JP5537560B2 - Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 - Google Patents
Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 Download PDFInfo
- Publication number
- JP5537560B2 JP5537560B2 JP2011538876A JP2011538876A JP5537560B2 JP 5537560 B2 JP5537560 B2 JP 5537560B2 JP 2011538876 A JP2011538876 A JP 2011538876A JP 2011538876 A JP2011538876 A JP 2011538876A JP 5537560 B2 JP5537560 B2 JP 5537560B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- object model
- managing
- module
- attributes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 10
- 229920006235 chlorinated polyethylene elastomer Polymers 0.000 description 41
- 239000003795 chemical substances by application Substances 0.000 description 11
- 238000004891 communication Methods 0.000 description 11
- 239000000344 soap Substances 0.000 description 8
- 230000008859 change Effects 0.000 description 4
- 238000004366 reverse phase liquid chromatography Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000000136 cloud-point extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
- H04L12/2876—Handling of subscriber policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、加入者宅内機器CPE上のアプリケーションまたはサービスソフトウェアモジュール、所謂「バンドル」を、それらのCPEデバイスへの接続性を有するネットワーク内の任意の場所に位置するサーバから遠隔管理すること、すなわちインストール、構成、および除去することに関する。本出願の全体を通し、そのサーバを自動構成サーバまたは遠隔管理サーバと称する。CPEまたは顧客デバイスの例は、デジタル加入者回線(DSL)モデム、セットトップボックス(STB)、携帯電話や携帯情報端末(PDA)などの無線端末、等である。本出願との関連で、顧客デバイスは、その上に遠隔管理サービスがインストールされる、ネットワーク内にあるデバイス、例えばDSLAM、遠隔ユニット(RU)、サービスブレード、等とすることもできる。より詳細には、本発明は、特定のサービスまたは事業者に属するパラメータのサブセットを管理することに関する。
デジタル加入者回線(xDSL)ネットワークなど、ブロードバンドアクセスネットワークに接続されるホームネットワークは、一方ではホームネットワーク内の1つまたは複数の機器に接続され、他方では中央局内のデジタル加入者回線アクセス多重化装置DSLAMやトラフィック集約ノードなど、xDSLサービスプロバイダのノードに接続される、xDSLモデムなどの加入者宅内機器を含む。このCPEとDSLAMとの間のリンクは情報を転送するために使用され、情報を転送するためには、このCPEとDSLAMとの間の通信セッションを確立することが必要である。通信セッションを確立することは、典型的にはデバイス間の同期を行うこと、誤り訂正システムを定義すること、伝送速度を決定することなどのステップを伴う。通信セッションの確立を達成するために、モデムはそれらのステップに関する情報を必要とする。例えば、モデムは、どの誤り訂正符合を利用できるのか、どの速度を使用できるのか、どの符号化が好ましいのか、等を知る必要がある。
さらに、遠隔デバイスを管理するために、典型的にはTR−069管理プロトコルが使用される。このプロトコルは、遠隔管理サーバまたは自動構成サーバACSにより、サービスプロバイダネットワーク内からCPEを構成することを可能にする。こうしたTR−069管理プロトコルは、それぞれのCPE内に記憶されるオブジェクトモデルに基づく。このオブジェクトモデルは、遠隔手続き呼び出しにより読み取りまたは変えることができる、いくつかのパラメータからなる。これらのパラメータは、オブジェクトモデル内で樹状構造をなして編成される。この樹木モデルの結果として、パラメータを明確にアドレス指定(address)することができ、またはパラメータのサブセットをアドレス指定することができる。ACSは、上記に記載したその特定のパラメータまたはサブセットのアドレス指定を使用し、1つまたは複数のパラメータの値を取得するための遠隔手続き呼び出しRPCを引き起こすことができる。このACSは、パラメータまたはパラメータのサブセットの値を変えるためのRPCも引き起こすことができる。さらにこのACSは、CPE上のソフトウェアの更新、CPE上のソフトウェアのインストールまたは除去等をトリガするRPCを引き起こすことができる。したがって、TR−069管理プロトコルは、事業者がCPEを遠隔的に構成/管理することを可能にし、それは、ユーザがほとんど労力を費やすことなく1つまたは複数のサービスにアクセスできることを意味する。
このTR−069プロトコルは、例えばオープンサービスゲートウェイイニシアティブOSGiサービスプラットフォームなど、よりサービスに固有のまたは様々なサービスを提供する、他のCPEを遠隔的に管理するためにも使用される。しかし、そうしたOSGiを使用することにより、それらのサービスおよびアプリケーションがCPE上の何もかも共有する。これは、TR−069オブジェクトモデル全体がそのCPE上に展開されるサービスおよびアプリケーションにとって利用可能であり、それらのうちのいずれかによって取得され、または変えられ得ることを意味する。これにより、それぞれの遠隔管理サーバまたはACSは、TR−069オブジェクトモデル、およびTR−069オブジェクトモデル内に記憶される全てのパラメータを修正することができる。このことは、様々なサービスプロバイダに関係する複数のサービスがその上で実行されるCPE上で、それぞれのサービスプロバイダが、他の事業者のサービスおよびアプリケーションを修正できることを意味する。事実、このオブジェクトモデルは単一のアクセス可能なデータセットなので、サービス事業者は、単に他の事業者のサービスまたはアプリケーションに関係するパラメータを修正することにより、他の事業者に優る利点を得ることができる。
TR−069オブジェクトモデルにおける自動構成についての悪意ある使用を回避し、より安全な1組のパラメータをサービスプロバイダごとに提供するために、TR−069オブジェクトモデルを管理する際に使用されるビューセレクタモジュールにより1組の安全なパラメータが自動的に提供される。そのようなモジュールは、資格証明に基づき、複数のパラメータのうちの1つもしくは複数を選択しかつ/または変えるための手段を典型的には含む。資格証明に基づいてパラメータを選択することまたはパラメータを変えることを許すことにより、TR−069オブジェクトモデルのサブセットのみを、サービスプロバイダ、遠隔管理サーバ、ACSなどの特定の当事者に提供することが可能になる。これは、その特定の当事者が、自らがインストールしたアプリケーションまたはバンドル用のTR−069パラメータや、全員または全てのアプリケーションもしくはバンドルが利用可能なパラメータなど、特定のTR−069パラメータからしか情報を取得できないことを意味する。同様に、特定の当事者は、いくつかのパラメータのみを変えることができる一方で、他のパラメータは、例えばそれらのパラメータがその当事者、バンドル、またはサービスに属さないので変更することはできない。したがって、事業者Aが、事業者Bのサービスに関係するパラメータを閲覧しかつ/または修正することは不可能になる。そのため事業者Aは、もはや事業者Bのサービスの容量または品質を低減させることにより、事業者Bに優先して自らのサービスのために不公平な利点を得ることはできない。
さらに、ホームネットワーク内のTR−069に準拠する加入者宅内機器CPEは、自らのTR−069オブジェクトモデルのパラメータを管理するために、事業者のネットワーク内の自動構成サーバACSと連携し、トランスポート層セキュリティ/セキュアソケットレイヤ、短縮してTLS/SSLと呼ばれるセッションを典型的には使用する。典型的には、ACSまたはプロキシがこのTLS/SSLセッションを終了し、それ自体でCPEのオブジェクトモデルパラメータを管理する。
この手法にはいくつかの欠点があることを説明する必要がある:
1.CPEの構成についての知識は、その情報が例えば診断ツールのためにホームネットワーク内でもローカルに必要とされる場合がありながら、事業者のネットワーク内のACS(またはそのデリゲート)において保持され、
2.TLS/SSLプロトコルは、トンネルのエンドポイント上で各セッションについての状態を維持するために、極めて大量の記憶容量およびCPUパワーを必要とし、
3.TLS/SSLセッションを使用するため、このセキュアトンネルを通過する情報は中間ネットワークデバイスにとってトランスペアレントである。トランスペアレントである状態では、CPEとACSとの間の他の中間ネットワークデバイス、例えば住居用ホームゲートウェイなどは、通過する情報を読み取れずまたは解釈できないことを意味する。
1.CPEの構成についての知識は、その情報が例えば診断ツールのためにホームネットワーク内でもローカルに必要とされる場合がありながら、事業者のネットワーク内のACS(またはそのデリゲート)において保持され、
2.TLS/SSLプロトコルは、トンネルのエンドポイント上で各セッションについての状態を維持するために、極めて大量の記憶容量およびCPUパワーを必要とし、
3.TLS/SSLセッションを使用するため、このセキュアトンネルを通過する情報は中間ネットワークデバイスにとってトランスペアレントである。トランスペアレントである状態では、CPEとACSとの間の他の中間ネットワークデバイス、例えば住居用ホームゲートウェイなどは、通過する情報を読み取れずまたは解釈できないことを意味する。
本発明の目的は、このオブジェクトモデルの管理を事業者ネットワーク内の他の信頼できるエンティティに、すなわちACSが管理を移し、CPEのTR−069オブジェクトモデルを部分的にまたは完全に制御することを任せられるデリゲートに委任することである。本出願のもう1つの目的は、TLS/SSLプロトコルのトンネルのエンドポイント上で各セッションについての状態を維持するために要求される極めて大量の記憶容量およびCPUパワーを、例えば低コストの住居用ホームゲートウェイ用に共有することである。もう1つの目的は、CPEとACSとの間にある中間の信頼できるネットワークデバイスにとってトランスペアレントではない、TR−069オブジェクトモデルの管理を提供することであり、すなわち中間の信頼できるネットワークデバイスが介入することを可能にする。
本発明により、デバイスのTR−069オブジェクトモデルを管理する際に使用するセキュリティモジュールによって従来技術の欠点が克服され、本発明の目的が実現され、そのオブジェクトモデルは、資格証明に基づきビューセレクタモジュールが選択し、それによりそのデバイスに関連するオブジェクトモデルビューを定義するための複数のパラメータを含み、そのセキュリティモジュールは、そのオブジェクトモデルビューをセキュリティポリシーに関連させるための手段と、中間ネットワークエンティティ上でセキュリティポリシーのセキュリティ属性を構成するための手段とを含む。
事実、TR−069CPEを管理するためにTLS/SSLセッション層セキュリティを使用する代わりに、CPEとACSとの間のTR−069管理セッションについて、TR−069オブジェクトモデルビューの暗号化に関連する新たなセキュリティ方法が使用される。TR−069CPEオブジェクトモデルの、それぞれの別個のビューにセキュリティポリシーが割り当てられ、信頼できる中間ネットワークエンティティ上で関係するセキュリティ属性が構成される。これにより、それぞれのセキュリティポリシーに対応する適正なセキュリティ属性を保持するネットワークエンティティだけが、TR−069オブジェクトモデルの特定のビューを制御することができる。適切なセキュリティポリシーを分配することにより、事業者は、TR−069CPEデバイスの管理を、CPEとACSとの間のTR−069制御経路上の1組の選択されたネットワークエンティティに委任することができる。こうして事業者は中央ACSの管理タスクを軽減し、CPEの構成情報を、それらの中間ネットワークエンティティ上に存在する他の(半分)信頼できるアプリケーションに利用可能とする。
オプションで、関連させるための手段は、遠隔管理サーバ、TR−069管理エージェント、またはACS上に導入されるようになされる。
TR−069CPEオブジェクトモデルの各パラメータは、その属性が特定の暗号/復号鍵を含み、最終的には個々のパラメータベースの読み取り専用アクセスまたは書き込みアクセスを強制するセキュリティポリシーを有する、特定のオブジェクトモデルビューに割り当てられる。この割り当ては、最初の標準TR−069SSL/TLS構成セッションを使用してACSが行うことができる。この初期構成は、後続のTR−069通信セッションについて新たなセキュリティプロトコルを使用することをもたらす。この初期構成の後、ACSは、ACSとCPEとの間の経路上の1組の選択されたネットワークデバイス、例えば住居用ゲートウェイ上に特定のセキュリティポリシーを展開する。これらのポリシーの属性、具体的には暗号/復号鍵は、これらのデバイスが、関連するCPEのオブジェクトモデルビューを制御することを可能にする:これらのデバイスは、必要なセキュリティポリシーを自らが有するCPEオブジェクトモデルビューのパラメータおよびそのパラメータの値しか復号することができない。同様に、自らのCPEオブジェクトモデルビューのパラメータの値を変更するために、これらの中間デバイスは、オブジェクトモデルビューのセキュリティポリシーに関連する適正な暗号化鍵が必要である。このようにして、ACSから適正なセキュリティポリシーを得たネットワークデバイスだけが、CPEのオブジェクトモデルの特定のビューにアクセスすることができる:他のオブジェクトモデルビューは、これらのデバイスにとってアクセスできない。
さらに、TR−069CPEの管理自体のレイヤセキュリティにはTLS/SSLトンネルを使用しないが、このTLS/SSLプロトコルは、中間ネットワークエンティティ上でACSがそれぞれのセキュリティ属性を構成するために依然として使用することができる。これは、TLS/SSLプロトコルの諸機能、例えば証明書、暗号化などがそれぞれのセキュリティ属性を構成する間に使用されることを意味する。TLS/SSLプロトコルを使用することについて便宜的に言及したが、本出願のデバイスおよび方法はこれに限定されないことを述べておく必要がある。
さらにこのセキュリティモジュールは、構成されるセキュリティ属性に基づく暗号化プロトコルを使用して、そのデバイスおよび中間ネットワークエンティティと通信し、それにより、その構成されるセキュリティ属性に基づく暗号化プロトコルを使用して、中間ネットワークエンティティがそのデバイスの関連するオブジェクトモデルビューを制御することを可能にするための手段をさらに含む。
オプションで、その暗号化プロトコルは、暗号化されたTR−069オブジェクトモデルメッセージを含む本体部と、それぞれのセキュリティポリシーへの暗号化されていないリファレンスを含むヘッダー部とを有する、シンプルオブジェクトアクセスプロトコルSOAPによって実装される。事実、この暗号化プロトコル自体をSOAPレベルで実装することができ、その場合はSOAPの本体部は、暗号化されたTR−069メッセージ、およびコンテンツを復号するためにどのセキュリティポリシーが必要かを指示する、暗号化されていないSOAPヘッダーを含む。暗号化されていないSOAPヘッダーを読み取ることにより、中間ネットワークエンティティはそのメッセージを自らが処理できるのか、それともそのメッセージをACSに向けて転送する必要があるのかを決定することができる。その中間ネットワークエンティティが適正なセキュリティポリシーを保持し、自らそのメッセージに答えることに決める場合、その中間デバイスはそのTR−069メッセージを復号し、対応するセキュリティコンテキストからの暗号化鍵を使用して自らの応答を暗号化する。ACSとして機能し、この中間デバイスは自らのTR−069暗号化済み応答をCPEに送信する。CPEの観点からは、このメッセージはあたかもACSによって送信されたかのように見え、そのため、このプロトコルはCPEのためのTR−069オブジェクトモデル管理を委任したことを隠す。
元はシンプルオブジェクトアクセスプロトコルとして定義したSOAPは、コンピュータネットワーク内にウェブサービスを実装する際に、構造化された情報を交換するためのプロトコル仕様であることを説明する必要がある。SOAPは、そのメッセージ形式として拡張マーク付け言語XMLに依拠し、メッセージの交渉および伝送に関しては他のアプリケーション層プロトコル、代表的には遠隔手続き呼び出しRPCおよびHTTPに通常依拠する。SOAPは、その上に抽象層を構築することができる、基本的なメッセージングフレームワークを提供するウェブサービスプロトコルスタックの基礎層を形成する。
オプションで、中間ネットワークエンティティが住居用ゲートウェイによって実装され、デバイスが加入者宅内機器によって実装される。最後に、TR069管理プロトコルに統合されるようにモジュールを構成することができる。
特許請求の範囲の中で使用する用語「含む(comprising)」は、その後列挙する手段について限定的であると解釈すべきでないことを指摘しておくべきである。したがって、手段Aおよび手段Bを含むデバイスという表現の範囲は、コンポーネントAおよびBだけからなるデバイスに限定されるべきではない。コンポーネントAおよびBだけからなるデバイスとは、本発明に関しては、そのデバイスに関連するコンポーネントがAおよびBだけであることを意味する。
添付図面と併せて解釈される以下の実施形態の説明を参照することにより、本発明の上記のおよび他の目的ならびに特徴がより明らかになり、本発明自体が最も良く理解される。
図1に示す電気通信環境に基づく本発明によるデバイスの働きについて、図1に示す様々なブロックの機能上の説明を用いて説明する。この説明に基づき、各ブロックの実用的な実装形態が当業者に明白になり、したがって詳しくは説明しない。さらに、TR−069オブジェクトモデルデバイスを管理する際に使用するセキュリティ方法の働きの原理についてさらに詳細に説明する。
図1は、加入者宅内機器106であるデバイスに結合される、中間ネットワークエンティティ、すなわち住居用ゲートウェイ105に結合される、自動構成サーバACS上のTR−069管理エージェント114を有するアクセスホームネットワークを示す。
管理エージェントTR−069 114は、構成するための手段、すなわちセキュリティ構成モジュール108、関連させるための手段107、および通信手段、すなわち通信モジュール112に命令するための手段113を含む、セキュリティモジュール101を含む。さらに、この管理エージェントTR−069 114は、ビューセレクタモジュール102および通信モジュール112を含む。
加入者宅内機器106は、自らのパラメータに基づいて適用されるビューセレクタモジュール102’、および通信モジュール111を含む。
次いで住居用ゲートウェイ105は、構成されるセキュリティ属性モジュール109および通信モジュール110を含む。
ビューセレクタモジュールにより、加入者宅内機器のオブジェクトモデルのいくつかのパラメータが選択されることを説明する必要がある。この選択は、このCPEiに関連する特定のオブジェクトモデルビューOMViをもたらす。ホームネットワーク内の加入者宅内機器106は、自らのTR−069オブジェクトモデルのパラメータを管理するために、事業者のネットワーク内の自動構成サーバのTR−069管理エージェント114と通信する。管理エージェント114は、加入者宅内機器CPEiのオブジェクトモデルのパラメータを管理/制御する。
この基本理念によれば、生成されるオブジェクトモデルビューOMViが、特定のセキュリティポリシーSPiに関連付けられる。その特定のセキュリティポリシーSPiは、特定の暗号/復号鍵を含む属性を定義する。特定のセキュリティポリシーSPiにオブジェクトモデルビューOMViを関連させることは、管理エージェント114において、セキュリティモジュール101の関連させるための手段107によって実行される。
この関連させることに基づき、セキュリティポリシーSPiの属性が住居用ゲートウェイ上のセキュリティモジュールのセキュリティ構成モジュールによって構成され、すなわちそれらの属性が、住居用ゲートウェイ106の構成されるセキュリティ属性モジュール109上の、セキュリティモジュール101のセキュリティ構成モジュール108に転送され、記憶される。この割り当ては、最初の標準TR−069SSL/TLS構成セッションを使用することにより、セキュリティモジュール101が実行できることを述べておく必要がある。
住居用ゲートウェイ106における構成されるセキュリティ属性モジュールを初期構成した後、後続のTR−069通信セッションを開始することができる。TR−069管理エージェント114の通信モジュール112は、暗号化プロトコルを使用し、CPEiデバイス106および住居用ゲートウェイ105の同様の通信モジュール111および110それぞれと通信する。本出願によれば、この暗号化プロトコルは、構成されるセキュリティ属性に基づき、TR−069管理エージェント114の代わりに中間の住居用ゲートウェイ105が、構成されるセキュリティ属性に基づくこの暗号化プロトコルを使用して、デバイス106の関連するオブジェクトモデルビューOMVi103を制御することを可能にする。
このTR−069管理エージェントは、TR−069管理エージェントと、例えば住居用ゲートウェイ106などのCPEとの間の経路上のネットワーク要素上に特定のセキュリティポリシーを展開する。これらのポリシーの属性、具体的には暗号/復号鍵は、中間ネットワークエンティティが、関連するCPEのオブジェクトモデルビューを制御することを可能にする。事実、中間ネットワークエンティティは、必要なセキュリティポリシーを受信した、CPEのオブジェクトモデルビューのパラメータおよびそのパラメータの値だけを復号する権限を与えられる。同様に、それらのCPEオブジェクトモデルビューのパラメータの値を変更するために、この中間ネットワークエンティティは、オブジェクトモデルビューのセキュリティポリシーに関連する適正な暗号化鍵が必要である。このようにして、ACSから適正なセキュリティポリシーを得たネットワークデバイスだけが、CPEのオブジェクトモデルの特定のビューにアクセスすることができるが、他のオブジェクトモデルビューは、これらのデバイスにとってアクセスできない。
最後の注釈は、本発明の諸実施形態を上記に機能ブロックの観点から説明したことである。上記に示したこれらのブロックの機能上の説明から、よく知られている電子コンポーネントを使いこれらのブロックの諸実施形態をどのように製造できるのかが電子デバイスを設計する当業者に明らかになる。したがって、これらの機能ブロックの中身の詳細なアーキテクチャは示さない。
本発明の諸原理を特定の機器との関連で上記に記載したが、この説明は添付の特許請求の範囲の中で定義する本発明の範囲に対する限定としてではなく、例として行ったに過ぎないことを明確に理解すべきである。
Claims (8)
- デバイス(106)のTR−069オブジェクトモデルを管理する際に使用するセキュリティモジュール(101)であって、前記オブジェクトモデルは、資格証明に基づきビューセレクタモジュール(102、107)が選択し、それにより前記デバイス(106)に関連するオブジェクトモデルビュー(103)を定義するための複数のパラメータを含む、セキュリティモジュール(101)において、前記オブジェクトモデルビュー(103)をセキュリティポリシー(104)に関連させるための手段(107)と、中間ネットワークエンティティ(105)上で前記セキュリティポリシー(104)のセキュリティ属性を構成するための手段(108、109)と、
前記構成されたセキュリティ属性に基づく暗号化プロトコルを使用して、前記デバイス(106)および前記中間ネットワークエンティティ(105)と通信するための手段(112)に命令し、それにより、前記構成されるセキュリティ属性に基づく前記暗号化プロトコルを使用して、前記中間ネットワークエンティティ(105)が前記デバイス(106)の前記関連するオブジェクトモデルビュー(103)を制御することを可能にするための命令手段(113)を含むことを特徴とする、セキュリティモジュール(101)。 - 前記関連させるための手段(107)が遠隔管理サーバ(114)上に導入されるようになされることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
- 前記中間エンティティ(105)上で前記セキュリティ属性を構成するために、トランスポート層セキュリティ/セキュアソケットレイヤプロトコルを使用することを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
- 前記暗号化プロトコルが、暗号化されたTR−069オブジェクトモデルメッセージを含む本体部と、前記セキュリティポリシー(SPi)への暗号化されていないリファレンスを含むヘッダー部とを有する、シンプルオブジェクトアクセスプロトコル(SOAP)によって実装されることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
- 前記中間ネットワークエンティティ(105)上で前記セキュリティポリシー(104)の前記セキュリティ属性を構成するための前記手段(108、109)は、住居用ゲートウェイによって実装された前記中間ネットワークエンティティ(105)上で前記セキュリティポリシー(104)の前記セキュリティ属性を構成することを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
- 前記デバイス(106)の前記TR−069オブジェクトモデルを管理する際に使用する前記セキュリティモジュール(101)は、加入者宅内機器(106)である前記デバイスの前記TR−069オブジェクトモデルを管理する際に使用する前記セキュリティモジュール(101)であることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイス(106)を管理する際に使用するセキュリティモジュール(101)。
- 前記セキュリティモジュール(101)が、TR−069管理エージェントに統合されるように構成されることを特徴とする、請求項1に記載のTR−069オブジェクトモデルデバイスを管理する際に使用するセキュリティモジュール(101)。
- TR−069オブジェクトモデルデバイスを管理する際に使用するセキュリティ方法であって、前記オブジェクトモデルは、資格証明に基づきビューセレクタモジュール(102、107)が選択し、それにより前記デバイス(106)に関連するオブジェクトモデルビュー(103)を定義するための複数のパラメータを含む、セキュリティ方法において、セキュリティモジュールにより実行される、
前記オブジェクトモデルビュー(103)をセキュリティポリシー(104)に関連させるステップと、
中間ネットワークエンティティ(105)上で前記セキュリティポリシー(104)のセキュリティ属性を構成するステップと、
前記構成されたセキュリティ属性に基づく暗号化プロトコルを使用して、前記デバイス(106)および前記中間ネットワークエンティティ(105)と通信するための手段(112)に命令し、それにより、前記構成されるセキュリティ属性に基づく前記暗号化プロトコルを使用して、前記中間ネットワークエンティティ(105)が前記デバイス(106)の前記関連するオブジェクトモデルビュー(103)を制御することを可能にするための命令ステップ(113)を含むことを特徴とする、セキュリティ方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08291134A EP2194688A1 (en) | 2008-12-02 | 2008-12-02 | A module and associated method for TR-069 object management |
| EP08291134.8 | 2008-12-02 | ||
| PCT/EP2009/008428 WO2010063407A1 (en) | 2008-12-02 | 2009-11-24 | A module and associated method for tr-069 object management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012510766A JP2012510766A (ja) | 2012-05-10 |
| JP5537560B2 true JP5537560B2 (ja) | 2014-07-02 |
Family
ID=40602255
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011538876A Expired - Fee Related JP5537560B2 (ja) | 2008-12-02 | 2009-11-24 | Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8955034B2 (ja) |
| EP (1) | EP2194688A1 (ja) |
| JP (1) | JP5537560B2 (ja) |
| KR (1) | KR101548552B1 (ja) |
| CN (1) | CN101753564B (ja) |
| WO (1) | WO2010063407A1 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2415065B (en) * | 2004-06-09 | 2009-01-21 | Symbian Software Ltd | A computing device having a multiple process architecture for running plug-in code modules |
| EP2141858B1 (en) * | 2008-06-30 | 2014-11-26 | Alcatel Lucent | Method for managing a communication between a server device and a customer device |
| FR2951343A1 (fr) * | 2009-10-14 | 2011-04-15 | Alcatel Lucent | Gestion de dispositif de communication a travers un reseau de telecommunications |
| US8925039B2 (en) * | 2009-12-14 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of selectively applying security measures to data services |
| EP2403216B1 (en) * | 2010-06-30 | 2014-03-05 | Alcatel Lucent | Method for installation of an application |
| EP2403201A1 (en) * | 2010-06-30 | 2012-01-04 | Alcatel Lucent | Method for communicating between customer device and server device |
| CN103116606A (zh) * | 2013-01-17 | 2013-05-22 | 上海斐讯数据通信技术有限公司 | 一种数据存储结构 |
| KR101447858B1 (ko) * | 2013-05-15 | 2014-10-07 | (주)엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
| WO2014185639A1 (ko) * | 2013-05-15 | 2014-11-20 | 주식회사 엔텔스 | IPSec 게이트웨이 장치, IPSec 게이트웨이의 패킷 전송 방법 및 네트워크 시스템 |
| US10554861B2 (en) | 2015-03-05 | 2020-02-04 | Hewlett-Packard Development Company, L.P. | Method and device for color compensation |
| CN104852813B (zh) * | 2015-04-08 | 2018-02-13 | 烽火通信科技股份有限公司 | 家庭网关设备中tr069参数节点的按需加载方法及系统 |
| US11038923B2 (en) * | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
| US11233647B1 (en) * | 2018-04-13 | 2022-01-25 | Hushmesh Inc. | Digital identity authentication system |
| US11477072B2 (en) * | 2019-09-17 | 2022-10-18 | OpenVault, LLC | System and method for prescriptive diagnostics and optimization of client networks |
| US20240281236A1 (en) * | 2022-11-29 | 2024-08-22 | Rakuten Mobile, Inc. | Over-the-air service platform support for tr-069 multiple firmware images and serverless environments |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3282358A1 (en) * | 2005-02-11 | 2018-02-14 | Comptel Corporation | Service provisioning method, system and computer program product |
| CN100596069C (zh) * | 2006-08-15 | 2010-03-24 | 中国电信股份有限公司 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
| TWI337818B (en) * | 2007-04-16 | 2011-02-21 | Accton Technology Corp | Network management system and management method thereof |
| EP2026594B1 (en) * | 2007-08-14 | 2017-07-12 | Alcatel Lucent | A module and associated method for TR-069 object management |
| US8019767B2 (en) * | 2007-11-12 | 2011-09-13 | International Business Machines Corporation | Correlation-based visualization of service-oriented architecture protocol (SOAP) messages |
-
2008
- 2008-12-02 EP EP08291134A patent/EP2194688A1/en not_active Withdrawn
-
2009
- 2009-11-04 US US12/591,005 patent/US8955034B2/en not_active Expired - Fee Related
- 2009-11-24 KR KR1020117014969A patent/KR101548552B1/ko not_active IP Right Cessation
- 2009-11-24 JP JP2011538876A patent/JP5537560B2/ja not_active Expired - Fee Related
- 2009-11-24 WO PCT/EP2009/008428 patent/WO2010063407A1/en active Application Filing
- 2009-11-25 CN CN200910226064.2A patent/CN101753564B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012510766A (ja) | 2012-05-10 |
| US8955034B2 (en) | 2015-02-10 |
| KR101548552B1 (ko) | 2015-09-01 |
| EP2194688A1 (en) | 2010-06-09 |
| CN101753564A (zh) | 2010-06-23 |
| WO2010063407A1 (en) | 2010-06-10 |
| US20100138895A1 (en) | 2010-06-03 |
| CN101753564B (zh) | 2013-09-18 |
| KR20110092333A (ko) | 2011-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5537560B2 (ja) | Tr−069オブジェクトを管理するためのモジュールおよび関連する方法 | |
| CN102265566B (zh) | 用于配置用以管理附属于数据流的数据分组的参数的方法 | |
| EP2345205B1 (en) | Apparatus and method for mediating connections between policy source servers, corporate repositories, and mobile devices | |
| US10965653B2 (en) | Scalable and secure message brokering approach in a communication system | |
| EP1839182B1 (en) | Use of configurations in device with multiple configurations | |
| JP5444220B2 (ja) | Tr−069オブジェクト管理に対するモジュールおよび関連方法 | |
| JP2011081809A (ja) | ネットワークリソース管理装置 | |
| JP2010527076A (ja) | Usbキーを使用したネットワーク要素の管理方法及び装置 | |
| CN114143788B (zh) | 一种基于msisdn实现5g专网认证控制的方法和系统 | |
| US9313108B2 (en) | Flexible and scalable method and apparatus for dynamic subscriber services configuration and management | |
| US20200344607A1 (en) | Systems and Methods for Provisioning User Devices Using a Zero Touch Configuration Proxy | |
| Van den Abeele et al. | Fine-grained management of CoAP interactions with constrained IoT devices | |
| JP2023529951A (ja) | 安全な通信方法、関連する装置、およびシステム | |
| Li | Policy-based IPsec management | |
| Rantos et al. | Secure policy-based management solutions in heterogeneous embedded systems networks | |
| CN101197708A (zh) | 一种网元自动发现和自动配置方法 | |
| Chainho et al. | Decentralized communications: trustworthy interoperability in peer-to-peer networks | |
| JP2010193192A (ja) | アクセス制御装置、アクセス制御方法、アクセス制御プログラムおよびサービス提供システム | |
| US20220200967A1 (en) | Machine to machine communications | |
| Schwiderski-Grosche et al. | Towards the secure initialisation of a personal distributed environment | |
| Chalouf et al. | A secured, automated, and dynamic end‐to‐end service level negotiation | |
| CN110995510B (zh) | 一种pol中实现voip业务零配置的管理方法和装置 | |
| Yamasaki et al. | Implementation of a distributed network middleware" CSC" on OSGi frameworks | |
| Ganna et al. | Agent-based framework for policy-driven service provisioning to nomadic users | |
| Game | WP1: Requirement Analysis D 1. C:” State of the Art Report” |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120731 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140107 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140319 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140415 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140425 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5537560 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |