JP5952308B2 - モバイルデバイスのセキュリティ - Google Patents
モバイルデバイスのセキュリティ Download PDFInfo
- Publication number
- JP5952308B2 JP5952308B2 JP2013550957A JP2013550957A JP5952308B2 JP 5952308 B2 JP5952308 B2 JP 5952308B2 JP 2013550957 A JP2013550957 A JP 2013550957A JP 2013550957 A JP2013550957 A JP 2013550957A JP 5952308 B2 JP5952308 B2 JP 5952308B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- key
- mobile device
- monitoring
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 claims description 138
- 238000000034 method Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000013475 authorization Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 7
- 241001092459 Rubus Species 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 241000167966 Rubus hispidus Species 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007519 figuring Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、認証された第三者がモバイルデバイスとの間で送受信される暗号化された電子メッセージにアクセスすることを許容するためのシステムおよび方法に関する。
メッセージを、例えば電子メールによって送受信するための携帯デバイスは、極めて人気が高い。Research In Motion社が製造しているBlackberry(登録商標)のデバイスレンジは、その一例である。
典型的には、このような携帯デバイスのユーザ宛にアドレス指定された電子メールが、ユーザの勤務先における企業ファイアウォール内部のメールサーバ等の適切に設定されたメールサーバにおいて受信されると、その電子メールは、暗号化され、次いで有線インターネット上で、電子メール・サービス・プロバイダにより運用されるネットワーク・オペレーション・センタ(NOC)へ転送される。NOCは、ユーザのモバイルデバイスと連絡していて、この電子メールを、ユーザ地元の無線通信ネットワークを介してデバイスに配信する。メッセージは、モバイルデバイスにおいて復号化され、ユーザに表示される。
ユーザがモバイルデバイスから電子メールを送信する場合、電子メールは、NOCへ、次いで関連のメールサーバ上へ届き、メールサーバがこれを意図された受信者へ配信する。
通常、メッセージは、少なくともNOCとモバイルデバイスとの間を通過する間は暗号で暗号化され、これにより、第三者が通信の傍受または盗聴によってメッセージコンテンツにアクセスできないように防止される。この方法では、メッセージの送信者および受信者のプライバシを保護することができる。企業設定の場合、暗号化は、通常、企業メールサーバとモバイルデバイスとの間で確立される。
しかしながら、送信者、受信者またはメッセージング・サービス・プロバイダ以外の認証された第三者がメッセージを復号化できることが望ましいという状況も存在する。例えば、法執行または治安機関は、時として、その義務を効果的に実行する目的でメッセージにアクセスすること、例えば、国内の既知の犯罪者または犯罪容疑者によって送信または受信されるメッセージを傍受すること、を希望する場合がある。
このような傍受は、携帯デバイスと、関係当局の管轄外に位置決めされているNOCまたはメールサーバとの間でメッセージが強力に暗号化されて送信または受信される場合には不可能である。
行政は、メッセージング・サービス・プロバイダに対し、暗号鍵または復号化されたメッセージへのアクセスを提供するように要求する場合もあるが、サービスプロバイダは、典型的には、そうすることに抵抗を示すか、それができないか、の何れかである。例えば、企業メールサーバと携帯デバイスとの間でエンドツーエンド暗号化が使用される場合、メッセージング・サービス・プロバイダ自体は、復号化されたメッセージにアクセスするために必要な復号鍵へのアクセスを有していない場合がある。
本発明は、これらの困難に対処する機構を提供しようとするものである。
ある態様によれば、本発明は、モバイルデバイスを用いて通信する方法を提供し、本方法が包含するモバイルデバイスは、
メッセージング鍵で暗号化される電子メッセージをメッセージングサーバへ送信する、またはメッセージングサーバから受信し、
メッセージのコピーを、メッセージング鍵とは異なる監視鍵で暗号化し、かつ、
暗号化されたコピーを、メッセージングサーバから遠隔にある監視サーバへ送信する。
メッセージング鍵で暗号化される電子メッセージをメッセージングサーバへ送信する、またはメッセージングサーバから受信し、
メッセージのコピーを、メッセージング鍵とは異なる監視鍵で暗号化し、かつ、
暗号化されたコピーを、メッセージングサーバから遠隔にある監視サーバへ送信する。
本発明は、
メッセージング鍵で暗号化される電子メッセージをメッセージングサーバへ送信し、またはメッセージングサーバから受信し、
メッセージのコピーを、メッセージング鍵とは異なる監視鍵で暗号化し、かつ、
暗号化されたコピーを、メッセージングサーバから遠隔にある監視サーバへ送信するように構成されるモバイルデバイスにまで拡大される。
メッセージング鍵で暗号化される電子メッセージをメッセージングサーバへ送信し、またはメッセージングサーバから受信し、
メッセージのコピーを、メッセージング鍵とは異なる監視鍵で暗号化し、かつ、
暗号化されたコピーを、メッセージングサーバから遠隔にある監視サーバへ送信するように構成されるモバイルデバイスにまで拡大される。
本発明は、さらに、モバイルデバイスを用いて通信するための、
先に述べたように構成されるモバイルデバイスと、
メッセージング鍵で暗号化される電子メッセージを、メッセージングサーバとモバイルデバイスとの間で送信するように構成されるメッセージングサーバと、
メッセージングサーバから遠隔に存在する、メッセージの暗号化されたコピーを受信するように構成される監視サーバとを備えるシステムにまで拡大される。
先に述べたように構成されるモバイルデバイスと、
メッセージング鍵で暗号化される電子メッセージを、メッセージングサーバとモバイルデバイスとの間で送信するように構成されるメッセージングサーバと、
メッセージングサーバから遠隔に存在する、メッセージの暗号化されたコピーを受信するように構成される監視サーバとを備えるシステムにまで拡大される。
本システムは、さらに、監視サーバにより受信されるメッセージの暗号化されたコピーを復号化し、かつ復号化されたメッセージの少なくとも一部を表示するように構成される監視手段を備えてもよい。監視手段は、例えば、ディスプレイを備える、パーソナルコンピュータ(PC)等のコンピューティングデバイスであってもよい。監視サーバは、好ましくは、メッセージの暗号化されたコピーを格納するように調整される、光学的、磁気的またはシリコンメモリ等の記憶手段を備える。
したがって、当業者には、本発明によれば、モバイルデバイスから安全に送信される、またはモバイルデバイスにより安全に受信されるメッセージの暗号化されたコピーはデバイス自体によって発生されて監視サーバへ送信され、このコピーは、監視サーバにおいて監視鍵に関連づけられる復号鍵へのアクセスを有する認証された第三者により復号化され得ることが分かるであろう。この方法では、認証された第三者は、必要であれば、メッセージングサーバのオペレータが監視プロセスへ参加する必要なしにメッセージを監視することができる。
メッセージおよびそのコピーは、モバイルデバイスとの間のその送受信に際して暗号化されることから、悪意のある者による無認可の盗聴も防止される。
メッセージングサーバは、Research In Motion(登録商標)等のメッセージング・サービス・プロバイダにより運用されるネットワーク・オペレーション・センタ(NOC)であってもよく、またはこれは、Blackberry Enterprise Server(登録商標)またはMicrosoft Exchange ActiveSync(登録商標)等の企業電子メールシステムのコンポーネント、またはMicrosoftのHotmail(登録商標)またはGoogleのGmail(登録商標)等の公開電子メールサービスのコンポーネントであってもよい。
監視サーバは、典型的には、国家安全保障省または法執行機関等の政府機関によって管理されるか、前記政府機関へアクセス可能であるが、これは必須ではない。
本発明の実施形態は、メッセージングサーバとリモート監視サーバとの間の任意の特定の分離に限定されない。これらのサーバは、典型的には、互いに異なる物理的サイトに存在してもよく、少なくとも10km、100km、1,000kmまたはこれ以上を隔てて分離されてもよい。しかしながら、これは必須ではなく、これらのサーバは、例えば、同じサイト上の異なる建物内に、または単一の建物内の異なるラック内に位置づけられてもよい。
監視サーバにおいてメッセージを復号化するために必要な鍵は、監視サーバに格納されてもよく、または監視サーバが利用可能であってもよいが、これらの鍵は、他の場所に、可能性としては、所定の条件が満たされる場合にのみ、例えば政府機関が1つまたは複数の傍受されたメッセージを読むことを認める裁判所命令を与えられている場合に限って1つまたは複数の格納されたメッセージを復号化するための鍵を提供または使用することを信じて任せることができる、国家政府から独立した機関によって保持されることが好ましい。
鍵サーバは、認可条件が満たされている場合には、復号鍵をリリースしてもよい。あるいは、または追加的に、鍵サーバは、認可条件が満たされていれば、復号鍵を用いて復号動作を実行してもよい。
モバイルデバイスは、監視サーバへ、受信される暗号化されたメッセージのコピーのみを送信しても、送信される暗号化されたメッセージのコピーのみを送信してもよいが、好ましくは、受信される、かつ送信される暗号化されたメッセージ双方についてコピーを送信する。暗号化されたコピーは、シンプルメール転送プロトコル(SMTP)、ハイパーテキスト転送プロトコル(HTTP)、ファイル転送プロトコル(FTP)または独自プロトコル等の任意の適切な手段によって送信されてもよい。これらは、メッセージングサーバとモバイルデバイスとの間のメッセージ送信と略同時(例えば、その1秒以内、10秒以内または60秒以内)に送信されても、後に、例えば、幾つかのコピーされたメッセージによるバッチ内で一気に送信されてもよい。
メッセージコピーの送信は、好ましくはデバイスユーザから見えず、例えば、ユーザが電子メールクライアントと通常の対話をする間のバックグラウンドにおいて発生する。したがって、コピー送信がユーザに不便を感じさせることはない。
監視サーバへ送られるメッセージのコピーは、暗号化の前または後の何れかで圧縮されてもよい。これにより、ネットワークトラフィックを減じることができる。
メッセージングサーバ、監視サーバおよび任意の鍵サーバは、同じ国に存在しつつも互いに異なる建物内に位置決めされてもよく、または、これらのうちの2つ以上が互いに異なる国に存在してもよい。
本発明は、メッセージングサーバが、携帯デバイスが使用される管轄権より外部に、または監視サーバを管理する機関の管轄権より外部に位置決めされる場合に特に有益であり得るが、これは、本発明なくしては、国家情報局等の管轄機関がメッセージングサーバから非暗号化メッセージにアクセスできる手段としての合法的または物理的機構が必ずしも存在しなくなることに起因する。
モバイルデバイスは、スマートフォンであっても、Blackberry(登録商標)等のテキスト・メッセージング・デバイスであってもよく、かつ好ましくは、メッセージの少なくとも一部を、例えばディスプレイスクリーン上に表示するように構成される。
メッセージは、(例えば、インターネット技術タスクフォースのRFC 5322が定めるような)電子メールであっても、これを含むものであってもよく、または電子メールの本文またはヘッダのうちの幾分か、または全て等の電子メールの一部であっても、他の任意のテキストまたはマルチメディアコンテンツであってもよい。例えば、メッセージは、ショート・メッセージ・サービス(SMS)メッセージ、またはBlackberry(登録商標)PINメッセージ、またはBlackberry(登録商標)メッセンジャ(BBM)メッセージのうちの全て、または一部を含んでも、これらのうちの全てまたは一部から成ってもよい。本発明は、現時点では、電子メールまたはマルチメディアパケット等の離散メッセージの場合に最も有益であるものと想定されているが、メッセージは、代わりに、一方の電話呼側またはテレビ会議呼側等のデータストリームであることも可能である。
メッセージは、好ましくは、デバイスによって無線式に、例えば移動通信ネットワークまたはIEEE802.11ネットワーク上で送信または受信される。しかしながら、メッセージは、典型的には、メッセージングサーバまたは監視サーバへのその道程の少なくとも一部について、インターネット等の有線ネットワーク上でも送信される。
デバイスによりメッセージが送信される場合、メッセージのコピーは、メッセージ自体の送信より前に、または後に、または同時に送信されてもよい。
メッセージング鍵または対応する復号鍵は、好ましくは、メッセージングサーバおよびモバイルデバイスの一方または双方のみが知っている。この鍵は、高度暗号化規格(AES)等の対称暗号化アルゴリズムで、またはRSA(リベスト、シャミア、エーデルマン)等の非対称アルゴリズムで使用されてもよい。
監視鍵は、メッセージング鍵と同じ暗号化アルゴリズムでの使用に適する場合もあれば、異なるアルゴリズムでの使用に適する場合もある。
システムは、好ましくは、監視サーバと同じである場合も異なる場合もある1つまたは複数の鍵サーバを含む。鍵サーバは、地理的または管轄的領域にバインドされてもよい。
鍵サーバは、本発明を実装するモバイル・デバイス・セットに関する情報を格納する場合もあれば、前記情報へのアクセスを有する場合もある。具体的には、鍵サーバは、ある特定のモバイルデバイスに固有の暗号監視鍵へのアクセスを有してもよい。鍵サーバは、このような鍵を生成することができる場合がある。あるいは、または追加的に、監視鍵は、特定の鍵サーバまたは監視サーバに固有のものであっても、地理的または管轄的領域内の鍵セットまたは監視サーバに固有のものであってもよい。
ある特定のモバイルデバイスに関する情報は、鍵サーバが有効なパスワードを受信する等のアクセス条件が満たされない限り、鍵サーバから去ることを防止されてもよい。このアクセス条件は、登録プロセスの間に、モバイルデバイスまたはデバイスユーザと鍵サーバとの間で確立されてもよい。
モバイルデバイスは、監視鍵を再使用のために、場合によりこの鍵用に設定される有限寿命と共にキャッシュしてもよい。モバイルデバイス内に鍵をキャッシュすることにより、ネットワークトラフィックを低減させることができる。監視鍵は、単一メッセージによる使用の後に終了する場合もあれば(この場合、後の再使用のための鍵のキャッシュは、典型的には不適当である)、無期限に使用できる場合もある。あるいは、これらの極論の間として、監視鍵は、例えば一週間の寿命を有する場合もあり、これが過ぎると、モバイルデバイスは、新しい鍵を要求する必要がある。
モバイルデバイスは、イン日付監視鍵へのアクセスを有していなければ、新しい監視鍵を取得するために鍵サーバへアクセスしてもよい。鍵は、同じくモバイルデバイスへ、または監視サーバへ直に提供される場合がある鍵識別子に関連づけられてもよい。モバイルデバイスのユーザは、監視鍵がデバイスへアクセス可能となる前に、有効なパスワードまたは生体データの入力等のアクセス条件を満たさなければならない場合がある。パスワード等のアクセス条件に関するデータは、検証のために鍵サーバへ、好ましくはトランスポート・レイヤ・セキュリティ(TLS)またはセキュア・ソケット・レイヤ(SSL)を用いるもの等のセキュアコネクション上で送信されてもよい。
監視鍵、および場合により他のポリシまたはプロファイル情報は、モバイルデバイスにより、国際公開第2011/083343号パンフレットに記載されている任意の方法に従って鍵サーバから取得されてもよい。前記国際公開第2011/083343号パンフレットは、本参照によりその全体が開示に含まれる。
モバイルデバイスは、効果的には、トラステッド・コンピューティング・グループからの仕様に適合するトラステッド・プラットフォーム・モジュール等のハードウェア暗号化エンジンまたはモジュールを含んでもよい。これにより、モバイルデバイスは、鍵サーバによって高い信頼度で認証されることができるようになる。また、これにより、モバイルデバイスも鍵サーバを確実に認証することができるようになる。また、これは、デバイス上に格納される監視鍵等の暗号鍵が、デバイスのユーザまたは攻撃される者によって読み取られることも防止することができる。また、これは、モバイルデバイスに対してポリシを実施するために使用される場合もある。しかしながら、このようなハードウェアモジュールは必須ではなく、代わりに、デバイス上で実行されるソフトウェアによって適切な暗号化機能が実行されてもよい。
暗号化されたメッセージコピーを監視サーバへ送信することに加えて、モバイルデバイスは、監視サーバに対し、メッセージの暗号化に用いた監視鍵を識別してもよい。モバイルデバイスは、これを、メッセージに加えて鍵識別子を送信することによって行ってもよい。例えば、暗号化されたメッセージと共に、データ送信に一意の鍵識別子が包含される場合もある。
監視サーバは、メッセージの暗号化されたコピーを、メッセージを復号化するための鍵を指示する識別子と共に格納してもよい。
メッセージを復号する必要がある場合には、この識別子は、鍵サーバから適切な鍵を取得するために使用されてもよい。復号鍵へは、認可されたアクセスしか許可されないことを保証するために、技術的または手続き上の機構が整えられていてもよい。鍵の寿命に関してどのようなポリシが使用されているかに依存して、復号鍵は、単一メッセージしか復号できないようにする場合もあれば、モバイルデバイスにより送信または受信される幾つかの、または全てのメッセージの復号を有効化する場合もある。
鍵サーバは、暗号化されたメッセージを受信し、かつこれを、監視鍵に関連づけられる復号鍵を用いて復号するように構成されてもよい。あるいは、または追加的に、監視サーバは、監視鍵に関連づけられる復号鍵を受信し、かつ暗号化されたメッセージを復号するように構成されてもよい。復号鍵は、(例えば、対称鍵暗号における)監視鍵であってもよく、または、非対称鍵暗号における鍵ペアのうちの一方であってもよい。
ある好適な実施形態セットにおいて、本システムは、中央鍵サーバと、1つまたは複数の地域鍵サーバとを備える。中央鍵サーバは、複数のモバイルデバイスに関連する、プロファイル情報またはアクセス条件情報(例えば、パスワード)等の情報を格納する、またはこれにアクセスするように構成されてもよい。各地域鍵サーバは、好ましくは、中央鍵サーバと安全に通信するように構成される。
単に1つの中央鍵サーバを例えばアメリカ合衆国内に位置決めするのではなく、本発明を実装する各管轄権内に1つの地域鍵サーバを位置決めすることは、法的または実際的理由から望ましい場合がある。具体的には、国家当局は、復号鍵がその管轄境界内に位置決めされることを希望することがある。好ましくは、地域鍵サーバは、監視鍵または関連の復号鍵を中央サーバと共有しない。
それにも関わらず、中央サーバは、例えば、諸国間を旅行する際にモバイルデバイスのユーザがシステムにセキュリティ情報を登録し直す、またはソフトウェアをインストールし直す必要を防止するために、複数の地域に渡って監視鍵の提供を調和させるためには望ましい可能性がある。
地域鍵サーバは、あるモバイルデバイスに固有の情報を中央鍵サーバから検索するように構成されてもよい。これには、アクセス条件(パスワード等)、またはユーザ選好またはポリシ要件に関する情報が含まれてもよい。
地域鍵サーバ等の鍵サーバは、監視鍵または関連の復号鍵を格納するように構成されてもよい。これらは、無期限に格納されても、予め決められた持続時間に渡って格納されてもよい。
これは、各監視鍵に比較的短い寿命しかない場合は特に、重大な格納要件を課す場合がある。したがって、代替として、実施形態によっては、鍵サーバは、監視鍵に関連づけられる復号鍵を、必要とされる場合にのみ生成するように構成される。これは、親鍵へのアクセスを有する鍵サーバによって、かつ監視鍵(または関連の復号鍵)を(適切な暗号を用いる)親鍵で暗号化した結果を前記監視鍵の鍵識別子として用いることによって、即ち結果としての暗号文が鍵識別子として使用されることによって、達成されることが可能である。
認証された機関が、監視サーバ上に関連の鍵識別子と共に格納されている暗号化されたメッセージの復号を希望する場合、鍵識別子は、鍵サーバへ(場合により、暗号化されたメッセージと共に)送信されることが可能であり、かつ鍵サーバは、鍵識別子を復号することによって、関連の復号鍵を決定することができる。この方法では、鍵サーバに復号鍵を格納する要件は課されず、代わりに鍵サーバは、復号鍵を必要に応じて作り変えることができる。
セキュリティを高めるために、親鍵は、間をおいて変更されてもよいが、親鍵の変更履歴を格納することの方が、監視鍵を直に格納するより遙かに負担が少ない。
ある好適な実施形態セットにおいて、モバイルデバイスは、アクセス条件が満たされないと(または、同等に、ブロッキング条件が満たされると)、モバイルデバイスとメッセージングサーバとの間の暗号化されたメッセージの(一方向または双方向)送信をブロックするように構成されるネットワークルータを介して、メッセージサーバと通信するように構成される。好ましくは、本システムは、ネットワークルータが送信をブロックしていると、少なくともモバイルデバイスが予め決められた地理的領域内に留まっている間は、モバイルデバイスとメッセージングサーバとの間でメッセージを送信できないという類のものである。即ち、好ましくは、メッセージを成功裡に送信し得る他の通信チャネルは存在しない。
アクセス条件は、好ましくは、デバイスのユーザが、メッセージのコピーを監視サーバへ送信するモバイルデバイスに対してその同意を示す場合にのみ満たされる、という類のものである。このような実施形態において、モバイルデバイスは、ユーザから、モバイルデバイスにより送信または受信(または送受信)される幾つかの、または全てのメッセージのコピーが監視サーバへ送信されることに対する同意または拒否を表すバイナリ入力を受信するように構成されてもよい。この同意は、地理的または時間的に限定される場合があり、例えば、これは、モバイルデバイスがある特定の国または管轄権内に留まる限り続いてもよい。モバイルデバイスは、バイナリ入力の結果をサーバへ通信してもよく、かつ入力は、ネットワークルータが関連メッセージの送信をブロックするか認めるかを決定するために使用されてもよい。
あるいは、または追加的に、アクセス条件は、モバイルデバイスが、暗号化されたメッセージのコピーを監視サーバへ送信するように構成される場合にのみ満たされる、という類のものであってもよい。即ち、メッセージングサーバとの間でメッセージコピーを送信し合うように構成されていないモバイルデバイスは、メッセージングサーバとのメッセージ通信を防止される。
ネットワークルータは、国内インターネットファイアウォールの一部を形成してもよく、または、無線ネットワークインフラの一部であってもよい。例えば、これは、モバイルデバイスが登録される移動通信ネットワークのコンポーネントであってもよく、これは、デバイスのホームネットワーク、または国際ローミング協定を介してアクセスされるネットワークである可能性もある。
このようなネットワークルータは、それ自体が発明的であり、したがって、別の態様によれば、本発明は、モバイルデバイスのアクセス条件が満たされなければ、モバイルデバイスとメッセージングサーバとの間の暗号化されたメッセージの送信をブロックするように構成されるネットワークルータを提供する。好ましくは、このネットワークルータは、暗号化されたメッセージをブロックしている間、モバイルデバイスとメッセージングサーバとの間の暗号化されていないメッセージの送信を許可するように構成される。
モバイルデバイスとメッセージングサーバとの間の通信をブロックする能力は、(少なくとも、ユーザが予め決められた地理的領域内に留まる間)モバイルデバイスのユーザによる監視サーバがアクセスできないメッセージの送信または受信をブロックすることができる機構を提供することにおいて、特に有益である可能性がある。この方法では、モバイルデバイスのユーザが、国境内での幾つかの、または全てのモバイルデバイスとの間のメッセージングトラフィックを監視できることを望む国に到着すると、ユーザに対し、公的監視の可能性を許容するか、デバイスのメッセージングケイパビリティをその国におけるユーザの滞在中無効にするか、の何れかのオプションを(例えば、SMSメッセージを介して)提示することができる。
例えば、国家政府が、その国境内に有効範囲を提供する全ての移動ネットワークオペレータは記述されているようなブロッキング機構をサポートするように要求する場合、政府は、あらゆる関連メッセージのコピーが監視サーバへ送信されることを確実にすることができる。
暗号化されていないメッセージまたは音声呼等の他のトラフィックは、幾つかの、または全ての暗号化されたメッセージがブロックされる間であっても、モバイルデバイスから通常通り送受信されることが許可されてもよい。これにより、監視に同意しないユーザにとっての不便さを最小限に抑えることができる。
本デバイスは、デバイス上で実行されるソフトウェアアプリケーションによって、メッセージのコピーを監視鍵によって暗号化するステップと、暗号化されたコピーを監視サーバへ送信するステップとを実行するように構成されてもよい。このソフトウェアアプリケーションは、デバイスが初めて適切なネットワークへの登録を試行するとき、または他の任意の適切な時点で、モバイルデバイスへ、例えば無線式に送信されてもよい。多くのモバイルデバイスは、デバイス出荷後にソフトウェアアプリケーションをインストールできるようにするオペレーティングシステムを有し、かつこのような第三者ソフトウェアアプリケーションを配信しかつインストールする機構は周知である。
アクセス条件は、ユーザがソフトウェアアプリケーションをインストールする、またはそのインストールを認める場合にのみ満たされる、という類のものであってもよい。
本発明は、モバイルデバイス上で実行されると、デバイスに、
メッセージング鍵で暗号化されてメッセージングサーバから受信されるメッセージのコピー、またはメッセージング鍵で暗号化されてメッセージングサーバへ送信される、または送信される予定のメッセージのコピーを監視鍵で暗号化させ、かつ、
暗号化されたコピーを、メッセージングサーバから遠隔にある監視サーバへ送信させる命令を含むソフトウェアアプリケーション、前記ソフトウェアアプリケーションを担うキャリア、および前記ソフトウェアアプリケーションを暗号化する信号に拡大され、
監視鍵は、メッセージング鍵とは異なる。
メッセージング鍵で暗号化されてメッセージングサーバから受信されるメッセージのコピー、またはメッセージング鍵で暗号化されてメッセージングサーバへ送信される、または送信される予定のメッセージのコピーを監視鍵で暗号化させ、かつ、
暗号化されたコピーを、メッセージングサーバから遠隔にある監視サーバへ送信させる命令を含むソフトウェアアプリケーション、前記ソフトウェアアプリケーションを担うキャリア、および前記ソフトウェアアプリケーションを暗号化する信号に拡大され、
監視鍵は、メッセージング鍵とは異なる。
モバイルデバイス上で実行されるソフトウェアアプリケーションに本発明のステップを実装することにより、本デバイスは、デバイスの供給業者(機能がハードウェアまたはファームウェア内に提供されていれば関与する場合もある)、またはメッセージング・サービス・プロバイダ(ネットワークレベルでの通信監視が試行されていれば関与する場合もある)を直接関与させる必要なしに、本発明をサポートするように構成されることが可能である。このような他の関係者は、技術的または商業的理由から進んで協力しない場合があることを考えれば、これは、極めて効果的であると言える。
ソフトウェアアプリケーションは、好ましくは、電子メールクライアント等の関連のメッセージングアプリケーションがモバイルデバイス上で実行されているときはいつでも活性である。
モバイルデバイスとメッセージングサーバとの間のメッセージ送信の管理は、ソフトウェアアプリケーションによって実装される場合もあれば、デバイス上の標準メッセージング関数またはアプリケーションによって実行される場合もある。同様に、オリジナルメッセージに対する暗号化オペレーションはソフトウェアアプリケーションによって提供されてもよく、標準的なデバイス関数であってもよい。
モバイルデバイスは、デバイスが位置づけられる地理的、政治的または管轄的ロケーションを決定するように構成されてもよい。モバイルデバイスは、この情報を用いて、暗号化されたメッセージのコピーを監視サーバへ送信すべきかどうかを決定してもよい。モバイルデバイスは、この決定を行なうために、デバイス内外に格納されているロケーションまたは地域のリストまたはデータベースにアクセスしてもよい。例えば、デバイスが移動ネットワークに登録している場合、デバイスは、デバイスがA国に存在することを知らされてもよい。すると、モバイルデバイスは、データベースサーバに問い合わせて、A国が暗号化されたメッセージの監視サーバへの送信を要求しているかどうかに気づくことができる。デバイスは、データベースにアクセスして、適切な監視サーバのネットワークアドレスを入手してもよい。
デバイス上にロケーションまたは地域のリストが格納されていれば、好ましくは、リストを更新し得る更新機構が設けられる。モバイルデバイスは、更新を、サーバから、例えばSMSコンフィギュレーションメッセージを受信することによって、または中央サーバにアクセスすることによって入手してもよい。実施形態によっては、モバイルデバイスは、予め決められたDNS名またはIPアドレスと通信し、かつネットワークコンポーネントは、DNS名またはIPアドレスが、地理上の、または管轄当局により制御されるサーバへルーティングされるように構成される。例えば、各国は、そのローカルネットワーク(モバイルテレコムまたはインターネットバックボーン)を制御することから、DNS名をある特定のアドレスまで分解させることができ、または特定のIPアドレスを特定のサーバへルーティングすることができる。この方法では、モバイルデバイスは、グローバルに用いるための1つのアドレスで構成されるだけでよい。
本発明を、1つのメッセージングサーバおよび1つの監視サーバを参照して記述してきたが、本発明が、複数のメッセージングサーバまたは複数の監視サーバを用いて実装されてもよいことは認識されるであろう。メッセージのコピーは、例えば、幾つかの監視サーバのうちで最も近いものへ送信されてもよい。
暗号化されたメッセージのブロックまたは監視は、モバイルデバイスにより送信または受信される全てのメッセージについて、または1つまたは複数の特有のメッセージングサーバで送信または受信されるメッセージのみについて、例えば、(政府は、例えばローカル・インターネット・サービス・プロバイダを介して送信されるメッセージのコピーには既にアクセスできることから)モバイルデバイスが位置決めされる管轄権の外側に位置づけられるもののみについて実行されてもよい。
本発明によるモバイルデバイスは、複数のユーザまたはアイデンティティ、例えば特定の、または1つまたは複数のメッセージングサーバの異なるユーザログインまたはプロファイルをサポートしてもよい。メッセージコピーの監視サーバへの送信が、特定のユーザまたはアイデンティティまたは電子メールアドレスに特有であってもよいことは認識されるであろう。例えば、監視への同意を拒否するユーザは、その暗号化されたメッセージをブロックされている場合があるが、別のユーザ(または、同じユーザであるが、異なる電子メールアドレスの下で行動している者)は、監視に同意している場合がある。したがって、本明細書におけるモバイルデバイスの言及は、潜在的に、モバイルデバイスとユーザ、ユーザアイデンティティまたは電子メールアドレスとの特定のコンビネーションに限定されるものとして理解されるべきである。
次に、添付の図面を参照して、本発明の所定の好適な実施形態を単なる例示として説明する。
図1は、Blackberry(登録商標)のスマートフォン2等のモバイルデバイスの人であるユーザ1を示す。スマートフォン2は、移動電話ネットワークの基地局3と無線通信状態にある。基地局3は、インターネットを介して、ユーザが電子メールアカウントを有する、BlackBerry Enterprise Server(登録商標)ソフトウェアを実行する企業電子メールサーバ4へ接続される。
また、基地局3へは、インターネットによって、国内監視サーバ5および国内鍵サーバ6も接続される。国内鍵サーバ6は、中央鍵サーバ7へ接続される。
ユーザ1、スマートフォン2、ネットワーク基地局3、国内監視サーバ5および国内鍵サーバ6は、全て同一の国8の内部に位置決めされている。企業電子メールサーバ4および中央鍵サーバ7は、本例の場合、共に国8の外に位置づけられている(但し、これらのうちの一方または双方が国内に存在する可能性もある)。
ユーザ1は、確立した技術を用いて、企業電子メールサーバ4を介して電子メールをスマートフォン2上で送受信してもよい。このような電子メールは、典型的には、スマートフォン2と電子メールサーバ4との間の移行中に暗号化される。ユーザが位置決めされている国8の国家当局が、それをリアルタイムで読み取るため、または将来アクセスするためのいずれにせよ、電子メールの傍受を希望しても、国家当局は、少なくとも時間のかかる労力を費やして暗号化を解明することなしには、暗号化されていないメッセージにアクセスすることができない。
したがって、ユーザのスマートフォン2上には監視用ソフトウェアアプリケーションがロードされ、これは、監視用暗号鍵9を用いて、スマートフォン2により送信または受信される任意の電子メールのコピーを監視サーバ5へ送信し、コピーは、監視サーバ5において格納される(監視鍵9で暗号化される)。認証された国家機関が、格納されている電子メールのコンテンツへのアクセスを要求すれば、国家機関は、国内鍵サーバ6に格納されている監視鍵9を用いて電子メールを復号することができる。
ユーザ1が、そのスマートフォン2にソフトウェア監視アプリケーションをインストールすること、またはそのスマートフォン2上で前記アプリケーションを用いることに同意しなければ、国家当局は、移動ネットワーク基地局3(または、国8内部の他の何らかの適切なルータ)に、スマートフォン2と企業電子メールサーバ4との間の暗号化された電子メールの通過をブロックするように命令することができる。
次に、本システムのオペレーションを、まずは2つの異なるシナリオ、即ち(i)ユーザがスマートフォン2に電子メールの送信を求めるとき、および(ii)スマートフォン2による電子メールの受信または受信された電子メールを開く間の何らかの時点、を考慮して、より詳細に説明する。
(i)ユーザ1が、スマートフォン2の電子メールアプリケーションに、電子メールを送信すべきであることを示すと、次のステップが発生する。
− スマートフォン2上のソフトウェア監視アプリケーションが起動され、電子メールへのアクセスを与えられる、
− 監視アプリケーションは、スマートフォン2に、現時点でのその存在場所を尋ねる、
− スマートフォン2が、その時点で、暗号化されたメッセージの監視サービスを必要としない国の内部に存在していれば、アプリケーションは停止して制御をスマートフォン2の電子メールアプリケーションへ送り返し、そうでなければ、下記の通り制御を続ける、
− スマートフォン2が、現時点でそれが位置決めされている国8の最近にキャッシュされた暗号監視鍵9を有していなければ、スマートフォン2は、国内鍵サーバ6に接触してこのような鍵を求め、次に、監視鍵9(AES鍵等)は、一意の鍵識別子と共に、国内鍵サーバ6により、例えば国際公開第2011/083343号パンフレットに記載されているもの等の安全なダウンロード手順を用いてスマートフォン2へ転送される、
− 送信されるべき電子メールのコピーが、監視鍵9を用いて暗号化され、かつ一意の鍵識別子が暗号化されたコピーに統合される、かつ、
− 監視アプリケーションは、適切な手段によって、この暗号化されたコピーが、国8の適切な傍受機関により管理される国内監視サーバ5へ送信されるように手配する。
− 監視アプリケーションは、スマートフォン2に、現時点でのその存在場所を尋ねる、
− スマートフォン2が、その時点で、暗号化されたメッセージの監視サービスを必要としない国の内部に存在していれば、アプリケーションは停止して制御をスマートフォン2の電子メールアプリケーションへ送り返し、そうでなければ、下記の通り制御を続ける、
− スマートフォン2が、現時点でそれが位置決めされている国8の最近にキャッシュされた暗号監視鍵9を有していなければ、スマートフォン2は、国内鍵サーバ6に接触してこのような鍵を求め、次に、監視鍵9(AES鍵等)は、一意の鍵識別子と共に、国内鍵サーバ6により、例えば国際公開第2011/083343号パンフレットに記載されているもの等の安全なダウンロード手順を用いてスマートフォン2へ転送される、
− 送信されるべき電子メールのコピーが、監視鍵9を用いて暗号化され、かつ一意の鍵識別子が暗号化されたコピーに統合される、かつ、
− 監視アプリケーションは、適切な手段によって、この暗号化されたコピーが、国8の適切な傍受機関により管理される国内監視サーバ5へ送信されるように手配する。
この手順は、事実上、送信されるあらゆる電子メールのデータ送信コストを倍加させる。しかしながら、監視サーバ5へ送信される電子メールは、ネットワークトラフィックを低減するために圧縮されてもよい。
コピーの電子メール送信は、バックグラウンドプロセスとして発生し、ユーザ1には見えないことから、ユーザのスマートフォン2の体験を遅延させない。送信(および受信)は、ユーザインタフェースまたはユーザの視点から監視が配備されなくなった時点で即完了する。
(ii)スマートフォン2の電子メールアプリケーションが新しい電子メールを受信すると、下記のステップが発生する。
− ソフトウェア監視アプリケーションが起動され、かつ受信される電子メールへのハンドルが与えられる、
− アプリケーションは、スマートフォン2に、現時点でのその存在場所を尋ねる、
− それが、その時点で、監視サービスを必要としない国の内部に存在していれば、アプリケーションは停止して制御をスマートフォン2のメールアプリケーションへ送り返し、そうでなければ、下記の通り制御を続ける、
− スマートフォン2が、現時点でそれが位置決めされている国8の最近にキャッシュされた暗号監視鍵9を有していなければ、スマートフォン2は、国内鍵サーバ6に接触してこのような鍵を求め、次に、監視鍵9(AES鍵等)は、一意の鍵識別子と共に、国内鍵サーバ6により、例えば国際公開第2011/083343号パンフレットに記載されているもの等の安全なダウンロード手順を用いてスマートフォン2へ転送される、
− 受信された電子メールのコピーが、監視鍵9を用いて暗号化され、かつ一意の鍵識別子が暗号化されたコピーに統合される、かつ、
− 監視アプリケーションは、適切な手段によって、この暗号化されたコピーが、国8の適切な傍受機関により管理される国内監視サーバ5へ送信されるように手配する。
− アプリケーションは、スマートフォン2に、現時点でのその存在場所を尋ねる、
− それが、その時点で、監視サービスを必要としない国の内部に存在していれば、アプリケーションは停止して制御をスマートフォン2のメールアプリケーションへ送り返し、そうでなければ、下記の通り制御を続ける、
− スマートフォン2が、現時点でそれが位置決めされている国8の最近にキャッシュされた暗号監視鍵9を有していなければ、スマートフォン2は、国内鍵サーバ6に接触してこのような鍵を求め、次に、監視鍵9(AES鍵等)は、一意の鍵識別子と共に、国内鍵サーバ6により、例えば国際公開第2011/083343号パンフレットに記載されているもの等の安全なダウンロード手順を用いてスマートフォン2へ転送される、
− 受信された電子メールのコピーが、監視鍵9を用いて暗号化され、かつ一意の鍵識別子が暗号化されたコピーに統合される、かつ、
− 監視アプリケーションは、適切な手段によって、この暗号化されたコピーが、国8の適切な傍受機関により管理される国内監視サーバ5へ送信されるように手配する。
幾つかの国には、各々、国内鍵サーバが存在してもよい。様々な鍵サーバの全体的な管理は、中央鍵サーバ7によって調和されることが可能である。この中央鍵サーバ7は、監視用ソフトウェアアプリケーションをインストールしているあらゆるスマートフォン2のプロファイルおよびパスワードを保持する。中央鍵サーバ7は、監視用ソフトウェアアプリケーションがスマートフォン2上へインストールされる度に更新される。中央鍵サーバ7は、全ての国内鍵サーバ6と安全に通信するための、例えば共有暗号鍵形式の手段を有する。
国内鍵サーバ6は、ユーザのプロファイルおよび関連パスワードのセットを保持し、これは、次のように管理されることが可能である。スマートフォン2が国内鍵サーバ6に接触すると、下記のステップが発生する可能性がある。
− 国内鍵サーバ6は、このスマートフォン2のプロファイルおよびパスワードを持っているか否かをチェックする。持っていなければ、サーバ6は、中央鍵サーバ7に接触して、このユーザの適正なパスワードおよびプロファイル情報(例えば、このユーザの選好またはポリシ要件を含む)のコピーを要求する。この情報は、安全なチャネルを介して要求側サーバ6へ送信される、
− このスマートフォン2に、「現時点で」監視鍵9が存在していなければ、国内鍵サーバ6は、このような鍵を新しく生成し、これは、ローカルで保持されるユーザプロファイルに格納されることが可能である。この監視鍵9を中央鍵サーバ7へ送り返す必要は皆無である。
− このスマートフォン2に、「現時点で」監視鍵9が存在していなければ、国内鍵サーバ6は、このような鍵を新しく生成し、これは、ローカルで保持されるユーザプロファイルに格納されることが可能である。この監視鍵9を中央鍵サーバ7へ送り返す必要は皆無である。
− 国内鍵サーバ6は、パスワードを用いて(例えば、SSL防護チャネルを介するその転送を要求することにより)スマートフォン2を認証する、
− 国内鍵サーバ6は、次に、監視鍵9を(一意の識別子と共に)スマートフォン2へ送信する、かつ、
− 国内鍵サーバは、全ての監視鍵9のコピーを(その一意の識別子と共に)、それが運用される管轄権の傍受機関により決定される期間に渡って保持する。あるいは、全ての監視鍵9のコピーを保持する代わりに、国内鍵サーバ6は、親鍵を保持し、かつあらゆる監視鍵9をこの親鍵の下で暗号化し、かつスマートフォン2に監視鍵9の平文および暗号化されたコピーの双方を送信する場合もある。暗号化されたコピーは、次に、一意の識別子として機能する。このような戦略は、国内鍵サーバ6に対する記憶および管理要件を著しく低減させることができる。親鍵は、定期的に、例えば毎日または毎週ベースで変更されることも可能である。
− 国内鍵サーバ6は、次に、監視鍵9を(一意の識別子と共に)スマートフォン2へ送信する、かつ、
− 国内鍵サーバは、全ての監視鍵9のコピーを(その一意の識別子と共に)、それが運用される管轄権の傍受機関により決定される期間に渡って保持する。あるいは、全ての監視鍵9のコピーを保持する代わりに、国内鍵サーバ6は、親鍵を保持し、かつあらゆる監視鍵9をこの親鍵の下で暗号化し、かつスマートフォン2に監視鍵9の平文および暗号化されたコピーの双方を送信する場合もある。暗号化されたコピーは、次に、一意の識別子として機能する。このような戦略は、国内鍵サーバ6に対する記憶および管理要件を著しく低減させることができる。親鍵は、定期的に、例えば毎日または毎週ベースで変更されることも可能である。
管轄権別監視鍵9は、広範な寿命可能性を有することも可能である。その寿命は、監視機能の細分性に多大な影響を与える。極論を言えば、メッセージ毎に異なる鍵を使用する可能性もある。即ち、スマートフォン2が1つの鍵を要求する度に、新しい鍵が生成されることになる(このような場合、スマートフォン2における監視鍵のキャッシュは不可能になる)。反対の極論を言えば、ある特定のスマートフォン2の管轄権別監視鍵が決定される可能性もある。スマートフォン2がある特定の国まで移動する第1の場合、スマートフォン2における鍵のキャッシュは、スマートフォン2と国内鍵サーバ6との間の通信を単一メッセージまで減らすために使用される可能性もある。中間アプローチは、監視鍵が、そのスマートフォン2を意味する鍵のキャッシュと共に、例えば一週間である一定の寿命を有することを包含する。したがって、鍵サーバ通信は、監視鍵の偶発的なリフレッシュに限定される可能性もある。
適切な機関に対して、メッセージへのアクセスが認められる場合のある方法は、2つ存在する(何れの場合も、傍受機関は、それが解読を希望する全ての暗号化されたメッセージのコピーを有するものとする)。
第一に、傍受機関は、暗号化されたメッセージにおいて送信される一意の識別子を用いて、国内鍵サーバ6に監視鍵9またはある特有のスマートフォン2のための鍵を提供するように求める場合もある。監視鍵が長寿命を有していれば、これは、傍受機関が、その法的機関が正しいとする期間より遙かに長い期間に渡ってメッセージを復号する手段を有し得ることを意味するであろう。一方で、監視鍵の頻繁な変更は、遙かに高度に細分化された監視レベルを有効化するが、これは、より大きいボリュームの鍵を当局に提供する必要はないことを意味する可能性もあるであろう。
第二に、傍受機関は、単に、それが解読を希望する全メッセージのコピーを国内鍵サーバ6へ送ることができ、よってサーバは、これらを復号して送り返すこともできる。これにより、監視ケイパビリティに対して高度に細分化された制御が有効化されるが、これは、国内鍵サーバ6と傍受機関との間に潜在的に極大容量のデータが流れることも意味するであろう。このようなアプローチもまた、特に、新たに送信されるメッセージに対してほぼ瞬時的な監視アクセスが要求される場合では、許諾された復号化に対して容認し難い遅延を課すことがある。
アプローチおよび監視細分性の精確な選択は、典型的には、関係する管轄権の監視要件、および関連スマートフォンのエンドユーザ1と鍵サーバとの通信オーバーヘッドに対するアクセス可能度に依存する。
本システムは、ユーザ1に、監視が発生している可能性を通知し、かつユーザ1に代替案、即ちスマートフォン2を使用不可にすること、を受け入れる機会を与えることができる。
ユーザ1は、スマートフォン2が国内鍵サーバ6に接触しようとする度毎に、またはスマートフォン2が監視サーバ5に接触しようとする度毎に、同意するよう促される場合もある。あるいは、このようなプロセスに対するユーザの同意は、指定された時間期間に渡って有効とされる可能性もある。
ユーザが、監視アクセスを拒否すれば、スマートフォン2のデータケイパビリティは禁止される。ローカル・ネットワーク・オペレータは、ユーザ1から肯定的な監視応答を受信するまで、スマートフォン2を相手とする全てのデータトラフィックを、または少なくとも全ての暗号化された電子メールを否認する。
Claims (14)
- モバイルデバイスを用いて通信するためのシステムであって、
メッセージングサーバと、
前記メッセージングサーバから遠隔に存在する監視サーバと、
ネットワークルータと、
(i)メッセージング鍵で暗号化される電子メッセージをメッセージングサーバへ送信し、またはメッセージングサーバから受信し、(ii)前記メッセージのコピーを、前記メッセージング鍵とは異なる監視鍵で暗号化し、かつ、前記暗号化されたコピーを、前記監視サーバへ送信するように構成されるモバイルデバイスとを備え、
前記モバイルデバイスは、前記ネットワークルータを介して前記メッセージサーバと通信するように更に構成され、かつ前記ネットワークルータは、アクセス条件が満たされないと、モバイルデバイスと前記メッセージングサーバとの間の暗号化された電子メッセージの送信をブロックするように構成され、前記アクセス条件は、前記モバイルデバイスが、暗号化されたメッセージのコピーを前記監視サーバへ送信するように構成されることである、システム。 - 前記アクセス条件が満たされないと、前記モバイルデバイスと前記メッセージングサーバとの間で暗号化された電子メッセージを送信することができないように構成される、請求項1に記載のシステム。
- 前記アクセス条件は、前記モバイルデバイスのユーザが、前記モバイルデバイスが前記メッセージのコピーを前記監視サーバへ送信することに同意する場合にのみ満たされる、という類のものである、請求項1または請求項2に記載のシステム。
- 前記メッセージングサーバは、メッセージング・サービス・プロバイダにより運用されるネットワーク・オペレーション・センタである、請求項1乃至請求項3のいずれかに記載のシステム。
- 前記メッセージングサーバは、企業電子メールシステムのコンポーネントである、請求項1乃至請求項3のいずれかに記載のシステム。
- 前記監視サーバにより受信されるメッセージの暗号化されたコピーを復号化し、かつ前記復号化されたメッセージの少なくとも一部を表示するように構成される監視手段をさらに備える、請求項1乃至請求項5のいずれかに記載のシステム。
- 前記メッセージの前記コピーを復号するための復号鍵を格納する、またはこれにアクセスするように構成される鍵サーバをさらに備える、請求項1乃至請求項6のいずれかに記載のシステム。
- 前記鍵サーバは、認可条件が満たされていると、前記メッセージの前記コピーを復号する、または前記復号鍵をリリースするように構成される、請求項7に記載のシステム。
- 鍵識別子を復号することにより、監視鍵に関連づけられる復号鍵を生成するように構成される鍵サーバをさらに備え、
前記鍵識別子は、親鍵を用いて暗号化される復号鍵である、請求項1乃至8のいずれかに記載のシステム。 - 前記モバイルデバイスは、前記モバイルデバイスにより前記メッセージングサーバへ送信される全ての暗号化された電子メッセージ、および前記デバイスにより前記メッセージングサーバから受信される全ての暗号化された電子メッセージの暗号化されたコピーの少なくともいずれかを、前記監視サーバへ送信するように構成される、請求項1乃至9のいずれかに記載のシステム。
- 前記モバイルデバイスは、前記暗号化されたコピーを前記監視サーバへ、前記電子メッセージが前記モバイルデバイスにより送信または受信されると略同時に送信するように構成される、請求項1乃至10のいずれかに記載のシステム。
- 前記モバイルデバイスは、前記暗号化されたコピーを前記監視サーバへ、前記デバイスのユーザに不可視で送信するように構成される、請求項1乃至請求項11のいずれかに記載のシステム。
- 前記モバイルデバイスは、前記モバイルデバイスが位置決めされている地理的、政治的または管轄的ロケーションを決定し、かつ前記決定されたロケーションを用いて、電子メッセージのコピーを前記監視サーバへ送信するかどうかを決定するように構成される、請求項1乃至請求項12のいずれかに記載のシステム。
- モバイルデバイスを用いて通信する方法であって、前記方法が包含するモバイルデバイスは、
メッセージング鍵で暗号化される電子メッセージをメッセージングサーバへ送信し、またはメッセージングサーバから受信し、
前記メッセージのコピーを、前記メッセージング鍵とは異なる監視鍵で暗号化し、かつ、
前記暗号化されたコピーを、ネットワークルータを介して、前記メッセージングサーバから遠隔にある監視サーバへ送信し、
更に前記方法は、前記モバイルデバイスが、暗号化されたメッセージのコピーを前記監視サーバへ送信するように構成されるか否かを決定し、前記モバイルデバイスが、暗号化されたメッセージのコピーを前記監視サーバへ送信するように構成されないと、モバイルデバイスと前記メッセージングサーバとの間の暗号化された電子メッセージの送信をブロックする前記ネットワークルータを包含する、方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB1101507.0A GB201101507D0 (en) | 2011-01-28 | 2011-01-28 | Mobile device security |
| GB1101507.0 | 2011-01-28 | ||
| PCT/GB2012/050192 WO2012101458A2 (en) | 2011-01-28 | 2012-01-30 | Mobile device security |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2014505435A JP2014505435A (ja) | 2014-02-27 |
| JP2014505435A5 JP2014505435A5 (ja) | 2015-03-19 |
| JP5952308B2 true JP5952308B2 (ja) | 2016-07-13 |
Family
ID=43824751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013550957A Active JP5952308B2 (ja) | 2011-01-28 | 2012-01-30 | モバイルデバイスのセキュリティ |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US9628452B2 (ja) |
| EP (1) | EP2668761B1 (ja) |
| JP (1) | JP5952308B2 (ja) |
| CN (1) | CN103339911B (ja) |
| CA (1) | CA2824826C (ja) |
| GB (1) | GB201101507D0 (ja) |
| WO (1) | WO2012101458A2 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105379187B (zh) * | 2013-05-02 | 2019-05-10 | 瑞典爱立信有限公司 | 性能监控数据处理 |
| US9307405B2 (en) * | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US10069811B2 (en) | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US10320739B2 (en) * | 2014-12-12 | 2019-06-11 | Donuts Inc. | Communication using DNS repurposing |
| DE102015111711A1 (de) * | 2015-07-20 | 2017-01-26 | Deutsche Post Ag | Aufbau einer Kommunikationsverbindung mit einer Benutzervorrichtung über eine Zugangskontrollvorrichtung |
| US9929863B2 (en) * | 2015-10-30 | 2018-03-27 | Palo Alto Research Center Incorporated | System and method for efficient and semantically secure symmetric encryption over channels with limited bandwidth |
| GB201608859D0 (en) * | 2016-03-08 | 2016-07-06 | Continental Automotive Systems | Secure smartphone based access and start authorization system for vehicles |
| US10735388B2 (en) * | 2016-03-17 | 2020-08-04 | Lenovo (Singapore) Pte Ltd | Confining data based on location |
| US10855694B2 (en) * | 2017-05-30 | 2020-12-01 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment |
| US10708238B2 (en) | 2017-06-08 | 2020-07-07 | Zixcorp Systems, Inc. | Encrypted push message viewing system |
| US10903985B2 (en) | 2017-08-25 | 2021-01-26 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques |
| US10992652B2 (en) * | 2017-08-25 | 2021-04-27 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted network traffic flows |
| US11533319B2 (en) | 2018-05-01 | 2022-12-20 | Hotshots Technologies S.À.R.L. | Multi-modal access policy enforcement |
| US10893030B2 (en) | 2018-08-10 | 2021-01-12 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element |
| US11190417B2 (en) | 2020-02-04 | 2021-11-30 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for processing network flow metadata at a network packet broker |
| CN113242255B (zh) * | 2021-05-24 | 2023-04-07 | 深圳市联软科技股份有限公司 | 一种基于企业安全的智能流量分析方法及系统 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10276184A (ja) * | 1997-03-28 | 1998-10-13 | Nippon Telegr & Teleph Corp <Ntt> | 鍵管理方法 |
| US6721424B1 (en) * | 1999-08-19 | 2004-04-13 | Cybersoft, Inc | Hostage system and method for intercepting encryted hostile data |
| JP2001318862A (ja) * | 2000-05-08 | 2001-11-16 | Toyoji Ishikawa | メールシステム、監視情報サーバ、監視装置、及び記録媒体 |
| JP2003067307A (ja) * | 2001-08-27 | 2003-03-07 | Kddi Corp | 電子メール監視システム、電子メール監視方法、電子メール監視プログラム及びそれを記録した記録媒体 |
| US7181765B2 (en) * | 2001-10-12 | 2007-02-20 | Motorola, Inc. | Method and apparatus for providing node security in a router of a packet network |
| JP2005268873A (ja) | 2004-03-16 | 2005-09-29 | Tokyo Denki Univ | 機密情報の不正送信を防止する方法および装置 |
| JP2006039740A (ja) * | 2004-07-23 | 2006-02-09 | Murata Mach Ltd | 通信装置 |
| US20060206941A1 (en) | 2005-03-08 | 2006-09-14 | Praesidium Technologies, Ltd. | Communications system with distributed risk management |
| US20060248575A1 (en) * | 2005-05-02 | 2006-11-02 | Zachary Levow | Divided encryption connections to provide network traffic security |
| US7634364B2 (en) | 2005-06-23 | 2009-12-15 | Life Technologies Corporation | Methods and systems for mass defect filtering of mass spectrometry data |
| US7827262B2 (en) * | 2005-07-14 | 2010-11-02 | Cisco Technology, Inc. | Approach for managing state information by a group of servers that services a group of clients |
| US7685175B2 (en) * | 2005-08-12 | 2010-03-23 | Michael Lee Carroll | Content manager |
| JP2007142930A (ja) * | 2005-11-21 | 2007-06-07 | Fuji Xerox Co Ltd | 画像処理装置、ジョブログ生成方法、およびプログラム |
| US7272403B2 (en) * | 2005-12-02 | 2007-09-18 | International Business Machines Corporation | Selective enablement and disablement of a mobile communications device based upon location |
| KR100881423B1 (ko) | 2006-12-08 | 2009-02-05 | 한국전자통신연구원 | 이동통신망에서 전자감시 시스템, 그에 따른 방법 및 그에따른 장치 |
| US8325925B2 (en) * | 2007-07-10 | 2012-12-04 | Hewlett-Packard Development Company, L.P. | Delivery of messages to a receiver mobile device |
| US20090204817A1 (en) * | 2007-09-17 | 2009-08-13 | Oci Mobile Llc | Communication system |
| US20100138910A1 (en) * | 2008-12-03 | 2010-06-03 | Check Point Software Technologies, Ltd. | Methods for encrypted-traffic url filtering using address-mapping interception |
| US9633183B2 (en) * | 2009-06-19 | 2017-04-25 | Uniloc Luxembourg S.A. | Modular software protection |
| US9525999B2 (en) * | 2009-12-21 | 2016-12-20 | Blackberry Limited | Method of securely transferring services between mobile devices |
| GB201000288D0 (en) | 2010-01-11 | 2010-02-24 | Scentrics Information Security | System and method of enforcing a computer policy |
-
2011
- 2011-01-28 GB GBGB1101507.0A patent/GB201101507D0/en not_active Ceased
-
2012
- 2012-01-30 WO PCT/GB2012/050192 patent/WO2012101458A2/en active Application Filing
- 2012-01-30 CA CA2824826A patent/CA2824826C/en active Active
- 2012-01-30 US US13/982,188 patent/US9628452B2/en active Active
- 2012-01-30 CN CN201280006777.8A patent/CN103339911B/zh active Active
- 2012-01-30 EP EP12705153.0A patent/EP2668761B1/en not_active Not-in-force
- 2012-01-30 JP JP2013550957A patent/JP5952308B2/ja active Active
-
2017
- 2017-03-23 US US15/467,261 patent/US10027634B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2668761B1 (en) | 2018-07-04 |
| US20140082348A1 (en) | 2014-03-20 |
| CN103339911B (zh) | 2016-04-27 |
| US9628452B2 (en) | 2017-04-18 |
| CN103339911A (zh) | 2013-10-02 |
| CA2824826C (en) | 2019-02-26 |
| EP2668761A2 (en) | 2013-12-04 |
| JP2014505435A (ja) | 2014-02-27 |
| CA2824826A1 (en) | 2012-08-02 |
| WO2012101458A2 (en) | 2012-08-02 |
| WO2012101458A3 (en) | 2012-11-08 |
| US20170201501A1 (en) | 2017-07-13 |
| GB201101507D0 (en) | 2011-03-16 |
| US10027634B2 (en) | 2018-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5952308B2 (ja) | モバイルデバイスのセキュリティ | |
| EP1394982B1 (en) | Methods and apparatus for secure data communication links | |
| KR100886592B1 (ko) | 데이터 프로세싱 시스템의 보안 방법 및 장치 | |
| KR101202671B1 (ko) | 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법 | |
| KR101123591B1 (ko) | 이동 통신 시스템에서의 보안 데이터 송신을 위한 방법 및 장치 | |
| EP1819123B1 (en) | Secure method of termination of service notification | |
| US20060059344A1 (en) | Service authentication | |
| US9124574B2 (en) | Secure non-geospatially derived device presence information | |
| KR102255366B1 (ko) | Mtm 기반 단문 메시지 서비스 보안 시스템 및 그 방법 | |
| WO2020020007A1 (zh) | 网络接入方法、装置、终端、基站和可读存储介质 | |
| US10666755B2 (en) | Method and apparatus for secure content caching and delivery | |
| JP2008312200A (ja) | ワイヤレスホームエリアネットワークを動作させる方法及び装置 | |
| US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
| US11349818B2 (en) | Secure virtual personalized network | |
| US20220386130A1 (en) | Systems and methods for using a unique routing indicator to connect to a network | |
| WO2010040259A1 (zh) | 一种为通信终端用户提供身份机密性保护的方法和装置 | |
| US20230292113A1 (en) | Method for managing encryption by a transmitting entity in a 3gpp mcs network | |
| Paul et al. | A security analysis of smartphone data flow and feasible solutions for lawful interception | |
| CN109155913A (zh) | 网络连接方法、安全节点的确定方法及装置 | |
| Atkinson et al. | Location privacy and the personal distributed environment | |
| CN115801376A (zh) | 基于pki的密码远程协助方法、系统及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150129 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150129 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150828 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150929 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20151228 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160607 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160609 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5952308 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |