と方式
WO2006003532A1 (en) * 2004-06-29 2006-01-12 Koninklijke Philips Electronics N.V. System and methods for efficient authentication of medical wireless ad hoc network nodes
JP2006174179A (ja) * 2004-12-16 2006-06-29 Nec Corp アドホック通信システム、移動端末、センタ、アドホック通信方法、アドホック通信プログラム
JP2007074392A (ja) * 2005-09-07 2007-03-22 Ntt Docomo Inc 安全なアドホックネットワークを構築するシステム、方法及びコンピュータプログラム
JP2007074390A (ja) * 2005-09-07 2007-03-22 Ntt Docomo Inc 認証局、デバイス、移動局および通信システム並びに通信方法並びに通信プログラム
JP2008099214A (ja) * 2006-10-16 2008-04-24 Oki Electric Ind Co Ltd 不正端末推定システム、不正端末推定装置及び通信端末装置
JP2008522459A (ja) * 2004-11-16 2008-06-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療装置及びセンサの無線アドホックネットワークにおける時間同期
JP2008543245A (ja) * 2005-06-08 2008-11-27 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 人体センサネットワーク用の決定論的鍵事前配布及び運用鍵管理
JP2009541861A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療用アドホックボディセンサネットワークのための先進的アクセス制御

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6735630B1 (en) * 1999-10-06 2004-05-11 Sensoria Corporation Method for collecting data using compact internetworked wireless integrated network sensors (WINS)
US7350069B2 (en) * 2002-04-18 2008-03-25 Herz Frederick S M System and method which employs a multi user secure scheme utilizing shared keys
US7486795B2 (en) * 2002-09-20 2009-02-03 University Of Maryland Method and apparatus for key management in distributed sensor networks
KR100519770B1 (ko) * 2003-07-08 2005-10-07 삼성전자주식회사 애드 혹 망에서 분산 인증서 관리 방법 및 그 시스템
CN100403273C (zh) * 2003-07-10 2008-07-16 中国科学院计算技术研究所 基于双向信息流的分布式监控方法
US20060068712A1 (en) * 2004-09-24 2006-03-30 Kroboth Robert H Method of remotely monitoring and troubleshooting multiple radio network controllers
US7756924B2 (en) * 2005-12-21 2010-07-13 Microsoft Corporation Peer communities
US8185576B2 (en) * 2006-03-14 2012-05-22 Altnet, Inc. Filter for a distributed network

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003513513A (ja) * 1999-10-27 2003-04-08 テレフォンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおける配列と方式
JP2001358839A (ja) * 2000-06-15 2001-12-26 Image Partner:Kk 電子伝言板システム
WO2006003532A1 (en) * 2004-06-29 2006-01-12 Koninklijke Philips Electronics N.V. System and methods for efficient authentication of medical wireless ad hoc network nodes
JP2008504782A (ja) * 2004-06-29 2008-02-14 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療用無線アドホックネットワークノードの効率的な認証システム及び方法
JP2008522459A (ja) * 2004-11-16 2008-06-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療装置及びセンサの無線アドホックネットワークにおける時間同期
JP2006174179A (ja) * 2004-12-16 2006-06-29 Nec Corp アドホック通信システム、移動端末、センタ、アドホック通信方法、アドホック通信プログラム
JP2008543245A (ja) * 2005-06-08 2008-11-27 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 人体センサネットワーク用の決定論的鍵事前配布及び運用鍵管理
JP2007074392A (ja) * 2005-09-07 2007-03-22 Ntt Docomo Inc 安全なアドホックネットワークを構築するシステム、方法及びコンピュータプログラム
JP2007074390A (ja) * 2005-09-07 2007-03-22 Ntt Docomo Inc 認証局、デバイス、移動局および通信システム並びに通信方法並びに通信プログラム
JP2009541861A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療用アドホックボディセンサネットワークのための先進的アクセス制御
JP2008099214A (ja) * 2006-10-16 2008-04-24 Oki Electric Ind Co Ltd 不正端末推定システム、不正端末推定装置及び通信端末装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019230718A1 (ja) * 2018-05-29 2019-12-05 日本電信電話株式会社 投票システム、投票中継サーバ、クライアント端末、投票方法、広告配信システム、及びプログラム

Also Published As

Publication number Publication date
US20100031318A1 (en) 2010-02-04
WO2008055191A3 (en) 2008-09-18
RU2009120689A (ru) 2010-12-10
EP2080134B1 (en) 2018-01-17
CN101529795B (zh) 2013-03-13
WO2008055191A2 (en) 2008-05-08
EP2080134A2 (en) 2009-07-22
CN101529795A (zh) 2009-09-09
US8424064B2 (en) 2013-04-16

Similar Documents

Publication Publication Date Title
JP2010509808A (ja) 分散装置取消
Uddin et al. Continuous patient monitoring with a patient centric agent: A block architecture
JP6545966B2 (ja) 中継装置、端末装置および通信方法
JP2023082161A (ja) ブロックチェーン間のセキュアな転送
TWI469603B (zh) 一種使用信任處理技術數位權利管理
CN105530253B (zh) 基于CA证书的Restful架构下的无线传感器网络接入认证方法
TW201008195A (en) Key management for communication networks
CN107483419A (zh) 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质
KR20200127258A (ko) 컨센서스 기반 온라인 인증
EP4367619A1 (en) Secure and trustworthy bridge for transferring assets across different networks with an updating pool of wardens
Venkatasubramanian et al. Interoperable medical devices
Garg et al. Security in IoMT‐driven smart healthcare: A comprehensive review and open challenges
Manthiramoorthy et al. Comparing several encrypted cloud storage platforms
Siddiqi et al. Attack-tree-based Threat Modeling of Medical Implants.
WO2021076340A1 (en) Token-based device access restriction systems
Sadek et al. Security and privacy in the Internet of Things healthcare systems: Toward a robust solution in real-life deployment
Paliokas et al. A blockchain platform in connected medical-device environments: Trustworthy technology to guard against cyberthreats
Moni et al. Secure and efficient privacy-preserving authentication scheme using cuckoo filter in remote patient monitoring network
Kanjee et al. Authentication and key relay in medical cyber‐physical systems
JP2010532126A (ja) トラストセンターリンクキーを初期化するネットワーク及び方法
Porkodi et al. Integration of blockchain and internet of things
Al-Haija et al. Applications of blockchain technology for improving security in the internet of things (IoT)
Chen et al. Blockchain-Based Mutual Authentication Protocol for IoT-Enabled Decentralized Healthcare Environment
Garcia‐Morchon et al. Sensor network security for pervasive e‐health
Chao et al. Novel distributed key revocation scheme for wireless sensor networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121030

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130128

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130625