JP5106682B2 - マシン・ツー・マシン通信のための方法及び装置 - Google Patents

マシン・ツー・マシン通信のための方法及び装置 Download PDF

Info

Publication number
JP5106682B2
JP5106682B2 JP2011512835A JP2011512835A JP5106682B2 JP 5106682 B2 JP5106682 B2 JP 5106682B2 JP 2011512835 A JP2011512835 A JP 2011512835A JP 2011512835 A JP2011512835 A JP 2011512835A JP 5106682 B2 JP5106682 B2 JP 5106682B2
Authority
JP
Japan
Prior art keywords
data
data processing
entity
broker
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011512835A
Other languages
English (en)
Other versions
JP2011524136A (ja
Inventor
ヴィンセント フアン,
イー チェン,
マチアス ヨハンソン,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2011524136A publication Critical patent/JP2011524136A/ja
Application granted granted Critical
Publication of JP5106682B2 publication Critical patent/JP5106682B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、マシン・ツー・マシン通信システムにおいて使用する方法及び装置に関する。
M2M(マシン・ツー・マシン)という用語は、一般的に、テレメトリ又はテレマテックスの形での機械間のデータ通信を指す。M2M通信は、イーサネット(登録商標)、公衆交換電話網(PSTN)、又はインターネットを介して実行可能であるが、近年、M2M通信の益々多くの部分が、汎用パケット無線サービス(GPRS)のような公衆無線データネットワークを介して実行されている。
M2Mの世界では、通信の大部分はメッセージベースであり、それゆえ、プロキシを通過するのに適している。添付図面の図1は、既知のM2Mシステムを概略的に示しており、これは、ブローカー1、1以上のアプリケーション2、及び1以上のセンサネットワーク(SN)3から構成されている。各SN3は、少なくとも1つのデータ収集デバイス(不図示)を含み、SNゲートウェイ4経由でブローカー1と通信する。ブローカー1は、全てのSN3からデータを収集し、アプリケーション2にデータサービスを提供する。アプリケーション2は、データ処理サービス及びデータ集合化サービスを実行することで、多数のSN3の任意のものからの処理済みデータを持つことができる。ブローカー1はまた、個々のセンサネットワークプロバイダのために、データアクセス許可及びデータ市場(マーケットプレイス)も提供する。そのようなシステムにおいて、各個のSN3のSNゲートウェイ4は、ブローカー1を認証してブローカー1と通信するだけの極めて単純なデバイスであってもよい。
SNの急速な展開とM2M通信の使用の増加とにより、ブローカーのデータ処理負荷はかなりのものになり得る。これは特に、SNからストリーミングデータが送信される場合にそうである。この問題に対処することが望ましい。
本発明の第1の態様によれば、マシン・ツー・マシン・システムにおいて、処理対象データのセキュリティを維持しつつブローカーエンティティの演算負荷を軽減するためにデータの処理を少なくとも部分的に委譲する方法が提供される。前記ブローカーエンティティは、前記データを提供するセンサネットワークのデータ提供ノードと前記データを要求するアプリケーションノードとの間のリンクとしての役割を果たす。前記方法では、前記ブローカーエンティティにおいて、処理されたデータの要求を前記アプリケーションノードから受信したことに続いて、処理対象の前記データを提供するデータ提供ノードが判定され、当該データ提供ノードのためのデータ鍵が生成され、前記要求に基づいて前記データを処理するためのデータ処理アルゴリズムが生成され、前記データ鍵が前記データ提供ノードへ送信され、前記データ鍵及びデータ処理アルゴリズムがリモートのデータ処理エンティティへ送信される。前記データ提供ノードにおいて、前記データ鍵を用いて前記データが暗号化され、前記データ処理エンティティへ送信される。前記データ処理エンティティにおいて、前記データが、前記データ鍵を用いて復号され、前記データ処理アルゴリズムを用いて処理され、当該処理されたデータが前記アプリケーションノードへ送信される。
本発明の実施形態は、センサネットワークによって提供される情報のプライバシーを維持しつつM2Mシステムのスケーラビリティを増加させるために、データ処理の分散を提供する。
本発明の実施形態は、前記ブローカーエンティティから前記データ処理エンティティへ例えば前記アプリケーションノード経由で、前記データ処理エンティティの公開鍵証明書を要求するメッセージを送信することにより、前記データ処理エンティティが認証されるということを提供する。前記データ処理エンティティは、前記ブローカーへ例えば前記アプリケーションノード経由で、前記データ処理エンティティの公開鍵証明書を含むメッセージを送信し、前記ブローカーエンティティは、前記証明書が有効であるか否かを確認する。
特定の実装では、前記データ鍵及びデータ処理アルゴリズムを前記データ処理エンティティへ送信する前記ステップは、前記ブローカーエンティティにおいて、前記データ処理エンティティの公開鍵を用いて前記データ鍵及びデータ処理アルゴリズムを暗号化するステップと、前記暗号化されたデータ鍵及びデータ処理アルゴリズムを前記データ処理エンティティへ送信するステップと、を有する。前記データ処理エンティティにおいて、前記データ処理エンティティの秘密鍵を用いて前記データ鍵及びデータ処理アルゴリズムが復号される。
前記データ処理アルゴリズムが、処理に使用されるデータから少なくとも一部の情報をフィルタアウトするように構成され、前記処理されたデータのみが前記アプリケーションノードへ送信されることで、未処理データを前記アプリケーションノードから隠すようになっていてもよい。
前記データ鍵及びデータ処理アルゴリズムは、前記アプリケーションノード経由で前記データ処理エンティティへ送信されてもよい。
前記データ提供ノードから前記データ処理エンティティへの前記データの送信は、前記ブローカーエンティティをバイパスしてもよい。前記データ提供ノードは、複数のノードを含んでもよい。
前記方法は更に、更なるデータ処理アルゴリズムを前記データ処理エンティティへ送信し、既に受信したデータを処理するために前記データ処理エンティティにおいてこのデータ処理アルゴリズムを使用する、ステップを有してもよい。前記データ処理エンティティにおいて、前記更なるデータ処理アルゴリズムを使用して処理されたデータが、前記更なるデータ処理アルゴリズムに関連付けられた更なるアプリケーションノードへ送信されてもよい。
特定の実装では、前記データを前記データ処理エンティティへ送信する前記ステップは、前記データ提供ノードと前記データ処理エンティティとの間で通信ネットワークのセッションを確立するステップと、前記通信ネットワークのセッションを使用して前記データを送信するステップと、を有する。
前記通信ネットワークのセッションを確立する前記ステップは、前記ブローカーエンティティにおいて、アクセストークン及びセッション鍵を生成し、これらを前記データ提供ノードへ送信するステップと、前記データ提供ノードが、前記アクセストークン及び前記セッション鍵を使用して、前記通信ネットワークを認証してこれに登録するステップと、前記データ提供ノードが前記通信ネットワークに登録されると、前記データ提供ノードが、セッション開始メッセージを前記データ処理エンティティへ送信するステップと、を有してもよい。前記セッション鍵は、前記ブローカーの公開鍵及びセッション識別子に関する暗号法の関数であってもよく、前記アクセストークンは、前記ブローカーの秘密鍵を用いて署名された、少なくとも前記ブローカーの識別子及び前記セッション識別子を含んでもよい。
前記データ提供ノードを認証して前記通信ネットワークに登録する前記ステップは、前記アクセストークンを含む登録メッセージを前記通信ネットワークへ送信するステップと、前記通信ネットワークが、前記ブローカーの前記公開鍵を判定するために前記アクセストークン内に含まれる前記ブローカーの前記識別子を使用し、前記セッション鍵を算出するために前記アクセストークン内に含まれる前記セッション識別子と前記ブローカーの前記公開鍵とを使用する、ステップと、前記通信ネットワークと前記データ提供ノードとを相互に認証するために、共通秘密として前記セッション鍵を使用するステップと、を有してもよい。
前記通信ネットワークはIPマルチメディア・サブシステムであってもよい。
前記データ処理エンティティは、前記アプリケーションノードに関連付けられたアプリケーション環境の中に提供されてもよい。
本発明の第2の態様によれば、ブローカーエンティティが提供される。前記ブローカーエンティティは、処理されたデータの前記要求を前記アプリケーションノードから受信する受信機と、処理対象の前記データを提供する前記データ提供ノードを判定し、前記要求に基づいて前記データを処理するための前記データ処理アルゴリズムを生成する、データリーズナと、前記データ提供ノードのための前記データ鍵を生成する鍵生成器と、前記データ鍵を前記データ提供ノードへ送信する送信機と、前記データ鍵及び前記データ処理アルゴリズムを前記リモートのデータ処理エンティティへ送信する送信機と、を有する。
前記ブローカーエンティティは更に、前記データ処理エンティティの公開鍵証明書を要求するメッセージを前記データ処理エンティティへ送信する送信機と、前記データ処理エンティティの公開鍵証明書を含むメッセージを受信する受信機と、前記証明書が有効であるか否かを確認し、前記データ処理エンティティを認証する、プロセッサと、を有してもよい。
本発明の第3の態様によれば、データ提供ノードが提供される。前記データ提供ノードは、前記データ鍵を受信する受信機と、前記データ鍵を用いて前記要求されたデータを暗号化する暗号化器と、前記暗号化されたデータを前記データ処理エンティティへ送信する送信機と、を有する。
前記データ提供ノードは更に、前記データ処理エンティティとの通信ネットワークのセッションを確立する手段と、前記通信ネットワークのセッションを使用して前記データを送信する送信機と、を有してもよい。
本発明の第4の態様によれば、データ処理エンティティが提供される。前記データ処理エンティティは、前記データ鍵及び前記データ処理アルゴリズムを前記ブローカーエンティティから受信する受信機と、前記暗号化されたデータを前記データ提供ノードから受信する受信機と、前記データ鍵を用いて前記データを復号する復号器と、前記データ処理アルゴリズムを用いて前記データを処理するプロセッサと、前記処理されたデータを前記アプリケーションノードへ送信する送信機と、を有する。
前記データ処理エンティティは更に、前記データ処理エンティティの公開鍵証明書を要求するメッセージを受信する受信機と、前記公開鍵証明書を含むメッセージを送信する送信機と、を有してもよい。
本発明の第5の態様によれば、第1及び第2のクライアント端末間で連結ノードの加入情報を使用して通信ネットワークのセッションを確立する方法が提供される。前記方法では、前記連結ノードにおいて、アクセストークン及びセッション鍵を生成してこれらを前記第1のクライアント端末へ送信し、前記第1のクライアント端末が、前記アクセストークン及び前記セッション鍵を使用して、前記通信ネットワークを認証してこれに登録し、前記第1のクライアント端末が前記通信ネットワークに登録されると、前記セッションの確立を開始するために、前記通信ネットワークを介して前記第2のクライアント端末へセッション開始メッセージを送信する。
前記セッション鍵は、前記連結ノードの公開鍵及びセッション識別子に関する暗号法の関数であってもよく、前記アクセストークンは、前記連結ノードの秘密鍵を用いて署名された、少なくとも前記連結ノードの識別子及び前記セッション識別子を含んでもよい。
特定の実装では、前記第1のクライアント端末を認証して前記通信ネットワークに登録する前記ステップは、前記アクセストークンを含む登録メッセージを前記通信ネットワークへ送信するステップと、前記通信ネットワークが、前記連結ノードの前記公開鍵を判定するために前記アクセストークン内に含まれる前記連結ノードの前記識別子を使用し、前記セッション鍵を算出するために前記アクセストークン内に含まれる前記セッション識別子と前記連結ノードの前記公開鍵とを使用する、ステップと、前記通信ネットワークと前記第1のクライアント端末とを相互に認証するために、共通秘密として前記セッション鍵を使用するステップと、を有する。
前記通信ネットワークはIPマルチメディア・サブシステムであってもよい。
本発明の更なる態様によれば、センサネットワークからアプリケーション環境内のアプリケーションにデータを提供する方法が提供され、前記方法は、前記アプリケーション環境内の信頼済データプロセッサに提供するデータ処理アルゴリズムを手配し、前記センサネットワークから前記信頼済データプロセッサに提供されるデータであって、前記データ処理アルゴリズムを使用して前記信頼済データプロセッサにより処理され処理後に前記アプリケーションへ転送される前記データを手配する、ステップを有する。前記処理されたデータのみが前記アプリケーションへ転送されてもよい。前記データは、前記センサネットワークから前記信頼済プロセッサへセキュアに提供可能である。
前記センサネットワークから前記信頼済データプロセッサへ提供される前記データは、前記アプリケーションにデータサービスを提供するために前記センサネットワークと前記アプリケーションとの間に配置されたブローカーエンティティをバイパスしてもよい。前記センサネットワークから前記信頼済データプロセッサへ以前に提供された既存のデータを処理するために更なるデータ処理アルゴリズムが前記信頼済データプロセッサに提供されてもよく、この処理されたデータは同一の又は異なるアプリケーションへ転送される。
本発明の実施形態は、以下の利点のうちの少なくとも1つを提供する。
・負荷を分散してM2Mシステムのスケーラビリティを増加させる
・SNによって提供される情報のプライバシーを保護する
・SNからアプリケーションへのトラヒックをブローカーが制御することができる
・SNゲートウェイが、ISIMやIMS加入情報が無くてもIMSネットワークを使用することができる
前述した、既知のM2Mシステムを概略的に示す図である。 本発明の実施形態に従うM2Mシステムを概略的に示す。 本発明の実施形態に従う信頼済データプロセッサを概略的に示す。 本発明の実施形態に従う、セキュアなタスク委譲プロセスのシグナリングフローの例を示す。 本発明の実施形態に従う、セキュアなタスク委譲プロセスのためのIMS登録及びセッション確立のシグナリングフローの例を示す。
上述のように、SNの急速な展開とM2M通信の使用の増加とにより、ブローカーのデータ処理負荷はかなりのものになり得る。これは特に、SNからストリーミングデータが送信される場合にそうである。それゆえ、システムのスケーラビリティを維持するために、ブローカーが自分のデータ処理タスクの一部をアプリケーションに委譲できることが望ましい。ブローカーの負荷を軽減するためにタスクをアプリケーションに委譲するには、SNがデータを直接これらのアプリケーションへ送信する必要がある。加えて、SNからアプリケーションへ送信されるデータがストリーム形式であってこれ以上の処理が不要な場合、SNのゲートウェイがそのデータを直接受信者のアプリケーションへ送信できれば、その方がよいであろう。
ブローカーレベルでデータ処理が完了すると、ブローカーは秘密情報をフィルタアウトすることで、アプリケーションが受信を許可された情報だけを受信するようにすることができる。SNからアプリケーションへ情報を直接送信することにより、アプリケーションは、取得を許可されていない追加的な情報を取得できる。それゆえ、望まれるレベルのセキュリティを維持しつつタスクを委譲可能なシステムが必要とされる。
図2は、本発明の実施形態に従うM2Mシステムを概略的に示し、これは、ブローカー11、アプリケーション環境10、及び1以上のセンサネットワーク(SN)13を備える。アプリケーション環境10は、1以上のアプリケーション12に関連付けられており、少なくとも1つの信頼済データプロセッサ(TDP)15を備える。ブローカー11はTDP15にデータ処理タスクを委譲することができる。
ブローカー11がデータ処理タスクをTDP15に委譲した場合、SN13は、データをそのTDP15に直接提供することができ、そのTDP15は、データを処理してアプリケーション12に提供する。TDP15によって実行されるデータ処理は、アプリケーション12が受信を許可された情報のみを受信するということを確実にする。
TDP15を信頼して未処理データを任せられるということを確実にするために、ブローカー11は、信頼済認証局(CA)がTDP15に対して公開鍵証明書を発行済みであるということを確認する。CAは、TDP15がコンプライアンス・ルールに則っていることを確実にすることで、有効な公開鍵証明書を持つTDP15が信頼されてブローカー11と同レベルの秘密情報を受信できるようにする。TDP15を信用できなくなった場合、CAは証明書を無効にすることができる。
ブローカー11は、データリーズナ16、鍵生成器17、送信機18、及び受信機19を備える。データリーズナ16は、アプリケーション12から受信した要求を分析し、どのSN13からデータを収集すべきか、そしてそのデータをどのように処理すべきかを決定する。鍵生成器17は、ソースSN13がデータを暗号化するために使用すべき鍵を生成する。アプリケーション環境10内のTDP15は、SN13からのデータを復号し、そのデータを処理し、アプリケーション12に処理結果を提供する。アプリケーション環境10は、M2Mサービスプロバイダに属しており、M2Mサービスプロバイダは、自分の全てのアプリケーションのために同一のTDP15を使用することができる。
図3は、図2のTDP15をより詳細に示す。TDP15は、データ復号器20、データ処理ユニット21、鍵及びアルゴリズム復号器22、送信機24、及び受信機23を備える。アプリケーション12経由でブローカーからTDP15へ送信されるアルゴリズム及び鍵は、アプリケーションがそれらを直接は使用できないように、暗号化されている。鍵及びアルゴリズム復号器22は、このアルゴリズム及び鍵を復号する。次いで、データ復号器20は、ブローカー11によって提供された鍵K,Kを使用して、SN13からのデータを復号する。データ処理ユニット21は、処理アルゴリズムFを使用して、データを処理してアプリケーション12に結果を提供する。TDP15はまた、更なるデータに対して何らかの制御パラメータを必要に応じて変更するだけでアルゴリズムを再利用するためにアルゴリズムをキャッシュするために使用可能な、或いは、受信したデータを更なるアルゴリズムを使用して処理するためにキャッシュするために使用可能な、メモリユニットも備えてもよい。
ブローカー11はSN13とのセキュリティ関連付けを持っており、そのことで、秘密情報(例えば、鍵)がブローカーからSN13へ送信される際に、その情報は盗聴や改竄から保護されるものとする。一例として、これらのセキュリティ関連付けは、IPsecプロトコル・スイートにおけるもののようなインターネット鍵交換(IKE)プロトコルを使用して確立することができる。
ここで、図4を参照して、上述のコンセプトを更に詳細に説明する。図4は、アプリケーション12が2つの異なるSN13からのデータを必要とするサービスを要求する状況における単純化されたシグナリングフロー図を示す。実行されるステップは以下の通りである。
S1. アプリケーション12は、ブローカー11へ要求を送信してサービスを求める。
S2. ブローカー11は、アプリケーション12経由で要求をTDP15へ送信してTDP15の証明書を提示するように求め、証明書が有効期限切れになったり無効にされたりしていないかをチェックする。証明書が有効であり、ブローカー11が証明書に含まれる公開鍵を使用してTDP15の認証に成功した場合、ステップS3に進む。そうでない場合、ブローカー11はアプリケーションの要求を拒絶する。
S3. ブローカー11内のデータリーズナ16は、アプリケーション12からの要求を分析し、どのSN13からデータを収集すべきかを決定する。各ソースSN13について、データリーズナ16は、鍵生成器17に対してデータ鍵Kを生成してSN13へ送信するように指示する。
S4. データリーズナ16はまた、ソースSN13を特定するデータ処理アルゴリズムFを生成し、TDP15がそれらのSN13からのデータを処理するために使用するであろうアルゴリズムFを提供する。
S5. ブローカー11は、(ステップS3で鍵生成器17によって生成された)データ鍵K,Kと(ステップS4でデータリーズナ16によって生成された)アルゴリズムFとを、TDPの公開鍵KTDPを用いて暗号化し、その結果(即ち、(K,K,F)KTDP)は、アプリケーション12へ送信される。
S6. アプリケーション12は、ステップS5で受信した暗号化されたデータ鍵K,K及びデータ処理アルゴリズムF(即ち、(K,K,F)KTDP)を、TDP15へ転送する。
S7. SN13は、データPを収集する。各SN13について、データPの準備ができると、SN13は、ブローカー11から受信したデータ鍵K,Kを用いてPを暗号化し、暗号化されたデータC(即ち、C=(P)K)を生成する。暗号化されたデータCは、通信セッションの中でTDP15へ送信される。このセッションは、後述する手順に従って確立可能である。
S8. TDP15の鍵及びアルゴリズム復号器22は、自分の秘密鍵を用いて、データ鍵K,K及びデータ処理アルゴリズムFを復号する。アルゴリズム復号器22は、データ鍵K,K及びデータ処理アルゴリズムFを、それぞれデータ復号器20及びデータ処理ユニット21へ送信する。
S9. TDP15内のデータ復号器20は、対応するデータ鍵K又はKを用いて各入力Cを復号し、データPを復元する。TDP15内のデータ処理ユニット21は、アルゴリズムFに従ってプレーンテキストデータ(図3に示すP1及びP2)を処理し、結果(R)を生成する。
S10. TDP15は、結果Rをアプリケーション12へ出力する。
データ処理は、秘密情報を除去することによって、又は秘密情報に対して何らかの不可逆な変更を加えてその情報の詳細をもはや確認不可能にすることによって、秘密情報を「フィルタアウト」するように振る舞い、処理結果のみがアプリケーション12へ送信される。暗号化されていないプレーンテキストデータ(P1,P2)は、TDP15の外には決して露出しない。TDP15だけが自分の秘密鍵を知っているので、アプリケーション12はブローカー11によって提供されたデータ鍵を復号することができず、それゆえ、未処理データを復号することができないので、アプリケーションは、受信を許可された情報しか受信しないことになる。
データ処理タスクをブローカー11からTDP15に委譲する処理の一部として、ブローカー11は、SN13からのデータトラヒックをTDP15へ直接リダイレクトしてブローカー11をバイパスさせる。これには、SN13とアプリケーション環境10内のTDP15との間で直接通信セッションを確立する必要があるであろう。この通信は、例えばインターネットプロトコル(IP)やIPマルチメディア・サブシステム(IMS)の接続を使用するような、いくつかのやり方で実行可能である。以下の考察は、通信ネットワークの例としてIPマルチメディア・サブシステム(IMS)を使用することに言及するが、他のネットワークにも適用可能である。
IPマルチメディア・サブシステム(IMS)は、第3世代パートナーシップ・プロジェクト(3G)によって策定された技術であり、移動体通信ネットワークを介してIPマルチメディア・サービスを提供する。IMSは、音声、ビデオ、メッセージング、データ等の動的な組み合わせを、同一のセッション内で提供する。IMSは、ユーザ端末間(又はユーザ端末とアプリケーションサーバとの間)で呼又はセッションをセットアップして制御するために、セッション開始プロトコル(SIP)を使用する。SIPにより、たとえ呼を開始する前に発呼パーティーが被呼パーティーの現在のIPアドレスを知らなかったとしても、発呼パーティーは、被呼パーティーに対するパケット交換セッションを確立することができるようになる(ユーザ端末内にインストールされた所謂SIPユーザエージェント(UA)を使用して)。SIPシグナリングによって搬送されるセッション記述プロトコル(SDP)は、セッションのメディアコンポーネントを記述して交渉するために使用される。SIPはユーザ対ユーザのプロトコルとして作られたが、IMSにより、オペレータ及びサービスプロバイダは、サービスに対するユーザアクセスを制御し、それに応じてユーザに課金することができる。
SN13とTDP15との間の通信がIMSネットワークを介して発生した場合、このことは、SNがIMS加入情報を持つか、又は、ブローカー及びIMSプロバイダが同一のエンティティであるか、或いは、SNが第三者のIMS加入情報を利用可能であることを必要とするであろう。
SN13自身がIMSネットワークに対する直接接続や加入情報を持っていない場合、そして、ブローカー11がSN13からのデータトラヒックを直接TDP15へリダイレクトする場合、そのトラヒックについてはブローカー11に課金するのが合理的である。それゆえ、第三者ネットワークにアクセスする処理を、ここで更に提示する。
IMSセッションを確立するために、ブローカー11は、データ要求を送信する際に、各SN13のゲートウェイ14に対して間接アクセストークン及びセッション鍵KSESSIONも提供する。一実施形態では、このセッション鍵は、セッション識別子session_ID及びブローカー11の公開鍵KM2Mbroakerに関する暗号法の一方向関数f()として算出可能である。即ち、K=f(session_ID,KM2Mbroaker)である。一実施形態では、アクセストークンは、重要情報(critical information)の署名されたセットから構成される。例えば、トークンは、受信者のSIP URI、合致すべき条件、セッション識別子、ブローカー11の識別子、及びIMSプロバイダ(IMSP)の識別子を含み得るものであり、これら全てがブローカー11の秘密鍵SKM2Mbroakerを用いて署名されている。即ち、アクセストークン=(受信者のSIP URI,条件,session_ID,ブローカー、IMSP)signSKM2Mbroakerである。
図5は、アプリケーション12がSN13からのデータを必要とするサービスを要求する状況における単純化されたシグナリングフローの例を示し、ここで、SN13は、アプリケーション環境10内のTDP15と直接通信するためにブローカー11のIMS加入情報を使用してIMSセッションを確立する必要がある。実行されるステップは、以下の通りである。
T1. 図4を参照して前述したステップS1のように、アプリケーション環境10内のアプリケーション12は、ブローカー11へ要求を送信してサービスを求める。
T2. 図4を参照して前述したステップS2のように、ブローカー11は、アプリケーション12経由で要求をTDP15へ送信してTDP15の証明書を提示するように求め、証明書が有効期限切れになったり無効にされたりしていないかをチェックする。証明書が有効であり、ブローカー11が証明書に含まれる公開鍵を使用してTDP15の認証に成功した場合、ステップT3に進む。そうでない場合、ブローカー11はアプリケーションの要求を拒絶する。
T3. ブローカー11は、図4を参照して前述したステップS3において生成されたものと同等の、データを暗号化し復号するためのデータ鍵Kを生成する。加えて、ブローカー11は、アクセストークン及びセッション鍵KSESSIONも生成する。ブローカー11は、データ鍵K、アクセストークン、及びセッション鍵KSESSIONを、SNゲートウェイ14へ送信する。
T4. 図4を参照して前述したステップS4乃至S6のように、ブローカー11はまた、データ処理アルゴリズムFを生成し、TDP15の公開鍵KTDPを用いて(ステップT2で生成された)データ鍵K及びアルゴリズムFを暗号化し、その結果は、アプリケーション12経由でアプリケーション環境10内のTDP15へ送信される。
T5. 次いで、SNゲートウェイ14は、アクセストークンを含んだREGISTERメッセージを在圏IMS31内のP−CSCF(不図示)へ送信する。
T6. P−CSCFは、ホームIMS30内のI−CSCF(不図示)を特定し、REGISTERメッセージを転送する。I−CSCFは次に、HSS(不図示)の参照に続いてS−CSCF(不図示)を決定し、REGISTERメッセージを転送する。
T7. SN13は、その時点では認証されておらず、それゆえ、登録要求は拒絶され、401 Unauthorisedメッセージが、ユーザを認証するためのチャレンジを伴ってSN13へ返される。
T8. 次いで、SN13及びIMS30は、標準規格のIMS AKA手順に従い、セッション鍵KSESSIONを使用して相互に認証される。
T9. SN13がIMS30に登録されると、SN13は、受信者であるTDP15のSIP URIに対してINVITEメッセージを送信する。
T10. 次いで、SN13とアプリケーション環境10内のTDP15との間でIMSセッションが確立される。図4を参照して前述したステップS7乃至S10が次に、SN13とTDP15との間で直接実行可能である。
上述の処理を実装するために、CSCFは、アクセストークンがHSSへ伝送されなければならないということを理解する必要があり、HSSは、トークンを理解し、ブローカーのリストとそれらの公開鍵及び共通対称鍵とを維持し、条件をチェック可能である必要がある。条件の例には、時刻、セッション継続セッション、又は他のセンサ計測の結果などがあろう。これにより例えば、いつセッションを開始すべきかに関する独立した制御を可能にすることができ、例えば、家庭からのビデオストリームに関連する場合にセッションがプライバシー上の影響を持たないことを確実にする。S−CSCFはまた、これらの条件を実行して条件に合致しない場合はセッションの開始を防ぐことができる必要もある。S−CSCFはHSSと共に、条件とトークンの署名とをチェックし、session_ID及びKM2MBrokerを用いて鍵Ksessionを算出する。Ksessionは次に、ISIMを必要とせずにAKAを使用して相互認証を実行するために、SNとIMSとの間で共通鍵として使用される。
SNゲートウェイ14が認証されてテンポラリSIP URIが与えられると、受信者のSIP URIと条件とに対応する許可された単数又は複数のセッションを開始することができる。
上述の通り、SN13からTDP15へ送信されるデータは、ブローカー11によってTDP15及びSN13の両方へ送信されるデータ鍵Kを使用して、セキュアにブートストラップされる。このために使用される明確な方法は、本発明の範囲外であるが、例えば、事前共有鍵を用いるTLSに基づくことができる。
SN13がTDP15との通信チャネルを確立するための加入情報を持つ場合や加入情報を必要としない場合、ブローカー11は、データ鍵KをSN13及びTDP15へ送信する必要があるだけである。SN13が通信チャネルを確立するために加入情報が必要であってSN13が加入情報を持たない場合、ブローカー11は、データ鍵Kと共に、アクセストークン及びセッション鍵KsessionをSN13へ送信する必要がある。
上述の実施形態は、ブローカーの演算負荷を軽減するためにデータ処理の委譲を提供し、一方で、データは所定のアプリケーションによってはアクセス可能であってはならないプライベートデータを含む場合があるので、データのセキュリティを維持する。例えば、GPSデータは、数メートル内での位置情報を提供することができる。アプリケーションが自分のサービスのために現在位置の都市に関する情報を必要とするだけの場合、詳細なGPSデータをアプリケーションに見せることは適切ではない。というのも、そうするとプライバシー上の制約に違反するかもしれないからである。別の例では、保険会社は、各人のECG測定結果や血圧などの様々なパラメータを用いて算出された各人の健康指標を必要とするかもしれない。そのようなパラメータの詳細なデータを提供することも、何らかのプライバシーポリシーに違反するかもしれない。
当業者にとって理解されるであろうこととして、本発明の範囲から逸脱することなしに、上述の実施形態に対して様々な修正を行うことができる。

Claims (15)

  1. マシン・ツー・マシン・システムにおいて使用するための、処理対象データのセキュリティを維持しつつブローカーエンティティ(11)の演算負荷を軽減するためにデータの処理を少なくとも部分的に委譲する方法であって、
    前記ブローカーエンティティ(11)は、前記データを提供するセンサネットワーク(13)のデータ提供ノードと前記データを要求するアプリケーションノード(12)との間のリンクとしての役割を果たし、
    前記方法は、
    前記ブローカーエンティティ(11)において、処理されたデータの要求を前記アプリケーションノード(12)から受信したことに続いて、処理対象の前記データを提供するデータ提供ノード(13)を判定し、当該データ提供ノード(13)のためのデータ鍵(K ,K を生成し(S3)、前記要求に基づいて前記データを処理するためのデータ処理アルゴリズム(F)を生成し(S4)、前記データ鍵(K ,K を前記データ提供ノード(13)へ送信し(S3)、前記データ鍵(K ,K 及びデータ処理アルゴリズム(F)をリモートのデータ処理エンティティ(15)へ送信する(S5,S6)、ステップと、
    前記データ提供ノード(13)において、前記データ鍵(K ,K を用いて前記データ(P ,P を暗号化し(S7)、当該暗号化されたデータを前記データ処理エンティティ(15)へ送信する(S7)、ステップと、
    前記データ処理エンティティ(15)において、前記データ鍵を用いて前記データを復号し(S9)、前記データ処理アルゴリズムを用いて前記データを処理し(S9)、当該処理されたデータを前記アプリケーションノード(12)へ送信する(S10)、ステップと、
    を有する、方法。
  2. 前記ブローカーエンティティから前記データ処理エンティティへ、前記データ処理エンティティの公開鍵証明書を要求するメッセージを送信し(S2)
    前記データ処理エンティティから前記ブローカーへ、前記データ処理エンティティの公開鍵証明書を含むメッセージを送信し(S2)
    前記ブローカーエンティティにおいて、前記証明書が有効であるか否かを確認する(S2)
    ことにより、前記データ処理エンティティを認証するステップ
    を有することを特徴とする請求項1に記載の方法。
  3. 前記データ鍵及びデータ処理アルゴリズムを前記データ処理エンティティへ送信する前記ステップは、
    前記ブローカーエンティティにおいて、前記データ処理エンティティの公開鍵を用いて前記データ鍵及びデータ処理アルゴリズムを暗号化するステップと、
    前記暗号化されたデータ鍵及びデータ処理アルゴリズムを前記データ処理エンティティへ送信するステップと、
    前記データ処理エンティティにおいて、自分の秘密鍵を用いて前記データ鍵及びデータ処理アルゴリズムを復号するステップと、
    を有する
    ことを特徴とする請求項1又は2に記載の方法。
  4. 前記データ処理アルゴリズムは、処理に使用されるデータから少なくとも一部の情報をフィルタアウトするように構成されることを特徴とする請求項1乃至3のいずれか1項に記載の方法。
  5. 更なるデータ処理アルゴリズムを前記データ処理エンティティへ送信し、既に受信したデータを処理するために前記データ処理エンティティにおいてこのデータ処理アルゴリズムを使用する、ステップ
    を有することを特徴とする請求項1乃至のいずれか1項に記載の方法。
  6. 前記データ処理エンティティにおいて、前記更なるデータ処理アルゴリズムを使用して処理されたデータを、前記更なるデータ処理アルゴリズムに関連付けられた更なるアプリケーションノードへ送信するステップ
    を有することを特徴とする請求項に記載の方法。
  7. 前記データを前記データ処理エンティティへ送信する前記ステップは、
    前記データ提供ノードと前記データ処理エンティティとの間で通信ネットワークのセッションを確立するステップと、
    前記通信ネットワークのセッションを使用して前記データを送信するステップと、
    を有する
    ことを特徴とする請求項1乃至のいずれか1項に記載の方法。
  8. 前記通信ネットワークのセッションを確立する前記ステップは、
    前記ブローカーエンティティにおいて、アクセストークン(Token)及びセッション鍵(K SESSION を生成して前記データ提供ノードへ送信するステップ(T3)と、
    前記アクセストークン(Token)及び前記セッション鍵(K SESSION を使用して、前記データ提供ノードを認証して前記通信ネットワークに登録するステップ(T5−T8)と、
    前記データ提供ノードが前記通信ネットワークに登録されると、セッション開始メッセージを前記データ処理エンティティへ送信するステップ(T9)と、
    を有する
    ことを特徴とする請求項に記載の方法。
  9. 前記セッション鍵は、前記ブローカーの公開鍵及びセッション識別子に関する暗号法の関数であり、
    前記アクセストークンは、前記ブローカーの秘密鍵を用いて署名された、少なくとも前記ブローカーの識別子及び前記セッション識別子を含む
    ことを特徴とする請求項に記載の方法。
  10. 前記データ提供ノードを認証して前記通信ネットワークに登録する前記ステップは、
    前記アクセストークンを含む登録メッセージを前記通信ネットワークへ送信するステップ(T5)と、
    前記通信ネットワークが、前記ブローカーの前記公開鍵を判定するために前記アクセストークン内に含まれる前記ブローカーの前記識別子を使用し、前記セッション鍵を算出するために前記アクセストークン内に含まれる前記セッション識別子と前記ブローカーの前記公開鍵とを使用する、ステップと、
    前記通信ネットワークと前記データ提供ノードとを相互に認証するために、共通秘密として前記セッション鍵を使用するステップと、
    を有する
    ことを特徴とする請求項に記載の方法。
  11. 前記通信ネットワークはIPマルチメディア・サブシステムである
    ことを特徴とする請求項乃至10のいずれか1項に記載の方法。
  12. マシン・ツー・マシン・システムにおいて、処理対象データのセキュリティを維持しつつブローカーエンティティの演算負荷を軽減するためにデータの処理を少なくとも部分的に委譲する方法において使用するためのブローカーエンティティであって、
    前記ブローカーエンティティは、前記データを提供するセンサネットワーク(13)のデータ提供ノードと前記データを要求するアプリケーションノード(12)との間のリンクとしての役割を前記方法において果たし、
    前記ブローカーエンティティは、
    処理されたデータの要求を前記アプリケーションノード(12)から受信する受信機(19)と、
    処理対象の前記データを提供する前記データ提供ノードを判定し、前記要求に基づいて前記データを処理するためのデータ処理アルゴリズム(F)を生成する、データリーズナ(16)と、
    前記データ提供ノード(13)のためのデータ鍵(K ,K を生成する鍵生成器(17)と、
    前記データ鍵(K ,K を前記データ提供ノード(13)へ送信する送信機(18)と、
    前記データ鍵(K ,K 及び前記データ処理アルゴリズム(F)をリモートのデータ処理エンティティ(15)へ送信する送信機(18)と、
    を有することを特徴とするブローカーエンティティ。
  13. 前記データ処理エンティティの公開鍵証明書を要求するメッセージを前記データ処理エンティティへ送信する送信機と、
    前記データ処理エンティティの公開鍵証明書を含むメッセージを受信する受信機と、
    前記証明書が有効であるか否かを確認し、前記データ処理エンティティを認証する、プロセッサと、
    を有することを特徴とする請求項12に記載のブローカーエンティティ。
  14. マシン・ツー・マシン・システムにおいて使用するための、処理対象データのセキュリティを維持しつつブローカーエンティティ(11)の演算負荷を軽減するためにデータの処理を少なくとも部分的に委譲する方法において使用するためのデータ処理エンティティであって、
    前記ブローカーエンティティ(11)は、前記データを提供するセンサネットワーク(13)のデータ提供ノードと前記データを要求するアプリケーションノード(12)との間のリンクとしての役割を前記方法において果たし、
    前記データ処理エンティティは、
    ータ鍵(K ,K びデータ処理アルゴリズム(F)を前記ブローカーエンティティ(11)から受信する受信機(23)と、
    号化されたデータをデータ提供ノード(13)から受信する受信機(23)と、
    前記データ鍵(K ,K を用いて前記データを復号する復号器(20)と、
    前記データ処理アルゴリズム(F)を用いて前記データを処理するプロセッサ(21)と、
    前記処理されたデータを前記アプリケーションノード(12)へ送信する送信機(24)と、
    を有することを特徴とするデータ処理エンティティ。
  15. 前記データ処理エンティティの公開鍵証明書を要求するメッセージを受信する受信機と、
    前記公開鍵証明書を含むメッセージを送信する送信機と、
    を有することを特徴とする請求項14に記載のデータ処理エンティティ。
JP2011512835A 2008-06-12 2008-06-12 マシン・ツー・マシン通信のための方法及び装置 Expired - Fee Related JP5106682B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/057420 WO2009149759A1 (en) 2008-06-12 2008-06-12 Method and apparatus for machine-to-machine communication

Publications (2)

Publication Number Publication Date
JP2011524136A JP2011524136A (ja) 2011-08-25
JP5106682B2 true JP5106682B2 (ja) 2012-12-26

Family

ID=40602286

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011512835A Expired - Fee Related JP5106682B2 (ja) 2008-06-12 2008-06-12 マシン・ツー・マシン通信のための方法及び装置

Country Status (5)

Country Link
US (1) US8560835B2 (ja)
EP (1) EP2291971B1 (ja)
JP (1) JP5106682B2 (ja)
AT (1) ATE546944T1 (ja)
WO (1) WO2009149759A1 (ja)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090237209A1 (en) * 2008-03-20 2009-09-24 Brian William Seal Communicating keychain
GB2459435A (en) * 2008-04-02 2009-10-28 Vodafone Plc Telecommunications network
US10303035B2 (en) 2009-12-22 2019-05-28 View, Inc. Self-contained EC IGU
KR101144463B1 (ko) 2010-01-08 2012-07-11 엘지전자 주식회사 이동통신 시스템에서 mtc 장치의 오프라인 인디케이션 수행 방법
CN102123477B (zh) * 2010-01-08 2015-06-10 中兴通讯股份有限公司 M2m核心网络的接入实现方法及装置
KR101609580B1 (ko) * 2010-02-10 2016-04-07 삼성전자주식회사 무선 통신 시스템 및 그의 사용자 단말기와 이동성 관리 엔티티 간 연결 방법
CN104935669B (zh) * 2010-03-09 2020-02-14 Iot控股公司 一种机器对机器(m2m)通信的方法及网关
US9729516B2 (en) * 2010-04-09 2017-08-08 Gemalto Sa Method of machine-to-machine communication
US8619582B2 (en) * 2010-08-12 2013-12-31 Via Telecom Co., Ltd. Data processing methods for processing machine type communication data and wireless communications systems thereof
EP2697992A4 (en) * 2011-04-15 2014-09-24 Samsung Electronics Co Ltd METHOD AND APPARATUS FOR PROVIDING MACHINE COMMUNICATION SERVICE
WO2012154099A1 (en) * 2011-05-12 2012-11-15 Telefonaktiebolaget L M Ericsson (Publ) Sensor data distribution system
WO2013032081A1 (en) * 2011-09-01 2013-03-07 Lg Electronics Inc. Establishing new interface for new m2m application
JP5680006B2 (ja) 2012-02-24 2015-03-04 株式会社日立製作所 無線通信システム及び方法、ゲートウェイ
WO2014016729A1 (en) * 2012-07-24 2014-01-30 Koninklijke Philips N.V. Sensing information service and its use in urban service planning system
US9787644B2 (en) 2012-10-11 2017-10-10 Mobile Search Security LLC System and method for machine-to-machine privacy and security brokered transactions
KR101399292B1 (ko) * 2012-12-07 2014-05-27 전남대학교산학협력단 Sns를 이용한 사물통신 시스템, 방법 및 그 사물통신 서버
US9723429B2 (en) * 2013-09-27 2017-08-01 Lg Electronics Inc. Method for delivering notification messages in M2M system and devices for same
EP2892251B1 (en) * 2014-01-06 2017-09-13 2236008 Ontario Inc. System and method for machine-to-machine communication
EP3105884A4 (en) * 2014-02-11 2018-03-21 Yaana Technologies, LLC Mathod and system for metadata analysis and collection with privacy
US9693263B2 (en) 2014-02-21 2017-06-27 Yaana Technologies, LLC Method and system for data flow management of user equipment in a tunneling packet data network
US10447503B2 (en) 2014-02-21 2019-10-15 Yaana Technologies, LLC Method and system for data flow management of user equipment in a tunneling packet data network
US10334037B2 (en) 2014-03-31 2019-06-25 Yaana Technologies, Inc. Peer-to-peer rendezvous system for minimizing third party visibility and method thereof
EP4235289A3 (en) 2014-06-30 2023-11-22 View, Inc. Computer-implemented control methods and systems for networks of optically switchable windows during reduced power availability
US10285038B2 (en) 2014-10-10 2019-05-07 Yaana Technologies, Inc. Method and system for discovering user equipment in a network
US10542426B2 (en) 2014-11-21 2020-01-21 Yaana Technologies, LLC System and method for transmitting a secure message over a signaling network
US11740948B2 (en) 2014-12-08 2023-08-29 View, Inc. Multiple interacting systems at a site
JP6449088B2 (ja) * 2015-03-31 2019-01-09 株式会社日立製作所 情報収集システム、情報収集システムにおける接続制御方法
WO2016176661A1 (en) 2015-04-29 2016-11-03 Yaana Technologies, Inc. Scalable and iterative deep packet inspection for communications networks
US10326856B2 (en) * 2015-06-25 2019-06-18 Mcafee, Llc Single solution for user asset control
CN113411769B (zh) * 2015-09-30 2023-11-24 康明斯有限公司 用于安全远程信息处理通信的系统、方法和装置
EP3375155A4 (en) 2015-11-13 2019-08-14 Yaana Technologies, LLC SYSTEM AND METHOD FOR DISCOVERING INTERNET PROTOCOL (IP) NETWORK ADDRESS LINKS AND PORT TRANSLATION
US10104545B2 (en) * 2016-11-02 2018-10-16 National Chin-Yi University Of Technology Computer-implemented anonymity authentication method for wireless sensor networks
DE102016122384A1 (de) 2016-11-21 2018-05-24 Beckhoff Automation Gmbh Konzept zum steuern einer nachrichtenübermittlung zwischen kommunikationsteilnehmern eines automatisierungssystems
US10965738B2 (en) 2016-11-25 2021-03-30 Extreme Networks, Inc. Correlating and load balancing IMS traffic in a visibility network
GB201818997D0 (en) * 2018-11-22 2019-01-09 Palantir Technologies Inc Providing external access to a prcoessing platform
CN110649970B (zh) * 2019-09-26 2021-02-02 中国联合网络通信集团有限公司 可见光通信业务控制方法和系统
TW202206925A (zh) * 2020-03-26 2022-02-16 美商視野公司 多用戶端網路中之存取及傳訊
US11949663B2 (en) * 2020-05-21 2024-04-02 Zscaler, Inc. Cloud-based tunnel protocol systems and methods for multiple ports and protocols
US20230195912A1 (en) * 2021-12-20 2023-06-22 Western Digital Technologies, Inc. Secure data content access system and method

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60011990T2 (de) * 2000-02-22 2005-07-07 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren und Vorrichtung in einem Kommunikationsnetzwerk
US20020114453A1 (en) * 2001-02-21 2002-08-22 Bartholet Thomas G. System and method for secure cryptographic data transport and storage
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
US7565537B2 (en) * 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
GB0214302D0 (en) * 2002-06-21 2002-07-31 Koninkl Philips Electronics Nv Communication system with an extended coverage area
US20050076233A1 (en) * 2002-11-15 2005-04-07 Nokia Corporation Method and apparatus for transmitting data subject to privacy restrictions
US7900038B2 (en) * 2003-04-29 2011-03-01 Wells Fargo Bank, N.A. Method and apparatus for a broker entity
EP1533971A1 (en) * 2003-11-18 2005-05-25 STMicroelectronics S.r.l. Method and system for establishing secure communication
JP4612817B2 (ja) * 2004-08-20 2011-01-12 キヤノン株式会社 グループ管理装置及び情報処理方法、ならびにコンピュータプログラム及び記録媒体
JP2006246081A (ja) * 2005-03-03 2006-09-14 Sharp Corp 暗号処理装置、コンテンツ再生システム、icカード、暗号処理方法、暗号処理プログラムおよび記録媒体
US7929703B2 (en) * 2005-12-28 2011-04-19 Alcatel-Lucent Usa Inc. Methods and system for managing security keys within a wireless network
US8065411B2 (en) * 2006-05-31 2011-11-22 Sap Ag System monitor for networks of nodes
EP2191627A2 (en) * 2007-09-07 2010-06-02 Philips Intellectual Property & Standards GmbH Network and method for establishing a secure network
US20100257218A1 (en) * 2009-04-03 2010-10-07 Konstantin Iliev Vassilev Merging multiple heterogeneous file systems into a single virtual unified file system

Also Published As

Publication number Publication date
EP2291971B1 (en) 2012-02-22
WO2009149759A1 (en) 2009-12-17
ATE546944T1 (de) 2012-03-15
JP2011524136A (ja) 2011-08-25
EP2291971A1 (en) 2011-03-09
US20110154022A1 (en) 2011-06-23
US8560835B2 (en) 2013-10-15

Similar Documents

Publication Publication Date Title
JP5106682B2 (ja) マシン・ツー・マシン通信のための方法及び装置
US9537837B2 (en) Method for ensuring media stream security in IP multimedia sub-system
CN100592731C (zh) 端到端加密数据电信的合法侦听
JP5496907B2 (ja) セキュアな通信のための鍵管理
US8935529B2 (en) Methods and systems for end-to-end secure SIP payloads
CN101420413B (zh) 会话密钥协商方法、认证服务器及网络设备
Westerlund et al. Options for securing RTP sessions
US20080137859A1 (en) Public key passing
KR20080089500A (ko) 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
JP5524176B2 (ja) Ipベースの電話環境における公開鍵インフラストラクチャ(pki)を使用した認証およびアイデンティティ管理のための方法および装置
WO2011022999A1 (zh) 一种终端对视频会议数据进行加密的方法及系统
WO2010091563A1 (zh) Wapi终端证书的管理方法、装置及系统
JP2009526454A (ja) メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品
WO2008040213A1 (fr) Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication
KR101016277B1 (ko) 보안성이 강화된 sⅰp 등록 및 sⅰp 세션 설정 방법 및장치
WO2007093079A1 (fr) Procédé de mise en oeuvre d'une politique de sécurité en matière de négociation-clé dans un réseau interdomaine de commutation de paquets à plusieurs garde-portes
WO2017197968A1 (zh) 一种数据传输方法及装置
EP3682609B1 (en) Signal plane protection within a communications network
Reddy et al. Session Traversal Utilities for NAT (STUN) Extension for Third-Party Authorization
Kumar et al. Beyond Tokens: Distributed, De-Centralized, Local Authorization Framework for Beyond 5GC SBI
JP5746774B2 (ja) セキュアな通信のための鍵管理
Uberti Internet Engineering Task Force (IETF) T. Reddy Request for Comments: 7635 P. Patil Category: Standards Track R. Ravindranath
Harney et al. RFC 4535: GSAKMP: Group Secure Association Key Management Protocol
Westerlund et al. RFC 7201: Options for Securing RTP Sessions
JP2008136248A (ja) セッション制御サーバ、通信装置、通信システムおよび通信方法、ならびにそのプログラムと記録媒体

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110112

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120809

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120907

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121002

R150 Certificate of patent or registration of utility model

Ref document number: 5106682

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151012

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees