JP2017535871A - Autonomous system and method for secure access - Google Patents
Autonomous system and method for secure access Download PDFInfo
- Publication number
- JP2017535871A JP2017535871A JP2017525379A JP2017525379A JP2017535871A JP 2017535871 A JP2017535871 A JP 2017535871A JP 2017525379 A JP2017525379 A JP 2017525379A JP 2017525379 A JP2017525379 A JP 2017525379A JP 2017535871 A JP2017535871 A JP 2017535871A
- Authority
- JP
- Japan
- Prior art keywords
- autonomous
- security
- source
- processor
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
Abstract
少なくとも1つのセキュリティプロセッサを含む保護下のデバイスにおいて、安全なリソースにアクセスすることを求める電子デバイスからの少なくとも1つの電子証明を受信することによって、安全な電子アクセスが提供されてもよく、少なくとも1つの証明は、電子デバイスのセキュリティに関連するデバイス情報を提供し、自律的なシステムの少なくとも1つの自律的なプロセッサで、デバイス情報をセキュリティ要件情報と比較する。少なくとも1つの自律的なプロセッサは、デバイス情報がセキュリティ要件情報を満たすとき、少なくとも1つのセキュリティプロセッサに、安全なリソースをデバイスに提供するように命令してもよい。保護下のデバイスは、命令に応答して、安全なリソースを電子デバイスに提供してもよい。Secure electronic access may be provided by receiving at least one electronic certificate from an electronic device seeking access to a secure resource at a protected device that includes at least one security processor, and at least one One proof provides device information related to the security of the electronic device and compares the device information with the security requirement information at at least one autonomous processor of the autonomous system. The at least one autonomous processor may instruct the at least one security processor to provide secure resources to the device when the device information satisfies the security requirement information. The protected device may provide secure resources to the electronic device in response to the instructions.
Description
本開示は、2014年11月11日に出願された「安全な電子システムアクセスのための自律的なシステム」と題された米国仮特許出願番号第62/078,137からの優先権を主張しており、その全体が、参照によってここに組み込まれる。本開示はまた、2014年10月24日に出願された米国特許出願番号第14/523,577、及び2015年2月27日に出願された米国特許出願番号第14/634,562を、それらの全体において、参照によって、ここに組み込んでいる。 This disclosure claims priority from US Provisional Patent Application No. 62 / 078,137, filed November 11, 2014, entitled “Autonomous System for Secure Electronic System Access”. Which is hereby incorporated by reference in its entirety. This disclosure also includes US patent application Ser. No. 14 / 523,577 filed Oct. 24, 2014, and US Patent Application No. 14 / 634,562 filed Feb. 27, 2015. Are incorporated herein by reference in their entirety.
電子的システム、機械的システム、化学的システム、及び生物学的システムは、破局故障へとつながることがある状態又は状態のシーケンスを有しているかもしれない。そのような致命的な状態は、内部の自然な力、外部の偶発的な力、又は外部の意図的に敵意のある力から生じることがある。産業システムにおいて、遠隔制御及び監視下で作動するデバイス又はシステムは、誤動作、ユーザエラー、又は、悪意のある動作もしくは敵意のある動作の結果として、制御システムによって許容されることがある既知の有害な状態を有しているかもしれない。作動するデバイスは、そのようなコマンド又は限度外の信号を受け入れて実行するかもしれず、関連するシステム全体が、そのような誘導される状態から、害され、劣化させられ、又は破壊させられる。例えば、誘導される有害なシステム状態は、高速過ぎる又は低速過ぎるプロセススピードや、開き過ぎている又は閉まり過ぎているバルブや、あるいは、高過ぎる又は低過ぎる圧力又は温度である。多くのデバイスは、これらの限度外の動作を物理的又は電子的に阻止するための、それら自身の内部安全装置を欠いているかもしれない。 Electronic systems, mechanical systems, chemical systems, and biological systems may have a state or sequence of states that can lead to catastrophic failure. Such fatal conditions can arise from internal natural forces, external accidental forces, or external intentional hostile forces. In industrial systems, devices or systems operating under remote control and monitoring are known harmful that may be tolerated by the control system as a result of malfunctions, user errors, or malicious or hostile operations. May have a state. A working device may accept and execute such commands or out-of-limit signals, and the entire associated system is harmed, degraded, or destroyed from such induced conditions. For example, the harmful system conditions that are induced are process speeds that are too fast or too slow, valves that are too open or too closed, or pressures or temperatures that are too high or too low. Many devices may lack their own internal safety devices to physically or electronically prevent operation outside these limits.
ここで説明するシステム及び方法は、システムに重要なコンポーネントを保護するために、ビジネスルール及び/又はセキュリティルールにしたがって入力信号及び/又は出力信号を監視して修正又はブロックすることができる自律的な制御を提供する。望ましくないシステム影響を最小化するため、又は阻止するために、信号の修正及び/又はブロックにより、確実に、デバイス間及びデバイス内あるいはシステム間及びシステム内での限度外の接続状態が生じないようにするか、あるいは、取るに足らない時間量の間のみ生じるようにするかのいずれかにするかもしれない。(接続状態は、物理レイヤレベルでの特定の瞬間における、2つ以上のデバイス又はシステムの間の任意の監視される信号レベル又はコマンドであるかもしれない。物理レイヤは、例えば、デバイス又はシステムの、生信号が転送される最も低いハードウェイアレイヤである。)ルールに違反する信号が検出されたときに、自律的な制御システム(例えば、回路)は、信号を内部でスイッチオフすることによって、違反する信号をブロックすることができる。代わりに、回路は信号を送らなくてもよく、又は、自律的な制御システムによる保護下の任意のデバイス(DUP)又はシステムである保護システムに、フェールセーフ信号を送ってもよい。回路は、例えば、システムアップグレードに設計することによって、又は、システムに後付けすることによって、レガシーシステムとともに使用するために構成することができる。 The systems and methods described herein are autonomous capable of monitoring and modifying or blocking input and / or output signals in accordance with business rules and / or security rules to protect components critical to the system. Provide control. In order to minimize or prevent unwanted system effects, signal modifications and / or blocks ensure that no out-of-limit connection conditions occur between devices and within devices or between systems and systems. Or may only occur during a negligible amount of time. (A connection state may be any monitored signal level or command between two or more devices or systems at a particular moment at the physical layer level. , Is the lowest hardway layer where the raw signal is transferred.) When a signal that violates the rule is detected, the autonomous control system (eg, circuit) switches off the signal internally, Violated signals can be blocked. Alternatively, the circuit may not send a signal or may send a fail-safe signal to a protection system that is any device (DUP) or system protected by an autonomous control system. The circuit can be configured for use with legacy systems, for example, by designing for system upgrades, or retrofitting the system.
いくつかの実施形態において、自律的な制御は、量子セキュリティモデル(QSM)に基づいてもよい。QSMは、セキュリティ測定と比較方法論である。QSMは、首尾一貫した方法で、システムを分類して主コンポーネントを評価することの正規化方法論を提供してもよく、これは、より正確に理解されて測定されるための相互依存を可能にしてもよい。QSMは、定量化できるスコアに対する主コンポーネントの、結果として生じる評価を正規化するための方法を提供してもよい。QSMは、リソース所有者が、彼らが識別して受け入れるオーソリティを評価する(サインする)ものを特定できるようにしてもよい。QSM方法は、システム又はデバイスの、現在及び見込みの将来のセキュリティ状態の両方を評価するのに使用されてもよい。QSMは、個々のリソース所有者が、アクセスを許可する前に、アセットのセキュリティスコアを特定してベリファイ(verify)できるようにしてもよい。QSMは、リソース又はサービスを共有する前に、互いに相互にオーセンティケートする計算能力を有するアセットを可能にしてもよい。 In some embodiments, autonomous control may be based on a quantum security model (QSM). QSM is a security measurement and comparison methodology. QSM may provide a normalized methodology for classifying systems and evaluating key components in a consistent manner, which allows interdependence to be more accurately understood and measured. May be. The QSM may provide a method for normalizing the resulting assessment of the main component against a score that can be quantified. The QSM may allow resource owners to identify what evaluates (signs) the authorities they identify and accept. The QSM method may be used to evaluate both the current and potential future security status of the system or device. QSM may allow individual resource owners to identify and verify asset security scores before granting access. QSM may allow assets that have the computing power to authenticate each other before sharing resources or services.
QSMにおいて、一般的な測定は、デバイス、システム、又はエンティティ(「アセット」)上で行われる評価プロセスを通して到達されるかもしれず、ここにおいて、承諾済みの、再生可能な、独立してベリファイ可能なセキュリティレベル決定が望まれる。(「qS」)と記号で表されて、(「qSec」)と発音される量子セキュリティ単位は、QSMに基づいたシステムのセキュリティに対する測定の標準単位であってもよい。qSecは、観測者によって測定が行われる瞬間に、これがせいぜい推定され、最もよく知られているだけであるような、量子物理学における粒子の位置に類似した時間的な値であってもよい。測定後、経時的に劣化する正確さにより、粒子の位置は、見込みに基づいて決定されるだけであるかもしれない。qSecは、量子測定であり、この特徴を共有してもよい。システムは、セキュリティの見地から、波状システムとして見られてもよく、量子力学の法則が適用され得ることが仮定されてもよい。システムのセキュリティは、そのシステムの特性である。システムの通常の機能及び動作に沿った時間の経過と、その環境は、システムのセキュリティにすべて影響を与え得る。結果として、システムのセキュリティは、動的であってもよく、セキュリティの既知の状態は、生来、一過性であってもよい。したがって、システムは波状システムとして、及び、システムセキュリティは量子特性として表されてもよい。粒子の位置と同様に、システムのセキュリティは、測定に対して量子力学法則を使用して、定量化して規定されてもよい。測定結果は、量子セキュリティ単位で表されたセキュリティ測定を提供してもよく、ここにおいて、ゼロの値は、システムにおける任意のセキュリティの完全な欠如を表し、増大する値は、より高いセキュリティを示す。 In QSM, general measurements may be reached through an evaluation process performed on a device, system, or entity (“asset”), where it is accepted, reproducible, and independently verifiable. Security level determination is desired. The quantum security unit represented by the symbol (“qS”) and pronounced (“qSec”) may be a standard unit of measurement for security of systems based on QSM. qSec may be a temporal value similar to the position of a particle in quantum physics, such that it is at best estimated and best known at the moment when the measurement is made by the observer. With accuracy that degrades over time after the measurement, the location of the particles may only be determined based on the likelihood. qSec is a quantum measurement and may share this feature. The system may be viewed as a wavy system from a security perspective, and it may be assumed that the laws of quantum mechanics can be applied. System security is a characteristic of the system. The passage of time along with the normal function and operation of the system and its environment can all affect the security of the system. As a result, the security of the system may be dynamic and the known state of security may be transient in nature. Thus, the system may be represented as a wavy system and system security as a quantum property. Similar to the location of the particles, the security of the system may be quantified and defined using quantum mechanics laws for the measurements. The measurement result may provide a security measure expressed in quantum security units, where a value of zero represents a complete lack of any security in the system and an increasing value indicates higher security .
1つのqSecが表す値は、システムセキュリティ測定プロセスの間に評価されることになる基準から導出されてもよい。各基準は、セキュリティに対するそれらのインパクトに関連した共通の値範囲を有してもよい。また、各基準は、その範囲内で結果を生成する、関係付けられた評価プロセスを有し得る。基準重み付け方法が、各基準に適用されてもよく、共通の値範囲は、qSecにおいて表示される、量子セキュリティ測定が表すものに対するセキュリティ値スケールとなってもよい。例えば、qSec値は、行列力学における固有値を表し得る。異なる時間の期間における異なる測定者が、彼らの見地に依存して、違ったふうに、この値を理論的に解釈してもよく、彼ら自身の見込みのフィルタをqSec値に適用するか、又は、システムのqSec値を決定するために、彼ら自身の測定プロセスを行うことを望んでもよい。したがって、システムセキュリティを類別するとき、有意義な方法でqSec測定を利用するために、値が予め決定されてもよい。予め決定することは、自動的に行われてもよく、ユーザによって設定されてもよく、及び/又は、システム初期化において又はシステム初期化以前に設定されてもよい。 The value represented by one qSec may be derived from criteria that will be evaluated during the system security measurement process. Each criterion may have a common value range associated with their impact on security. Each criterion may also have an associated evaluation process that produces results within that range. A reference weighting method may be applied to each reference, and the common value range may be a security value scale for what the quantum security measurement represents, displayed in qSec. For example, the qSec value may represent an eigenvalue in matrix dynamics. Different measurers at different time periods may interpret this value theoretically differently, depending on their point of view, applying their own likelihood filter to the qSec value, or They may wish to perform their own measurement process to determine the qSec value of the system. Thus, when categorizing system security, a value may be predetermined in order to utilize qSec measurements in a meaningful way. Predetermining may be done automatically, may be set by the user, and / or may be set at or prior to system initialization.
ここで説明するシステム及び方法は、プロセッサと呼ばれることもある1つ以上のコンピュータを備えている。コンピュータは、算術演算及び/又は論理演算を実行可能な、任意のプログラム可能な1つ以上の機械であるかもしれない。いくつかの実施形態において、コンピュータは、プロセッサ、メモリ、データ記憶デバイス、ならびに/あるいは、他の一般的に知られているコンポーネント又は新しいコンポーネントを備えている。これらのコンポーネントは、物理的に接続されていてもよく、あるいは、ネットワーク又はワイヤレスリンクを通して接続されていてもよい。コンピュータは、上述したコンポーネントの動作を指示することができるソフトウェアも備えているかもしれない。コンピュータは、サーバ、PC、移動体デバイス、ルータ、スイッチ、データセンタ、分散コンピュータ、及び他の用語のような、当業者によって一般的に使用される用語で呼んでもよい。コンピュータは、ユーザ及び/又は他のコンピュータの間の通信を容易にし、データベースを提供し、データの解析及び/又は変換を実行し、ならびに/あるいは、他の機能を実行する。ここで使用するこれらの用語が交換可能であり、説明する機能を実行することができる任意のコンピュータを使用してもよいことが、当業者によって理解されるだろう。コンピュータは、1つ以上のネットワークを介して互いにリンクされていてもよい。ネットワークは、完全に又は部分的に相互接続されている任意の複数のコンピュータであるかもしれず、コンピュータのいくつか又はすべてが互いに通信することができる。コンピュータ間の接続が、いくつかのケースにおいては(例えば、イーサネット(登録商標)、同軸、光学、又は他のワイヤードの接続を介した)ワイヤードであってもよく、あるいは、(例えば、Wi−Fi(登録商標)、WiMax(登録商標)、4G、又は他のワイヤレスの接続を介した)ワイヤレスであってもよいことが、当業者によって理解されるだろう。コンピュータ間の接続は、TCPのような接続指向のプロトコル、又は、UDPのような無接続のプロトコルを含む、任意のプロトコルを使用してもよい。それを通して少なくとも2つのコンピュータがデータを交換することができる任意の接続を、ネットワークの基礎とすることができる。 The systems and methods described herein include one or more computers, sometimes referred to as processors. A computer may be any programmable one or more machines capable of performing arithmetic and / or logical operations. In some embodiments, the computer comprises a processor, memory, data storage device, and / or other commonly known or new components. These components may be physically connected or may be connected through a network or wireless link. The computer may also include software that can direct the operation of the components described above. A computer may be referred to in terms commonly used by those skilled in the art, such as server, PC, mobile device, router, switch, data center, distributed computer, and other terms. The computer facilitates communication between users and / or other computers, provides a database, performs data analysis and / or transformation, and / or performs other functions. It will be understood by those skilled in the art that these terms used herein are interchangeable and any computer capable of performing the functions described may be used. The computers may be linked to each other via one or more networks. A network may be any plurality of computers that are fully or partially interconnected, and some or all of the computers can communicate with each other. The connection between computers may be wired in some cases (eg, via Ethernet, coaxial, optical, or other wired connections), or (eg, Wi-Fi). It will be appreciated by those skilled in the art that it may be wireless (via a registered trademark, WiMax®, 4G, or other wireless connection). The connection between the computers may use any protocol including a connection-oriented protocol such as TCP or a connectionless protocol such as UDP. Any connection through which at least two computers can exchange data can be the basis of a network.
いくつかの実施形態において、記述されたシステム及び方法において使用されるコンピュータは、特に、自律的なセキュリティに対して構成された特殊目的コンピュータであってもよい。例えば、サーバは、特殊化されたプロセッサ、メモリ、通信コンポーネント等に装備されてもよく、これらは一緒に働いて、以下でさらに詳細に記述される電子システムを自律的に安全にすることに関連する機能を実行するように構成される。 In some embodiments, the computer used in the described system and method may be a special purpose computer configured specifically for autonomous security. For example, the server may be equipped with specialized processors, memory, communication components, etc., that work together to make the electronic system described in more detail below autonomously secure. Configured to perform functions.
図1は、保護システム2100を図示している。保護システム2100は、入力デバイス2102と通信することができる。入力デバイス2102は、保護システム2100に信号を送り、及び/又は、保護システム2100から信号を受け取る。入力デバイスは、例えば、アナログ又はデジタルの信号ポート、制御ノブ、タッチディスプレイ、キーボード、マウス、及び/又は、他の何らかの周辺デバイスである。入力デバイス2102はまた、保護システム2100又はネットワーク上のデバイスに対するホストデバイスであってもよい。専用の監視及びアクションデバイス(DMAD)と呼ぶことがある自律的な制御システム2104は、入力デバイス2102と保護システム2100との間に直列に、及び/又は、入力デバイス2102及び保護システム2100と並列に位置付けられている。下記でより詳細に説明するように、自律的な制御システム2104のさまざまな実施形態は、ソフトウェアを実行するように構成されている電子回路、プロセッサ及びメモリ、あるいは、それらを組み合わせたものを備えている。自律的な制御システム2104は、(例えば、暗号化能力及び改竄防止能力を含み)内部で安全であるかもしれない。自律的な制御システム2104はまた、入力デバイス/ホスト102と保護システム2100との間のデータ接続と、データフローの両方の方向において直列に又は並列に現されてもよく、自律的な制御システム2104は、保護システム2100に到来する入力信号と、保護システム2100から到来する出力信号とを監視することができる。
FIG. 1 illustrates a
いくつかの実施形態において、自律的な制御システム2104は、ルールを実施するための決定論的なレースコンディションを作成する。決定論的なレースコンディションは、注入される信号と到来する信号との間の意図的に誘導されるレースコンディションであってもよく、注入される信号のみが出力に影響を及ぼすだろう高いレベルの確実性が存在する。保護システム2100への又は保護システム2100からのデータバス上にルールに違反する信号が現れるときに、自律的な制御システム2104が、違反を検出するようにレースし、直列にインタフェースされている場合には内部で信号をスイッチオフしてフェールセーフ信号に置換し、あるいは、並列にインタフェースされている場合には信号を修正しようと試行するかもしれない。到来信号及び/又は送出信号をバッファリングして、より多くの検出時間を提供し、検証(validate)された信号のみが自律的な制御システム2104によって保護システム2100に送信され逆もまた同様であることを保証してもよい。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、シリコンダイオンダイ、集積回路パッケージオンパッケージ、モジュール化システムモジュールオンモジュール、光ファイバ、無線周波数、ワイヤ、プリント回路基板のトレース、量子エンタングルメント、又は、分子、熱、原子、もしくは化学的な接続のようなさまざまな方法で、保護システム2100中に物理的に現されていてもよい、あるいは、保護システム2100又は制御デバイスに物理的に接続されていてもよい。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、1つ以上のデバイス又はシステム(例えば、入力デバイス2102と保護システム2100)の間で直列に、並列に、又は直列と並列との両方で接続する物理インタフェースを備えている。各物理接続のタイプは、有機、電子、又は無線周波数のような、所定のアプリケーション及びシステムタイプに対する異なるセットの設計の考慮事項及びトレードオフを有しているかもしれない。例えば、電子システムでは、接続方法を決定するために、電圧インタフェースレベル、信号完全性、駆動力、改竄防止、及び/又は、誘導される伝播遅延が評価される。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、特有のセキュリティルール及びビジネスルールをホストシステム又はデバイス上で自律的に実施するように設計されている、プログラムされている、及び位置付けられている、暗号化されたメモリ記憶機能と改竄防止機能とを有するコンピュータシステムである。自律的な制御システム2104は、処理論理、メモリ記憶装置、入力/出力バッファ、通信ポート、及び/又は再プログラミングポートのようなコンポーネントを備えているかもしれない。自律的な制御システム2104は、任意の数のデバイス又はシステムの間の接続状態をリアルタイムで絶えず解析することができ、予め定義されたビジネスルール及びセキュリティルールを実施することができる。限度外の状態が検出されたときに、自律的な制御システム2104は、禁止された接続状態をブロックする、無効にする、又は既知の良好な状態に変更することができる。類似する方法を、例えば、電気、光学、電子機械、電磁気、熱、生物、化学、分子、重力、原子、又は量子機械のシステムに適用することができる。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、刺激に決定論的に応答して自律的に挙動するようにプログラムできるプログラム可能デバイスを備えている。例えば、自律的な制御システム2104は、フィールドプログラム可能ゲートアレイ(FPGA)、マイクロ制御装置(MCU)、マイクロプロセッサ(MPU)、ソフトウェア定義無線、電気光学デバイス、量子計算デバイス、有機化合物、プログラム可能な素材、又はプログラム可能生物学的ウイルスを備えている。自律的な制御システム2104は、保護システム2100に直接接続されていてもよく、又は、保護システム2100上で動作する1つ以上の制御デバイスに接続されていてもよい。自律的な制御システム2104は、例えば、シリコンダイオンダイ、集積回路パッケージオンパッケージ、モジュール化システムモジュールオンモジュール、光ファイバ、無線周波数、ワイヤ、プリント回路基板のトレース、量子エンタングルメント、又は、分子、熱、原子、もしくは化学的な手段によって、物理的に接続されている。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、保護システム2100メモリから離れて(暗号証明又はシステムログのような)データを安全に記憶させ、保護システム2100が提供するよりも強力なオーセンティケーション(authentication)方法及びアクセス制御によってのみデータがアクセス又は修正できるようにする。例えば、セキュリティスコアリング方法論を実現するために、自律的な制御システム2104をコンピュータシステムによって使用する(例えば、自律的な制御システム2104を、セキュリティ証明及び要件情報の記憶のために使用する)。さらに、セキュリティスコアリング方法は、セキュリティスコア情報に基づく、外側のリソースの検証/ベリフィケーション、オーセンティケーション、及びオーソライゼーション(authorization)のために、自律的な制御システム2104を活用することができる。例えば、記憶されるデータを、他のシステムと組み合わせてセキュリティ完全性のベリフィケーションのために使用してもよい。
In some embodiments, the
いくつかの実施形態では、内部システムのコンポーネントの、データの、及び/又は、外部インタフェースされたデバイスの、完全性及び真正性を確実にするために、自律的な制御システム2104を使用して電子暗号パブリックキーインフラストラクチャ(PKI)を電子システムの内側で実現する。加えて、これらの証明を、安全な通信のために活用して、メッセージの機密性、完全性、及び/又は真正性を確実にするようにしてもよい。例えば、電子暗号PKIを実現及び実施する自律的な制御システム2104は、システムの初期製造の間にプログラムできる、パブリックキー又はグローバル一意識別子(GUID)を収容するリードオンリーメモリ(ROM)パーティションを含んでいる。その場合、自律的な制御システム2104の最初の起動の際に、例えば、RSA及びX.509の証明のような業界標準の暗号方法を使用して、自律的な制御システム2104によってプライベートキーが内部で発生されるかもしれない。その後、このプライベートキーを使用して証明要求を発生させることができ、証明要求は、製造者の証明機関(CA)又は承認された第3者CAによってサインされるかもしれない。サインされた証明は、その後、自律的な制御システム2104のROM上に安全に記憶させてもよい。この証明は、その後、データのデジタルサイン及び暗号化/解読を可能にするために使用することができる。電子暗号PKIを実現する自律的な制御システム2104は、そのような能力を追加するために、電子暗号PKIを実現しない保護システム2100に後付けしてもよい。このことは、追加されたセキュリティに関して、保護システム2100がアクセス不可能なロケーション中にプライベートキーを記憶させておく利点を有している。
In some embodiments, an
いくつかの実施形態では、内部保護システム2100のコンポーネントが真正であることを検証するために、自律的な制御システム2104を電子暗号PKIとともに使用してもよく、他(内部保護システム2100及び/又は外部入力デバイス2102)のコンポーネントがまた、公開鍵を交換、記憶、及びオーセンティケートできるように、PKIを実現することができる。PKIを実現する保護システム2100又は入力デバイス2102のコンポーネントが改竄され偽造バージョンに代替されていた場合は、偽造デバイスの署名が存在していないか、又は、オリジナルのものとは異なっているかのいずれかであるので、自律的な制御システム2104が偽造を検出することができるかもしれない。
In some embodiments, the
いくつかの実施形態において、保護システム2100内及び他(例えば、外部入力デバイス2102)のシステムコンポーネント内でのデータの完全性を確実にするために、自律的な制御システム2104は(PKIのような)暗号方法を利用する。自律的な制御システムはまた、データが何らかの方法で変えられていないことを確認する暗号方法を実現してもよい。加えて、データの発信者が判明するときに、又は検証されるときに、データの真正性は保証されるかもしれない。例えば、自律的な制御システム2104は、周辺装置のパブリックキーを使用して、周辺装置に向けられているメッセージを暗号化し、周辺装置から受け取られるメッセージを検証する。
In some embodiments, the autonomous control system 2104 (such as PKI) may be used to ensure data integrity within the
いくつかの実施形態では、自律的な制御システム2104は、電子暗号PKIを実現し、また、仮想システム(又は、そのコンポーネント)の暗号でサインされたハッシュを発生させてそれらのハッシュを記憶させることによって、(一般的に、“仮想システム”と呼ばれる)仮想機械及び/又はハイパーバイザの完全性及び真正性を確実にすることができる。その場合、自律的な制御システム2104は、ハッシュを再計算し、それと記憶されている値とを比較することによって、仮想システムの真正性及び完全性を検証することができる。さらに、自律的な制御システム2104は、全時間で、予め定められた又はランダム化された時間期間において、ならびに/あるいは、予め定められた又はランダム化された持続時間の間、受け取られる任意のコマンドが保護システム2100に到達しないように、保護システム2100をエミュレートするかもしれず、これにより、保護システム2100上での影響が阻止される。この動作モードは、テストのために使用されるかもしれず、又は、悪意のある意図が実際には保護システム2100において決して作動されなかったときに、攻撃が成功したという印象を攻撃者に与えるために、使用されるかもしれない。自律的な制御システム2104は、禁止された接続状態、コマンド、及び/又はコマンドのシーケンスが検出されたときに脅威を無効にできる攻撃的手段を備えていてもよい。例えば、オーソライズされていない(unauthorized)接続がUSBポート上で検出された場合に、自律的な制御システム2104は、USB周辺入力デバイス2102に信号を注入して、それを損傷させる又は無効にすることができる。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、システムの性能及び機能上へのごくわずかな影響しかないような方法で、制御デバイス中の第2の集積回路チップの物理インタフェースに直列に接続されているかもしれない、集積回路チップ上の電子回路設計である。同時に、第1の集積回路チップは、第2の集積回路チップに対するある接続状態を禁止することができるかもしれない。接続状態は、すべてのデジタルI/O接続上での電圧レベルのような、所定の瞬間における2つのデバイス間のすべての接続ポイント上での信号レベルであるかもしれない。代替的に、1つ以上の電子デバイス又はシステムの間の信号レベル又は信号状態のいくつか又はすべての外部一定監視を備え、望ましくないシステム影響が生じないように、確実に、デバイス間又はシステム間での限度外の信号状態が生じないようにするか、あるいは、取るに足らない時間量の間のみ生じるようにするかのいずれかにするように動作する電子デバイスを、信号インタフェースにおいて挿入してもよい、又は、信号インタフェース上に追加してもよい。この方法を実現する電子デバイスは、1つ以上のデバイス又はシステムの間で直列に、並列に、又は直列と並列の両方で接続してもよく、コンピュータにより実現されるセキュリティスコアリング方法により、独立的にあるいは外部監視及び制御とともに機能することができる。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、ハードウェアベースの直列の“中間者”(MITM)として動作する。保護システム2100と入力デバイス2102(例えば、周辺装置)との間の通信は通常、予めプログラムされている禁止された信号パターン、パケット、又はアクセス試行を、自律的な制御システム2104の監視論理が信号ライン上で検出するまで継続する。禁止された信号が検出されたときに、自律的な制御システム2104は、代替の信号バス(又は、中断バス)を選択することによって、主信号バスを完全にディセーブルするかもしれない。代替の信号バスは、記録、中断、又は、周辺装置からの総切断のために使用してもよい。例えば、保護システム2100にそれが攻撃下にあることを通知するために、保護システム2100との通信を維持しつつ代替の信号バスを選択してもよい。例えば、保護システム2100にプログラムされている特定用途向けの監視及びアクション論理によってそのチャネル選択ラインが制御される、内部のパラメータ化されたマルチプレクサインスタンシエーションを使用することによって、自律的な制御システム2104はこの通信を維持するかもしれない。
In some embodiments, the
図2は、(示していない)入力デバイス2102と(示していない)保護システム2100との直列の配置における、プロセッサ2200とメモリ2202とを備える自律的な制御システム2104の実施形態を図示している。プロセッサ2200は、ノード2204上で入力信号を受け取る。ノード2204は、入力デバイス2102に接続されているかもしれない。プロセッサは、ノード2206上で出力信号を発生させる。ノード2206は、保護システム2100にルーティングされているかもしれない。メモリ2202は、禁止された入力信号状態を記憶することができる。プロセッサ2200は、入力信号と禁止された入力信号状態とを比較し、一致信号又は不一致信号を生成させることができる。不一致信号に応答して、入力信号が保護システム2100に供給されるかもしれない。一致信号に応答して、置換入力信号が保護システム2100に供給されるかもしれない。置換入力信号は、保護システム2100に損傷を生じさせない信号である。例えば、保護システム2100のモーターにその最高スピードで動作するように指示する保護システム2100への入力は、特定のプロセス動作に対して有害であるかもしれず、許容されるべきではない。そのようなコマンドが入力デバイス2102から入力される場合に、自律的な制御システム2104は、信号をインターセプトし、オーソライズされていない状態を阻止するための即時のアクションをとることができる。この例では、自律的な制御システム2104は、スピード選択の制御を完全にとり、以前のオーソライズされているスピード選択を維持する適切な信号を保護システム2100に送る。加えて、自律的な制御システム2104は、ログエントリを作成してもよく、又は、オーソライズされていない接続状態が試行されたというアラートを送ってもよい。自律的な制御システム2104の応答は、アプリケーション依存であってもよく、予めプログラムされていてもよい。自律的な制御システム2104はまた、現在のスピードを保持する代わりに、例えば、物理プロセスを停止させるようにプログラムされていてもよい。
FIG. 2 illustrates an embodiment of an
図3は、本発明の実施形態にしたがった制御方法を図示するフローダイヤグラムである。このダイヤグラムは、上記で説明した直列の自律的な制御システム2104の実施形態に対する例示的なプロセスフローを提示している。例示的なプロセスフローは、図2のプロセッサ2200とメモリ2202とを備えている、又は備えていない、以下で説明する追加的な直列及び/又は並列の自律的な制御システム2104の実施形態にも適用することができる。自律的な制御システム2104が、保護システム2100と入力デバイス2102との間の接続状態を監視する3405。状態がチェックされて、限度外であるか否かが決定される3410(例えば、上記の図2の例から、最大スピードコマンド)。状態が許容される場合は、監視が通常通り継続する3405。状態が限度外である場合は、自律的な制御システム2104は、(例えば、コマンドされたスピードよりも低いスピードにスピードを設定することによって、又は、保護システム2100にそれの現在のスピードを維持するように命令することによって)状態に対してアクションをとる3415。自律的な制御システム2104は、それの介入が保護システム2100を許容可能な状態に設定又は回復させたか否かを決定する3420。例えば、自律的な制御システム2104は、より低いスピードにモーターが損傷なく実際に復帰されたか否かを決定する。保護システム2100がOKである場合は、監視が通常通り継続する3405。しかしながら、いくつかのケースでは、保護システム2100を許容可能な状態に復帰させることは不可能であるかもしれない。例えば、保護システム2100がロックされており、かつ、(例えば、以下の図7に関して説明するような並列配置において)自律的な制御システム2104が介入できるより前に、ロック解除するコマンドをそれが受け取る場合には、ロックによって制御されるドアは既に開かれているかもしれない。ロックを再度ロックすることは、この状況を修復しないだろう。このケースでは、さらなる外部入力から保護システム2100を分離し、アラートを発生させる3425。
FIG. 3 is a flow diagram illustrating a control method according to an embodiment of the present invention. This diagram presents an exemplary process flow for the serial
図4は、本発明の実施形態にしたがった、保護システム2100と入力デバイス2102との間に直列インタフェースにより接続されている自律的な制御システム2104のブロックダイヤグラムである。この実施形態は、上記で説明した図2の実施形態と同様に機能することができるが、自律的な制御システム2104内のプロセッサ2200とメモリ2202に加えて他のエレメントを有していてもよく、及び/又は、プロセッサ2200とメモリ2202の代わりに他のエレメントを有していてもよい。この例において、自律的な制御システム2104は、監視論理2140を提供する、プログラム可能論理デバイス(PLD)又は他のデバイス(例えば、回路、プロセッサ等)を備えている。監視論理2140は通常、保護システム2100と周辺装置2102との間のすべての信号を、双方向マルチプレクサ(MUX)2160を通過させる。同一の信号が、制御論理2150を提供する監視及びアクション回路にも供給されるかもしれない。制御論理2150を提供する監視及びアクション回路は、監視論理2140を提供するPLD、回路、又はプロセッサの一部であってもよい、あるいは、監視論理2140から離れていてもよい(例えば、離れたPLD、回路、プロセッサ等)。この図面中で図示する実施形態は、自律的な制御システム2104の、ハードウェアベースの直列の“中間者”(MITM)インプリメンテーションである。この実施形態では、保護システム2100と周辺装置2102との間の通信は通常、予めプログラムされている禁止された信号パターン、パケット、又はアクセス試行を、監視論理2140が信号ライン上で検出するまで継続する。禁止された信号が検出されたときに、自律的な制御システム2104中の制御論理2150が、記録、中断、又は、周辺装置2102からの総切断のために、代替の内部I/Oバス(又は、中断バス)を選択することによって、主周辺装置I/Oバスを完全にディセーブルすることができる。この方法は、保護システム2100にそれが攻撃下にあることを通知するために、保護システム2100との通信を維持しつつ自律的な制御システム2104中で実現してもよい。保護システム2100にプログラムされている特定用途向け監視及びアクション論理によってそのチャネル選択ラインが制御される、内部のパラメータ化されたマルチプレクサインスタンシエーションを使用することによって、自律的な制御システム2104はこの通信を維持するかもしれない。
FIG. 4 is a block diagram of an
保護システム2100CPUと、保護システム2100の内部又は外部にあることがある接続されている周辺装置2102との間の物理レイヤにおいて、図4の自律的な制御システム2104は直列に接続されているかもしれない。通信バスは、所定のアプリケーションに対するルールに違反する信号を検出するようにプログラムされている、監視論理2140とMUX2160とを備える自律的な制御システム2104を通過するかもしれない。そのような信号が検出されたときに、自律的な制御システム2104は、それらが保護システム2100に到達することを妨げるかもしれない、又は、それらが保護システム2100においてプロセスに対して望ましくない長さの時間の間アサートすることを、少なくとも阻止するかもしれない。図4の例において、バスAが通常、保護システム2100CPUと周辺装置2102との間の自律的な制御システム2104を通過し、保護システム2100CPUに信号を伝える、及び、保護システム2100CPUから信号を伝える。そのようにする際に、バスAは、自律的な制御システム2104の出力マルチプレクサを通過するかもしれない。保護システム2100にバスAが到達するか又はバスBが到達するかは、マルチプレクサの“S0”制御ポートによって決定することができる。S0ポートが論理0であるときは、バスAが通過するかもしれない。S0ポートが論理1であるときは、バスBが通過するかもしれない。バスBの各ラインの値は、ルールを実施するように構成されている、自律的な制御システム2104の状態機械制御論理2150によって制御される。この例において、バスAのラインのすべてがハイであるときに、S0は論理1にアサートすることができる。応答として、4入力ANDゲートが、バスBにスイッチするようにS0をトグルするかもしれない。ANDゲートはハードウェアゲートであってもよく、ハードウェアANDゲートを通した伝播時間はナノ秒のオーダーであるかもしれない。それゆえ、ほぼ瞬間的なスイッチを実行することができる。S0はまた、S0に供給される2入力ORゲートを介して、自律的な制御システム2104の状態機械論理2150によって直接制御することができる。さまざまなインタフェース上でさまざまなルールを実施するために、自律的な制御システム2104の複数のインスタンスを、保護システム2100及び入力デバイス2102のさまざまな入力及び/又は出力の間に置くことができる。
In the physical layer between the
図4では、データを記憶及び暗号化することができる安全なメモリも示されている。メモリは、ホストCPUに対する自律的な制御システム2104のシステムサービスとして用いてもよく、ならびに/あるいは、安全なアプリケーション又は外部周辺装置から読み出されるかもしれないルール違反イベントのログのような、ホストCPUから分離されたデータを収容していてもよい。
Also shown in FIG. 4 is a secure memory that can store and encrypt data. The memory may be used as a system service of the
監視されるラインに対して自律的な制御システム2104を通して誘導される信号伝播遅延が、システムタイミング要件に対してごくわずかであるという機能を有するプログラム可能論理デバイスを使用して、図4の例において図示される自律的な制御システム2104は直列インタフェースにおいて配置されているかもしれない。自律的な制御システム2104中のPLDは、小量の伝播遅延、例えば20ナノ秒のオーダーでの遅延を追加する通常の“通過”モードを含んでいるかもしれない。追加される遅延は、多くのシステムに対して取るに足らないものであり、したがって、通常のシステム動作に影響を及ぼさない。
In the example of FIG. 4, using a programmable logic device that has the capability that the signal propagation delay induced through the
図4の例において図示される自律的な制御システム2104の直列インタフェースは、改竄防止手段として、保護システム2100を電気的に分離するように保護システム2100を周辺装置2102から部分的に又は完全に切断することができる。その後、自律的な制御システム2104は、攻撃する又は誤動作する周辺装置2102に対して、何らかの攻撃的、防御的、又は診断/修復の信号を出力するかもしれない、あるいは、状態を単に保持するかもしれない。
The serial interface of the
図5は、本発明の実施形態にしたがって、直列インタフェースを有する電子的な自律的な制御システム2104が、オーソライズされていない接続状態を阻止する動作を図示する、概略的なダイヤグラムである。自律的な制御システム2104は、スピード選択入力デバイス(周辺装置2102)と、物理プロセスに適用されるバイナリエンコードされたスピードを受け入れる作動デバイス(保護システム2100)との間に位置付けられている。自律的な制御システム2104は、入力を監視してそれらをマルチプレクサ(MUX)又はスイッチ2160にパスする監視論理2140を備えている。入力が許容される場合は、それらはMUX2160から保護システム2100に進行するかもしれない。入力が許容されない場合は、代わりに、状態機械の監視及び制御アクション論理2150が介入し、状態機械の監視及び制御アクション論理2150によって発生された出力を、MUX2160に保護システム2100へとパスさせるかもしれない。この例において、バイナリ“1111”によって表される最高のスピードは、特定のプロセス動作に対して有害であり、許容されるべきではない。図5において図示されるデバイスは、広範な異なる機能をエンコードする非常に多数の接続状態上で監視及び動作するようにスケーリングすることができる。この例における自律的な制御システム2104はまた、例えば、最低許容スピードから最高許容スピードに即時にジャンプするような、オーソライズされていないスピード選択のシーケンスを阻止するようにプログラムしてもよい。自律的な制御システム2104論理は、アプリケーション特有のものであってもよく、ゆえに、この例では“1111”が禁じられている入力である一方で、他の実施形態では他の入力が禁じられていてもよい。自律的な制御システム2104への入力は、この例の4ビットの実施形態に限定されるものではない。
FIG. 5 is a schematic diagram illustrating the operation of an electronic
図5.1において、スピード選択バスは、自律的な制御システム2104を通して信号を直列にパスし、自律的な制御システム2104の“バススイッチ”を介して作動デバイス上にパスする。自律的な制御システム2104は、プログラム可能なオーソライズされていないスピード(接続状態)に関してスピード選択バスを監視し、予めプログラムされているアクションをとることができ、この例では、バススイッチを制御する。図5.1では、選択されたスピードはオーソライズされているスピードであり、したがって、自律的な制御システム2104により、選択が作動デバイスへと通過することができる。
In FIG. 5.1, the speed selection bus passes signals in series through the
図5.2は、入力デバイス2102を通して自律的な制御システム2104に、偶然にか又は悪意をもってかのいずれかで送信される、スピードに対するオーソライズされていない信号“1111”を図示している。自律的な制御システム2104は、信号をインターセプトし、オーソライズされていない状態を阻止するための即時のアクションをとることができる。この例では、自律的な制御システム2104がスピード選択の制御を完全にとり以前のオーソライズされているスピード選択を維持する適切な信号を保護システム2100に送るようにバススイッチをトグルするための、予めプログラムされているアクション論理を、自律的な制御システム2104は備えているかもしれない。加えて、自律的な制御システム2104は、ログエントリを作成してもよく、又は、オーソライズされていない接続状態が試行されたというアラートを送ってもよい。自律的な制御システム2104の応答は、アプリケーション依存のものであってもよく、予めプログラムされていてもよい。自律的な制御システム2104はまた、現在のスピードを保持する代わりに、例えば、物理プロセスを停止させるようにプログラムされていてもよい。
FIG. 5.2 illustrates an unauthenticated signal “1111” for speed that is transmitted either accidentally or maliciously to the
図5.3は、オーソライズされているスピードを選択するようにユーザ又は制御システムによって入力デバイス2102が再調整されるときに、バススイッチをデフォルトの安定状態の位置に戻すようにトグルすることによって、自律的な制御システム2104論理が入力デバイス2102に制御を戻すようにスイッチすることができることを図示している。
FIG. 5.3 illustrates that by toggling the bus switch back to the default steady state position when the
図6は、図5の実施形態に類似するが、ハードウェア論理の代わりにプロセッサ2200とメモリ2202とを有する自律的な制御システム2104の実施形態を図示している。この実施形態において、ノード2204上の入力信号は、リンク2300を介してプロセッサ2200にルーティングされている。プロセッサ2200は、入力信号と、メモリ2202中に記憶されている禁止された入力信号状態とを比較し、一致信号又は不一致信号を生成させることができる。プロセッサ2200は、ライン2302上に選択信号を生成させ、選択信号がMUX2304を制御することができる。不一致信号の場合には、選択信号により、ライン2204上の信号が保護システム2100へとマルチプレクサ2304を通過することができるかもしれない。一致信号の場合には、置換入力信号がライン2306に適用され、ライン2302上の選択信号が、MUX2304を通して置換入力信号を通過させるかもしれない。
FIG. 6 illustrates an embodiment of an
図7は、本発明の実施形態にしたがって、並列インタフェースにより保護システム2100に接続されている、プログラム可能論理デバイス(PLD)を備える自律的な制御システム2104のブロックダイヤグラムである。自律的な制御システム2104中のPLDの入力を介して、又は、自律的な制御システム2104中に組み込まれているプロセッサを介して、保護システム2100の入力及び/又は出力を監視することができる。図5において示した実施形態において、自律的な制御システム2104は、並列インタフェースにより保護システム2100に接続されていてもよく、少なくとも1つの双方向信号ドライバを備えていてもよい。少なくとも1つの双方向信号ドライバは、入力を監視し、出力に対する状態を内部で変更させ、及び、追加の接続が必要でない場合に中断を生じさせることができる。ドライバのスイッチ2160を介して受け取られる入力が監視されるように、ドライバは監視論理2140に結合されているかもしれない。入力が許容される場合は、ドライバはそれの状態を維持するかもしれない。入力が許容されない場合は、アクション論理2150がスイッチ2160をアクションバス出力に入れるかもしれない。アクションバス出力は、例えば、接地されていてもよく、又は高信号であってもよい。上記で説明した直列インタフェースの例におけるように、保護システム2100と周辺装置2102との間の通信は通常、オーソライズされていない信号パターン、パケット、又はアクセス試行を監視論理が検出するまで進行する。並列コンフィギュレーションでは、制御論理は、記録、中断、又は、周辺装置2102からの総切断のために代替I/Oパスにおいてスイッチすることによって、I/Oバスを内部で再ルーティングすること又は切断することができない。代わりに、保護下のデバイス2100への信号が、スイッチ2160によって接地される、又は高く設定される。しかしながら、伝播遅延が容認されないかもしれない通信スピード及び信号スピードによる非常に高スピードのシステム(例えば、GHzのレンジで動作するシステム)に対しては、並列アプローチが有用であるかもしれない。さらに、並列の自律的な制御システム2104は、(すべての入力に対して一致出力を必要とする)それ自身を通して信号をパスする必要がないので、直列インタフェースよりも少ない全I/O接続を必要とするかもしれない。
FIG. 7 is a block diagram of an
図8は、並列インタフェースにより保護システム2100に接続され、(図7のスイッチの代わりに)少なくとも1つのトライステート出力2160を備えている自律的な制御システム2104の実施形態のブロックダイヤグラムである。少なくとも1つのトライステート出力2160は、自律的な制御システム2104からの周辺バスに接続され、コマンドされるときにI/O中断を生じさせようとして論理ハイ又はローにトグルすることができる。このトライステート出力は、双方向I/Oインタフェースを有していない自律的な制御システム2104に対して使用することができる。
FIG. 8 is a block diagram of an embodiment of an
図9は、本発明の実施形態にしたがった、並列インタフェースを有する電子的な自律的な制御システム2104の動作を図示する概略的なダイヤグラムである。入力デバイス2102と保護デバイス2100との間の信号が自律的な制御システム2104を直接通過しない並列インタフェースを、自律的な制御システム2104は備えている。代わりに、自律的な制御システム2104は、図9.1において示しているように、電気的に高インピーダンスの入力により各ラインのタップオフをして入力信号を監視する。オーソライズされていない入力試行が行われたときに、並列の自律的な制御システム2104は、ホストバスを無効にするのに適した駆動力(電流シンキング及びソーシング)を有する出力バスにバススイッチをトグルすることによって、オーソライズされていない入力を中断することができる。図9.2の例において、スピード_選択_3ラインを内部で接地することは、最高のプロセススピードを次に選択する論理ハイ状態にそれが到達することを阻止するかもしれない。図9.2において、自律的な制御システム2104は、自律的な制御システム2104のアクションバス出力からの干渉なしで入力デバイス2102からの入力を監視するために、バススイッチを位置3に戻すように周期的にトグルする。オーソライズされているスピードが選択されていることを自律的な制御システム2104が検出したときに、図9.3に示しているように、それは安定状態に戻るように移動することができる。直列インタフェースを有する自律的な制御システム2104とは異なり、並列インタフェースを有する自律的な制御システム2104は、信号を同時に監視しないかもしれない。
FIG. 9 is a schematic diagram illustrating the operation of an electronic
図10は、直列インタフェースと並列インタフェースとの両方を利用して自律的な制御システム2104が保護システム2100に接続されている実施形態のブロックダイヤグラムである。直列インタフェースは、監視論理2140Aとアクション論理2150Aとスイッチ2160Aとを備えている。並列インタフェースは、監視論理2140Bとアクション論理2150Bとスイッチ2160Bとを備えている。この実施形態では、ある通信パスが速過ぎて通常のシステム動作を劣化させることなしに直列にパスすることができないときに、それらのパスを並列インタフェースによって取り扱うことができる。より遅いパスは、直列インタフェースによって取り扱うことができる。
FIG. 10 is a block diagram of an embodiment in which an
図11は、自律的な制御システム2104と保護システム2100との間に、自律的な制御システム2104がインタフェースにかかわらず通信バス2170を備えている実施形態のブロックダイヤグラムである。通信バス2170は、悪意のある又はオーソライズされていない意図が検出された場合にオプション的に保護システム2100にフラグするための機能を備えていてもよい。通信バスは、少なくとも1つの周辺装置2102をログ記録するための、少なくとも1つの周辺装置2102にアラートするための、又は、少なくとも1つの周辺装置2102をディセーブルするための機能も備えていてもよい。さらに、通信バス2170は、イベントを自律的にログ記録し、コンピュータにより実現されるセキュリティスコアリングシステムにそのようなイベントを報告してもよい。
FIG. 11 is a block diagram of an embodiment in which the
図12は、自律的な制御システム2104が半導体マルチチップモジュールを備えている実施形態のダイヤグラムである。半導体マルチチップモジュールは、スタック状に又は平面アレイにおいて機能的に接続されている、少なくとも2つの相互接続されているプロセッサダイを備えているかもしれない。モジュールは、単一の半導体パッケージの内側に、プリント回路基板(PCB)に直接据え付けられるインタポーザボード及び/又はダイレクトワイヤボンディングも備えているかもしれない。この配置により、悪意のある改竄に対する保護を提供することができる自律的な制御システム2104を視覚的に検出することが難しくなるかもしれない。
FIG. 12 is a diagram of an embodiment in which the
図13は、自律的な制御システム2104がインタポーザPCB上に外部的に据え付けられている実施形態のダイヤグラムである。インタポーザPCBは、保護システム2100より上か又は保護システム2100より下かのいずれかに、スタック状に機能的に配置されているかもしれないカスタムソケットアセンブリを備えているかもしれない。この実施形態では、自律的な制御システム2104を使用して、既存のCPUをセキュリティ保護し、CPUに対して作られている既存のマザーボード及びソケットを使用することができる。このインプリメンテーションは、2つの個々にパッケージされているコンポーネントを接続して1つを形成することを伴うので、パッケージオンパッケージのインプリメンテーションと呼ばれることがある。
FIG. 13 is a diagram of an embodiment in which an
いくつかの実施形態において、保護システム2100を備えているかもしれないプリント回路基板(PCB)上に据え付けられている表面であるかもしれない電子回路を、自律的な制御システム2104は備えている。自律的な制御システム2104は、例えば、1つ以上のPCBトレース、フライングリード、同軸ケーブル、又は光ファイバを使用して、保護システム2100に動作可能に接続されている。
In some embodiments, the
いくつかの実施形態において、自律的な制御システム2104は、保護システム2100上に動作可能に据え付けられているかもしれないモジュラースタッカブルシングルボードコンピューティングプラットフォームを備えている。例えば、プラットフォームは、PC104、EPIC、EBX、Raspberry Pi、Parallella、又は類似するモジュラーコンピューティングプラットフォームである。この実施形態では、モジュラーコンピューティングスタックヘッダに取り付けられ、上記で説明したセキュリティ保護機能を実行するモジュラーキャリアを、自律的な制御システム2104は備えているかもしれない。これは、モジュールオンモジュールのインプリメンテーションと呼ばれることがある。
In some embodiments, the
図14は、本発明の実施形態にしたがった、自律的な制御システム2104の改竄防止機能を図示するフローダイヤグラムである。上記で着目したように、自律的な制御システム2104の暗号改竄防止チェックを可能とするためのデータを記憶させてもよい。周期的に、又は、ユーザの要求の際に、改竄防止チェックが開始される1305。自律的な制御システム2104が、自律的な制御システム2104と通信するシステム(すなわち、自律的な制御システム2104のチェックを実行するシステム)へのメッセージに、プライベートキーによりサインする1310。チェックを実行するシステムが、署名の検証をしようと試行する1315。署名が無効である場合は、自律的な制御システム2104が改竄されているかもしれないことを示すアラートが発生される1320。署名が有効である場合は、チェックを実行するシステムが、プライベートキーによりメッセージにサインする1325。自律的な制御システム2104が、署名の検証をしようと試行する1330。署名が無効である場合は、チェックを実行するシステムが改竄されているかもしれないことを示すアラートが発生される1335。署名が有効である場合は、改竄チェックがすべてセーフであると宣言される(すなわち、チェックシステムと自律的な制御システム2104との両方が改竄がないかもしれない)1340。このように、相互セキュリティを提供するために、自律的な制御システム2104は、別のシステムをチェックし、そのシステムによってチェックされる。
FIG. 14 is a flow diagram illustrating the falsification prevention function of the
図15は、本発明の実施形態にしたがって、安全な共同処理のために、ホストCPUに対するシステムサービスとして自律的な制御システム2104を使用するプロセスフローを示している。自律的な制御システム2104のプロセッサが自律的な制御システムの複数のインスタンシエーションを有していてもよいので、自律的な制御システム2104に対して上記で説明したアーキテクチャはまた、ホストCPUに対するシステムサービスとしての安全な処理を可能にすることができる。この実施形態において、自律的な制御システム2104が命令を受け取る1505。自律的な制御システム2104が、自律的な制御システム2104のメモリサブシステムに関係付けられているメモリ中に存在する予めプログラムされているオペコードとの一致を発見するために、コンパイラによって機械言語へと低減された、すなわち、オペコードへと低減された、(例えば、入力デバイス2102から)受け取った命令を比較する1510。一致が存在する場合は、自律的な制御システム2104がオペコードの予めプログラムされている機能を実行し1515、保護システム2100はオペコードを受け取らないかもしれない。自律的な制御システム2104が安全な記憶装置にアクセスし1520、結果を返す1525。代わりに、自律的な制御システム2104の予めプログラムされているメモリ内で、受け取ったオペコードとの一致が存在しない場合は、オペコードが実行のために保護システム2100にパスされ1530、保護システム2100が結果を返す1535。自律的な制御システム2104とともに働くように特に設計されている、入力デバイス2102上で実行されるソフトウェアアプリケーションが、自律的な制御システム2104の安全な共同処理能力にアクセスするための、自律的な制御システム2104に特有のオペコード又は命令セットを収容するために必要とされるかもしれない。例えば、そのような自律的な制御システム2104に特有のオペコード又は一連のオペコードがデータセット上で暗号署名を要求する場合に、プロセッサ2200がデータセット上で暗号ハッシュをまず実行することによって応答する。その後、プロセッサ2200は、(安全な記憶装置2202中に記憶されている)それのプライベートキーを使用して、ハッシュされたデータセットにデジタル的にサインをし、その後、入力デバイス2102を介して、問題のオペコードを発生させた自律的な制御システム2104に特有のアプリケーションに戻すように、サインされたデータセットを返すかもしれない。
FIG. 15 shows a process flow for using the
図16は、本発明の実施形態による、セキュリティモジュール2100である。セキュリティモジュール2100は、プロセッサ2110と物理メモリ2115、例えば、ルールデータベース2112及び/又は証明データベース2124を含んでもよい。したがって、プロセッサ2110、ならびに、モジュール2132、2134及び2136は、自律的な制御システム2104のプロセッサ2200の一部に、又は、これと同じエレメントに、結合されてもよい。同様に、ルールデータベース2122及び/又は証明データベース2124及び/又はメモリ2115は、自律的な制御システム2104の安全な記憶装置2202内に記憶されてもよい。
FIG. 16 is a
ルールデータベース2122は、以下でさらに詳細に記述されるような、さまざまなアクセス制御ルールを記憶してもよい。証明データベース2124は、以下でさらに詳細に記述されるような、デバイス、文書、ユーザ等についての、さまざまな証明を記憶してもよい。セキュリティモジュール2100は、セキュリティスコアを導出及び/又は更新できるスコアリングモジュール2132、セキュリティルールが満たされるか否かを決定できるベリフィケーションモジュール2134、ならびに/あるいは、セキュリティルルール及び/又はアクセスパーミッション(permission)を、自動又は手動で規定し得るパーミッションモジュール2136のような、サブモジュールも含んでもよい。セキュリティ検証を実行するとして、又は、QSM可能なデバイスとして、又は、QSMデバイスとしてここで記述された任意のデバイスは、セキュリティモジュール2100を含んでもよく、記述されたようなQSMに関連する検証、及び/又は、他のプロセスを実行するためのセキュリティモジュール2100を使用してもよいことに留意されたい。
The
図17は、本発明の実施形態による、セキュリティスコア導出2200である。評価プロセスは、アセット上で、そのセキュリティレベルを決定するために行われてもよい。この結果を達成するために、アセットのセキュリティレベルを表わす正規化セキュリティスコアが、評価の終わりに発生されてもよい。セキュリティ基準(セキュリティ目標)2210の予め決定されたセットを、アセスメント目的で予め規定されたグループ化(セキュリティカテゴリ)2220によって分離されたアセットの主機能(それが行うこと、その目的)に対して適用するプロセスを通して、スコアは正規化されてもよい。各セキュリティ目標2210に対して、アセットのセキュリティカテゴリのそれぞれ上で、アセスメントが行われてもよく、セキュリティ目標に割り当てられる範囲内にあるセキュリティスコア(「セキュリティ目標スコア、SOS」)が、発生されてもよい。各スコアに対する重大さの程度は、アセットからアセットで、又は、インスタンスからインスタンスでさえも変化し得る。目標スコアのすべてが発生されたとき、これらは、予め規定された目標スコア集約方法(例えば、重み付けされた平均)を使用して結合されてもよく、結果として、正規化セキュリティスコア(「NSS」)2230となる。
FIG. 17 is a
図18は、本発明の実施形態によるアセット(及びその分類)2230であり、いくつかの実施形態において使用され得るセキュリティカテゴリ2220とセキュリティ目標2210の特定の例を示している。例えば、アセット2230は、記憶装置、プロセス、及び、移送セキュリティカテゴリ2220を有してもよく、これは、アセット2230によって実行される主機能(例えば、データ記憶、データ処理、データ移送)に対応し得る。セキュリティカテゴリ2220のそれぞれは、オーソライゼーション(AZ)、機密性(C)、完全性(I)、利用可能性(AV)、否認防止(NR)、及びオーセンティケーション(AI)セキュリティ目標2210を有し得る。アセキュリティカテゴリ2220に関係付けられた機能上のカテゴリのそれぞれがスコアセキュリティ目標2210上でいかに良くスコアするかに基づいて、アセット2230に対するNSSは、セット2230がいかに良くセキュリティ目標2210全体を満たすかのインジケーションを提供し得る。
FIG. 18 is a specific example of a
図19は、本発明の実施形態による、アセット評価2300フローダイヤグラムである。いくつかのアセットは、複雑であるかもしれない(例えば、多くのサブコンポーネントから作り上げられている)。これらの複雑なアセットに対して、図19の技術2300のような測定技術が、各サブコンポーネントに対するNSS値を導出するために、独立して各サブコンポーネント上で行われ得る。これらのサブコンポーネント値は、最高位アセットのNSSを生成するために結合されてもよい。アセットは、評価のために選ばれて、評価が始まってもよい2305。1つ以上のセキュリティカテゴリ2220が識別されてもよく、各セキュリティカテゴリ2220が評価されてもよい2310。各セキュリティカテゴリ2220は、1つ以上のセキュリティ目標2210を含んでもよく、各セキュリティ目標2210が評価されてもよい2315。セキュリティモジュール2100は、セキュリティ目標スコアがセキュリティ目標2210に対して算出され得るか否かを決定し得る2320。そうである場合、セキュリティ目標スコア算出が始まってもよく2325、そのセキュリティ目標スコアが発生されてもよい2330。セキュリティ目標スコア算出の例が、以下でさらに詳細に議論される。スコアが算出されたとき2335、次のセキュリティ目標2210が選択されてもよい2315。セキュリティ目標2210に対してセキュリティ目標スコアが算出され得ない場合2320、セキュリティモジュール2100は、アセットが細分化されるべきか否かを決定してもよい2340。いくつかのアセットは複雑すぎて、セキュリティ目標スコアを直接導出できないかもしれず、又は、以前に評価されたコンポーネント、デバイス、及び/又はシステムを備えるかもしれない。これらの状況に適応するために、アセットは細分化されてもよい。
FIG. 19 is an
図20〜図23は、本発明の実施形態による、アセット細分化例3200及び3250である。図20は、例としてラップトップを使用するこの法則を描き、ここにおいて、ラップトップは、CPU、オペレーティングシステム、及び、GPUコンポーネントに分割される。図21は、別の例として、浄水プラントを描いており、ここにおいて、プラントは、水収集システム、浄化システム、及び、飲用水システムコンポーネントに分割される。示されるように、いくつかのサブアセットは、他のものが複数のセキュリティカテゴリに寄与するかもしれない一方、単一のセキュリティカテゴリスコアのみに寄与する可能性があるかもしれない。図22は、図20からのラップトップサブアセットが、さらに、どのように、ドライバサブアセット下の特定のドライバ、及び、アプリケーションサブアセット下の特定のアプリケーションに分類され得るかを示す。説明において、アプリケーションサブアセットの仮想機械(VM)サブアセットは、VM下で実行しているアプリケーションにさらに分類される。このプロセスは、毎サブアセットが正確に評価され得るまで、必要に応じて繰り返されてもよい。図23は、QSMが、アセットのタイプに関わらず、図21からの浄化以前のサブアセットの、浄水サブアセットのさらなる分類を示し、評価を必要とする任意のクリティカルなインフラストラクチャコンポーネント又はアセットに対して適用可能であり得ることを実証する。アセットが所属するエリアにおいて見識ある人は、この方法論にしたがって、任意の複雑なシステムを、システムが基本要素(評価が実行され得る、又は実行されたサブアセット)から成るようになるまで、さらなるサブアセットに再帰的に分類してもよい。水プラントの例において、これらは、フェンス、ガード、及び錠のようなサブアセットであってもよく、それらの物理セキュリティへのインパクトが、十分に記録されてもよく、量子化されてもよい。 20-23 are asset segmentation examples 3200 and 3250 according to an embodiment of the present invention. FIG. 20 depicts this rule using a laptop as an example, where the laptop is divided into a CPU, an operating system, and a GPU component. FIG. 21 depicts a water purification plant as another example, where the plant is divided into a water collection system, a purification system, and a potable water system component. As shown, some sub-assets may only contribute to a single security category score, while others may contribute to multiple security categories. FIG. 22 shows how the laptop sub-asset from FIG. 20 can be further classified into a specific driver under the driver sub-asset and a specific application under the application sub-asset. In the description, the virtual machine (VM) sub-asset of the application sub-asset is further classified as an application running under the VM. This process may be repeated as necessary until each sub-asset can be accurately evaluated. FIG. 23 shows further classification of the clean water sub-assets of the sub-asset from FIG. 21, regardless of asset type, for any critical infrastructure component or asset that needs to be evaluated. That it can be applicable. An informed person in the area to which the asset belongs will follow this methodology to make any complex system a sub- You may recursively classify assets. In the water plant example, these may be sub-assets such as fences, guards, and locks, and their physical security impact may be well documented or quantized.
図19に戻って参照すると、可能である細分がない場合、デフォルトセキュリティ目標スコアが割り当てられてもよく2345、評価2300は、次のセキュリティ目標2315に移動し得る。細分が行われる場合2340、セキュリティモジュール2100は、サブアセット2350とサブアセット重み付け方程式2355を規定してもよい。上記のように、サブアセットは、さらにそれ自体で分割されてもよく、この場合において、解析は、さらに分割されたサブアセット上で実行されてもよい。各サブアセット2360に対して、アセット評価2365が実行されてもよく、セキュリティ目標スコア2370が発生されてもよい。すべてのセキュリティ目標スコアが評価されてもよく2375、セキュリティカテゴリスコアが評価されてもよい2380。評価するための、より多くのセキュリティカテゴリ2220がある場合、次のセキュリティカテゴリ2220が選択されてもよく2310、上述された評価は、次のセキュリティカテゴリ2220のセキュリティ目標2210に対して実行されてもよい。すべてのセキュリティカテゴリ2220が評価されたとき、アセット評価は終了してもよい2385。図18のアセット2230に対して、それぞれ6つのセキュリティ目標2210を有する3つのセキュリティカテゴリ2220で、総計18の評価が実行されてもよい。
Referring back to FIG. 19, if there are no possible subdivisions, a default security goal score may be assigned 2345 and the
公開鍵証明のような暗号化技術とともに、NSS、目標スコアセット、及び、導出されたセキュリティルールを利用して、デジタルアセットは、ベースセキュリティスコア証明(BSSC)においてアセットの評価が実行された時間とともに、それらのセキュリティレベルを安全に記憶してもよい。図24は、本発明の実施形態による、BSSC2700である。BSSC2700は、各セキュリティ目標2210とカテゴリ2220に対するスコアを含み得る。図18の例示的なアセット2230、BSSC700は、3タプルのセキュリティカテゴリ2220スコア(SCS)であってもよく、これらのそれぞれは、次に、6タプルのセキュリティ目標2210スコアとなり得る。図25は、図18のアセット2230に対する例示的なBSSC2700である。この例示的なBSSC2700は、ベースセキュリティスコア(BSS)を有してもよく、BSS=((移送SCS))、(記憶装置SCS)、(プロセスSCS))、又は、BSS=((TC、TI、TAZ、TAI、TAV、TNR)、(SC、SI、SAZ、SAI、SAV、SNR)、(PC、PI、PAZ、PAI、PAV、PNR))のように表現され、ここにおいて、C=機密性(confidentiality)、I=完全性(integrity)、AZ=オーソライゼーション(authorization)、AI=オーセンティケーション(authentication)、AV=利用可能性(availability)、及び、NR=否認防止(non-repudiation)である。BSSC2700は、例えば、個人、法人、規制機関、又は、政府機関によってサインされてもよい。BSSC2700は、証明が発行された日/時と、証明が満了する日/時を含んでもよい。BSSC2700は、NSSについての減衰率も含んでもよく、これは、以下でさらに詳細に記述される。
Utilizing NSS, target score sets, and derived security rules, along with encryption techniques such as public key certification, digital assets can be used together with the time the asset assessment was performed in Base Security Score Certification (BSSC). The security level may be stored safely. FIG. 24 is a
セキュリティの一過性の性質を考慮に入れると、セキュリティは、後の測定を劣化する高い可能性を有するかもしれないことを意味するので、BSSCで記された最後のNSS評価が行われてから生じた見込みのセキュリティ劣化を計算に入れるために、セキュリティ減衰率(ROD)アルゴリズムが使用されてもよい。RODは、BSSCが最初に発行されてから経過した時間を与えられたシステムに対して、リアルのセキュリティスコアを決定するのに使用され得る。RODを算出するためのアルゴリズムは、システムをスコアリングするために選ばれたメトリックに依存してもよい。NSS及び目標スコアセットを、最後の評価の時間(及び、オプション的に、他のセキュリティルール、又は、記録されたアセット使用履歴)とともに入力として使用することによって、新たなNSSスコアが、より正確な共通セキュリティ比較のために算出されて使用されてもよい。 Taking into account the transient nature of security, it means that security may have a high potential to degrade later measurements, so the last NSS assessment noted in BSSC has been made. A security decay rate (ROD) algorithm may be used to account for the likely security degradation that has occurred. ROD can be used to determine a real security score for a system given the time elapsed since the BSSC was first issued. The algorithm for calculating ROD may depend on the metric chosen to score the system. By using the NSS and target score set as input along with the time of the last evaluation (and optionally other security rules or recorded asset usage history), the new NSS score is more accurate. It may be calculated and used for a common security comparison.
セキュリティ目標スコアは、セキュリティメトリックを計算することによって決定された、見込みベースの評価を提供してもよく、これは、妥協の可能性を記述するかもしれない。この見込みに基づく方程式は、SOS=P(妥協│セキュリティ測定≠脅威)として表現されてもよい。SOSは、脅威に対して保護しない、実現されるセキュリティ測定による、アセットの妥協の見込みに基づく可能性(likelihood)であり、ここで脅威は、所定のモチベーションを有する行為者が開発を利用するかもしれない、経時的な見込み表現である。脅威=P(時間│行為者│モチベーション│開発)。 The security goal score may provide a likelihood-based assessment determined by calculating a security metric, which may describe a potential compromise. This likelihood-based equation may be expressed as SOS = P (compromise | security measure ≠ threat). SOS is a possibility based on a potential asset compromise, with realized security measures that do not protect against threats, where threats may be exploited by actors with a given motivation This is a probable expression over time. Threat = P (Time | Actor | Motivation | Development).
SOSが値のセットになることができるようにするために、時間は、BSSCにおいて引き出されて運ばれ、RODとして表わされてもよい。RODは、SOSが、時間露出に対してどのくらい敏感かを示してもよい。より高いRODは、アセットに対する脅威が、より低いRODよりも、より経時的に増大することを示し得る。 In order to allow the SOS to be a set of values, time may be derived and carried in the BSSC and represented as ROD. ROD may indicate how sensitive the SOS is to time exposure. A higher ROD may indicate that the threat to the asset increases over time than a lower ROD.
例えば、NSSは、セキュリティのないことを示すゼロと、完全に安全であることを示す10とを有する、0から10の範囲を有してもよい。所定のアセットが770日の保存期間(又は、パッチ又は更新が要求されるまでの時間)を有し、この保存期間を低減する又は延長するのに寄与する他の要因がない場合、RODを算出する1つの方法は、最大のNSS値の10をとって、それを770日で分割することによるものであってもよい。ROD=10(最大NSS値)/(100%妥協の可能性までの日)=10/770=.013/日。システムのセキュリティに関わらず、770日の最後に、ROD×、時間(日)における変化、によって算出されたNSSを低減することによって、スコアはゼロになる。言い換えれば、システムは、何らかのアクションなしで、安全でないと見なされてもよい。実際に、システムが安全でないと考えられ得る、ゼロを上回るいくらかの最小値があってもよく、この値は、SRCにおいて最小NSSとして表わされてもよい。 For example, the NSS may have a range from 0 to 10, with zero indicating no security and 10 indicating complete security. Calculate ROD if a given asset has a retention period of 770 days (or time until a patch or update is required) and there are no other factors that contribute to reducing or extending this retention period One way to do this may be by taking the maximum NSS value of 10 and dividing it by 770 days. ROD = 10 (maximum NSS value) / (day to 100% compromise possibility) = 10/770 =. 013 / day. Regardless of the security of the system, at the end of 770 days, by reducing the NSS calculated by ROD ×, the change in time (days), the score will be zero. In other words, the system may be considered insecure without any action. In fact, there may be some minimum value above zero that the system may be considered unsafe, and this value may be represented as the minimum NSS in the SRC.
別の例は、軍事施設における弾薬庫に関係するかもしれない。弾薬庫上のボールト(vault)ドアは、セキュリティの1つのコンポーネント(「S1」)に寄与するかもしれない。ボールトは、6時間侵入レベルで評価され、テストするベンダー(vendor)は、その後毎時5%ずつ増加する6時間期間の後、制限されないアクセスを有する熟練したアタッカーに対して、60%侵入率を示すとする。したがって、S1は、6時間におけるRODステップで.95であり、0.6になり、その後一時間毎に定常的な.05の減衰である。ボールトのBSSにおいてクリアに明記されたこのことにより、指揮者は、衛兵に、3時間毎に弾薬庫を歩き回るように指令する(本質的に、ドアとしてのRODを再設定する)かもしれない。これらの2つの要因は、首尾一貫した.95のドアに対して、ともにS1を寄与し得る。 Another example might relate to ammunition depots in military installations. A vault door on the ammunition cabinet may contribute to one component of security (“S 1 ”). The vault is rated at the 6-hour penetration level, and the vendors tested show a 60% penetration rate against skilled attackers with unrestricted access after a 6-hour period that then increases by 5% every hour. And Therefore, S 1 is a ROD step in 6 hours. 95, 0.6, and then steady every hour. 05 attenuation. This, as clearly stated in the vault's BSS, may direct the guard to walk around the ammunition every 3 hours (essentially resetting the ROD as a door). These two factors were consistent. Both can contribute S 1 to 95 doors.
図26は、本発明の実施形態による、セキュリティスコア劣化900である。ライン910は、経時的に一定にとどまるROD値なしのシステムに対するセキュリティを示す。しかしながら、システムが長く動作すればするほど、システムは妥協されがちであるかもしれない。このセキュリティにおける低下は、ライン920によって示され、これは、時間の単位ごとに0.01の線形のRODを示す。ライン930及び940は、システムのセキュリティに否定的にインパクトを与え得るイベントを考慮に入れる一方、経時的なシステムのセキュリティを示す。ライン930は、4つのセキュリティイベントを表わし、これは、システムのセキュリティを低下するが、RODにおける変化を引き起こさない。ライン940は、同じ4つのイベントを描くが、これらのイベントのそれぞれも、ROD値を変更すると仮定する。図26において描かれたイベントは、例えば、結果としてUSBデバイスをシステムに接続すること、システムを信頼できないネットワークに接続すること、悪意あるウェブサイトにブラウジングすること、又は、ダウンロードされたアプリケーションをインストールすることであってもよい。
FIG. 26 is a security score degradation 900 according to an embodiment of the invention.
アセットが、顕著なイベントの履歴を維持できるようにするために、QSMは、証明チェーン、又は、セキュリティスコアチェーン(SSC)の概念をサポートしてもよい。BSSCは、任意のSSCにおいてベース証明を提供してもよい。アセットは、スコアを修正して、BSSCで新たな証明をサインでき、これによりSSCを作成する。SSCを作成するとき、アセットは、なぜ修正がなされたかの記録を含んでもよい。図26において、ライン930又は940上の各イベントの後、SSCに対する更新は、RODに対する変更を反映して、これらの変更を引き起こしたイベントを記録することで行われる。BSSCがRODを与えられた場合、チェーン中の新たな証明が新たな発行日/時を有してから、新たなセキュリティスコアは、(例えば、ライン940において示されるような)任意の減衰に対して調節してもよい。満了日/時は、BSSCの満了を過ぎて延長され得ないが、適切な場合、短くされてもよい。さらに、適切な場合、RODは、新たなリスクと脅威を反映するように修正されてもよい。
In order to allow assets to maintain a history of significant events, QSM may support the concept of a certification chain or a security score chain (SSC). The BSSC may provide a base certificate at any SSC. The asset can modify the score and sign a new proof with the BSSC, thereby creating an SSC. When creating an SSC, the asset may include a record of why the modification was made. In FIG. 26, after each event on
図27は、本発明の実施形態による、セキュリティ要件証明(SRC)3400である。BSSCのようなSRCは、セキュリティ目標2210スコア(SOS)のそれぞれに対するセキュリティ要件重み付け(SRW)、セキュリティ目標2210のそれぞれに対するセキュリティ重み付け、オーソライズされたBSSC及びSSC署名者、及び/又は、最小の正規化セキュリティスコア(NSS)を含んでいる、暗号で保護され、サインされた記録であってもよい。
FIG. 27 is a security requirement certificate (SRC) 3400 according to an embodiment of the present invention. The SRC, such as BSSC, can provide security requirement weighting (SRW) for each of the
SRCは、リソースへのアクセスを得るために見ているアセットのBSSCを評価するとき、リソースによってどの署名者が認識されて受け入れられるかを特定してもよい。これは、オーソライズされていない署名者によってサインされたBSSCを発生することによってセキュリティスコアを変造しようとする試行に対して、リソースを保護してもよい。さらに、信頼できる署名者を特定する能力は、使用されるセキュリティメトリックと、NSSに対する評価スケールとにおける変動を可能にしてもよい。例えば、セキュリティメトリックは、サンディアRAMシリーズ評価に基づいていてもよく、このような仕様は、0〜100の範囲において、サンディアRAMシリーズ評価からNSSへの変換を可能にしてもよい。同様に、別の実施形態は、CARVER方法論、又はいくつかのペアワイズ比較評価を使用してもよく、QSM0〜10スケールを使用してもよい。同様に、実施形態は、所有メトリックと、0.00から1.00までのスケールを利用できる。上の組み合わせのうちのいずれか及びすべてが、複雑なシステムの評価において利用されてもよく、NSS及びQSM方法論は、それらの包含を可能にしてもよい。QSMは、メトリックの不確実性によって、減衰率を高めて、NSSを低減することによって、方法論における既知の欠陥を考慮に入れるかもしれない。したがって、既存のシステムと評価は、有効なQSM評価が実行され得るまで、短期において活用されてもよい。 The SRC may specify which signers are recognized and accepted by the resource when evaluating the BSSC of the asset being viewed to gain access to the resource. This may protect resources against attempts to alter the security score by generating a BSSC signed by an unauthorized signer. Furthermore, the ability to identify trusted signers may allow for variations in the security metric used and the rating scale for NSS. For example, the security metric may be based on a Sandia RAM series evaluation, and such a specification may allow a conversion from Sandia RAM series evaluation to NSS in the range of 0-100. Similarly, another embodiment may use CARVER methodology, or some pair-wise comparison evaluation, and may use the QSM 0-10 scale. Similarly, embodiments can utilize ownership metrics and scales from 0.00 to 1.00. Any and all of the above combinations may be utilized in the evaluation of complex systems, and NSS and QSM methodologies may allow their inclusion. QSM may take into account known deficiencies in the methodology by increasing the decay rate and reducing NSS due to metric uncertainty. Thus, existing systems and evaluations may be leveraged in the short term until a valid QSM evaluation can be performed.
アセット間の向上されたオーセンティケーション、及びオーソライゼーションプロセスは、上述の共通のセキュリティ測定及び比較方法の利点をとってもよい。NSS及びアセットの目標スコアセットを導出するためにリアルタイム評価を強制すること、又は、過去の評価からBSSCにおいて記憶された情報を利用することとともに、オプション的にアセットの減衰率アルゴリズムを使用することによって、これは行われてもよい。BSSCにおいて記憶されたもののような付加的なセキュリティルールは、オーセンティケーション又はオーソライゼーション基準としても使用されてもよい。セキュリティレベル変動は、上述された例示的なセキュリティベリフィケーションにおいて示されるように、オーセンティケーション又はオーソライゼーションプロセスにおいて携われるアセットの1つに対して一方向で行われてもよい。いくつかの実施形態において、二方向の変動(又は、2つ以上のアセットが、互いにオーセンティケート又はオーソライズしようと試みているとき、全方向の変動)が実行されてもよく、ここにおいて、各アセットは他のもののセキュリティレベルを検証する。 Improved authentication between assets and the authorization process may take advantage of the common security measurement and comparison methods described above. By forcing real-time assessments to derive NSS and asset target score sets, or by using information stored in BSSCs from past assessments and optionally using asset decay rate algorithms This may be done. Additional security rules, such as those stored at the BSSC, may also be used as an authentication or authorization criterion. The security level variation may be performed in one direction for one of the assets engaged in the authentication or authorization process, as shown in the exemplary security verification described above. In some embodiments, bi-directional variations (or omni-directional variations when two or more assets are attempting to authenticate or authorize each other) may be performed, where each Assets verify the security level of others.
NSSは、QSMにおける最高レベルのスコアであってもよく、ベースセキュリティスコアにおけるセキュリティ目標スコアに対して、セキュリティ要求証明中の、セキュリティ要件重み付けを適用することによって算出されてもよい。数学的に、SRWは、BSSCと同様であってもよく(例えば、3タプルのセキュリティカテゴリ重み付け(SCW)(これは、カテゴリのそれぞれがNSSに寄与する、パーセンテージ重み付けであってもよい)、各SCWは、セキュリティ目標重み付け(SOW)の6タプルの値(これは、SOS値のそれぞれに帰されるパーセンテージ重み付け)である。例えば、SRWは、図18及び25の例について、SRW=(移送SCW(移送SOW)、記憶装置SCW(記憶装置SOW)、プロセスSCW(プロセスSOW))又はSRW=(SCW(TC,TI,TAZ,TAI,TAV,TNR)、SCW(SC,SI,SAZ,SAI,SAV,SNR)、SCW(PC,PI,PAZ,PAI,PAV,PNR))のように表されることができ得る。 The NSS may be the highest level score in the QSM and may be calculated by applying the security requirement weighting in the security requirement proof to the security goal score in the base security score. Mathematically, the SRW may be similar to the BSSC (eg, a 3-tuple security category weighting (SCW) (which may be percentage weighting, each of which contributes to the NSS) SCW is a 6-tuple value of security target weighting (SOW) (this is a percentage weighting attributed to each of the SOS values) For example, SRW = SRW = (Transfer SCW ( transfer SOW), storage device SCW (storage SOW), process SCW (process SOW)) or SRW = (SCW (T C, T I, T AZ, T AI, T AV, T NR), SCW (S C, S I, S AZ, S AI , S AV, S NR), SCW (P C, P I, P AZ, P AI, P AV, P May be represented by that can as R)).
NSSは、経時的に所定のアセットのセキュリティ状況を評価するのに使用されることができるメトリック(ΔT)を提供してもよい。このスコアは、アセットをオーセンティケートし、アクセスをオーソライズし、アセットのセキュリティユーティリティを比較し、又は、例えば、所定のアセットに対して改善がなされる場所を決定するのに使用されてもよい。NSSは、NSS=(BSS*SRW)−(ROD*ΔT)のように算出されてもよい。したがって、図3及び7の例について、NSSは、NSS=(SCWT*(TC*TWC+TI*TWI+TAZ*TWAZ+TAI*TWAI+TAV*TWAV+TNR*TWNR)+SCWS*(SC*SWC+SI*SWI+SAZ*SWAZ+SAI*SWAI+SAV*SWAV+SNR*SWNR)+SCWP*(PC*PWC+PI*PWI+PAZ*PWAZ+PAI*PWAI+PAV*PWAV+PNR*PWNR))−(ROD*(TCURRENT−TISSUED))であってもよい。 The NSS may provide a metric (ΔT) that can be used to evaluate the security status of a given asset over time. This score may be used to authenticate the asset, authorize access, compare asset security utilities, or determine, for example, where improvements are made to a given asset. NSS may be calculated as NSS = (BSS * SRW) − (ROD * ΔT). Thus, for the example of FIG. 3 and 7, NSS is, NSS = (SCW T * ( T C * TW C + T I * TW I + T AZ * TW AZ + T AI * TW AI + T AV * TW AV + T NR * TW NR ) + SCW S * (S C * SW C + S I * SW I + S AZ * SW AZ + S AI * SW AI + S AV * SW AV + S NR * SW NR) + SCW P * (P C * PW C + P I * PW I + P AZ * PW AZ + P AI * PW AI + P AV * PW AV + P NR * PW NR ))-(ROD * (T CURRENT -T ISSUED )).
図28は、本発明の実施形態による、ベースセキュリティスコア証明3500である。この例において、BSS=((6.05、3.47、3.83、4.89、5.42、3.46)、(6.52、4.45、5.78、5.09、6.43、4.80)、(4.52、4.89、2.69、3.68、6.79、2.64))。RODは、.013/日であり、証明は、2014年2月22日に発行されて、2014年8月24日に満了を有する。
FIG. 28 is a base
図29は、本発明の実施形態による、セキュリティ要件証明3600である。この例において、SRW=(0%(0%、0%、0%、0%、0%、0%)、65%(25%、40%、5%、5%、25%、0%)、35%(17%、17%、17%、16%、17%、16%))。移送セキュリティ目標重み付けにおける0.0重み付けは、この特定のアセット所有者が、移送アクティビティについて気にしない、又はこれを利用しないことを示す。このようなシナリオは、独立型の機械又はスマートカードとして存在してもよく、これは、データを移送する任意の手段を有し得ないが、記憶装置と処理能力を有する。SRCにおいてリストに記載された最小の要求されるNSSは、5.0であり、発行日又はTCURRENT=2014年3月22日。以下は、記憶装置部分の詳細な算出であり、他の詳細な算出は省かれている。
FIG. 29 is a
記憶装置部分=0.65*(0.25*6.05+0.4*3.47+0.05*3.83+0.05*4.89+0.25*5.42+0.0*3.46)=3.05
NSS=(0+3.05+1.93)−(0.013*(23 March 2014−22 February 2014)=(4.98−(0.013*29))=4.6
この計算されたNSSは、記憶された最小のNSS値に対して比較されてもよく、これが最小のNSS値を上回る場合、これは承認されてもよい。上の例において、算出された4.6のNSSは、SRCがパーミットする(5.0)より低いので、デバイスは、拒絶される。
Memory part = 0.65 * (0.25 * 6.05 + 0.4 * 3.47 + 0.05 * 3.83 + 0.05 * 4.89 + 0.25 * 5.42 + 0.0 * 3.46) = 3. 05
NSS = (0 + 3.05 + 1.93) − (0.013 * (23 March 2014-22 February 2014) = (4.98− (0.013 * 29)) = 4.6
This calculated NSS may be compared against the minimum stored NSS value, and if it exceeds the minimum NSS value, it may be approved. In the above example, the calculated NSS of 4.6 is lower than the SRC permits (5.0), so the device is rejected.
NSS値は、比較されて対比され、セキュリティレベルインデックスがアセットのセキュリティに適用されることができるようにしてもよい。図30は、本発明の実施形態による、NSS比較2400である。NSS値2410は、アセットに対するNSSが、アセットが最小の要求されるセキュリティレベルを有することを示すか否かを決定するために、NSSインデックス2420と比較されてもよい。例えば、NSSインデックス2420は、5.5以上のスコアを有するアセットが、受け入れ可能なセキュリティレベルを有し、5.5より低いスコアを有するアセットが、受け入れ可能なセキュリティレベルを有しないことを示してもよい。図30の例において、アセットは6.8のNSSを有し、したがって、5.5の要件を超える。さらに、2つ以上のアセットは、それらが同じ又は対照的なセキュリティレベルを有するかどうかを決定するために、あるいは、どのアセットがより安全かを決定するために比較されてもよい。図31は、本発明の実施形態による、NSS比較2500である。この例において、アセット1は、6.8のNSS値2510を有し、アセット2は、7.2のNSS値2520を有するので、アセット2は、アセット1よりも、より安全であると見なされてもよい。予め決定されたスコア集約プロセス及び共通セキュリティ測定方法とともに、承諾済みの、予め決定されたセキュリティ目標とカテゴリに基づいて、移行性は、セキュリティ比較が、承諾済みであり、再生可能であり、独立してベリファイ可能なセキュリティ比較であることを示唆してもよい。
NSS values may be compared and contrasted so that a security level index can be applied to asset security. FIG. 30 is an
NSS及び目標スコアセットを利用して、延長されたセキュリティ比較が行われてもよく、これは、普通、アセットのさらに特定のセキュリティ寄与を測定してもよい。図32は、本発明の実施形態による、セキュリティベリフィケーション2600である。アセット2610(例えば、USBデバイス)は、算出されたNSS(例えば、6.8)を有してもよく、QSM可能なシステム2620は、アセットと対話する前に、アセットセキュリティ2600をベリファイしてもよい。システム2620は、アセットを使用する動作(例えば、USBデバイスへの書き込み動作)2630を、例えばユーザ入力を介して実行するように頼まれてもよい。アセット2610は、そのNSS2640をシステム2620に送ってもよい。システム2620は、(例えば、図30において示されるような比較を実行することによって)NSSを評価してもよい。NSS評価が適切なセキュリティを示す場合、動作は続行してもよい。そうでない場合、動作は妨げられ得る。
Using the NSS and the target score set, an extended security comparison may be performed, which may typically measure a more specific security contribution of the asset. FIG. 32 is a
図33の例において、本発明の実施形態による、セキュリティ比較2100であり、ここにおいて、2つの異なるシステムが比較される。システム#1は、システム#2よりも低いNSSスコアを有するが、システム#1は、システム#2よりも記憶の機密性について、より高いカテゴリスコアを有する。このような比較は、どの製品を買うか(例えば、どの製品が、ユーザのセキュリティニーズを最も良く満たすか)を決定するために、又は、どのシステムがまずアップグレードされるべきかを決定するために、又は、システムセキュリティについての他の決定を知らせるために、使用されてもよい。
In the example of FIG. 33, a
図34は、本発明の実施形態による、セキュリティベリフィケーション2800であり、ここにおいて、アセットのBSSC(ラップトップ2810)は、企業ネットワーク2820との対話のために使用されてもよい。アセット2810は、ネットワーク2820に加入するように試行してもよく、BSSC2830を提供してもよい。ネットワーク2820は、BSSCを評価して、アセット2810が安全であるか否かを決定してもよい2840。この例において、アセット2810は、ネットワーク2820によって要求されるしきい値を下回るそのBSSC中にNSSを有するので、ネットワーク2820は、アセット2810へのアクセスを拒否する。
FIG. 34 is a
図35は、本発明の実施形態による、相互セキュリティベリフィケーション3000である。この例において、ラップトップ3010は、企業ネットワーク3020のBSSCを検証してもよく、企業ネットワーク3020は、ラップトップ3010のBSSCを検証してもよく、各アセットは、他のものが、対話をパーミット(permit)するのに十分高いセキュリティを有するか否かを別々に決定してもよい。
FIG. 35 is a
いくつかの実施形態において、ベリフィケーションプロセスの間のセキュリティルール強制は、オーセンティケーション又はオーソライゼーションに参加するアセットのうちの1つ以上の再評価を促進してもよい。 In some embodiments, security rule enforcement during the verification process may facilitate re-evaluation of one or more of the assets participating in the authentication or authorization.
図36は、本発明の実施形態による、セキュリティベリフィケーション3100である。アセットのBSSC(ラップトップ3110)は、企業ネットワーク3120との対話のために使用されてもよい。アセット3110は、ネットワーク3120に加入するように試行してもよく、そのBSSC3130を提供してもよい。ネットワーク3120は、BSSCを評価して、アセット3110が安全でないことを決定してもよい3140。この例において、アセット3110は、ネットワーク3120によって要求されるしきい値を下回るそのBSSCにおいて、NSSを有するので、ネットワーク3120はアセット3110へのアクセスを拒否する。アセット3110は、応答において、セキュリティモジュール2100によって再評価されてもよい3150。上記のように、NSS値は、経時的に低下するかもしれない。さらに、新たなセキュリティ機能が、経時的にアセット上で実現されてもよい。したがって、再評価3150は、更新されたBSSCのために新たなNSS値を発生してもよい。この例において、新たな値は、アセット3110がネットワーク3120と対話するのに十分安全であることを示す。アセット3110は、ネットワーク3120に加入するための第2の試行を行ってもよく、その更新されたBSSC3160を提供してもよい。ネットワーク3120は、BSSCを評価して、アセット3110が安全であることを決定してもよい3170。サーバ、PC、及びルータのような、ビルト・インの処理力を有するデバイスのQSM評価が、自動的に実行されてもよい。これは、NSSを発生するために、バックエンドデータベースの組み合わせ、コンピュータ上のコンフィギュレーション情報の走査、及び/又は、自動化された侵入テストツールを利用するQSMプロセスを実行することによって達成されてもよい。これは、完全なQSM評価を受けなかったかもしれない、それらのサービスに接続したいと望むデバイスに対して、サービスプロバイダ又はネットワークが、少なくとも最小のセキュリティ状況を要求できるようにしてもよい。
FIG. 36 is a
この自動化は、先制でQSMデバイスを保護するようにさらにステップがとられてもよい。新たな開発又は他の脅威が識別された場合、バックエンドデータベースは、影響されやすくて先制のアクションをとる、登録されたデバイスをサーチしてもよい。このアクションは、それらのNSSを低下したり、それらの確実性(cert)を取り消し、及び/又は、アセット所有者に、例えば、彼らの特定のサービスをディセーブルにすべきこと、又は、パッチ又は更新をインストールすべきこと、又は、システム管理者に脅威を忠告すべきことをアドバイスしてもよい。多くのコンピュータネットワークの性質により、これらの先制サービスは、いくつかの実施形態において、デバイスとバックエンドサービスの間の周期的な通信を要求するかもしれない。 This automation may be further stepped to protect the QSM device on a preempt basis. As new developments or other threats are identified, the backend database may search for registered devices that are susceptible and take preemptive action. This action may reduce their NSS, cancel their cert and / or disable asset specific services, for example, their particular service, or patch or You may advise that the update be installed or that the system administrator advise the threat. Due to the nature of many computer networks, these preemptive services may require periodic communication between the device and the backend service in some embodiments.
自動化された評価と証明発生は、例えば、数日古い証明でさえ受け入れ可能でないかもしれない、特定の高セキュリティ要件を有し得るシステムへのアクセスのために、リアルタイム評価が実行されてもよい。これらの高セキュリティシステムは、現在(例えば、その日、その週、等)通用している証明を要求するかもしれない。これは、いくつかの実施形態において、自動的に取り扱われてもよい。自動化されたQSM評価プロセスは、いくつかの実施形態において、システムが、システムリソースを利用するための各要求において、再評価と再証明を要求できるようにしてもよい。 Automated evaluation and proof generation may be performed, for example, for access to a system that may have certain high security requirements that may not be acceptable even for proofs that are several days old. These high security systems may require proof that is currently valid (eg, that day, that week, etc.). This may be handled automatically in some embodiments. The automated QSM evaluation process may, in some embodiments, allow the system to request a re-evaluation and re-certification at each request to utilize system resources.
以下の付加的な例は、シナリオを説明し、ここにおいて、QSMは、オーセンティケーション及び/又はオーソライゼーションのために使用されてもよい。このセクションの目的のために、QSM内のデバイスがSSCを有することが仮定されてもよい。それら自身の計算するリソースを有するデバイス又はシステムは、SRCも有するように仮定されてもよい。SRCを有し得ないデバイスの例は、USBメモリスティックである。多くのUSBメモリスティックは、それら自身の計算するリソースを有さないので、それらは、それらのSRCを、それらが受け取ったSSCと比較することができないかもしれないので、それらが、SRCを有する理由はないかもしれない。さらに、それ自身の計算リソースを有しないデバイスのためのSSCは、デバイスがBSSCからのSSCを更新できないので、単純にBSSCであるかもしれない。 The following additional examples illustrate scenarios where QSM may be used for authentication and / or authorization. For the purposes of this section, it may be assumed that devices in QSM have SSC. Devices or systems that have their own computing resources may be assumed to also have SRC. An example of a device that cannot have an SRC is a USB memory stick. Many USB memory sticks do not have their own computing resources, so they may not be able to compare their SRC with the SSC they received, so why they have SRC There may not be. Furthermore, the SSC for a device that does not have its own computational resources may simply be a BSSC because the device cannot update the SSC from the BSSC.
QSMを使用するデバイスは、デバイスオーセンティケーションを実行して、ネットワークアクセスをオーソライズするために、SSCを活用してもよい。上述のように、このオーセンティケーションとオーソライゼーションは、相互であり、各エンティティが他のものをオーセンティケートしてオーソライズすることができるようにしてもよい。自動化されたQSM評価ツールを利用して、この相互オーセンティケーションは、共同オフィスでWi−Fiアクセスポイントに加入することや、オンライン商取引にアクセスすること等のような、ネットワークリソースへの一時的又は時折のアクセスを要求し得る外部デバイスに拡張されてもよい。リソース所有者は、彼らのリソースへの時折のアクセスを要求し得る、各デバイスの物理アセスメントを要求できないかもしれず、ここで、登録又は契約プロセスの一部として、QSM評価ツールのダウンロード又はアクセスを要求することが実行可能であってもよい。QSMツールは、その後、上で議論されたように自動化された走査に基づいて、自動化されたBSSCを発生してもよく、その後、デバイスは、ネットワークリソースへのアクセスが許可される前に、相互オーセンティケーション交換に参加してもよい。 A device using QSM may leverage SSC to perform device authentication and authorize network access. As described above, this authentication and authorization may be mutual and allow each entity to authenticate and authorize the other. Utilizing an automated QSM assessment tool, this mutual authentication can be used to temporarily or network resources such as subscribing to Wi-Fi access points at joint offices, accessing online commerce, etc. It may be extended to external devices that may require occasional access. Resource owners may not be able to request physical assessments of each device, which may require occasional access to their resources, where they request download or access to the QSM assessment tool as part of the registration or contract process It may be feasible to do. The QSM tool may then generate an automated BSSC based on the automated scan as discussed above, after which the devices may interact with each other before access to network resources is granted. You may participate in the authentication exchange.
図37は、本発明の実施形態による、セキュリティベリフィケーション3800である。ネットワークに接続する際、デバイスは、そのSSC3810でネットワークを提供できる。SSCは暗号でサインされた証明であるので、SSCは、デバイスに対して唯一であってもよい。結果として、これは(ユーザよりもむしろ)デバイスをネットワークにオーセンティケートするために活用されてもよい。ネットワークは、悪意のある、又は不審な仕方で挙動しているかもしれない任意のデバイスを識別するために、ロギング目的で、SSCを活用できる。ネットワーク管理者は、いくつかの実施形態において、デバイスの現在のセキュリティレベルに基づいてネットワークに加入するために、デバイスがパーミットされるか否かを決めるように、SSCを活用できる。要件を満たすデバイスは、ネットワーク3820に加入できるようにされてもよい。アクセスを単純に許可すること、又は許可しないこととは別に、SSCは、どのネットワークセグメントにデバイスがアクセスすることをオーソライズされているかを決定するように活用されてもよい。例えば、企業のセキュリティ要件を満たしていないデバイスは、企業リソース3830にアクセスできないようにする一方、デバイスがインターネットにアクセスできるよう、ゲストネットワーク上に置かれてもよい。
FIG. 37 is a
図38は、本発明の実施形態による、セキュリティベリフィケーション3900である。デバイスはまた、ネットワーク自体をオーセンティケートしてオーソライズするために、SSCを活用できる。ネットワークそれら自体が、暗号的にサインされたSSCを有するかもしれないので、デバイスは、それが加入するように試行しているネットワークを識別できるかもしれない。この方法論は、有線、無線、又はセルラー式であろうとなかろうと、ネットワーク妨害(spoofing)の可能性を取り除くことができる。ユーザ及び/又はシステム管理者は、どのネットワークをデバイスが使用するかを制限するためにSSCを活用できる。例えば、企業管理者は、ラップトップが、企業ネットワーク、従業員の家における指定された在宅勤務ルータ、及び、指定されたセルラー式ネットワークにのみ接続できるように、ラップトップを構成できる。従業員は、彼らのデバイスを他の任意のネットワークに接続することはできないかもしれない。この例において、ラップトップは、そのSSCをネットワークに送ってもよい3910。ネットワークは、これがNSSコンプライアンスに対して評価されない場合、SSCを無視してもよい3920。この場合において、SRCが満たされていないので、ラップトップは、ネットワークに接続するのを拒絶してもよい3930。
FIG. 38 is a
さらに、SSCは時折更新されるかもしれないので、システム管理者は、デバイスがより安全でないネットワークに加入するのをパーミットするかもしれない。デバイスのSSCは、どの安全でないネットワークにそれが加入したかを示すように更新されてもよい。SSCの結果としての減少によって、企業ネットワークは、デバイスが、それがネットワークに再加入できるようにする前に、再評価されるように強制してもよい。例えば、このような技術は、従業員が彼らのラップトップとともに移動するときに有用であるかもしれない。さらに、ユーザ又はシステム管理者は、どのデバイスリソースに、ネットワークがアクセスできるようにされてもよいかをオーソライズするために、ネットワークのSSCを活用してもよい。例えば、デバイスのファイアウォールは、あるセキュリティレベルを満たさないネットワークが、デバイス上で実行しているファイル共有又はウェブサーバにアクセスするのをパーミットされることを妨げてもよい。 Furthermore, since the SSC may be updated from time to time, the system administrator may permit the device to join a less secure network. The SSC of the device may be updated to indicate which insecure network it has joined. With the resulting reduction in SSC, the enterprise network may force the device to be re-evaluated before allowing it to re-join the network. For example, such techniques may be useful when employees move with their laptops. In addition, the user or system administrator may leverage the network's SSC to authorize which device resources may be made accessible to the network. For example, a device firewall may prevent a network that does not meet a certain security level from being allowed to access a file share or web server running on the device.
図39は、本発明の実施形態による、セキュリティベリフィケーション4000である。ネットワークをオーセンティケートしてオーソライズすることとは別に、コンピュータは、それらのSSCに基づいて、デバイスをオーセンティケートしてオーソライズしてもよい。例えば、USB記憶デバイスは、SSCを含み、コンピュータに接続するとき、SSCをコンピュータに送ってもよい4010。SSCが、ある基準を満たさない(例えば、停止して、データを適切に暗号化していない)場合、ホストコンピュータは、ユーザが、情報をUSBスティックにコピーするのを妨げてもよい4020。さらに、ホストコンピュータが、コピーされているデータの性質を検出できる場合、コピーが生じることができるか否かについての決定4020は、データ自体と、行き先デバイスのSSCの組み合わせに基づいてもよい。同様の例が、他の多くのタイプのデバイスに対して存在し得る。いくつかの実施形態において、デバイス間のハンドシェーキングは、SSCがいつも確実に送信されるようにするために修正されてもよい。例えば、USBハンドシェーキングプロトコルの一部として、ホスト及びスレーブデバイスの両方が、それらのSSCを共有してもよい。これは、デバイスが、相互オーセンティケーションとオーソライゼーションを実行できるようにしてもよい。
FIG. 39 is a
デバイスはまた、デバイス自体上の敏感な情報にアクセスできるようにするために、SSCを利用し得る。例えば、信頼できる計算スペースを有するデバイスは、SSCがある基準を満たす場合、デバイス上の暗号化された情報へのアクセスのみを許可するように構成されてもよい。信頼できる計算プロセッサは、暗号化されたボリュームにアクセスするための試行を検出して、その後、現在のSSCがその暗号化されたボリュームに対する基準を満たすか否かを決定してもよい。たとえユーザが解読鍵を知っていても、(妥協されたかもしれない)デバイスがもはや信頼できないので、デバイスは、それらが情報を解読するのを妨げてもよい。これは、敏感な記憶装置に対して別々のコンポーネントを活用するように特に設計された計算デバイスを可能にしてもよく、これは、SSCがSRCに準拠することを要求してもよい。本質的に、敏感な記憶コンポーネントは、システムによって別のデバイスとして見られてもよい。 The device may also utilize SSC to allow access to sensitive information on the device itself. For example, a device with a trusted computing space may be configured to only allow access to encrypted information on the device if the SSC meets certain criteria. A trusted computing processor may detect an attempt to access an encrypted volume and then determine whether the current SSC meets the criteria for that encrypted volume. Even if the user knows the decryption key, the devices may prevent them from decrypting information because the devices (which may have been compromised) are no longer reliable. This may allow a computing device specifically designed to take advantage of separate components for sensitive storage, which may require the SSC to be SRC compliant. In essence, sensitive storage components may be viewed as separate devices by the system.
ハードウェア及びソフトウェア製品は、コンプライアンスを確実にするSOSを確立するために、パラメータと設定を自動的に構成するように、(利用可能な範囲内で)ユーザ提供SRCと所望のSSCを利用してもよい。製品コンフィギュレーションにおいて何のパラメータの組み合わせが利用可能かを決定するために、ユーザから負担を除去することは、機能性とセキュリティを提供するかもしれない。同様に、リソース所有者は、彼らのリソースにアクセスしている間、あるサービス又はデバイスが、ディセーブル又は停止されることを要求してもよい。自動コンフィギュレーションとQSM自動評価プロセスの両方を活用することは、このタイプの動的コンフィギュレーションがセキュリティ要件にマッチできるようにしてもよい。 Hardware and software products utilize user-provided SRCs and desired SSCs (to the extent available) to automatically configure parameters and settings to establish SOS to ensure compliance. Also good. Removing burden from the user to determine what parameter combinations are available in the product configuration may provide functionality and security. Similarly, resource owners may require certain services or devices to be disabled or stopped while accessing their resources. Utilizing both automatic configuration and QSM automatic evaluation processes may allow this type of dynamic configuration to match security requirements.
SSCは、製品購入情報を提供してもよい。製品製造者は、製品オンラインのためにSSCを提供してもよく、消費者が、彼らの特定のセキュリティ環境において、製品間の直接的な比較を実行できるようにする。同様に、何の製品がそれらのセキュリティ要件を満たすかを学習するために、ウェブサイトは、潜在的な消費者がSRCを提出できるようにし得る。これは、消費者が、購入を行う前に、どの製品が所望のセキュリティ向上又は性能を生成するかを判断できるようにするかもしれない。新たな製品又はコンフィギュレーションを実現することが、どのようにセキュリティ全体にインパクトを与え得るかを学習するために、システムのシミュレーションを実行するようにシステムを開発することさえ、可能であるかもしれない。製造者は、彼らがユーザに提供できるセキュリティの量を定量化し、所定のセキュリティSRCに対し、彼らが彼らの競争相手を超えて、どのくらいのセキュリティを付加するかを示すことができるかもしれない。 The SSC may provide product purchase information. Product manufacturers may provide SSC for product online, allowing consumers to perform direct comparisons between products in their specific security environment. Similarly, in order to learn what products meet their security requirements, the website may allow potential consumers to submit SRCs. This may allow the consumer to determine which products produce the desired security enhancement or performance before making a purchase. It may even be possible to develop a system to perform a simulation of the system to learn how implementing a new product or configuration can impact overall security. . Manufacturers may be able to quantify the amount of security they can provide to their users and indicate to a given security SRC how much security they add beyond their competitors.
さまざまな実施形態を上記で説明してきたが、それらは例として提示したものであり、限定されるものではないことを理解すべきである。精神及び範囲から逸脱することなく、形態及び詳細においてさまざまな変更をそこで行うことができることが、当業者には明白となろう。事実、上記の説明を読んだ後に、代替的な実施形態の実現の仕方が当業者に明白となろう。 While various embodiments have been described above, it should be understood that they have been presented by way of example and not limitation. It will be apparent to those skilled in the art that various changes in form and detail can be made there without departing from the spirit and scope. In fact, after reading the above description, it will be apparent to those skilled in the art how to implement alternative embodiments.
加えて、機能性及び利点を際立たせる任意の図面は、例示的な目的のためのみに提示していることを理解すべきである。開示した方法論及びシステムは各々、十分に柔軟なものであり、示した以外の方法でそれらを利用できるように構成可能である。 In addition, it should be understood that any drawing that highlights functionality and advantages is presented for illustrative purposes only. Each of the disclosed methodologies and systems are sufficiently flexible and can be configured to utilize them in ways other than those shown.
用語“少なくとも1つ”をしばしば明細書、特許請求の範囲、及び図面中で使用しているが、用語“a”、“an”、“the”、“said”等はまた、明細書、特許請求の範囲、及び図面中で“少なくとも1つ”又は“前記少なくも1つ”を表す。 The term “at least one” is often used in the description, claims, and drawings, but the terms “a”, “an”, “the”, “said”, etc. are also used in the specification, patent, “At least one” or “the least one” in the claims and in the drawings.
最後に、表現言語“ための手段”又は“ためのステップ”を含む請求項のみが米国特許法第112条(f)の下で解釈されるべきであることが出願人の意図である。フレーズ“ための手段”又は“ためのステップ”を明示的に含まない請求項は、米国特許法第112条(f)の下で解釈するべきではない。 Finally, it is Applicants' intention that only claims that contain the expression language “means for” or “steps for” should be construed under 35 USC 112 (f). A claim not explicitly including the phrase “means for” or “step for” should not be construed under 35 USC 112 (f).
公開鍵証明のような暗号化技術とともに、NSS、目標スコアセット、及び、導出されたセキュリティルールを利用して、デジタルアセットは、ベースセキュリティスコア証明(BSSC)においてアセットの評価が実行された時間とともに、それらのセキュリティレベルを安全に記憶してもよい。図24は、本発明の実施形態による、BSSC2700である。BSSC2700は、各セキュリティ目標2210とカテゴリ2220に対するスコアを含み得る。図18の例示的なアセット2230、BSSC2700は、3タプルのセキュリティカテゴリ2220スコア(SCS)であってもよく、これらのそれぞれは、次に、6タプルのセキュリティ目標2210スコアとなり得る。図25は、図18のアセット2230に対する例示的なBSSC2700である。この例示的なBSSC2700は、ベースセキュリティスコア(BSS)を有してもよく、BSS=((移送SCS))、(記憶装置SCS)、(プロセスSCS))、又は、BSS=((TC、TI、TAZ、TAI、TAV、TNR)、(SC、SI、SAZ、SAI、SAV、SNR)、(PC、PI、PAZ、PAI、PAV、PNR))のように表現され、ここにおいて、C=機密性(confidentiality)、I=完全性(integrity)、AZ=オーソライゼーション(authorization)、AI=オーセンティケーション(authentication)、AV=利用可能性(availability)、及び、NR=否認防止(non-repudiation)である。BSSC2700は、例えば、個人、法人、規制機関、又は、政府機関によってサインされてもよい。BSSC2700は、証明が発行された日/時と、証明が満了する日/時を含んでもよい。BSSC2700は、NSSについての減衰率も含んでもよく、これは、以下でさらに詳細に記述される。
Utilizing NSS, target score sets, and derived security rules, along with encryption techniques such as public key certification, digital assets can be used together with the time the asset assessment was performed in Base Security Score Certification (BSSC). The security level may be stored safely. FIG. 24 is a
最後に、表現言語“ための手段”又は“ためのステップ”を含む請求項のみが米国特許法第112条(f)の下で解釈されるべきであることが出願人の意図である。フレーズ“ための手段”又は“ためのステップ”を明示的に含まない請求項は、米国特許法第112条(f)の下で解釈するべきではない。
以下に、本願出願時の特許請求の範囲に記載された発明を付記する。
[1]安全な電子アクセスのためのシステムであって、
保護下のデバイス上の安全なリソースにアクセスすることを求める電子デバイスからの少なくとも1つの電子証明を受信する、少なくとも1つのセキュリティプロセッサを含む前記保護下のデバイスと、ここにおいて、前記少なくとも1つの証明は、前記電子デバイスのセキュリティに関連するデバイス情報を提供し、
少なくとも1つの自律的なプロセッサと、少なくとも1つの自律的なメモリとを含む自律的なシステムと、ここにおいて、前記少なくとも1つの自律的なメモリは、セキュリティ要件情報を記憶し、前記少なくとも1つの自律的なプロセッサは、前記デバイス情報を前記セキュリティ要件情報と比較し、前記少なくとも1つの自律的なプロセッサは、前記デバイス情報が前記セキュリティ要件情報を満たすとき、前記少なくとも1つのセキュリティプロセッサに、前記安全なリソースを前記デバイスに提供するように命令し、
前記保護下のデバイスは、前記命令に応答して、前記安全なリソースを前記電子デバイスに提供する、
を備える、システム。
[2]前記安全なリソースは、デジタルファイル又はデジタルファイル集を含む、[1]に記載のシステム。
[3]前記安全なリソースは、ハードウェアリソースを含む、[1]に記載のシステム。
[4]前記少なくとも1つの自律的なプロセッサは、前記比較に基づいて、前記電子デバイスによる前記安全なリソースの使用の条件を制御する、[1]に記載のシステム。
[5]前記少なくとも1つの自律的なプロセッサは、前記デジタルファイル又はデジタルファイル集と、前記セキュリティ要件情報を含むセキュリティ要件証明と、許可キー値ペアのセットとを含む圧縮されたアーカイブを作成して、前記セキュリティシステムの前記少なくとも1つの電子証明を検証する、[2]に記載のシステム。
[6]前記少なくとも1つの自律的なプロセッサは、暗号化されたデジタル署名を前記デジタルファイル又は前記デジタルファイル集におけるデジタルファイルのそれぞれに対して適用し、真正の認証とオーサーの認証を提供し、前記デジタル署名は、ファイル作成の際に適用されて、前記デジタルファイル又は前記デジタルファイル集が変化する度に、第2の暗号化されたデジタル署名として更新又は適用される、[5]に記載のシステム。
[7]前記少なくとも1つの自律的なプロセッサは、前記セキュリティ要件情報に基づいて、前記デジタルファイル又は前記デジタルファイル集の、印刷、コピー、表示、編集、及び/又は、送信を制御するために、属性と設定と許可を実施する、[2]に記載のシステム。
[8]前記自律的なシステムは、前記自律的なシステムにおいて配置された自律的なシステムプライベートキーを含み、前記自律的なシステムは、前記自律的なシステムプライベートキーによりメッセージにサインし、前記自律的なシステムでサインされたメッセージをソースに送り、前記ソースは、前記自律的なシステムへのオーソライズされていないアクセスがあったか否か、又は、前記自律的なシステムでの改竄があったか否かを決定する、[1]に記載のシステム。
[9]前記ソースは、前記ソース内に配置されたソースプライベートキーを含み、前記ソースは、前記ソースプライベートキーによりメッセージにサインし、前記ソースでサインされたメッセージを前記自律的なシステムに送り、前記自律的なシステムは、前記ソースへのオーソライズされていないアクセスがあるか否か、又は、前記ソースでの改竄があるか否かを決定する、[8]に記載のシステム。
[10]安全な電子アクセスのためのシステムであって、
保護下のデバイスのセキュリティを記述する少なくとも1つの電子証明を受信する少なくとも1つのセキュリティプロセッサを含み、前記少なくとも1つの電子証明と、前記保護下のデバイスに対して使用不可能な形態におけるリソースと、セキュリティ要件情報とを出力する、前記保護下のデバイスと、
少なくとも1つの自律的なプロセッサと、前記少なくとも1つの電子証明を記憶する少なくとも1つのメモリとを含む自律的なシステムと、ここにおいて、前記少なくとも1つの電子証明を前記保護下のデバイスに提供し、
前記少なくとも1つの電子証明と、前記保護下のデバイスに対して使用不可能な形態における前記リソースと、前記保護下のデバイスからの前記セキュリティ要件情報とを受信し、前記少なくとも1つの電子証明を前記セキュリティ要件情報に比較し、前記少なくとも1つの電子証明が、前記セキュリティシステムは前記セキュリティ要件情報を満たすことを示すとき、前記保護下のデバイスに対して使用可能な形態に前記リソースを変形し、前記保護下のデバイスに対して使用可能な形態における前記リソースを前記保護下のデバイスに提供することによって、少なくとも1つのオーソライザプロセスを実行するように構成されて設計されたオーソライザシステムと、
を備える、システム。
[11]前記リソースは、デジタルファイル又はデジタルファイル集を含む、[10]に記載のシステム。
[12]前記少なくとも1つの自律的なプロセッサは、前記比較に基づいて、前記セキュリティシステムによる前記リソースの使用の条件を制御する、[10]に記載のシステム。
[13]前記保護下のデバイスによって使用可能な形態における、前記デジタルファイル又は前記デジタルファイル集は、前記少なくとも1つの自律的なメモリにおいて記憶される、[11]に記載のシステム。
[14]前記少なくとも1つの自律的なプロセッサは、前記自律的なシステムからの情報に基づいて、前記保護下のデバイスによる前記リソースの使用の条件を制御する、[10]に記載のシステム。
[15]前記少なくとも1つの自律的なプロセッサは、前記セキュリティ要件情報に基づいて、前記デジタルファイル又は前記デジタルファイル集の、印刷、コピー、表示、編集、及び/又は、送信を制御するために、属性と設定と許可を実施する、[11]に記載のシステム。
[16]前記自律的なシステムは、前記自律的なシステムにおいて配置された自律的なシステムプライベートキーを含み、前記自律的なシステムは、前記自律的なシステムプライベートキーによりメッセージにサインし、前記自律的なシステムでサインされたメッセージをソースに送り、前記ソースは、前記自律的なシステムへのオーソライズされていないアクセスがあったか否か、又は、前記自律的なシステムでの改竄があったか否かを決定する、[10]に記載のシステム。
[17]前記ソースは、前記ソース内に配置されたソースプライベートキーを含み、前記ソースは、前記ソースプライベートキーによりメッセージにサインし、前記ソースでサインされたメッセージを前記自律的なシステムに送り、前記自律は、前記ソースへのオーソライズされていないアクセスがあったか否か、又は、前記ソースでの改竄があったか否かを決定する、[16]に記載のシステム。
[18]電子アクセスを安全にする方法であって、
少なくとも1つのセキュリティプロセッサを含む保護下のデバイスにおいて、安全なリソースにアクセスすることを求める電子デバイスからの少なくとも1つの電子証明を受信することと、ここにおいて、前記少なくとも1つの証明は、前記電子デバイスのセキュリティに関連するデバイス情報を提供し、
自律的なシステムの少なくとも1つの自律的なプロセッサにより、前記デバイス情報を前記セキュリティ要件情報と比較することと、
前記デバイス情報が前記セキュリティ要件情報を満たすとき、前記少なくとも1つのセキュリティプロセッサに、前記安全なリソースを前記デバイスに提供するように命令する前記少なくとも1つの自律的なプロセッサと、
前記命令に応答して、前記安全なリソースを前記電子デバイスに提供する前記保護下のデバイスと、
を備える、方法。
[19]前記安全なリソースは、デジタルファイル又はデジタルファイル集を含む、[18]に記載の方法。
[20]前記安全なリソースは、ハードウェアリソースを含む、[18]に記載の方法。
[21]前記比較することに基づいて、前記デバイスによる前記安全なリソースの使用の条件を制御する、前記少なくとも1つの自律的なプロセッサをさらに備える、[18]に記載の方法。
[22]前記デジタルファイル又は前記デジタルファイル集と、前記セキュリティ要件情報と、許可キー値ペアのセットとを含む圧縮されたアーカイブを作成し、前記デバイス情報が前記セキュリティ要件情報を満たすことを検証する前記少なくとも1つの自律的なプロセッサをさらに備える、[19]に記載の方法。
[23]暗号化されたデジタル署名を前記デジタルファイル及び前記デジタルファイル集におけるデジタルファイルのそれぞれに適用し、真正の認証とオーサーシップの認証を提供する、前記少なくとも1つの自律的なプロセッサをさらに備え、前記デジタル署名は、ファイル作成の際に適用されて、前記デジタルファイル又は前記デジタルファイル集が変化する度に、第2の暗号化されたデジタル署名として更新又は適用される、[22]に記載の方法。
[24]前記セキュリティ要件情報に基づいて、前記デジタルファイル又は前記デジタルファイル集の、印刷、コピー、表示、編集、及び/又は、送信を制御するために、属性と設定と許可を実施する前記少なくとも1つの自律的なプロセッサをさらに備える、[19]に記載の方法。
[25]自律的なシステムプライベートキーによりメッセージにサインし、前記自律的なシステムでサインされたメッセージをソースに送る自律的なシステムをさらに備え、前記ソースは、前記制御システムへのオーソライズされていないアクセスがあったか否か、又は、前記制御システムでの改竄があったか否かを決定する、[18]に記載の方法。
[26]ソースプライベートキーによりメッセージにサインし、前記ソースでサインされたメッセージを前記自律的なシステムに送るソースをさらに備え、前記自律的なシステムは、前記ソースへのオーソライズされていないアクセスがあったか否か、又は、前記ソースでの改竄があったか否かを決定する、[25]に記載の方法。
[27]電子アクセスを安全にする方法であって、
自律的なシステムの少なくとも1つの自律的なメモリにおいて、保護下のデバイスのセキュリティを記述する少なくとも1つの電子証明を記憶することと、
前記保護下のデバイスに対して前記少なくとも1つの証明を提供する前記自律的なシステムの少なくとも1つの自律的なプロセッサと、
前記少なくとも1つの電子証明と、前記保護下のデバイスに対する使用可能な形態におけるリソースと、セキュリティ要件情報とを、オーソライザシステムに出力する前記自律的なシステムと、
前記少なくとも1つの証明を前記セキュリティ要件情報と比較する、前記オーソライザシステムの少なくとも1つのオーソライザプロセスと、
前記少なくとも1つの電子証明が、前記保護下のデバイスが前記セキュリティ要件情報を満たすことを示すとき、前記リソースを、前記保護下のデバイスに対して使用可能な形態に変形する前記少なくとも1つのオーソライザプロセスと、
前記自律的なシステムに対して使用可能な形態における前記リソースを、前記保護下のデバイスに提供する前記少なくとも1つのオーソライザプロセスと、を備える方法。
[28]前記リソースは、デジタルファイル又はデジタルファイル集を含む、[27]に記載の方法。
[29]前記少なくとも1つの自律的なプロセスは、前記比較することに基づいて、前記保護下のデバイスによる前記リソースの使用の条件を制御する、[27]に記載の方法。
[30]前記少なくとも1つの自律的なメモリにおいて、前記電子システムに対して使用可能な形態における前記リソースを記憶することをさらに備える、[28]に記載の方法。
[31]前記オーソライザシステムからの情報に基づいて、前記保護下のデバイスによる前記リソースの使用の条件を制御する前記少なくとも1つの自律的なプロセッサをさらに備える、[27]に記載の方法。
[32]前記セキュリティ要件情報に基づいて、前記デジタルファイル又は前記デジタルファイル集の、印刷、コピー、表示、編集、及び/又は、送信を制御するために、属性と設定と許可を実施する前記自律的なシステムをさらに備える、[28]に記載の方法。
[33]自律的なシステムプライベートキーによりメッセージにサインし、前記自律的なシステムでサインされたメッセージをソースに送る自律的なシステムをさらに備え、前記ソースは、前記自律的なシステムへのオーソライズされていないアクセスがあったか否か、又は、前記自律的なシステムでの改竄があったか否かを決定する、[27]に記載の方法。
[34]ソースプライベートキーによりメッセージにサインし、前記ソースでサインされたメッセージを前記自律的なシステムに送るソースをさらに備え、前記自律は、前記ソースへのオーソライズされていないアクセスがあったか否か、又は、前記ソースでの改竄があったか否かを決定する、[33]に記載の方法。
Finally, it is Applicants' intention that only claims that contain the expression language “means for” or “steps for” should be construed under 35 USC 112 (f). A claim not explicitly including the phrase “means for” or “step for” should not be construed under 35 USC 112 (f).
The invention described in the scope of claims at the time of filing the present application will be appended.
[1] A system for secure electronic access,
The protected device including at least one security processor that receives at least one electronic certificate from an electronic device seeking access to a secure resource on the protected device, wherein the at least one certificate Provides device information related to the security of the electronic device,
An autonomous system including at least one autonomous processor and at least one autonomous memory, wherein the at least one autonomous memory stores security requirement information and the at least one autonomous A processor that compares the device information with the security requirement information, and the at least one autonomous processor sends the secure information to the at least one security processor when the device information satisfies the security requirement information. Instructing the device to provide resources,
The protected device provides the secure resource to the electronic device in response to the command;
A system comprising:
[2] The system according to [1], wherein the secure resource includes a digital file or a collection of digital files.
[3] The system according to [1], wherein the secure resource includes a hardware resource.
[4] The system according to [1], wherein the at least one autonomous processor controls a condition of use of the secure resource by the electronic device based on the comparison.
[5] The at least one autonomous processor creates a compressed archive including the digital file or collection of digital files, a security requirement certificate including the security requirement information, and a set of permission key value pairs. The system according to [2], wherein the at least one electronic certificate of the security system is verified.
[6] The at least one autonomous processor applies an encrypted digital signature to each of the digital files or digital files in the digital file collection to provide authentic authentication and author authentication; The digital signature is applied when a file is created, and updated or applied as a second encrypted digital signature each time the digital file or the digital file collection changes. system.
[7] The at least one autonomous processor controls printing, copying, displaying, editing, and / or sending the digital file or the digital file collection based on the security requirement information. The system according to [2], which implements attributes, settings, and permissions.
[8] The autonomous system includes an autonomous system private key arranged in the autonomous system, and the autonomous system signs a message with the autonomous system private key, and the autonomous system A message signed by a local system is sent to the source, which determines whether there has been unauthorized access to the autonomous system or whether there has been tampering with the autonomous system The system according to [1].
[9] The source includes a source private key located within the source, the source signs a message with the source private key, and sends a message signed with the source to the autonomous system; The system of [8], wherein the autonomous system determines whether there is unauthorized access to the source or whether there is tampering at the source.
[10] A system for secure electronic access,
At least one security processor that receives at least one electronic certificate that describes the security of the protected device, the at least one electronic certificate, and resources in a form that is unusable for the protected device; Outputting the security requirement information, and the protected device;
Providing an autonomous system including at least one autonomous processor and at least one memory storing the at least one electronic certificate, wherein the at least one electronic certificate is provided to the protected device;
Receiving the at least one electronic certificate, the resource in an unusable form for the protected device, and the security requirement information from the protected device; and receiving the at least one electronic certificate When the at least one electronic certificate indicates that the security system satisfies the security requirement information, as compared to security requirement information, transforms the resource into a form usable for the protected device, and An authorizer system configured and designed to perform at least one authorizer process by providing the protected device with the resources in a form usable for the protected device;
A system comprising:
[11] The system according to [10], wherein the resource includes a digital file or a collection of digital files.
[12] The system according to [10], wherein the at least one autonomous processor controls a condition of use of the resource by the security system based on the comparison.
[13] The system of [11], wherein the digital file or the digital file collection in a form usable by the protected device is stored in the at least one autonomous memory.
[14] The system according to [10], wherein the at least one autonomous processor controls a condition of use of the resource by the protected device based on information from the autonomous system.
[15] The at least one autonomous processor controls printing, copying, displaying, editing, and / or sending the digital file or the digital file collection based on the security requirement information. The system according to [11], wherein the attribute, setting, and permission are performed.
[16] The autonomous system includes an autonomous system private key arranged in the autonomous system, and the autonomous system signs a message with the autonomous system private key, and the autonomous system A message signed by a local system is sent to the source, which determines whether there has been unauthorized access to the autonomous system or whether there has been tampering with the autonomous system The system according to [10].
[17] The source includes a source private key located within the source, the source signs a message with the source private key, and sends a message signed with the source to the autonomous system; The system of [16], wherein the autonomy determines whether there has been unauthorized access to the source or whether there has been tampering with the source.
[18] A method of securing electronic access,
Receiving at least one electronic certificate from an electronic device seeking access to a secure resource at a protected device including at least one security processor, wherein the at least one certificate is the electronic device Provides device information related to the security of
Comparing the device information with the security requirement information by at least one autonomous processor of the autonomous system;
The at least one autonomous processor instructing the at least one security processor to provide the secure resource to the device when the device information satisfies the security requirement information;
The protected device providing the secure resource to the electronic device in response to the instructions;
A method comprising:
[19] The method according to [18], wherein the secure resource includes a digital file or a collection of digital files.
[20] The method according to [18], wherein the secure resource includes a hardware resource.
[21] The method of [18], further comprising the at least one autonomous processor that controls a condition of use of the secure resource by the device based on the comparing.
[22] Create a compressed archive containing the digital file or collection of digital files, the security requirement information, and a set of permission key value pairs, and verify that the device information satisfies the security requirement information The method of [19], further comprising the at least one autonomous processor.
[23] The at least one autonomous processor further applying an encrypted digital signature to each of the digital file and each digital file in the digital file collection to provide authentic authentication and authorship authentication. The digital signature is applied at the time of file creation and updated or applied as a second encrypted digital signature each time the digital file or the digital file collection changes. [22] the method of.
[24] Based on the security requirement information, perform at least attributes, settings, and permissions to control printing, copying, display, editing, and / or transmission of the digital file or the digital file collection. The method of [19], further comprising one autonomous processor.
[25] The method further comprises an autonomous system that signs a message with an autonomous system private key and sends a message signed by the autonomous system to a source, the source not authorized to the control system The method according to [18], wherein it is determined whether there has been access or whether there has been tampering with the control system.
[26] further comprising a source signing a message with a source private key and sending the message signed at the source to the autonomous system, the autonomous system having unauthorized access to the source The method according to [25], wherein it is determined whether or not there has been tampering with the source.
[27] A method for securing electronic access,
Storing at least one electronic certificate describing the security of the protected device in at least one autonomous memory of the autonomous system;
At least one autonomous processor of the autonomous system providing the at least one proof to the protected device;
The autonomous system outputting the at least one electronic certificate, resources in a usable form for the protected device, and security requirement information to an authorizer system;
At least one authorizer process of the authorizer system that compares the at least one proof with the security requirement information;
The at least one authorizer that transforms the resource into a usable form for the protected device when the at least one electronic certificate indicates that the protected device satisfies the security requirement information. Process,
The at least one authorizer process that provides the resource in a form usable for the autonomous system to the protected device.
[28] The method according to [27], wherein the resource includes a digital file or a collection of digital files.
[29] The method of [27], wherein the at least one autonomous process controls conditions of use of the resource by the protected device based on the comparing.
[30] The method of [28], further comprising storing the resource in a form usable for the electronic system in the at least one autonomous memory.
[31] The method of [27], further comprising the at least one autonomous processor that controls conditions of use of the resource by the protected device based on information from the authorizer system.
[32] The autonomous system that implements attributes, settings, and permissions to control printing, copying, display, editing, and / or transmission of the digital file or the digital file collection based on the security requirement information The method of [28], further comprising a general system.
[33] The method further comprises an autonomous system that signs a message with an autonomous system private key and sends the message signed by the autonomous system to a source, the source being authorized to the autonomous system. The method according to [27], wherein it is determined whether there has been an access that has not been made, or whether there has been a tampering in the autonomous system.
[34] further comprising a source signing a message with a source private key and sending the message signed at the source to the autonomous system, wherein the autonomy has received unauthorized access to the source; Alternatively, the method according to [33], wherein it is determined whether or not the source has been tampered with.
Claims (34)
保護下のデバイス上の安全なリソースにアクセスすることを求める電子デバイスからの少なくとも1つの電子証明を受信する、少なくとも1つのセキュリティプロセッサを含む前記保護下のデバイスと、ここにおいて、前記少なくとも1つの証明は、前記電子デバイスのセキュリティに関連するデバイス情報を提供し、
少なくとも1つの自律的なプロセッサと、少なくとも1つの自律的なメモリとを含む自律的なシステムと、ここにおいて、前記少なくとも1つの自律的なメモリは、セキュリティ要件情報を記憶し、前記少なくとも1つの自律的なプロセッサは、前記デバイス情報を前記セキュリティ要件情報と比較し、前記少なくとも1つの自律的なプロセッサは、前記デバイス情報が前記セキュリティ要件情報を満たすとき、前記少なくとも1つのセキュリティプロセッサに、前記安全なリソースを前記デバイスに提供するように命令し、
前記保護下のデバイスは、前記命令に応答して、前記安全なリソースを前記電子デバイスに提供する、
を備える、システム。 A system for secure electronic access,
The protected device including at least one security processor that receives at least one electronic certificate from an electronic device seeking access to a secure resource on the protected device, wherein the at least one certificate Provides device information related to the security of the electronic device,
An autonomous system including at least one autonomous processor and at least one autonomous memory, wherein the at least one autonomous memory stores security requirement information and the at least one autonomous A processor that compares the device information with the security requirement information, and the at least one autonomous processor sends the secure information to the at least one security processor when the device information satisfies the security requirement information. Instructing the device to provide resources,
The protected device provides the secure resource to the electronic device in response to the command;
A system comprising:
保護下のデバイスのセキュリティを記述する少なくとも1つの電子証明を受信する少なくとも1つのセキュリティプロセッサを含み、前記少なくとも1つの電子証明と、前記保護下のデバイスに対して使用不可能な形態におけるリソースと、セキュリティ要件情報とを出力する、前記保護下のデバイスと、
少なくとも1つの自律的なプロセッサと、前記少なくとも1つの電子証明を記憶する少なくとも1つのメモリとを含む自律的なシステムと、ここにおいて、前記少なくとも1つの電子証明を前記保護下のデバイスに提供し、
前記少なくとも1つの電子証明と、前記保護下のデバイスに対して使用不可能な形態における前記リソースと、前記保護下のデバイスからの前記セキュリティ要件情報とを受信し、前記少なくとも1つの電子証明を前記セキュリティ要件情報に比較し、前記少なくとも1つの電子証明が、前記セキュリティシステムは前記セキュリティ要件情報を満たすことを示すとき、前記保護下のデバイスに対して使用可能な形態に前記リソースを変形し、前記保護下のデバイスに対して使用可能な形態における前記リソースを前記保護下のデバイスに提供することによって、少なくとも1つのオーソライザプロセスを実行するように構成されて設計されたオーソライザシステムと、
を備える、システム。 A system for secure electronic access,
At least one security processor that receives at least one electronic certificate that describes the security of the protected device, the at least one electronic certificate, and resources in a form that is unusable for the protected device; Outputting the security requirement information, and the protected device;
Providing an autonomous system including at least one autonomous processor and at least one memory storing the at least one electronic certificate, wherein the at least one electronic certificate is provided to the protected device;
Receiving the at least one electronic certificate, the resource in an unusable form for the protected device, and the security requirement information from the protected device; and receiving the at least one electronic certificate When the at least one electronic certificate indicates that the security system satisfies the security requirement information, as compared to security requirement information, transforms the resource into a form usable for the protected device, and An authorizer system configured and designed to perform at least one authorizer process by providing the protected device with the resources in a form usable for the protected device;
A system comprising:
少なくとも1つのセキュリティプロセッサを含む保護下のデバイスにおいて、安全なリソースにアクセスすることを求める電子デバイスからの少なくとも1つの電子証明を受信することと、ここにおいて、前記少なくとも1つの証明は、前記電子デバイスのセキュリティに関連するデバイス情報を提供し、
自律的なシステムの少なくとも1つの自律的なプロセッサにより、前記デバイス情報を前記セキュリティ要件情報と比較することと、
前記デバイス情報が前記セキュリティ要件情報を満たすとき、前記少なくとも1つのセキュリティプロセッサに、前記安全なリソースを前記デバイスに提供するように命令する前記少なくとも1つの自律的なプロセッサと、
前記命令に応答して、前記安全なリソースを前記電子デバイスに提供する前記保護下のデバイスと、
を備える、方法。 A method of securing electronic access,
Receiving at least one electronic certificate from an electronic device seeking access to a secure resource at a protected device including at least one security processor, wherein the at least one certificate is the electronic device Provides device information related to the security of
Comparing the device information with the security requirement information by at least one autonomous processor of the autonomous system;
The at least one autonomous processor instructing the at least one security processor to provide the secure resource to the device when the device information satisfies the security requirement information;
The protected device providing the secure resource to the electronic device in response to the instructions;
A method comprising:
自律的なシステムの少なくとも1つの自律的なメモリにおいて、保護下のデバイスのセキュリティを記述する少なくとも1つの電子証明を記憶することと、
前記保護下のデバイスに対して前記少なくとも1つの証明を提供する前記自律的なシステムの少なくとも1つの自律的なプロセッサと、
前記少なくとも1つの電子証明と、前記保護下のデバイスに対する使用可能な形態におけるリソースと、セキュリティ要件情報とを、オーソライザシステムに出力する前記自律的なシステムと、
前記少なくとも1つの証明を前記セキュリティ要件情報と比較する、前記オーソライザシステムの少なくとも1つのオーソライザプロセスと、
前記少なくとも1つの電子証明が、前記保護下のデバイスが前記セキュリティ要件情報を満たすことを示すとき、前記リソースを、前記保護下のデバイスに対して使用可能な形態に変形する前記少なくとも1つのオーソライザプロセスと、
前記自律的なシステムに対して使用可能な形態における前記リソースを、前記保護下のデバイスに提供する前記少なくとも1つのオーソライザプロセスと、を備える方法。 A method of securing electronic access,
Storing at least one electronic certificate describing the security of the protected device in at least one autonomous memory of the autonomous system;
At least one autonomous processor of the autonomous system providing the at least one proof to the protected device;
The autonomous system outputting the at least one electronic certificate, resources in a usable form for the protected device, and security requirement information to an authorizer system;
At least one authorizer process of the authorizer system that compares the at least one proof with the security requirement information;
The at least one authorizer that transforms the resource into a usable form for the protected device when the at least one electronic certificate indicates that the protected device satisfies the security requirement information. Process,
The at least one authorizer process that provides the resource in a form usable for the autonomous system to the protected device.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462078137P | 2014-11-11 | 2014-11-11 | |
US62/078,137 | 2014-11-11 | ||
PCT/US2015/060216 WO2016077494A1 (en) | 2014-11-11 | 2015-11-11 | Autonomous systems and methods for secure access |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017535871A true JP2017535871A (en) | 2017-11-30 |
Family
ID=55955004
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017525379A Pending JP2017535871A (en) | 2014-11-11 | 2015-11-11 | Autonomous system and method for secure access |
Country Status (7)
Country | Link |
---|---|
EP (1) | EP3218840A4 (en) |
JP (1) | JP2017535871A (en) |
KR (1) | KR20170085529A (en) |
CN (1) | CN107111719A (en) |
AU (1) | AU2015346404A1 (en) |
CA (1) | CA2967353A1 (en) |
WO (1) | WO2016077494A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107622210B (en) * | 2017-09-22 | 2019-12-03 | 天逸财金科技服务股份有限公司 | The data query method and system of authentication and authorisation verification |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9038193B2 (en) * | 1998-08-14 | 2015-05-19 | Azos Al, Llc | System and method of data cognition incorporating autonomous security protection |
US7334124B2 (en) * | 2002-07-22 | 2008-02-19 | Vormetric, Inc. | Logical access block processing protocol for transparent secure file storage |
US8266676B2 (en) * | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
US8037310B2 (en) * | 2004-11-30 | 2011-10-11 | Ricoh Co., Ltd. | Document authentication combining digital signature verification and visual comparison |
US8087067B2 (en) * | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
US8364984B2 (en) * | 2009-03-13 | 2013-01-29 | Microsoft Corporation | Portable secure data files |
CN102223364B (en) * | 2011-05-09 | 2014-06-04 | 飞天诚信科技股份有限公司 | Method and system for accessing e-book data |
US9489529B2 (en) * | 2011-10-13 | 2016-11-08 | Stewart A. Baker | Data security system |
US9706410B2 (en) * | 2012-03-07 | 2017-07-11 | Rapid 7, Inc. | Controlling enterprise access by mobile devices |
US20140282895A1 (en) * | 2013-03-15 | 2014-09-18 | Sky Socket, Llc | Secondary device as key for authorizing access to resources |
CN104009977B (en) * | 2014-05-09 | 2016-10-05 | 北京奇虎科技有限公司 | A kind of method and system of information protection |
-
2015
- 2015-11-11 WO PCT/US2015/060216 patent/WO2016077494A1/en active Application Filing
- 2015-11-11 EP EP15859303.8A patent/EP3218840A4/en not_active Withdrawn
- 2015-11-11 KR KR1020177015346A patent/KR20170085529A/en unknown
- 2015-11-11 CA CA2967353A patent/CA2967353A1/en not_active Abandoned
- 2015-11-11 AU AU2015346404A patent/AU2015346404A1/en not_active Abandoned
- 2015-11-11 JP JP2017525379A patent/JP2017535871A/en active Pending
- 2015-11-11 CN CN201580061453.8A patent/CN107111719A/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP3218840A4 (en) | 2018-05-16 |
AU2015346404A1 (en) | 2017-06-01 |
KR20170085529A (en) | 2017-07-24 |
CN107111719A (en) | 2017-08-29 |
CA2967353A1 (en) | 2016-05-19 |
EP3218840A1 (en) | 2017-09-20 |
WO2016077494A1 (en) | 2016-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9887984B2 (en) | Autonomous system for secure electric system access | |
Wu et al. | Cybersecurity for digital manufacturing | |
Borky et al. | Protecting information with cybersecurity | |
JP2009518762A (en) | A method for verifying the integrity of a component on a trusted platform using an integrity database service | |
Fisher et al. | Trust and trusted computing platforms | |
Siddiqui et al. | Establishing Cyber Resilience in Embedded Systems for Securing Next-Generation Critical Infrastructure | |
CN116962076A (en) | Zero trust system of internet of things based on block chain | |
Alzomai et al. | The mobile phone as a multi OTP device using trusted computing | |
Morovati et al. | A network based document management model to prevent data extrusion | |
US9769192B2 (en) | Security evaluation systems and methods | |
Sarjan et al. | Cyber-security of industrial internet of things in electric power systems | |
US20160116893A1 (en) | Autonomous control systems and methods | |
JP2017535871A (en) | Autonomous system and method for secure access | |
Simpson et al. | Resolving Network Defense Conflicts with Zero Trust Architectures and Other End-to-End Paradigms | |
Wu et al. | The mobile agent security enhanced by trusted computing technology | |
Fournaris et al. | Trusted hardware sensors for anomaly detection in critical infrastructure systems | |
US20160219079A1 (en) | Autonomous control systems and methods for protecting infrastructure | |
Sheik et al. | Considerations for secure mosip deployment | |
Murti et al. | Security in embedded systems | |
Wittkotter | WaC: Trustworthy Encryption and Communication in an IT Ecosystem with Artificial Superintelligence | |
Nejad | Cyber Security | |
Rauter et al. | Integrating integrity reporting into industrial control systems: A reality check | |
Booth et al. | Securing the IMSS Assets | |
Min et al. | Research and Implementation of Network Security Deployment Based on Private Cloud Security Platform | |
CA2966745A1 (en) | Autonomous control systems and methods for protecting infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170724 |