JP2013512625A5 - - Google Patents

Description

いくつかの実施形態では、２つのアプローチは、任意の好適な方法で組み合わせられ得る。例えば、第２のアプローチにおける任意の数のセキュアな通信トンネルが、第１のアプローチのキー確立技法を使用して確立され得る。
本願明細書は、例えば、以下の項目も提供する。
（項目１）
元のデータパケットを含む移動中のデータをセキュア化する方法であって、
セキュアな通信チャネルを確立することと、
前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルの各々は、複数の一意の証明機関のうちの１つによって発行される証明書を使用して確立される、ことと、
多因子秘密共有に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することと、
前記複数のシェアの各々を、前記セキュアな通信トンネルのうちの異なる１つの確立に関連付けられたキーを使用して暗号化することと、
前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちの１つの上で伝送することと
を含む、方法。
（項目２）
前記複数の暗号化されたシェアの各々を伝送することは、その下で、前記複数のセキュアな通信トンネルのうちの１つが確立された、前記複数の一意の証明機関のうちの１つによって発行される前記証明書に関連付けられた前記複数のセキュアな通信トンネルのうちの１つの上で、前記複数の暗号化されたシェアの各々を伝送することをさらに含む、項目１に記載の方法。
（項目３）
前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの上で受信することと、
前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの確立に関連付けられた前記キーに基づいて復号することと、
前記多因子秘密共有に基づいて、前記一式の元のデータパケットを修復することと
をさらに含む、項目１に記載の方法。
（項目４）
証明機関階層を生成することをさらに含み、前記証明機関階層は、一式のルート証明機関を備え、前記複数の一意の証明機関は、前記一式のルート証明機関を含む、項目１に記載の方法。
（項目５）
証明機関階層を生成することをさらに含み、前記証明機関階層は、一式の小証明機関を含み、前記複数の一意の証明機関は、前記一式の小証明機関を含む、項目１に記載の方法。
（項目６）
前記複数のセキュアな通信トンネルの各々は、異なる物理輸送媒体上で確立されている、項目１に記載の方法。
（項目７）
前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記方法はデータ完全性の損失を伴わずに前記元のデータパケットを修復することをさらに含む、項目６に記載の方法。
（項目８）
前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記複数のシェアの一部分は、前記障害を受けた物理輸送媒体上での伝送のために指定され、前記物理輸送媒体のうちの少なくとも１つは、動作可能であり、前記方法は、
前記少なくとも１つの動作可能な物理輸送媒体内に追加のセキュアな通信トンネルを確立することと、
前記追加のセキュアな通信トンネル上で、前記一式の障害を受けた物理輸送媒体のうちの少なくとも１つの上での伝送のために指定された前記複数のシェアの一部分を伝送することと
をさらに含む、項目７に記載の方法。
（項目９）
前記トンネルと前記一意の証明機関との間の関連は、動的である、項目１に記載の方法。
（項目１０）
前記元のデータパケットのうちの各々を複数のシェアに分散することは、Ｎ分のＭ暗号分割に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することをさらに含む、項目１に記載の方法。
（項目１１）
前記複数のシェアは、少なくとも定数のシェアを再結合させることによって前記シェアの少なくとも一部から修復可能である、項目１０に記載の方法。
（項目１２）
前記複数のセキュアな通信トンネルは、トランスポート層セキュリティープロトコルに基づいて確立されている、項目１に記載の方法。
（項目１３）
少なくとも１つの共有暗号化キーを計算する方法であって、
元の秘密情報を生成することと、
一意の証明機関から公開キーを取得することと、
前記秘密情報をシェアに分散することと、
前記シェアのうちの各々を、前記一意の証明機関のうちの異なる１つの前記公開キーに少なくとも部分的に基づいて、暗号化することと
を含み、
前記シェアは、少なくとも定数のシェアを再結合させることによって前記シェアの一部から修復可能である、
方法。
（項目１４）
前記少なくとも定数のシェアを再結合させることと、
再結合されたシェアに基づいてデータを伝送することと
をさらに含む、項目１３に記載の方法。
（項目１５）
一式の乱数を生成することと、
前記一式の乱数および前記元の秘密情報に基づいて、第１の共有暗号化キーを計算することと、
前記一式の乱数および前記再結合されたシェアに基づいて、第２の共有暗号化キーを計算することと、
前記第１および第２の共有暗号化キーに基づいて、データを伝送することと
をさらに含む、項目１４に記載の方法。
（項目１６）
前記第１および第２の共有暗号化キーを比較することと、
比較に基づいて、データを伝送するかどうかを決定することと、
決定に基づいてデータを伝送することと
をさらに含む、項目１５に記載の方法。
（項目１７）
キーラップに基づいて、前記秘密情報のシェアのうちの各々を暗号化することをさらに含む、項目１３に記載の方法。
（項目１８）
前記キーラップは、ワークグループキーに基づいている、項目１７に記載の方法。
（項目１９）
証明機関階層を生成することであって、前記証明機関階層は、ルート証明機関を含む、ことと、
前記証明機関階層の一意のルート証明機関によって発行される証明書に基づいて、前記一式のシェアのうちの各々を暗号化することと
をさらに含む、項目１３に記載の方法。
（項目２０）
証明機関階層を生成することであって、前記証明機関階層は、一式の小証明機関を含む、ことと、
前記証明機関階層の一意の小証明機関によって発行される証明書に基づいて、前記一式のシェアのうちの各々を暗号化することと
をさらに含む、項目１に記載の方法。
（項目２１）
元のデータパケットを含む移動中のデータをセキュア化するためのシステムであって、
前記システムは、処理回路を含む第１のデバイスを含み、前記処理回路は、
セキュアな通信チャネルを確立することと、
前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルの各々は、複数の一意の証明機関のうちの１つによって発行される証明書を使用して確立される、ことと、
多因子秘密共有に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することと、
前記複数のシェアの各々を、前記セキュアな通信トンネルのうちの異なる１つの確立に関連付けられたキーを使用して暗号化することと、
前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちの１つの上で伝送することと
を行うように構成されている、
システム。
（項目２２）
前記処理回路は、その下で、前記複数のセキュアな通信トンネルのうちの１つが確立された、前記複数の一意の証明機関のうちの１つによって発行される前記証明書に関連付けられた前記複数のセキュアな通信トンネルのうちの１つの上で、前記複数の暗号化されたシェアの各々を伝送するようにさらに構成されている、項目２１に記載のシステム。
（項目２３）
処理回路を含む第２のデバイスをさらに含み、前記処理回路は、
前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの上で受信することと、
前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの確立に関連付けられた前記キーに基づいて復号することと、
前記多因子秘密共有に基づいて、前記一式の元のデータパケットを修復することと
を行うようにさらに構成されている、項目２１に記載のシステム。
（項目２４）
前記処理回路は、証明機関階層を生成するようにさらに構成され、前記証明機関階層は、一式のルート証明機関を含み、前記複数の一意の証明機関は、前記一式のルート証明機関を含む、項目２１に記載のシステム。
（項目２５）
前記処理回路は、証明機関階層を生成するようにさらに構成され、前記証明機関階層は、一式の小証明機関を含み、前記複数の一意の証明機関は、前記一式の小証明機関を含む、項目２１に記載のシステム。
（項目２６）
前記複数のセキュアな通信トンネルの各々は、異なる物理輸送媒体上で確立されている、項目２１に記載のシステム。
（項目２７）
前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記方法は、データ完全性の損失を伴わずに前記元のデータパケットを修復することをさらに含む、項目２６に記載のシステム。
（項目２８）
前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記複数のシェアの一部分は、前記障害を受けた物理輸送媒体上での伝送のために指定され、前記物理輸送媒体のうちの少なくとも１つは、動作可能であり、前記処理回路は、
前記少なくとも１つの動作可能な物理輸送媒体内に追加のセキュアな通信トンネルを確立することと、
前記追加のセキュアな通信トンネル上で、前記一式の障害を受けた物理輸送媒体のうちの前記少なくとも１つの上での伝送のために指定された前記複数のシェアの一部分を伝送することと
を行うようにさらに構成されている、項目２７に記載のシステム。
（項目２９）
前記トンネルと前記一意の証明機関との間の関連は、動的である、項目２１に記載のシステム。
（項目３０）
前記処理回路は、Ｎ分のＭ暗号分割に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することによって、前記元のデータパケットのうちの各々を複数のシェアに分散するようにさらに構成されている、項目２１に記載のシステム。
（項目３１）
前記複数のシェアは、少なくとも定数の前記シェアを再結合させることによって前記シェアの少なくとも一部から修復可能である、項目３０に記載のシステム。
（項目３２）
前記複数のセキュアな通信トンネルは、トランスポート層セキュリティープロトコルに基づいて確立されている、項目２１に記載のシステム。
（項目３３）
少なくとも１つの共有暗号化キーを計算するためのシステムであって、
前記システムは、第１の処理回路を含む第１のデバイスを含み、前記第１の処理回路は、
元の秘密情報を生成することと、
一意の証明機関から公開キーを取得することと、
前記秘密情報をシェアに分散することと、
前記シェアのうちの各々を、前記一意の証明機関のうちの異なる１つの前記公開キーに少なくとも部分的に基づいて、暗号化することと
を行うように構成され、
前記シェアは、少なくとも定数のシェアを再結合させることによって前記シェアの一部から修復可能である、
システム。
（項目３４）
第２の処理回路を含む第２のデバイスを含み、前記第２の処理回路は、
前記少なくとも定数のシェアを再結合させることと、
再結合されたシェアに基づいてデータを伝送することと
を行うように構成されている、
項目３３に記載のシステム。
（項目３５）
前記第１の処理回路は、第１組の乱数を生成するようにさらに構成され、前記第２の処理回路は、第２組の乱数を生成するようにさらに構成されている、項目３４に記載のシステム。
（項目３６）
前記第１の処理回路は、前記第１および第２組の乱数および前記元の秘密情報に基づいて、第１の共有暗号化キーを計算するようにさらに構成され、前記第２の処理回路は、前記第１および第２組の乱数および前記再結合されたシェアに基づいて、第２の共有暗号化キーを計算するようにさらに構成され、前記第１および第２の処理回路は、前記第１および第２の共有暗号化キーに基づいて、データを伝送するようにさらに構成されている、項目３５に記載のシステム。
（項目３７）
前記第１の処理回路は、
前記第１および第２の共有暗号化キーを比較することと、
比較に基づいて、データを伝送するかどうかを決定することと、
決定に基づいてデータを伝送することと
を行うようにさらに構成されている、項目３６に記載のシステム。
（項目３８）
前記第１の処理回路は、キーラップに基づいて、前記秘密情報のシェアのうちの各々を暗号化するようにさらに構成されている、項目３３に記載のシステム。
（項目３９）
前記キーラップは、ワークグループキーに基づいている、項目３８に記載のシステム。
（項目４０）
前記第１の処理回路は、
証明機関階層を生成することであって、前記証明機関階層は、ルート証明機関を含む、ことと、
前記証明機関階層の一意のルート証明機関によって発行される証明書に基づいて、前記一式のシェアのうちの各々を暗号化することと
を行うようにさらに構成されている、項目３３に記載のシステム。
（項目４１）
前記第１の処理回路は、
証明機関階層を生成することであって、前記証明機関階層は、一式の小証明機関を含む、ことと、
前記証明機関階層の一意の小証明機関によって発行される証明書に基づいて、前記一式のシェアのうちの各々を暗号化することと
を行うようにさらに構成されている、項目３３に記載のシステム。

Claims (37)

1. 元のデータパケットを含む移動中のデータをセキュア化する方法であって、前記方法は、
   セキュアな通信チャネルを確立することと、
   前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルは、複数の一意の証明機関によって発行される証明書を使用して確立される、ことと、
   多因子秘密共有に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することと、
   前記複数のシェアの各々を、前記セキュアな通信トンネルのうちの異なる１つの確立に関連付けられたキーを使用して暗号化することと、
   前記複数の暗号化されたシェアを、前記複数のセキュアな通信トンネルのうちの１つ以上の上で伝送することと
   を含む、方法。
2. 前記複数の暗号化されたシェアを伝送することは、それぞれの暗号化されたシェアを暗号化するために使用されたキーを使用して確立されたセキュアな通信トンネル上で各暗号化されたシェアを伝送することを含む、請求項１に記載の方法。
3. 前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの上で受信することと、
   前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの確立に関連付けられた前記キーに基づいて復号することと、
   前記多因子秘密共有に基づいて、前記一式の元のデータパケットを修復することと
   をさらに含む、請求項１に記載の方法。
4. 証明機関階層を生成することをさらに含み、前記証明機関階層は、一式のルート証明機関を備え、前記複数の一意の証明機関は、前記一式のルート証明機関を含む、請求項１に記載の方法。
5. 証明機関階層を生成することをさらに含み、前記証明機関階層は、一式の小証明機関を含み、前記複数の一意の証明機関は、前記一式の小証明機関を含む、請求項１に記載の方法。
6. 前記複数のセキュアな通信トンネルの各々は、異なる物理輸送媒体上で確立されている、請求項１に記載の方法。
7. 前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記方法はデータ完全性の損失を伴わずに前記元のデータパケットを修復することをさらに含む、請求項６に記載の方法。
8. 前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記複数のシェアの一部分は、前記障害を受けた物理輸送媒体上での伝送のために指定され、前記物理輸送媒体のうちの少なくとも１つは、動作可能であり、前記方法は、
   前記少なくとも１つの動作可能な物理輸送媒体内に追加のセキュアな通信トンネルを確立することと、
   前記追加のセキュアな通信トンネル上で、前記一式の障害を受けた物理輸送媒体のうちの少なくとも１つの上での伝送のために指定された前記複数のシェアの一部分を伝送することと
   をさらに含む、請求項７に記載の方法。
9. 前記トンネルと前記一意の証明機関との間の関連は、動的である、請求項１に記載の方法。
10. 前記元のデータパケットのうちの各々を複数のシェアに分散することは、Ｎ分のＭ暗号分割に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することをさらに含む、請求項１に記載の方法。
11. 前記複数のシェアは、少なくとも定数のシェアを再結合させることによって前記シェアの少なくとも一部から修復可能である、請求項１０に記載の方法。
12. 前記複数のセキュアな通信トンネルは、トランスポート層セキュリティープロトコルに基づいて確立されている、請求項１に記載の方法。
13. 証明機関階層を生成することであって、前記証明機関階層は、一式の小証明機関を含む、ことと、
    前記証明機関階層の一意の小証明機関によって発行される証明書に基づいて、前記一式のシェアのうちの各々を暗号化することと
    をさらに含む、請求項１に記載の方法。
14. 前記複数の暗号化されたシェアを伝送することは、前記複数のセキュアな通信トンネルのうちの同じ１つの上で前記複数のシェアのうちの２つ以上を伝送することを含む、請求項１に記載の方法。
15. 前記複数の暗号化されたシェアを伝送することは、前記複数のセキュアな通信トンネルのうちの１つの上で前記複数のシェアの各々を伝送することを含み、各シェアは、それぞれのシェアを暗号化するために使用されたキーに対応するトンネルとは異なるセキュアな通信トンネル上で伝送される、請求項１に記載の方法。
16. 前記複数の暗号化されたシェアを伝送することは、前記複数のセキュアな通信トンネルのうちの異なる１つの上で前記複数の暗号化されたシェアの各々を伝送することを含む、請求項１に記載の方法。
17. 前記複数の暗号化されたシェアを伝送することは、前記複数のセキュアな通信トンネル上で前記複数のシェアを伝送することを含み、前記複数の暗号化されたシェアのうちの少なくとも２つは、同じトンネル上で伝送される、請求項１に記載の方法。
18. 前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルは、複数の一意の証明機関によって発行される証明書を使用して確立される、ことは、前記セキュアな通信トンネルの各々を確立するために前記証明機関のうちの異なる１つを使用して前記複数のセキュアな通信トンネルを確立することを含む、請求項１に記載の方法。
19. 前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルは、複数の一意の証明機関によって発行される証明書を使用して確立される、ことは、前記セキュアな通信トンネルのうちの少なくとも２つ、ただし全部より少ない数を確立するために証明書のうちの同じ１つを使用して前記複数のセキュアな通信トンネルを確立することを含む、請求項１に記載の方法。
20. 元のデータパケットを含む移動中のデータをセキュア化するためのシステムであって、
    前記システムは、処理回路を含む第１のデバイスを含み、前記処理回路は、
    セキュアな通信チャネルを確立することと、
    前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルは、複数の一意の証明機関によって発行される証明書を使用して確立される、ことと、
    多因子秘密共有に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することと、
    前記複数のシェアの各々を、前記セキュアな通信トンネルのうちの異なる１つの確立に関連付けられたキーを使用して暗号化することと、
    前記複数の暗号化されたシェアを、前記複数のセキュアな通信トンネルのうちの１つ以上の上で伝送することと
    を行うように構成されている、
    システム。
21. 前記処理回路は、それぞれのシェアを暗号化するために使用されたキーを使用して確立されたセキュアな通信トンネル上で各暗号化されたシェアを伝送することによって前記複数の暗号化されたシェアを伝送するように構成されている、請求項２０に記載のシステム。
22. 処理回路を含む第２のデバイスをさらに含み、前記処理回路は、
    前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの上で受信することと、
    前記複数の暗号化されたシェアの各々を、前記複数のセキュアな通信トンネルのうちのそれぞれの１つの確立に関連付けられた前記キーに基づいて復号することと、
    前記多因子秘密共有に基づいて、前記一式の元のデータパケットを修復することと
    を行うようにさらに構成されている、請求項２０に記載のシステム。
23. 前記処理回路は、証明機関階層を生成するようにさらに構成され、前記証明機関階層は、一式のルート証明機関を含み、前記複数の一意の証明機関は、前記一式のルート証明機関を含む、請求項２０に記載のシステム。
24. 前記処理回路は、証明機関階層を生成するようにさらに構成され、前記証明機関階層は、一式の小証明機関を含み、前記複数の一意の証明機関は、前記一式の小証明機関を含む、請求項２０に記載のシステム。
25. 前記複数のセキュアな通信トンネルの各々は、異なる物理輸送媒体上で確立されている、請求項２０に記載のシステム。
26. 前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記方法は、データ完全性の損失を伴わずに前記元のデータパケットを修復することをさらに含む、請求項２５に記載のシステム。
27. 前記物理輸送媒体のうちの少なくとも１つは、ネットワーク障害を体験し、前記複数のシェアの一部分は、前記障害を受けた物理輸送媒体上での伝送のために指定され、前記物理輸送媒体のうちの少なくとも１つは、動作可能であり、前記処理回路は、
    前記少なくとも１つの動作可能な物理輸送媒体内に追加のセキュアな通信トンネルを確立することと、
    前記追加のセキュアな通信トンネル上で、前記一式の障害を受けた物理輸送媒体のうちの前記少なくとも１つの上での伝送のために指定された前記複数のシェアの一部分を伝送することと
    を行うようにさらに構成されている、請求項２６に記載のシステム。
28. 前記トンネルと前記一意の証明機関との間の関連は、動的である、請求項２０に記載のシステム。
29. 前記処理回路は、Ｎ分のＭ暗号分割に基づいて、前記元のデータパケットのうちの各々を複数のシェアに分散することによって、前記元のデータパケットのうちの各々を複数のシェアに分散するようにさらに構成されている、請求項２０に記載のシステム。
30. 前記複数のシェアは、少なくとも定数の前記シェアを再結合させることによって前記シェアの少なくとも一部から修復可能である、請求項２９に記載のシステム。
31. 前記複数のセキュアな通信トンネルは、トランスポート層セキュリティープロトコルに基づいて確立されている、請求項２０に記載のシステム。
32. 前記処理回路は、前記複数のセキュアな通信トンネルのうちの同じ１つの上で前記複数のシェアを伝送することによって前記複数の暗号化されたシェアを伝送するようにさらに構成されている、請求項２０に記載のシステム。
33. 前記処理回路は、前記複数のセキュアな通信トンネルのうちの１つの上で前記複数のシェアの各々を伝送することによって前記複数の暗号化されたシェアを伝送するようにさらに構成され、各シェアは、それぞれのシェアを暗号化するために使用されたキーに対応するトンネルとは異なるセキュアな通信トンネル上で伝送される、請求項２０に記載のシステム。
34. 前記処理回路は、前記複数のセキュアな通信トンネルのうちの異なる１つの上で前記複数のシェアの各々を伝送することによって前記複数の暗号化されたシェアを伝送するようにさらに構成されている、請求項２０に記載のシステム。
35. 前記処理回路は、前記複数のセキュアな通信トンネル上で前記複数のシェアを伝送することによって前記複数の暗号化されたシェアを伝送するようにさらに構成され、前記複数の暗号化されたシェアのうちの少なくとも２つは、同じトンネル上で伝送される、請求項２０に記載のシステム。
36. 前記処理回路は、前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルは、前記セキュアな通信トンネルの各々を確立するために前記証明機関のうちの異なる１つを使用して前記複数のセキュアな通信トンネルを確立することによって、複数の一意の証明機関によって発行される証明書を使用して確立される、ことを実行するようにさらに構成される、請求項２０に記載のシステム。
37. 前記処理回路は、前記セキュアな通信チャネル内で複数のセキュアな通信トンネルを確立することであって、前記複数のセキュアな通信トンネルは、前記セキュアな通信トンネルのうちの少なくとも２つ、ただし全部より少ない数を確立するために証明書のうちの同じ１つを使用して前記複数のセキュアな通信トンネルを確立することによって、複数の一意の証明機関によって発行される証明書を使用して確立される、ことを実行するようにさらに構成される、請求項２０に記載のシステム。