JP2012510766A - Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 - Google Patents

Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 Download PDF

Info

Publication number
JP2012510766A
JP2012510766A JP2011538876A JP2011538876A JP2012510766A JP 2012510766 A JP2012510766 A JP 2012510766A JP 2011538876 A JP2011538876 A JP 2011538876A JP 2011538876 A JP2011538876 A JP 2011538876A JP 2012510766 A JP2012510766 A JP 2012510766A
Authority
JP
Japan
Prior art keywords
object model
security
module
managing
view
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011538876A
Other languages
English (en)
Other versions
JP5537560B2 (ja
Inventor
ブシヤ,クリステーレ
ユステン,パスカル
フアン・レーウエン,トム
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2012510766A publication Critical patent/JP2012510766A/ja
Application granted granted Critical
Publication of JP5537560B2 publication Critical patent/JP5537560B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2876Handling of subscriber policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本発明は、デバイスのTR−069オブジェクトモデルを管理する際に使用するセキュリティモジュールに関する。そのオブジェクトモデルは、資格証明に基づきビューセレクタモジュールが選択し、それによりそのデバイスに関連するオブジェクトモデルビューを定義するための複数のパラメータを含む。そのセキュリティモジュールは、そのオブジェクトモデルビューをセキュリティポリシーに関連させるための手段と、中間ネットワークエンティティ上でセキュリティポリシーのセキュリティ属性を構成するための手段とを含む。

Description

本発明は、加入者宅内機器CPE上のアプリケーションまたはサービスソフトウェアモジュール、所謂「バンドル」を、それらのCPEデバイスへの接続性を有するネットワーク内の任意の場所に位置するサーバから遠隔管理すること、すなわちインストール、構成、および除去することに関する。本出願の全体を通し、そのサーバを自動構成サーバまたは遠隔管理サーバと称する。CPEまたは顧客デバイスの例は、デジタル加入者回線(DSL)モデム、セットトップボックス(STB)、携帯電話や携帯情報端末(PDA)などの無線端末、等である。本出願との関連で、顧客デバイスは、その上に遠隔管理サービスがインストールされる、ネットワーク内にあるデバイス、例えばDSLAM、遠隔ユニット(RU)、サービスブレード、等とすることもできる。より詳細には、本発明は、特定のサービスまたは事業者に属するパラメータのサブセットを管理することに関する。
デジタル加入者回線(xDSL)ネットワークなど、ブロードバンドアクセスネットワークに接続されるホームネットワークは、一方ではホームネットワーク内の1つまたは複数の機器に接続され、他方では中央局内のデジタル加入者回線アクセス多重化装置DSLAMやトラフィック集約ノードなど、xDSLサービスプロバイダのノードに接続される、xDSLモデムなどの加入者宅内機器を含む。このCPEとDSLAMとの間のリンクは情報を転送するために使用され、情報を転送するためには、このCPEとDSLAMとの間の通信セッションを確立することが必要である。通信セッションを確立することは、典型的にはデバイス間の同期を行うこと、誤り訂正システムを定義すること、伝送速度を決定することなどのステップを伴う。通信セッションの確立を達成するために、モデムはそれらのステップに関する情報を必要とする。例えば、モデムは、どの誤り訂正符合を利用できるのか、どの速度を使用できるのか、どの符号化が好ましいのか、等を知る必要がある。
さらに、遠隔デバイスを管理するために、典型的にはTR−069管理プロトコルが使用される。このプロトコルは、遠隔管理サーバまたは自動構成サーバACSにより、サービスプロバイダネットワーク内からCPEを構成することを可能にする。こうしたTR−069管理プロトコルは、それぞれのCPE内に記憶されるオブジェクトモデルに基づく。このオブジェクトモデルは、遠隔手続き呼び出しにより読み取りまたは変えることができる、いくつかのパラメータからなる。これらのパラメータは、オブジェクトモデル内で樹状構造をなして編成される。この樹木モデルの結果として、パラメータを明確にアドレス指定(address)することができ、またはパラメータのサブセットをアドレス指定することができる。ACSは、上記に記載したその特定のパラメータまたはサブセットのアドレス指定を使用し、1つまたは複数のパラメータの値を取得するための遠隔手続き呼び出しRPCを引き起こすことができる。このACSは、パラメータまたはパラメータのサブセットの値を変えるためのRPCも引き起こすことができる。さらにこのACSは、CPE上のソフトウェアの更新、CPE上のソフトウェアのインストールまたは除去等をトリガするRPCを引き起こすことができる。したがって、TR−069管理プロトコルは、事業者がCPEを遠隔的に構成/管理することを可能にし、それは、ユーザがほとんど労力を費やすことなく1つまたは複数のサービスにアクセスできることを意味する。
このTR−069プロトコルは、例えばオープンサービスゲートウェイイニシアティブOSGiサービスプラットフォームなど、よりサービスに固有のまたは様々なサービスを提供する、他のCPEを遠隔的に管理するためにも使用される。しかし、そうしたOSGiを使用することにより、それらのサービスおよびアプリケーションがCPE上の何もかも共有する。これは、TR−069オブジェクトモデル全体がそのCPE上に展開されるサービスおよびアプリケーションにとって利用可能であり、それらのうちのいずれかによって取得され、または変えられ得ることを意味する。これにより、それぞれの遠隔管理サーバまたはACSは、TR−069オブジェクトモデル、およびTR−069オブジェクトモデル内に記憶される全てのパラメータを修正することができる。このことは、様々なサービスプロバイダに関係する複数のサービスがその上で実行されるCPE上で、それぞれのサービスプロバイダが、他の事業者のサービスおよびアプリケーションを修正できることを意味する。事実、このオブジェクトモデルは単一のアクセス可能なデータセットなので、サービス事業者は、単に他の事業者のサービスまたはアプリケーションに関係するパラメータを修正することにより、他の事業者に優る利点を得ることができる。
TR−069オブジェクトモデルにおける自動構成についての悪意ある使用を回避し、より安全な1組のパラメータをサービスプロバイダごとに提供するために、TR−069オブジェクトモデルを管理する際に使用されるビューセレクタモジュールにより1組の安全なパラメータが自動的に提供される。そのようなモジュールは、資格証明に基づき、複数のパラメータのうちの1つもしくは複数を選択しかつ/または変えるための手段を典型的には含む。このビューセレクタモジュールについては、2007年8月14日に出願された、出願番号07291009.4の欧州特許出願に記載されている。この明細書には、資格証明に基づいてパラメータを選択することまたはパラメータを変えることを許すことにより、TR−069オブジェクトモデルのサブセットのみを、サービスプロバイダ、遠隔管理サーバ、ACSなどの特定の当事者に提供することが可能になることが記載されている。これは、その特定の当事者が、自らがインストールしたアプリケーションまたはバンドル用のTR−069パラメータや、全員または全てのアプリケーションもしくはバンドルが利用可能なパラメータなど、特定のTR−069パラメータからしか情報を取得できないことを意味する。同様に、特定の当事者は、いくつかのパラメータのみを変えることができる一方で、他のパラメータは、例えばそれらのパラメータがその当事者、バンドル、またはサービスに属さないので変更することはできない。したがって、事業者Aが、事業者Bのサービスに関係するパラメータを閲覧しかつ/または修正することは不可能になる。そのため事業者Aは、もはや事業者Bのサービスの容量または品質を低減させることにより、事業者Bに優先して自らのサービスのために不公平な利点を得ることはできない。
さらに、ホームネットワーク内のTR−069に準拠する加入者宅内機器CPEは、自らのTR−069オブジェクトモデルのパラメータを管理するために、事業者のネットワーク内の自動構成サーバACSと連携し、トランスポート層セキュリティ/セキュアソケットレイヤ、短縮してTLS/SSLと呼ばれるセッションを典型的には使用する。典型的には、ACSまたはプロキシがこのTLS/SSLセッションを終了し、それ自体でCPEのオブジェクトモデルパラメータを管理する。
この手法にはいくつかの欠点があることを説明する必要がある:
1.CPEの構成についての知識は、その情報が例えば診断ツールのためにホームネットワーク内でもローカルに必要とされる場合がありながら、事業者のネットワーク内のACS(またはそのデリゲート)において保持され、
2.TLS/SSLプロトコルは、トンネルのエンドポイント上で各セッションについての状態を維持するために、極めて大量の記憶容量およびCPUパワーを必要とし、
3.TLS/SSLセッションを使用するため、このセキュアトンネルを通過する情報は中間ネットワークデバイスにとってトランスペアレントである。トランスペアレントである状態では、CPEとACSとの間の他の中間ネットワークデバイス、例えば住居用ホームゲートウェイなどは、通過する情報を読み取れずまたは解釈できないことを意味する。
本発明の目的は、このオブジェクトモデルの管理を事業者ネットワーク内の他の信頼できるエンティティに、すなわちACSが管理を移し、CPEのTR−069オブジェクトモデルを部分的にまたは完全に制御することを任せられるデリゲートに委任することである。本出願のもう1つの目的は、TLS/SSLプロトコルのトンネルのエンドポイント上で各セッションについての状態を維持するために要求される極めて大量の記憶容量およびCPUパワーを、例えば低コストの住居用ホームゲートウェイ用に共有することである。もう1つの目的は、CPEとACSとの間にある中間の信頼できるネットワークデバイスにとってトランスペアレントではない、TR−069オブジェクトモデルの管理を提供することであり、すなわち中間の信頼できるネットワークデバイスが介入することを可能にする。
本発明により、デバイスのTR−069オブジェクトモデルを管理する際に使用するセキュリティモジュールによって従来技術の欠点が克服され、本発明の目的が実現され、そのオブジェクトモデルは、資格証明に基づきビューセレクタモジュールが選択し、それによりそのデバイスに関連するオブジェクトモデルビューを定義するための複数のパラメータを含み、そのセキュリティモジュールは、そのオブジェクトモデルビューをセキュリティポリシーに関連させるための手段と、中間ネットワークエンティティ上でセキュリティポリシーのセキュリティ属性を構成するための手段とを含む。
事実、TR−069CPEを管理するためにTLS/SSLセッション層セキュリティを使用する代わりに、CPEとACSとの間のTR−069管理セッションについて、TR−069オブジェクトモデルビューの暗号化に関連する新たなセキュリティ方法が使用される。TR−069CPEオブジェクトモデルの、それぞれの別個のビューにセキュリティポリシーが割り当てられ、信頼できる中間ネットワークエンティティ上で関係するセキュリティ属性が構成される。これにより、それぞれのセキュリティポリシーに対応する適正なセキュリティ属性を保持するネットワークエンティティだけが、TR−069オブジェクトモデルの特定のビューを制御することができる。適切なセキュリティポリシーを分配することにより、事業者は、TR−069CPEデバイスの管理を、CPEとACSとの間のTR−069制御経路上の1組の選択されたネットワークエンティティに委任することができる。こうして事業者は中央ACSの管理タスクを軽減し、CPEの構成情報を、それらの中間ネットワークエンティティ上に存在する他の(半分)信頼できるアプリケーションに利用可能とする。
オプションで、関連させるための手段は、遠隔管理サーバ、TR−069管理エージェント、またはACS上に導入されるようになされる。
TR−069CPEオブジェクトモデルの各パラメータは、その属性が特定の暗号/復号鍵を含み、最終的には個々のパラメータベースの読み取り専用アクセスまたは書き込みアクセスを強制するセキュリティポリシーを有する、特定のオブジェクトモデルビューに割り当てられる。この割り当ては、最初の標準TR−069SSL/TLS構成セッションを使用してACSが行うことができる。この初期構成は、後続のTR−069通信セッションについて新たなセキュリティプロトコルを使用することをもたらす。この初期構成の後、ACSは、ACSとCPEとの間の経路上の1組の選択されたネットワークデバイス、例えば住居用ゲートウェイ上に特定のセキュリティポリシーを展開する。これらのポリシーの属性、具体的には暗号/復号鍵は、これらのデバイスが、関連するCPEのオブジェクトモデルビューを制御することを可能にする:これらのデバイスは、必要なセキュリティポリシーを自らが有するCPEオブジェクトモデルビューのパラメータおよびそのパラメータの値しか復号することができない。同様に、自らのCPEオブジェクトモデルビューのパラメータの値を変更するために、これらの中間デバイスは、オブジェクトモデルビューのセキュリティポリシーに関連する適正な暗号化鍵が必要である。このようにして、ACSから適正なセキュリティポリシーを得たネットワークデバイスだけが、CPEのオブジェクトモデルの特定のビューにアクセスすることができる:他のオブジェクトモデルビューは、これらのデバイスにとってアクセスできない。
さらに、TR−069CPEの管理自体のレイヤセキュリティにはTLS/SSLトンネルを使用しないが、このTLS/SSLプロトコルは、中間ネットワークエンティティ上でACSがそれぞれのセキュリティ属性を構成するために依然として使用することができる。これは、TLS/SSLプロトコルの諸機能、例えば証明書、暗号化などがそれぞれのセキュリティ属性を構成する間に使用されることを意味する。TLS/SSLプロトコルを使用することについて便宜的に言及したが、本出願のデバイスおよび方法はこれに限定されないことを述べておく必要がある。
さらにこのセキュリティモジュールは、構成されるセキュリティ属性に基づく暗号化プロトコルを使用して、そのデバイスおよび中間ネットワークエンティティと通信し、それにより、その構成されるセキュリティ属性に基づく暗号化プロトコルを使用して、中間ネットワークエンティティがそのデバイスの関連するオブジェクトモデルビューを制御することを可能にするための手段をさらに含む。
オプションで、その暗号化プロトコルは、暗号化されたTR−069オブジェクトモデルメッセージを含む本体部と、それぞれのセキュリティポリシーへの暗号化されていないリファレンスを含むヘッダー部とを有する、シンプルオブジェクトアクセスプロトコルSOAPによって実装される。事実、この暗号化プロトコル自体をSOAPレベルで実装することができ、その場合はSOAPの本体部は、暗号化されたTR−069メッセージ、およびコンテンツを復号するためにどのセキュリティポリシーが必要かを指示する、暗号化されていないSOAPヘッダーを含む。暗号化されていないSOAPヘッダーを読み取ることにより、中間ネットワークエンティティはそのメッセージを自らが処理できるのか、それともそのメッセージをACSに向けて転送する必要があるのかを決定することができる。その中間ネットワークエンティティが適正なセキュリティポリシーを保持し、自らそのメッセージに答えることに決める場合、その中間デバイスはそのTR−069メッセージを復号し、対応するセキュリティコンテキストからの暗号化鍵を使用して自らの応答を暗号化する。ACSとして機能し、この中間デバイスは自らのTR−069暗号化済み応答をCPEに送信する。CPEの観点からは、このメッセージはあたかもACSによって送信されたかのように見え、そのため、このプロトコルはCPEのためのTR−069オブジェクトモデル管理を委任したことを隠す。
元はシンプルオブジェクトアクセスプロトコルとして定義したSOAPは、コンピュータネットワーク内にウェブサービスを実装する際に、構造化された情報を交換するためのプロトコル仕様であることを説明する必要がある。SOAPは、そのメッセージ形式として拡張マーク付け言語XMLに依拠し、メッセージの交渉および伝送に関しては他のアプリケーション層プロトコル、代表的には遠隔手続き呼び出しRPCおよびHTTPに通常依拠する。SOAPは、その上に抽象層を構築することができる、基本的なメッセージングフレームワークを提供するウェブサービスプロトコルスタックの基礎層を形成する。
オプションで、中間ネットワークエンティティが住居用ゲートウェイによって実装され、デバイスが加入者宅内機器によって実装される。最後に、TR069管理プロトコルに統合されるようにモジュールを構成することができる。
特許請求の範囲の中で使用する用語「含む(comprising)」は、その後列挙する手段について限定的であると解釈すべきでないことを指摘しておくべきである。したがって、手段Aおよび手段Bを含むデバイスという表現の範囲は、コンポーネントAおよびBだけからなるデバイスに限定されるべきではない。コンポーネントAおよびBだけからなるデバイスとは、本発明に関しては、そのデバイスに関連するコンポーネントがAおよびBだけであることを意味する。
添付図面と併せて解釈される以下の実施形態の説明を参照することにより、本発明の上記のおよび他の目的ならびに特徴がより明らかになり、本発明自体が最も良く理解される。
ホームアクセスネットワーク内に導入されるセキュリティモジュールを示す図である。
図1に示す電気通信環境に基づく本発明によるデバイスの働きについて、図1に示す様々なブロックの機能上の説明を用いて説明する。この説明に基づき、各ブロックの実用的な実装形態が当業者に明白になり、したがって詳しくは説明しない。さらに、TR−069オブジェクトモデルデバイスを管理する際に使用するセキュリティ方法の働きの原理についてさらに詳細に説明する。
図1は、加入者宅内機器106であるデバイスに結合される、中間ネットワークエンティティ、すなわち住居用ゲートウェイ105に結合される、自動構成サーバACS上のTR−069管理エージェント114を有するアクセスホームネットワークを示す。
管理エージェントTR−069 114は、構成するための手段、すなわちセキュリティ構成モジュール108、関連させるための手段107、および通信手段、すなわち通信モジュール112に命令するための手段113を含む、セキュリティモジュール101を含む。さらに、この管理エージェントTR−069 114は、ビューセレクタモジュール102および通信モジュール112を含む。
加入者宅内機器106は、自らのパラメータに基づいて適用されるビューセレクタモジュール102’、および通信モジュール111を含む。
次いで住居用ゲートウェイ105は、構成されるセキュリティ属性モジュール109および通信モジュール110を含む。
ビューセレクタモジュールにより、加入者宅内機器のオブジェクトモデルのいくつかのパラメータが選択されることを説明する必要がある。この選択は、このCPEiに関連する特定のオブジェクトモデルビューOMViをもたらす。ホームネットワーク内の加入者宅内機器106は、自らのTR−069オブジェクトモデルのパラメータを管理するために、事業者のネットワーク内の自動構成サーバのTR−069管理エージェント114と通信する。管理エージェント114は、加入者宅内機器CPEiのオブジェクトモデルのパラメータを管理/制御する。
この基本理念によれば、生成されるオブジェクトモデルビューOMViが、特定のセキュリティポリシーSPiに関連付けられる。その特定のセキュリティポリシーSPiは、特定の暗号/復号鍵を含む属性を定義する。特定のセキュリティポリシーSPiにオブジェクトモデルビューOMViを関連させることは、管理エージェント114において、セキュリティモジュール101の関連させるための手段107によって実行される。
この関連させることに基づき、セキュリティポリシーSPiの属性が住居用ゲートウェイ上のセキュリティモジュールのセキュリティ構成モジュールによって構成され、すなわちそれらの属性が、住居用ゲートウェイ106の構成されるセキュリティ属性モジュール109上の、セキュリティモジュール101のセキュリティ構成モジュール108に転送され、記憶される。この割り当ては、最初の標準TR−069SSL/TLS構成セッションを使用することにより、セキュリティモジュール101が実行できることを述べておく必要がある。
住居用ゲートウェイ106における構成されるセキュリティ属性モジュールを初期構成した後、後続のTR−069通信セッションを開始することができる。TR−069管理エージェント114の通信モジュール112は、暗号化プロトコルを使用し、CPEiデバイス106および住居用ゲートウェイ105の同様の通信モジュール111および110それぞれと通信する。本出願によれば、この暗号化プロトコルは、構成されるセキュリティ属性に基づき、TR−069管理エージェント114の代わりに中間の住居用ゲートウェイ105が、構成されるセキュリティ属性に基づくこの暗号化プロトコルを使用して、デバイス106の関連するオブジェクトモデルビューOMVi103を制御することを可能にする。
このTR−069管理エージェントは、TR−069管理エージェントと、例えば住居用ゲートウェイ106などのCPEとの間の経路上のネットワーク要素上に特定のセキュリティポリシーを展開する。これらのポリシーの属性、具体的には暗号/復号鍵は、中間ネットワークエンティティが、関連するCPEのオブジェクトモデルビューを制御することを可能にする。事実、中間ネットワークエンティティは、必要なセキュリティポリシーを受信した、CPEのオブジェクトモデルビューのパラメータおよびそのパラメータの値だけを復号する権限を与えられる。同様に、それらのCPEオブジェクトモデルビューのパラメータの値を変更するために、この中間ネットワークエンティティは、オブジェクトモデルビューのセキュリティポリシーに関連する適正な暗号化鍵が必要である。このようにして、ACSから適正なセキュリティポリシーを得たネットワークデバイスだけが、CPEのオブジェクトモデルの特定のビューにアクセスすることができるが、他のオブジェクトモデルビューは、これらのデバイスにとってアクセスできない。
最後の注釈は、本発明の諸実施形態を上記に機能ブロックの観点から説明したことである。上記に示したこれらのブロックの機能上の説明から、よく知られている電子コンポーネントを使いこれらのブロックの諸実施形態をどのように製造できるのかが電子デバイスを設計する当業者に明らかになる。したがって、これらの機能ブロックの中身の詳細なアーキテクチャは示さない。
本発明の諸原理を特定の機器との関連で上記に記載したが、この説明は添付の特許請求の範囲の中で定義する本発明の範囲に対する限定としてではなく、例として行ったに過ぎないことを明確に理解すべきである。

Claims (9)

  1. デバイス(106)のTR−069オブジェクトモデルを管理する際に使用するセキュリティモジュール(101)であって、前記オブジェクトモデルは、資格証明に基づきビューセレクタモジュール(102、107)が選択し、それにより前記デバイス(106)に関連するオブジェクトモデルビュー(103)を定義するための複数のパラメータを含む、セキュリティモジュール(101)において、前記オブジェクトモデルビュー(103)をセキュリティポリシー(104)に関連させるための手段(107)と、中間ネットワークエンティティ(105)上で前記セキュリティポリシー(104)のセキュリティ属性を構成するための手段(108、109)とを含むことを特徴とする、セキュリティモジュール(101)。
  2. 前記関連させるための手段(107)が遠隔管理サーバ(114)上に導入されるようになされることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
  3. 前記中間エンティティ(105)上で前記セキュリティ属性を構成するために、トランスポート層セキュリティ/セキュアソケットレイヤプロトコルを使用することを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
  4. 前記構成されるセキュリティ属性に基づく暗号化プロトコルを使用して、前記デバイス(106)および前記中間ネットワークエンティティ(105)と通信するための手段(112)に命令し、それにより、前記構成されるセキュリティ属性に基づく前記暗号化プロトコルを使用して、前記中間ネットワークエンティティ(105)が前記デバイス(106)の前記関連するオブジェクトモデルビュー(103)を制御することを可能にするための命令手段(113)をさらに含むことを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
  5. 前記暗号化プロトコルが、暗号化されたTR−069オブジェクトモデルメッセージを含む本体部と、前記セキュリティポリシー(SPi)への暗号化されていないリファレンスを含むヘッダー部とを有する、シンプルオブジェクトアクセスプロトコル(SOAP)によって実装されることを特徴とする、請求項4に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
  6. 前記中間ネットワークエンティティ(105)が、住居用ゲートウェイによって実装されることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
  7. 前記デバイスが加入者宅内機器(106)であることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
  8. 前記モジュール(101)が、TR069管理プロトコルに統合されるように構成されることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイスを管理する際に使用するセキュリティモジュール(101)。
  9. TR−069オブジェクトモデルデバイスを管理する際に使用するセキュリティ方法であって、前記オブジェクトモデルは、資格証明に基づきビューセレクタモジュール(102、107)が選択し、それにより前記デバイス(106)に関連するオブジェクトモデルビュー(103)を定義するための複数のパラメータを含む、セキュリティ方法において、前記オブジェクトモデルビュー(103)をセキュリティポリシー(104)に関連させるステップと、中間ネットワークエンティティ(105)上で前記セキュリティポリシー(104)のセキュリティ属性を構成するステップとを含むことを特徴とする、セキュリティ方法。
JP2011538876A 2008-12-02 2009-11-24 Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 Expired - Fee Related JP5537560B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP08291134A EP2194688A1 (en) 2008-12-02 2008-12-02 A module and associated method for TR-069 object management
EP08291134.8 2008-12-02
PCT/EP2009/008428 WO2010063407A1 (en) 2008-12-02 2009-11-24 A module and associated method for tr-069 object management

Publications (2)

Publication Number Publication Date
JP2012510766A true JP2012510766A (ja) 2012-05-10
JP5537560B2 JP5537560B2 (ja) 2014-07-02

Family

ID=40602255

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011538876A Expired - Fee Related JP5537560B2 (ja) 2008-12-02 2009-11-24 Tr−069オブジェクトを管理するためのモジュールおよび関連する方法

Country Status (6)

Country Link
US (1) US8955034B2 (ja)
EP (1) EP2194688A1 (ja)
JP (1) JP5537560B2 (ja)
KR (1) KR101548552B1 (ja)
CN (1) CN101753564B (ja)
WO (1) WO2010063407A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2415065B (en) * 2004-06-09 2009-01-21 Symbian Software Ltd A computing device having a multiple process architecture for running plug-in code modules
EP2141858B1 (en) * 2008-06-30 2014-11-26 Alcatel Lucent Method for managing a communication between a server device and a customer device
FR2951343A1 (fr) * 2009-10-14 2011-04-15 Alcatel Lucent Gestion de dispositif de communication a travers un reseau de telecommunications
US8925039B2 (en) * 2009-12-14 2014-12-30 At&T Intellectual Property I, L.P. System and method of selectively applying security measures to data services
EP2403216B1 (en) * 2010-06-30 2014-03-05 Alcatel Lucent Method for installation of an application
EP2403201A1 (en) * 2010-06-30 2012-01-04 Alcatel Lucent Method for communicating between customer device and server device
CN103116606A (zh) * 2013-01-17 2013-05-22 上海斐讯数据通信技术有限公司 一种数据存储结构
WO2014185639A1 (ko) * 2013-05-15 2014-11-20 주식회사 엔텔스 IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템
KR101447858B1 (ko) * 2013-05-15 2014-10-07 (주)엔텔스 IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템
US10554861B2 (en) 2015-03-05 2020-02-04 Hewlett-Packard Development Company, L.P. Method and device for color compensation
CN104852813B (zh) * 2015-04-08 2018-02-13 烽火通信科技股份有限公司 家庭网关设备中tr069参数节点的按需加载方法及系统
US11038923B2 (en) * 2018-02-16 2021-06-15 Nokia Technologies Oy Security management in communication systems with security-based architecture using application layer security
US11233647B1 (en) * 2018-04-13 2022-01-25 Hushmesh Inc. Digital identity authentication system
US11477072B2 (en) * 2019-09-17 2022-10-18 OpenVault, LLC System and method for prescriptive diagnostics and optimization of client networks
WO2024118060A1 (en) * 2022-11-29 2024-06-06 Rakuten Mobile, Inc. Over-the-air service platform support for tr-069 multiple firmware images and serverless environments

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008271544A (ja) * 2007-04-16 2008-11-06 Chiho Kagi Kofun Yugenkoshi ネットワーク管理システム及びその管理方法
JP2010536295A (ja) * 2007-08-14 2010-11-25 アルカテル−ルーセント Tr−069オブジェクト管理に対するモジュールおよび関連方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1691284A1 (en) * 2005-02-11 2006-08-16 Comptel Corporation Method, system and computer program product for providing access policies for services
CN100596069C (zh) * 2006-08-15 2010-03-24 中国电信股份有限公司 家庭网关中IPSec安全策略的自动配置系统和方法
US8019767B2 (en) * 2007-11-12 2011-09-13 International Business Machines Corporation Correlation-based visualization of service-oriented architecture protocol (SOAP) messages

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008271544A (ja) * 2007-04-16 2008-11-06 Chiho Kagi Kofun Yugenkoshi ネットワーク管理システム及びその管理方法
JP2010536295A (ja) * 2007-08-14 2010-11-25 アルカテル−ルーセント Tr−069オブジェクト管理に対するモジュールおよび関連方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6013025206; Oliver FESTOR et al.: D B3.4 - Specification of Residential Gateway configuration v1.1, 20061110, pp.13-34, MUSE *

Also Published As

Publication number Publication date
US20100138895A1 (en) 2010-06-03
KR101548552B1 (ko) 2015-09-01
JP5537560B2 (ja) 2014-07-02
WO2010063407A1 (en) 2010-06-10
CN101753564B (zh) 2013-09-18
US8955034B2 (en) 2015-02-10
EP2194688A1 (en) 2010-06-09
KR20110092333A (ko) 2011-08-17
CN101753564A (zh) 2010-06-23

Similar Documents

Publication Publication Date Title
JP5537560B2 (ja) Tr−069オブジェクトを管理するためのモジュールおよび関連する方法
CN102265566B (zh) 用于配置用以管理附属于数据流的数据分组的参数的方法
US7346344B2 (en) Identity-based wireless device configuration
KR101471826B1 (ko) Tr―069 오브젝트 관리를 위한 모듈 및 연관된 방법
US10965653B2 (en) Scalable and secure message brokering approach in a communication system
JP2011081809A (ja) ネットワークリソース管理装置
US9313108B2 (en) Flexible and scalable method and apparatus for dynamic subscriber services configuration and management
KR101401799B1 (ko) 디바이스 관리 서비스를 브로드밴드 통신 모듈이 없는전자기기에 제공하는 시스템 및 방법
CN114143788B (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
Van den Abeele et al. Fine-grained management of CoAP interactions with constrained IoT devices
Li Policy-based IPsec management
Rantos et al. Secure policy-based management solutions in heterogeneous embedded systems networks
CN101197708A (zh) 一种网元自动发现和自动配置方法
Chainho et al. Decentralized communications: trustworthy interoperability in peer-to-peer networks
JP2010193192A (ja) アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム
GB2583798A (en) Machine to machine communication
CN105471594B (zh) 管理资源的方法和设备
Stusek et al. A Novel Application of CWMP: An Operator-grade Management Platform for IoT
Schwiderski-Grosche et al. Towards the secure initialisation of a personal distributed environment
CN110995510B (zh) 一种pol中实现voip业务零配置的管理方法和装置
Yamasaki et al. Implementation of a distributed network middleware" CSC" on OSGi frameworks
Game WP1: Requirement Analysis D 1. C:” State of the Art Report”

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120731

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140415

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140425

R150 Certificate of patent or registration of utility model

Ref document number: 5537560

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees