図1Aは、1または複数の開示される実施形態が実施され得る例示の通信システム100を示す図である。通信システム100は、音声、データ、ビデオ、メッセージング、ブロードキャストなどのコンテンツを、複数の無線ユーザに提供する多重アクセスシステムであってもよい。通信システム100は、複数の無線ユーザが、無線帯域幅を含むシステムリソースの共用を通じて、そのようなコンテンツにアクセスできるようにすることができる。例えば、通信システム100は、符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、直交FDMA(OFDMA)、シングルキャリアFDMA(SC−FDMA)などの、1または複数のチャネルアクセス方法を採用することができる。
図1Aに示されるように、通信システム100は、無線送受信ユニット(WTRU)102a、102b、102c、102d、無線アクセスネットワーク(RAN)104、コアネットワーク106、公衆交換電話網(PSTN)108、インターネット110、および他のネットワーク112を含むことができるが、開示される実施形態は、任意の数のWTRU、基地局、ネットワーク、および/またはネットワーク要素を考慮することが理解されるであろう。WTRU102a、102b、102c、102dは各々、無線環境において動作および/または通信するように構成された任意のタイプのデバイスであってもよい。例えば、WTRU102a、102b、102c、102dは、無線信号を送信および/または受信するように構成されてもよく、ユーザ機器(UE)、移動局、固定または移動加入者ユニット、ページャ、携帯電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、ネットブック、パーソナルコンピュータ(PC)、無線センサ、家庭用電化製品などを含むことができる。
通信システム100はまた、基地局114aおよび基地局114bを含むこともできる。基地局114a、114bは各々、コアネットワーク106、インターネット110および/または他のネットワーク112のような1または複数の通信ネットワークへのアクセスを容易にするため、WTRU102a、102b、102c、102dのうちの少なくとも1つと無線でインターフェイスをとるように構成された任意のタイプのデバイスであってもよい。例えば、基地局114a、114bは、無線基地局(BTS)、Node−B、eNode B、Home Node B、Home eNode B、サイトコントローラ、アクセスポイント(AP)、無線ルータなどであってもよい。基地局114a、114bは各々単一の要素として示されるが、基地局114a、114bは、任意の数の相互接続された基地局および/またはネットワーク要素を含むことができることが理解されよう。
基地局114aはRAN104の一部であってもよく、RAN104はまた、基地局コントローラ(BSC)、無線ネットワークコントローラ(RNC)、リレーノードなどのような、他の基地局および/またはネットワーク要素(図示せず)を含むこともできる。基地局114aおよび/または基地局114bは、セル(図示せず)と称されることもある特定の地理的領域内の無線信号を送信および/または受信するように構成されてもよい。セルは、セルセクタにさらに分割されてもよい。例えば、基地局114aに関連付けられているセルは、3つのセクタに分割されてもよい。従って、1つの実施形態において、基地局114aは、3つの送受信機、すなわちセルのセクタごとに1つの送受信機を含むことができる。別の実施形態において、基地局114aは、多入力多出力(MIMO)技術を採用できるので、セルの各セクタに対して複数の送受信機を使用することができる。
基地局114a、114bは、エアインターフェイス116を介して、WTRU102a、102b、102c、102dのうちの1または複数と通信することができ、エアインターフェイス116は(例えば、無線周波数(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光線など)任意の適切な無線通信リンクであってもよい。エアインターフェイス116は、任意の適切な無線アクセス技術(RAT)を使用して確立されてもよい。
さらに具体的には、前述のように、通信システム100は、多元接続システムであってもよく、CDMA、TDMA、FDMA、OFDMA、SC−FDMAなどの、1または複数のチャネルアクセス方式を採用することができる。例えば、RAN104内の基地局114aおよびWTRU102a、102b、102cは、広帯域CDMA(WCDMA(登録商標))を使用してエアインターフェイス116を確立することができるユニバーサル移動体通信システム(UMTS:Universal Mobile Telecommunications System)地上波無線アクセス(UTRA:Terrestrial Radio Access)のような無線技術を実施することができる。WCDMAは、高速パケットアクセス(HSPA)および/またはEvolved HSPA(HSPA+)のような通信プロトコルを含むことができる。HSPAは、高速ダウンリンクパケットアクセス(HSDPA)および/または高速アップリンクパケットアクセス(HSUPA)を含むことができる。
別の実施形態において、基地局114aおよびWTRU102a、102b、102cは、LTE(Long Term Evolution)および/またはLTE−Advanded(LTE−A)を使用してエアインターフェイス116を確立することができるE−UTRA(Evolved UMTS Terrestrial Radio Access)のような無線技術を実施することができる。
その他の実施形態において、基地局114aおよびWTRU102a、102b、102cは、IEEE802.16(すなわち、WiMAX(Worldwide Interoperability for Microwave Access))、CDMA2000、CDMA2000 1X、CDMA2000 EV−DO、IS−2000(Interim Standard 2000)、IS−95(Interim Standard 95)、IS−856(Interim Standard 856)、GSM(登録商標)(Global System for Mobile communications)、EDGE(Enhanced Data rates for GSM Evolution)、GSM EDGE(GERAN)などの無線技術を実施することができる。
図1Aの基地局114aは、例えば、無線ルータ、Home Node B、Home eNode Bまたはアクセスポイントであってもよく、事業所、家庭、車両、キャンパスなどの、局在的な領域において無線接続を容易にするために任意の適切なRATを使用することができる。1つの実施形態において、基地局114bおよびWTRU102c、102dは、無線ローカルエリアネットワーク(WLAN)を確立するためにIEEE802.11のような無線技術を実施することができる。別の実施形態において、基地局114bおよびWTRU102c、102dは、無線パーソナルエリアネットワーク(WPAN)を確立するためにIEEE802.15のような無線技術を実施することができる。さらに別の実施形態において、基地局114bおよびWTRU102c、102dは、セルラーベースのRAT(例えば、WCDMA、CDMA2000、GSM、LTE、LTE−Aなど)を使用して、ピコセルまたはフェムトセルを確立することができる。図1Aにおいて示されるように、基地局114bは、インターネット110への直接接続を有することができる。従って、基地局114bが、コアネットワーク106を介してインターネット110にアクセスする必要はなくてもよい。
RAN104は、コアネットワーク106と通信することができ、コアネットワーク106は音声、データ、アプリケーション、および/またはVoIP(voice over internet protocol)サービスをWTRU102a、102b、102c、102dのうちの1または複数に提供するように構成された任意のタイプのネットワークであってもよい。例えば、コアネットワーク106は、呼制御、課金サービス、モバイル位置情報サービス、プリペイドコール、インターネット接続、ビデオ配信などを提供すること、および/またはユーザ認証のような高水準のセキュリティ機能を実行することができる。図1Aにおいて示されていないが、RAN104および/またはコアネットワーク106が、RAN104と同じRATまたは異なるRATを採用するその他のRANと直接または間接的に通信できることが理解されるであろう。例えば、E−UTRA無線技術を使用している場合があるRAN104に接続されていることに加えて、コアネットワーク106はまた、GSM無線技術を採用する別のRAN(図示せず)と通信することもできる。
コアネットワーク106はまた、PSTN108、インターネット110および/または他のネットワーク112にアクセスするためのWTRU102a、102b、102c、102dのゲートウェイとしての役割を果たすこともできる。PSTN108は、従来のアナログ電話回線サービス(POTS)を提供する回線交換電話網を含むことができる。インターネット110は、TCP/IPインターネットプロトコルスイートのTCP、UDPおよびIPなどの、共通の通信プロトコルを使用する相互接続されたコンピュータネットワークおよびデバイスのグローバルシステムを含むことができる。ネットワーク112は、その他のサービスプロバイダによって所有および/または運用される有線または無線の通信ネットワークを含むことができる。例えば、ネットワーク112は、RAN104と同じRATまたは異なるRATを採用することができる1または複数のRANに接続された別のコアネットワークを含むこともできる。
通信システム100内のWTRU102a、102b、102c、102dの一部または全部は、マルチモード機能を含むことができる、すなわち、WTRU102a、102b、102c、102dは様々な無線リンクを介して様々な無線ネットワークと通信するための複数の送受信機を含むことができる。例えば、図1Aに示されるWTRU102cは、セルラーベースの無線技術を採用することができる基地局114a、およびIEEE802無線技術を採用することができる基地局114bと通信するように構成されてもよい。
図1Bは、例示のWTRU102を示すシステム図である。図1Bにおいて示されるように、WTRU102は、プロセッサ118、送受信機120、送受信要素122、スピーカ/マイクロフォン124、キーパッド126、ディスプレイ/タッチパッド128、非リムーバブルメモリ130、リムーバブルメモリ132、電源134、GPSチップセット136および他の周辺機器138を含むことができる。WTRU102が、前述の要素の任意の部分的組み合わせを含むことができ、引き続き実施形態に整合することが理解されるであろう。
プロセッサ118は、汎用プロセッサ、特殊用途プロセッサ、標準的なプロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアと関連する1または複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、任意の他のタイプの集積回路(IC)、状態機械などであってもよい。プロセッサ118は、信号符号化、データ処理、電力制御、入出力処理、および/またはWTRU102が無線環境で動作できるようにする任意の他の機能を実行することができる。プロセッサ118は、送受信要素122に結合され得る送受信機120に結合されてもよい。図1Bはプロセッサ118および送受信機120を別個のコンポーネントとして示すが、プロセッサ118および送受信機120が電子パッケージまたはチップに統合されてもよいことが理解されよう。
送受信要素122は、エアインターフェイス116を介して基地局(例えば、基地局114a)に信号を送信するか、または基地局から信号を受信するように構成されてもよい。例えば、1つの実施形態において、送受信要素122は、RF信号を送信および/または受信するように構成されたアンテナであってもよい。別の実施形態において、送受信要素122は、例えば、IR、UV、または可視光信号を送信および/または受信するように構成されたエミッタ/検出器であってもよい。さらに別の実施形態において、送受信要素122は、RF信号および光信号の両方を送信および受信するように構成されてもよい。送受信要素122は、無線信号の任意の組み合わせを送信および/または受信するように構成されてもよいことが理解されよう。
加えて、図1Bにおいて、送受信要素122は単一の要素として示されるが、WTRU102は任意の数の送受信要素122を含むことができる。さらに具体的には、WTRU102は、MIMO技術を採用することができる。従って、1つの実施形態において、WTRU102は、エアインターフェイス116を介して無線信号を送信および受信するために2つ以上の送受信要素122(例えば、複数のアンテナ)を含むことができる。
送受信機120は、送受信要素122によって送信されるべき信号を変調し、送受信要素122によって受信される信号を復調するように構成されてもよい。前述のように、WTRU102は、マルチモード機能を有することができる。従って、送受信機120は、WTRU102が、例えばUTRAおよびIEEE802.11のような複数のRATを介して通信できるようにするための複数の送受信機を含むことができる。
WTRU102のプロセッサ118は、スピーカ/マイクロフォン124、キーパッド126および/またはディスプレイ/タッチパッド128(例えば、液晶ディスプレイ(LCD)表示ユニット、または有機発光ダイオード(OLED)表示ユニット)に結合されてもよく、これらの機器からユーザ入力データを受信することができる。プロセッサ118はまた、スピーカ/マイクロフォン124、キーパッド126および/またはディスプレイ/タッチパッド128にユーザデータを出力することもできる。また、プロセッサ118は、非リムーバブルメモリ130および/またはリムーバブルメモリ132のような、任意のタイプの適切なメモリの情報にアクセスし、適切なメモリにデータを格納することができる。非リムーバブルメモリ130は、RAM、ROM、ハードディスクまたは任意の他のタイプのメモリストレージデバイスを含むことができる。リムーバブルメモリ132は、加入者識別モジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカードなどを含むことができる。その他の実施形態において、プロセッサ118は、サーバ上、またはホームコンピュータ(図示せず)上のような、WTRU102に物理的に位置していないメモリから情報にアクセスし、そのようなメモリにデータを格納することができる。
プロセッサ118は、電源134から電力を受けることができ、WTRU102内の他のコンポーネントへの電力の配電および/または制御を行うように構成されてもよい。電源134は、WTRU102に電力を供給するための任意の適切なデバイスであってもよい。例えば、電源134は、1または複数の乾電池(例えば、ニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li−ion)など)、太陽電池、燃料電池などを含むことができる。
プロセッサ118はまた、GPSチップセット136に結合されてもよく、GPSチップセット136は、WTRU102の現在の位置に関する位置情報(例えば、緯度および経度)を提供するように構成されてもよい。GPSチップセット136からの情報に加えて、またはその情報の代わりに、WTRU102は、基地局(例えば、基地局114a、114b)からエアインターフェイス116を介して位置情報を受信すること、および/または2つ以上の近隣の基地局から受信されている信号のタイミングに基づいてその位置を決定することができる。WTRU102が、任意の適切な位置決定の方法を用いて位置情報を取得することができ、引き続き実施形態に整合することが理解されよう。
プロセッサ118は、他の周辺機器138にさらに結合されてもよく、周辺機器138は、追加の特徴、機能および/または有線若しくは無線接続を提供する1または複数のソフトウェアおよび/またはハードウェアモジュールを含むことができる。例えば、周辺機器138は、加速度計、電子コンパス、衛星送受信機、デジタルカメラ(写真またはビデオ用)、USBポート、振動装置、テレビ送受信機、ハンドフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(FM)無線装置、デジタル音楽プレイヤー、メディアプレイヤー、テレビゲームプレイヤーモジュール、インターネットブラウザなどを含むことができる。
図1Cは、1つの実施形態によるRAN104およびコアネットワーク106を示すシステム図である。前述のように、RAN104は、E−UTRA無線技術を採用して、エアインターフェイス116を介してWTRU102a、102b、102cと通信することができる。RAN104はまた、コアネットワーク106と通信することもできる。
RAN104はeNode−B140a、140b、140cを含むことができるが、引き続き実施形態に整合しながら、RAN104は任意の数のeNode−Bを含むことができることが理解されよう。eNode−B140a、140b、140cは各々、エアインターフェイス116を介してWTRU102a、102b、102cと通信するための1または複数の送受信機を含むことができる。1つの実施形態において、eNode−B140a、140b、140cはMIMO技術を実施することができる。従って、例えば、eNode−B140aは、複数のアンテナを使用して、WTRU102aに無線信号を送信し、WTRU102aから無線信号を受信することができる。
eNode−B140a、140b、140cは各々、特定のセル(図示せず)に関連付けられてもよく、無線リソース管理の決定、ハンドオーバの決定、アップリンクおよび/またはダウンリンクにおけるユーザのスケジューリングなどを処理するように構成されてもよい。図1Cに示されるように、eNode−B140a、140b、140cは、X2インターフェイスを介して相互に通信することができる。
図1Cに示されるコアネットワーク106は、モビリティ管理エンティティゲートウェイ(MME)142、サービングゲートウェイ144、およびパケットデータネットワーク(PDN)ゲートウェイ146を含むことができる。前述の要素は各々、コアネットワーク106の一部として示されているが、それらの要素のうちのいずれかがコアネットワークオペレータ以外のエンティティによって所有および/または運用されてもよいことが理解されよう。
MME142は、S1インターフェイスを介してRAN104内のeNode−B140a、140b、140cの各々に接続されてもよく、制御ノードとしての役割を果たすことができる。例えば、MME142は、WTRU102a、102b、102cのユーザを認証すること、ベアラのアクティブ化/非アクティブ化、WTRU102a、102b、102cの初期接続中に特定のサービス提供ゲートウェイを選択することなどに責任を負うことができる。MME142はまた、RAN104と、GSMまたはWCDMAのような他の無線技術を採用するその他のRAN(図示せず)とを切り替えるための制御プレーン機能を提供することもできる。
サービングゲートウェイ144は、S1インターフェイスを介してRAN104内のeNode−B140a、140b、140cの各々に接続されてもよい。サービングゲートウェイ144は一般に、ユーザデータパケットを、WTRU102a、102b、102cとの間でルーティングおよび転送することができる。サービングゲートウェイ144はまた、eNode B間ハンドオーバ中にユーザプレーンを固定すること、ダウンリンクデータがWTRU102a、102b、102cに使用可能な場合にページングをトリガーすること、WTRU102a、102b、102cのコンテキストを管理して格納することなどの、その他の機能を実行することもできる。
サービングゲートウェイ144はまた、PDNゲートウェイ146に接続されてもよく、PDNゲートウェイ146は、インターネット110などのパケット交換ネットワークへのアクセスをWTRU102a、102b、102cに提供して、WTRU102a、102b、102cとIP対応のデバイスとの間の通信を容易にすることができる。
コアネットワーク106は、他のネットワークとの通信を容易にすることができる。例えば、コアネットワーク106は、PSTN108などの回線交換ネットワークへのアクセスをWTRU102a、102b、102cに提供し、WTRU102a、102b、102cと従来の地上通信線通信デバイスとの間の通信を容易にすることができる。例えば、コアネットワーク106は、コアネットワーク106とPSTN108との間のインターフェイスとしての役割を果たすIPゲートウェイ(例えば、IPマルチメディアサブシステム(IMS)サーバ)を含むことができ、またはIPゲートウェイと通信することができる。また、コアネットワーク106は、他のサービスプロバイダによって所有および/または運用される他の有線または無線ネットワークを含むことができるネットワーク112へのアクセスをWTRU102a、102b、102cに提供することができる。
他のネットワーク112は、IEEE802.11ベースの無線ローカルエリアネットワーク(WLAN)160にさらに接続されてもよい。WLAN160は、アクセスルータ165を含むことができる。アクセスルータは、ゲートウェイ機能を含むことができる。アクセスルータ165は、複数のアクセスポイント(AP)170a、170bと通信することができる。アクセスルータ165とAP170a、170bの間の通信は、有線イーサネット(IEEE802.3標準)、または任意のタイプの無線通信プロトコルを介してもよい。AP170aは、WTRU102dとエアインターフェイスを介して無線通信する。
これ以降説明される方法および装置は、上記で説明されるネットワーク、または当業者に知られている任意の他のネットワークにおいて配備されてもよい。これ以降説明される実施形態において使用されるように、WTRUは、STA、AP、ラップトップPC、スマートフォン、サーバ、またはネットワークにおいて動作することができるその他の通信デバイスを含むことができるが、これらに限定されることはない。
RFC4191およびRFC7217に示されているようなプライバシー技法は、非協調的な方式で機能するが、そのためこうしたプライバシー技術の有効性を制限する。一般に、プライバシーは、プライバシー情報の漏洩を回避するために全てのレイヤにおいて取り組まれるべきである。プライバシー技術はまた、自動的、疑似自動的または手動のプライバシー保護アクティブ化を可能にする、柔軟なものでなければならない。場合によっては、例えば運用上の操作により、パーマネントアドレスが要求されることがある(例えば、アドレスベースの認証、アクセス制御リストなど)。従って、プライバシー技術は、デバイスの位置、またはデバイスが接続するネットワークの特性のような、コンテキストに応じて、プライバシーメカニズムの使用を可能および不可にできるようにすべきである。
Privacy Extensions for Stateless Address Auto−configuration in Internet Protocol version 6(IPv6)と題するRFC4191は、(IIDの一部としての)IPv6アドレスへのL2安定的アドレッシング情報の組み込みに関連付けられているプライバシー問題を識別し説明している。RFC4191はまた、関連する問題を軽減するための一部のメカニズムについても説明する。RFC4191は、L2アドレスに基づいてIPv6アドレスを自動構成するIPv6ノードに向けられている(EUI−64メカニズム)。
RFC4191はまた、発信セッションを開始する目的でランダムインターフェイス識別子に基づいて追加アドレス(一般には一時アドレスとして知られる)を作成する方法を定義する。これらのランダムまたは一時アドレスは、短期間にわたり(例えば、数分、数時間または数日)使用されるよう意図され、その後非推奨となる。非推奨のアドレスは、既に確立された接続に引き続き使用されてもよいが、新しい接続を開始するために使用されることはない。新しい一時アドレスは、満了する一時アドレスを置き換えるように定期的に生成されてもよい。そのようにするために、ノードは、外部の監視者が将来のアドレス(または識別子)を現在のものに基づいて予測することが困難であり、以前のアドレス(または識別子)を現在のものしか知らずに決定することが困難であるという意味でランダムであるかに見えるインターフェイス識別子のシーケンスから一時グローバルスコープアドレスのシーケンスを生成することができる。
一時アドレスは一般に、着信接続をリッスンするアプリケーションによって使用されるべきではない(これらのアプリケーションは一般に永続的/周知の識別子で待機するので)。ノードがネットワークを変更し、以前訪れたものに戻る場合、ノードが使用するであろう一時アドレスは異なることがあり、これは、アドレスが操作の目的で使用される(例えば、企業ネットワークでのフィルタリング若しくは認証、または一部のホテルで行われるようにアクセスが特定の時間について購入されている支払いネットワークへのアクセスなど)特定のネットワークにおいては問題となり得る。
a Method for Generating Semantically Opaque Interface Identifiers with IPv6 Stateless Address Auto−configuration(SLAAC)と題されるRFC7217は、この方法を使用して構成されたIPv6アドレスが各サブネット内で安定しているが、対応するIIDはホストが1つのネットワークから別のネットワークに移動すると変わるように、IPv6 SLAACと共に使用されるべきIPv6 IIDを生成するための方法を説明し、定義する。この方法は、安定したアドレスの利点がユーザのセキュリティおよびプライバシーを犠牲にすることなく達成され得るように、L2アドレスに基づいてインターフェイス識別子を生成するための代替策となることが意図されている。
IPv6 IIDを生成するように定義された方法は、ハッシュ関数を計算することに基づいており、これは安定した、インターフェイスに関連する情報(例えば、L2アドレスまたはローカルインターフェイス識別子)、訪問先ネットワークに関連する安定した情報(例えば、IEEE802.11SSID)、IPv6プレフィックス、および秘密キー、さらに一部の他の追加情報を入力として受け取る。これは一般に、(ネットワークまたはプレフィックスのような)入力フィールドのいずれかが変化する場合に、異なるIIDが生成されるが、IIDは各サブネット内で同じであることを保証する。
Host Identity Protocol (HIP) Architectureと題されるRFC4423は、新しいホスト識別ネームスペース、および本質的に一部のプライバシー特徴を提供する、インターネットワーキングとトランスポートレイヤの間の、HIPである新しいプロトコルレイヤを提案する。しかし、このプロトコルは、市場採用をかなえておらず、インターネット通信に幅広く使用されるようにする潜在力はごくわずかである。
L2アドレスランダム化は、1つの例示のプライバシー機能である。IEEE(Institute of Electrical and Electronics Engineers)802アドレッシングは、ハードウェアアドレスがローカルまたはグローバルに管理されるかどうかを指定するための1ビットを含む。これは、アドレスが一意であることを保証する任意のグローバル協調メカニズムなしにローカルアドレスを生成できるようにする。この機能は、ランダムアドレスを生成するために使用されてもよく、従ってユーザデバイスがそのL2アドレスから追跡されることをさらに困難にすることができる。この機能は、一部のデバイスによって部分的に使用される。これらのデバイスは、アクティブなWiFiプローブスキャニング中にランダムアドレスを使用するように使用可能にされてもよい。
L2アドレスランダム化は、ユーザ追跡をさらに困難なものにするための業界標準となり得る強力なツールである。しかし、これは、選択的に使用可能/使用不可となる必要があるので、デフォルトの「常時オン」または「常時オフ」ポリシーでは十分ではないことがある。例えば、多くのネットワークは、L2アドレスアクセスフィルタリングを、それらのセキュリティポリシーの一部として使用するか、またはこれを、パブリックホットスポット内の許可されたユーザを識別するために使用する(すなわち、ユーザがキャプティブポータルで要求される資格情報を提供すると、L2アドレスは、ユーザを識別および認可するために使用されてもよい)。このシナリオにおいて、L2アドレスランダム化は、さらに慎重に実行される必要があり得る。
方法は、一部のプライバシーおよび/またはセキュリティの脅威を軽減および/または対処するために使用されてもよい。しかし、プロトコルスタックの様々なレイヤにおいて行われる様々なアクションの協調の必要性もある。これは、プライバシーがグローバルな問題であるためであり、それゆえに、異なるレイヤにおいて、それらの間の適切な協調を行うことなくローカルに取り組むことによってこの問題を解決することは困難である。例えば、動的ホスト構成プロトコル(DHCP)によって使用されるもののようなL3アドレスおよび識別子はまた、情報を公開して、攻撃者がユーザの位置および識別を特定できるようにしてしまうこともあるため、L2アドレスだけをランダム化することは十分でない場合がある。別の例は、クッキーの使用であり、これは望ましくないユーザプロファイリングを回避するために使用不可にされてもよい。
さらに、柔軟性および動的適応の必要性もある。例えば、L2/L3アドレスランダム化を伴うポリシーは、パブリックの信頼できないネットワークに接続している場合には適切であることがあるが、ユーザが企業ネットワークにアクセスしている場合は適切ではないこともある。同様に、HTTPクッキーを使用することおよび格納することは、特定のサイト(または特定のアカウントによってログインされたブラウジングの場合)には適切であることがあるが、その他の場合については適切ではないことがある。
さらに、拡張構成可能の必要性もある。例えば、プライバシーおよびセキュリティのメカニズムは、ユーザのプリファレンス、WTRU管理者プリファレンス、ネットワークのコンテキスト、地理的位置などの、複数の入力を考慮して、構成可能およびカスタマイズ可能であってもよい。これらの入力は、プライバシーを提供するようにプロトコルスタックを構成する方法に関して様々なアクションを暗示することができる。例えば、ユーザは、自身の企業ラップトップを使用してあらゆるネットワークに接続する際にL2/L3ランダム化を使用可能にすることを望む場合があるが、企業ラップトップの管理者は、認証およびロギングの理由により、固定の周知のL2/L3アドレスの使用を課すポリシーを有することがある。別の例は、特定のサイトにアクセスする際にブラウザ匿名モードを使用すること、または特定のネットワークでデフォルトでトランスポートレイヤセキュリティ(TLS)を使用することを選ぶことであろう。
プライバシープロファイルが使用されてもよい。(例えば無線)インターネットユーザに総合的なプライバシー機能をもたらすため、プロトコルスタックのコンテキスト構成が採用されてもよい。機能は、プロトコルスタックの様々な部分において使用可能(または使用不可)にされてもよい。これらの特徴は、協調されない方式で適用される場合(この場合、結果は非生産的になる可能性もある)よりも、はるかに良好な結果をもたらすことができる。ネットワークコンテキストに応じて様々なスタックプライバシー機能を使用可能/使用不可にするために適用され得る様々な接続のシナリオ(またはプロファイル)が使用されてもよい。
様々なプライバシー要件を伴うシナリオが、本明細書の実施形態において説明される。これらは、コンテキストが、全プロトコルスタックのプライバシー設定にどのように影響を及ぼすかを示す例としての役割を果たす。
接続のシナリオは、本明細書にて説明される。コンテキストの重要な部分は、WTRUが接続されるネットワークに由来することがある。例えば、プライバシーコンテキストは、アクセスインフラストラクチャが比較的プライベートで信頼できるような企業またはホームネットワーク、およびコーヒーショップまたさらには有名なホテルにおけるパブリックホットスポットに接続する場合に異なってもよい。本明細書において説明される実施形態に関与する接続のシナリオは、以下の事項を含むが、これらに限定されることはない。
(1) 信頼できる/制御されたネットワーク:アクセスインフラストラクチャが比較的クローズでエンドユーザによって信頼されている企業またはホームネットワークにおいて、L2アドレスをランダム化することは必要とされないことがある。場合によっては、例えば、認証またはロギングの目的により、L2アドレスをランダム化しないこと、および他のプロトコル識別子(例えばDHCP)を隠蔽しないことも、実際には要件であってもよい。1つの例は、ホームネットワークにおけるL2ベースのアクセスフィルタリングである。この場合、永続的および周知のL2アドレス(またはアドレスの周知のセットに属している)は、デフォルトで使用されてもよい。インターネットプロトコルバージョン6(IPv6)インターフェイス識別子(IID)に関して、この場合、および前述の理由と同じ理由で、永続的および周知のIIDが使用されてもよい。IIDは、L2アドレスにリンクされないこともある(すなわち、マッピングは、外部観察者がIPv6 IIDからL2アドレスを推測できないように不透明でなければならない)。
(2) 信頼できない/パブリックネットワーク:信頼できない/パブリックネットワークは、これらに接続するユーザの制御の下にないネットワークを示すことができる。接続ユーザとネットワークの間の信頼できる信頼関係はまた、存在しない場合もある。信頼できない/パブリックネットワークはまた、ユーザが(例えば、Webポータルを通じて)ネットワークへのアクセスを取得する前に認証する必要があるネットワークを示すこともある。例は、ホテルまたは空港のホットスポットであってもよく、ユーザは、接続するために一部の資格情報を提供する必要がある。この場合、L2アドレスは、ランダムなものである必要があるが、認証トークンの存続時間中に永続的なものであるべきである(すなわち、ユーザは再度認証するよう求められることがあり、さもなければ新しい接続パスまたは認証トークンの購入がおそらくは必要となるので、認証の存続時間満了前に変更することができない)。IPv6 IIDに関して、異なる手法が採用されてもよい。L2アドレスランダム化が適切に実行される場合、IPv6 IIDは、64ビット拡張固有識別子(EUI−64)IIDを使用するL2アドレスに基づいてもよい。場合によっては、これが十分であってもよい(これはL2とL3メカニズムの間のある種の協調を想定する)。これが保証され得ないか、または追加のプライバシーが必要とされる場合、IPv6 IIDはランダムであってもよく、たとえユーザが同じサブネットに戻る場合であっても変更することができる(そのため、観察者は、以前訪れたネットワークに戻ってきたユーザを追跡できない)。
(3) 信頼できない/パブリックオープンネットワーク:信頼できない/パブリックオープンネットワークは、ユーザ認証がなく、ネットワークは任意のWTRUによって使用されるように完全にオープンであるネットワークとして定義されてもよい。この場合、L2アドレスは、同じ拡張サービスセット識別(ESSID)のAPへの各アソシエーションごとにランダム化されてもよい。「クライアントID」および「ホスト名」のようなDHCP識別子は、匿名にされてもよい。IPv6 IIDはまた、ランダム化されて、L2アドレスに不透明であってもよく、たとえユーザが以前訪れたものに戻る場合であっても、ユーザがネットワークを変えるごとに異なっていてもよい。
所与のサービスにアクセスするためにユーザによって使用される固有のWTRUは、重要である場合がある。例えば、多数の様々な人々によって共有されるパブリックPCを使用することは、企業のラップトップまたは自宅でのパーソナルPCを使用する場合に比べて、追加のプライバシー要件を課す場合がある。本明細書において説明される実施形態に関与するWTRUの観点からのシナリオの例は、以下の事項を含むが、これらに限定されることはない。
(1) 信頼できる/管理されたWTRU:ユーザが、例えば企業のラップトップなど、信頼できるおよび/または管理されたWTRUを使用して所与のサービスにアクセスする場合、アプリケーションは、それらが当てはまるプラバシー設定においてさほど厳密ではないことがある。例えば、アプリケーションは、キーロガーを使用する攻撃に対する保護を必要としなくてもよい。一部の例において、ホームWTRUは類似しているが、セキュリティおよびプライバシーの技能を備えた専門家によって中央管理されておらず、家族全員によって共有されることもあるので、企業の機器に比べてセキュリティは劣る。この場合、一部のアプリケーションは、情報の特定の部分をローカルに格納しないことを選ぶか、またはデフォルトで「匿名モード」を強制することがある。
(2) 信頼できない/パブリックWTRU:アプリケーションが、パブリックPC上でこれが実行していることを認識する場合、これは保護メカニズムの使用(例えば、使い捨てパスワード若しくは2段階認証の使用、または仮想キーボードの使用)を課すことができる。
考慮されるべき別の側面は、アプリケーションのシナリオを含む。特定のアプリケーションの場合、一部の情報を開示することは重要ではないことがあるが(例えば、企業アプリケーション)、他のアプリケーションの場合、それら(例えば、ソーシャルネットワーク)を使用する場合にプライバシーを高めることが望ましいことがある。言うまでもなく、使用されるアプリケーションの重要性は、WTRU、およびネットワークのような、コンテキストの他の部分とリンクされる必要がある(例えば、企業アプリケーションは、企業ネットワークの外部で実行する場合にはより高いプライバシー保護を必要とすることがある)。
プロトコルスタックの各レイヤにおいて使用可能にされ得る方法は、関与する様々なアクターのコンテキストおよびプリファレンスに応じて、様々な方法で組み合わされてもよい。「コンテキスト」という用語は、所与のユーザおよびサービスについて所与の場所および時間において決定を行うために使用され得る情報を示すために使用される。以下の事項は、「コンテキスト」の例である。
(1) 可視のネットワーク、これはWTRUがその時間および場所において潜在的に接続することができるネットワークとして定義されてもよい。
(2) (地理的)位置、これは全地球測位システム(GPS)、WiFiネットワーク、地図などによって取得されてもよい。
(3) ネットワークによって、すなわちジェネリックアドバタイズメントサービス(GAS)/アクセスネットワーククエリプロトコル(ANQP)またはジェネリック802.11ビーコンに基づいて、提供される情報。
(4) ユーザによりログインするために使用されるアカウント。
(5) ソーシャルネットワークからの接続または情報。例えば、ユーザは、自分の友人が有する信頼に基づいて所与のネットワークを信頼することを決定することができる。このネットワークにアクセスするための許可(必要とされる資格情報を含む)はまた、ソーシャルネットワーキング関係に基づいてセットアップされてもよい。
(6) ネットワークによってサポートされるプロトコルおよび/またはメカニズム。これは、各レイヤにおける所与の時間においてどの可能な構成が使用され得るかを決定するためのコンテキスト情報および/または制限的局面として使用されてもよい。
上記のリストは、いかなる方法においても包括的または限定的であることは意図されておらず、例として提供されている。
「アクター」という用語は、アクションをトリガーするか、または使用されるべきプライバシーメカニズムを選択する際にアクティブな意志決定者の役割を果たすことができるエンティティを示す。以下の事項は、「アクター」の例である。
(1) ユーザ。ユーザのプリファレンスおよび実際のインジケーションは、考慮される必要がある。ユーザの特権に応じて、これらのインジケーションは、任意の他の自動決定/構成をオーバーライドすることができる。
(2) ユーザの機器/アカウントの管理者。管理者は、コンテキストに応じてプロトコルスタックをどのように構成するかに関してポリシーおよび/またはプリファレンスをセットアップすることができる。
(3) ネットワークの管理者。上記のユーザの機器/アカウントの管理者の例と同様に、デバイスによってアクセスを取得するために使用されるネットワークの管理者は、一部のプライバシーポリシーを示すことができる。
(4) アプリケーション。アプリケーションは、それらのプライバシープリファレンスに関する要件またはポリシーのセットを提供することができる。これらは、システムによって直接使用されて、これを自動的に構成するか、または実際のプライバシーセットアップを選択するために考慮すべき追加情報をユーザに提供することができる。
上記のリストは、いかなる方法においても包括的または限定的であることは意図されておらず、例として提供されている。
環境(例えば、コンテキスト)および様々なプリファレンス(例えば、ユーザの、管理者の、ネットワークの、など)に応じてプライバシー保護を柔軟に使用可能にするコンテキスト認識型プロトコルスタックを提供するプロトコルスタック拡張のための方法および装置が、本明細書において説明される。本明細書において説明される方法および装置は、静的な方式でネットワーク接続に対処するだけではなく、様々なレベルのプライバシーを提供することができる完全に構成可能な、柔軟で動的なプロトコルスタック構成を提供するフレームワークも提供する。プライバシーおよびセキュリティは、プロトコルスタックの様々なレイヤにおいて提供されてもよい。これは、全システム(例えば、PHYからAPPレイヤまで)の振る舞いをプライバシー要件の所与のセットに適応させることを目的に、プロトコルスタックの様々なレイヤにおいて様々な特徴を使用可能にすることによって達成されてもよい。
サービスにアクセスする際にユーザにプライバシーおよびセキュリティを提供することは、プロトコルスタックの1つの単一レイヤの責任ではないこともある。本明細書において説明される方法および装置は、全ての状況/ユースケースが同じタイプのアクションを必要とし得るわけではないため、多くの様々な方法でプライバシーおよびセキュリティの様々な局面に対処し、柔軟性に富み、様々なユースケースに対処する。
コンテキストおよびプリファレンスを考慮することによってプライバシーを管理する方法および装置は、本明細書において説明される。図2Aは、1つの実施形態によるプライバシー保護を可能にする例示のコンテキスト認識型プライバシープロトコルスタックアーキテクチャおよびアプリケーションプログラミングインターフェイス(API)200を示す図であり、これは本明細書において説明される実施形態のいずれかと組み合わせて使用されてもよい。図2Aの例に関与するアクターは、アプリケーション201、ユーザ202、および管理者203を含む。
図2Aの例はまた、以下の例を含むプロトコルスタックの各レイヤにおいて実行され得る構成を示すが、これらに限定されることはない。
物理レイヤ(L1/PHY)211:このレイヤにおいて、暗号化のような方法が使用されてもよい。パッシブモニタリングに基づくプロファイリングはまた、各接続において変更され得るランダム化パラメータによって最小化されてもよい。WTRUプロファイリングを実施することをさらに困難にする場合があるL1におけるランダム化の例は、複合的技術/帯域アクセスポイントに接続する場合に同じ技術/周波数(例えば、802.11gに対する802.11a)を常には使用しないかまたは使用することを選択せず、接続を確立する際にネゴシエートされた優先レートを変更することなどを含むが、これらに限定されることはない。
リンクレイヤ(L2/MAC)212:このレイヤにおいて、L2(MAC)アドレスはランダム化されてもよく、L2において暗号化が使用されてもよく(例えば、WPA/WPA2)、認証が使用されてもよく、信頼できないかまたは非暗号化ネットワークがブラックリストに載せられてもよく、アクティブスキャンは最小化されてもよい、などである。
ネットワークレイヤ(L3/NET)213:このレイヤにおいて、L3アドレス(IPアドレス)はランダム化されてもよく、インターネットプロトコルセキュリティ(IPsec)が使用されてもよく、仮想プライベートネットワーク(VPN)が使用されてもよく、DHCPシグナリングに使用されるパラメータが匿名にされてもよい、などである。例えば、クライアントIDのホスト名のようなDHCP識別子は、匿名にされるかまたはランダム化されてもよい。
トランスポートレイヤ(L4/TRA)214:このレイヤにおいて、データグラムトランスポートレイヤセキュリティ(DTLS)、TLS、TLSの他の変種、TCPセキュリティ、UDPセキュリティ、セキュアソケットレイヤ(SSL)などが使用されてもよい。
アプリケーションレイヤ(L5/APP)215:このレイヤにおいて、ドメイン名システムセキュリティ拡張(DNSsec)が使用されてもよく、「匿名モード」(例えば、以前格納されたクッキーを使用しない、終了の際に何も格納しない、および/または閲覧履歴を格納しない)およびクッキーへのその他の制約のようなアプリケーションプライバシー方法が使用されてもよく、アプリとソーシャルネットワークの間の接続が回避されてもよく、ウェアラブルWTRUによる所与の位置におけるステータスの更新が阻止されてもよく、(トランスポートレイヤセキュリティに基づく)ハイパーテキストトランスポートプロトコルセキュア(HTTPS)が使用されてもよく、有効なWeb証明書の使用が実施されてもよい、などである。
図2Aはまた、各エンティティ間の対話を示す。プライバシーマネージャ204および接続マネージャ205は、ユーザのWTRU上に常駐することができる。プロトコルスタックの様々なレイヤ、接続マネージャ、およびプライバシーマネージャの間の接続が適正に保護されている限り、代替の位置(例えば、専用セキュアサーバ/クラウド上)もまた可能である。プライバシーマネージャ204が、プロトコルスタックのプライバシー機能を調整して様々なアクターからコンテキスト情報を収集するために必要とされるインテリジェンスをホスティングするために使用される論理構成体であってもよいことに留意されたい。本明細書にて説明される方法および装置はまた、プライバシーマネージャ204を伴わないがやはり同種の機能を提示する他の種類の解決策にも適用することができる。
アプリケーション201は、アプリケーションプリファレンスをプライバシーマネージャ204に示すことができる。ユーザ202は、プライバシーマネージャ204および接続マネージャ205によりユーザプリファレンスを構成することができる。管理者203は、プライバシーマネージャ204および接続マネージャ205によりポリシーを構成することができる。プライバシーマネージャ204および接続マネージャ205は、ポリシーを同期することができる。プライバシーマネージャ204はまた、プロトコルスタックを構成することができ、プロトコルスタックは、コンテキスト情報をプライバシーマネージャ204に提供することができる。接続マネージャは、プロトコルスタックとの接続を管理することができる。ネットワーク210は、パブリックまたはプライベートネットワーク情報のようなコンテキスト情報をプロトコルスタックに提供することができる。
プライバシーマネージャ204は、各々がプロトコルスタックの各レイヤにおける異なるセットの構成を暗示する、様々なプライバシープロファイルをユーザ202に提示することができる。これらのプロファイルはコンテキストに依存する、すなわち一部のプロファイルは、特定のシナリオの下に限り使用可能である、および/またはコンテキストに基づいて異なった振る舞いをすることがある。各プロファイルは、優先(またはデフォルトの)パラメータの固有のセットを含むことができ、固有のコンテキストごとに存在するプライバシーリスクを認識しないこともある技術的に不十分なユーザの手動による介入を回避する。プライバシーマネージャは、使用されるべきデフォルトのプライバシープロファイルを自動的に選択することができ、別のものを選択する可能性もあるユーザに、使用可能なプライバシープロファイルを提示することができる。
コンテキストベースのプライバシーアドレス構成メカニズムはまた、上記で説明されるアーキテクチャにおいて使用されてもよい。本明細書において説明されるプライバシーアドレス構成メカニズムは、ユーザが、例えば使用されるべきアドレス生成のタイプを選択することによって、任意の自動決定を手動でオーバーライドできるようにし得る。細分性のレベルは、コンテキスト全体または固有のコンテキストであってもよい。
コンテキストベースのプライバシーアドレス構成は、プライバシーアドレス生成スキームのタイプの自動選択に基づいてもよい。スキームは、ユーザのプライバシーに対する懸念(すなわち、ユーザプリファレンス)により、および固有のネットワークコンテキストによって課される潜在的な操作の制約によって課される全ての要件を満たすように要求される柔軟性を提供するため、デバイスのコンテキストに適応することができる。
以下に示すのは、手動の構成/プロファイルに基づくコンテキストベースのプライバシーアドレス構成のための一部の非限定的な例示の方法である。
(1) 1つの例示の方法において、ユーザは、事前定義されているユーザプロファイルに基づいて使用されるべきL2アドレスのタイプおよびIPv6 IIDを構成することができる。例えば、L2アドレスおよびIPv6 IID構成は、PCデスクトップまたはポータブルPCラップトップまたはスマートフォンの「パブリック」、「仕事」または「ホーム」プロファイルに関連付けられている構成アクションの一部であってもよい。一般に、これは、接続マネージャ上のネットワークに関連付けられている構成アクションの一部であってもよい。コンテキストは、例えばネットワーク(この例ではWiFi)の拡張基本サービスセットID(ESSID)または基本サービスセットID(BSSID)に、アクセスを取得するために使用される認証に、ネットワークの固有のノードの存在に(すなわち、それらの存在をプローブすることにより)、地理的位置により(例えば、GPSベースまたはWiFiネットワークマップに基づいてネットワーク支援されて)など、リンクされてもよい。
(2) 別の例示の方法において、ユーザは、アプリケーションまたはWebブラウザからの固有の入力を通じてコンテキストを手動で構成することができる。ユーザが固有のネットワークでプライベートセッションを確立しようとしていることを指定する場合、アプリケーション/ブラウザは、ユーザがプライベートセッションを実行しようと望むプロトコルスタック(および/またはネットワーク)の残りを信号伝達することができる。この場合、新しいプライベートアドレスが生成され、新しい暗号キーもこのプライベートセッション接続をサポートするために使用されてもよい。その他のオプションもまた、選択されて配備されてもよい。
コンテキストベースのプライバシーアドレス構成はまた、ネットワークの信頼できるエンティティ(例えば、ローカルエンティティまたは中央エンティティ)によって提供される情報に基づいてもよい。例えば、ジェネリックアドバタイズメントサービス(GAS)、アクセスネットワーククエリプロトコル(ANQP)またはジェネリック802.11ビーコンで使用可能な情報は、どのプライバシーアドレス生成スキームが使用され得るかを自動的に決定するために使用されてもよい。同様に、デバイスは、信頼できるリポジトリまたはポリシーデータベース(例えば、アクセスネットワークディスカバリおよび選択機能(ANDSF))を調べて、何をすべきかを動的に学習することができ、これには適用すべきコンテキストを決定することを含むことがあるが、これらに限定されることはない。
コンテキストベースのプライバシーアドレス構成はまた、自動構成メカニズムによって提供される情報に基づいてもよく、これはDHCP、ネイバーディスカバリ(例えば、ルータアドバタイズメントで含まれる情報に基づく)、ポイントツーポイントプロトコル(PPP)、ドメインネームサーバ(DNS)などを含むが、これらに限定されることはない。この場合、ネットワーク要素との一部の信頼のレベルは、これらのメカニズムを介して推奨されるポリシーを適用するために存在することがある。それ以外の場合、任意のネットワークノードは、デバイスによって使用されるプライバシーアドレススキームに悪影響を及ぼすことがある。
接続を取得する前にデバイスは使用すべき手法を認識していない、本明細書にて説明される例のいずれかにおいて、デバイスは、プライベートセッションをセットアップすることのような、ネットワークに最初に接続する場合にデフォルトの保守的な手法に従うことができる。例えば、デバイスは、ランダム化L2アドレス並びにランダムおよび不透明なIPv6 IIDを使用することができ、異なるスキームが要求される場合に再構成することができる。このデフォルトの保守的な手法はまた、構成可能であってもよく、異なる手法が一部の既存のコンテキスト情報に基づいて使用されてもよいことに留意されたい。例えば、一部のユーザ認証を完了するためにキャプティブポータルが使用されていることをデバイスが認識している場合、デバイスは、ユーザによって実行される認証の少なくとも存続時間中にランダム化L2アドレスがそのネットワークで永続的である必要があり得ることを知っていることがある。この接続の存続時間は、ネットワークによって示されるか、またはユーザによって手動で構成されてもよい。
WiFiネットワーク(および類似する無線ローカルエリアネットワーク(WLAN)および無線パーソナルエリアネットワーク(WPAN)技術)の場合、前者の考慮事項は主として、アクセスポイント(AP)とのアソシエーションおよび認証のためのL2アドレス生成並びにその後のデータ送信に影響を及ぼす。
(プローブ要求の送信に基づく)アクティブスキャンの場合、コンテキストベースの手法を定義する、同様の考慮事項が適用されてもよい。
(1) アクティブスキャンのための異なるL2アドレスが、デバイスのアソシエーション状態に応じて使用されてもよい。例えば、デバイスは、アソシエートされる際にその現在のAPで使用される異なるL2アドレスまたは同じL2アドレスを使用することを決定することができる。同様に、デバイスは、いずれのAPにもアソシエートされずにスキャンする場合に限り、ランダムL2アドレスを使用することができる。これは、コンテキストに応じて個別設定されてもよい。
(2) コンテキストに応じて、デバイスは、全ての既知のネットワークに、若しくは(例えば地理的位置に基づく)現在の位置における既知のネットワークに事前にスキャンする(すなわち、プローブ要求を送信する)か、またはアクティブスキャンから固有のネットワークを除くよう決定することができる。BSSIDおよびESSIDがアクティブプローブ測定に含まれているので、あらかじめ既知のネットワークのアクティブスキャンはまた、ユーザを追跡するための情報を提供する場合があることに留意されたい。
(3) コンテキスト検出は、位置、周囲のネットワーク、時刻、使用されるアプリケーション、ネットワークインジケーションに基づくか、ユーザによって手動で構成されるか、またはその組み合わせに基づいてもよい。
プライバシーの懸念事項をもたらす別のプロトコルの対話は、DHCPを介するIP構成である。例えば、DHCPクライアントは、DHCP交換に「ホスト名」または「クライアントID」を含むので、サーバはクライアントに代わってDNSで更新を実行することができる。DHCPシグナリングに「ホスト名」を含むことは、回避され得るプライバシー漏洩の例である。従って、前述のシナリオと同様に、プロトコルスタックは、プライバシーコンテキストを使用して、「ホスト名」または「クライアントID」のようなパラメータをDHCPシグナリングに含むかどうかを決定することができる。
同様に、上位のプロトコルは、プライバシーコンテキスト定義から恩恵を受けることができる。例えば、DNS(レジストリ)でのIPアドレスおよびホスト名のパブリッシュ、HTTPクッキー、および概して、特にソーシャルネットワークを使用する際の、暗号化されていないWebブラウジングは、プライベートコンテキストで動作している場合、異なる方法で行われてもよい。複数のプロトコルレイヤは、機密の情報を含むかどうかを決定するために、プライバシーコンテキストを使用することができる。
図2Bは、アドレス並びにその他のプロトコル識別子およびパラメータのコンテキストベースプライバシー構成を可能にする例示のコンテキストベースプロトコルスタックを示す図である。図2Bは、プロトコルスタックL1(PHY)211、L2(MAC)212、L3(NET)213、L4(TRA)214、およびL5(APP)215の各レイヤにおけるAPI対話の例を示す。アドレスは、検出されるネットワークのタイプおよびネットワークについて受信した情報に基づいて、ローカルに管理され構成されてもよい。図2Bの例において、それがパブリックまたは不明な位置であるとデバイスが認識する場合、プロファイルは、パブリックネットワークを示すBob@Airport 221のような、パブリックネットワークに設定されてもよい。MACアドレスは、@MAC_rand_addrX 222によって示されるように、ランダム、不透明、および非永続に設定されてもよい。同様に、IPアドレスは、@IP_addrY 223によって示されるように、ランダム、不透明、および非永続に設定されてもよい。
別の例は、ユーザの企業ネットワークまたはユーザのホームネットワークに接続する際に使用されるプロファイルであってもよく、そこで永続および周知のL2/L3アドレスが(多くの場合ユーザ/WTRUを認証するために)使用され、エンドツーエンドセキュリティがネットワークまたはトランスポートレイヤにおいてデフォルトで確立されてもよい。図2Bの例において、それが(例えば、地理的位置による)ホームにあるとデバイスが認識する場合、プロファイルは、ホームネットワークを示すBob@Home 231のような、ホームに設定されてもよい。MACは、@MAC_addr_Bob 232によって示されるような、永続的および周知に設定されてもよい。IPアドレスは、@IP_addr_Bob 233によって示されるような、永続的および周知に設定されてもよい。
別の例では、プロファイルは、ホテルにおいて配備されるもののような、信頼できないパブリックネットワークに対して存在することができる。このプロファイルは、初期接続にランダムL2(ランダムMACアドレス)アドレスを選択し(従ってユーザの識別のいかなるアソシエーションも、使用済みアドレスの観察に基づいて実行されないことがある)、IP構成を取得するためにDHCPを使用する際にランダム識別子を選択して、このネットワークに接続されている間全てのDNSの動的更新を回避することができる。例えば、ホスト名またはクライアントIDのようなDHCP識別子は、匿名にされるかまたはランダム化されてもよい。上位レイヤにおいて、プライバシーマネージャは、例えばデフォルトでプライバシーモードに入るなど、クッキーの使用に関する異なるオプションをユーザに提示することがある。図2Bの例において、それが永続的識別子が(例えば認証のために)必要とされ得る信頼できないネットワークにおけるものであるとデバイスが認識する場合、プロファイルは、永続的識別子が必要とされ得る信頼できないネットワークを示すBob@Hotel 241のような、認証済みのホットスポットに設定されてもよい。MACアドレスは、@MAC_rand_addrW 242によって示されるように、ランダムな不透明の非永続に設定されてもよい。IPアドレスは、@IP_addrZ 243によって示されるように、ランダムな不透明の非永続に設定されてもよい。
図3は、コンテキストベースプロトコルスタック300を使用する例示の操作を示すシグナリング図である。図3の例において、ユーザのWTRU302は、ネットワーク303に接続しようとしている。あらゆる種類の接続が行われる前に、WTRUの管理者301は、デフォルトのポリシー/プリファレンスのセットを構成してあり、プロトコルスタックを構成する際にこれが考慮に入れられてもよい。図3を参照すると、ユーザのWTRU302、ユーザの機器の管理者301(admin)(管理者301は、例えばホームコンピュータの場合、ユーザ自身であってもよい)、ネットワーク303、プライバシーマネージャ304、および接続マネージャ305のような、様々なアクターが示されている。L5/APP 306、L4/TRA 307、L3/NET 308、L2/MAC/RRM 309、およびL1/PHY 310のような、プロトコルスタックの様々なレイヤも示されている。
図3の例において、あらゆる種類の通信の前に、管理者301は、プライバシーマネージャ304でポリシーを事前構成する323ことができる(例えば、(1)L2/L3アドレスランダム化により企業ネットワークの外部の場合は常にVPNを使用、(2)企業ネットワーク内で接続する場合は周知のL2/L3アドレスを使用、など)。各接続のシナリオにおいて、プロトコルスタックの様々なレイヤ、L5/APP 306、L4/TRA 307、L3/NET 308、L2/MAC/RRM 309、およびL1/PHY 310は、サポートされるプライバシーおよびセキュリティメカニズムおよび設定311に関する情報をプライバシーマネージャに提供することができる(例えば、L2アドレスランダム化サポート、IPsecサポートなど)。接続マネージャ305は、隣接するネットワーク312に関する情報を取得することができる。接続マネージャ305は、隣接するネットワークに関する情報をプライバシーマネージャ313に提供することができる。(例えば、地理的位置のような)他のコンテキスト情報はまた、このステージにおいてプライバシーマネージャによって使用されてもよい。
コンテキスト情報により、プライバシーマネージャ304は、コンテキスト、管理ポリシー、ネットワーク、情報などに基づいて、使用可能なプロファイルオプションを計算し314、様々な関与するアクターの制限およびプリファレンスを考慮に入れることができる。プライバシーマネージャ304は、コンテキストの使用可能なプロファイルオプションをユーザ(WTRU302)に提供する315ことができる。ユーザ(WTRU302)は、ユーザ(WTRU302)が固有のプロファイルを選択しない場合に使用され得るその固有コンテンツのプロファイルまたはデフォルトのプロファイルを選択する316ことができる。加えて、または代替的に、プライバシーマネージャ304は、ユーザと対話することなくこの固有のコンテキストにおいて適用され得るプロファイルを自主的に決定することができる。プライバシーマネージャ304は、選択されたプロファイルによって指定されるように正しいプライバシーおよびセキュリティ設定をプロトコルスタックの各レイヤに指示する317ことができ、これは接続マネージャ305との対話を介して行われてもよい。プロファイルが、様々なレイヤにおける様々なプライバシー設定を暗示することができることに留意されたい(例えば、「匿名モードを、foo.netまたは任意の新しいサイトをブラウズするときは使用するが、company.comをブラウズするときは使用しない」)。図3に示されるように、プライバシーマネージャ304は、「変調xを使用」のような、L1/PHY構成318を指示することができる。プライバシーマネージャ304は、「ランダムアドレスを使用」のような、L2/MAC構成319を指示することができる。プライバシーマネージャ304は、「ランダムDHCPパラメータを使用」のような、L3/NET構成320を指示することができる。プライバシーマネージャ304は、「接続XでTLSを使用」のような、L4/TRA構成321を指示することができる。プライバシーマネージャ304は、「仮想キーボードを使用」のような、L5/APP構成を指示することができる322。
図4は、プライバシーマネージャにおいて使用するプライバシープロファイルのような、プロファイルの選択を可能にする例示の手順400を示す流れ図であり、これはWTRU内に位置してもよく、本明細書において説明される実施形態のいずれかにおいて使用されてもよい。WTRU内のプライバシーマネージャは、隣接するネットワークに関する情報を受信することができる401。この情報は、接続マネージャによって送信されてもよいか、または別のネットワークソースから送信されてWTRUの受信機若しくは送受信機によって受信されてもよい。WTRU内のプライバシーマネージャは、隣接するネットワークのコンテキストに基づいてプライバシープロファイルオプションを決定することができる402。この決定は、WTRUのプロセッサによって計算されてもよい。WTRU内のプライバシーマネージャは、ユーザが使用可能なプライバシープロファイルオプションを見て選択できるようにするため、この決定に基づいて使用可能なプライバシープロファイルオプションを表示することができる403。使用可能なプライバシープロファイルオプションは、WTRUの表示デバイス上に表示されてもよい。WTRU内のプライバシーマネージャは、プライバシープロファイルの選択を受信することができる404。選択は、WTRUのユーザからの入力から受信されてもよい。あるいは、プライバシーマネージャは、簡単にするため、若しくはユーザの便宜のために、またはポリシーおよびポリシーのガイドラインに基づいて、プライバシープロファイル選択を決定することができる。WTRU内のプライバシーマネージャは、選択されたプライバシープロファイルに基づくプライバシーおよびセキュリティ設定をプロトコルスタックの各レイヤに指示することができる405。選択されたプライバシープロファイルは、プロトコルスタックの各レイヤごとに異なる構成を含むことができる。プライバシーおよびセキュリティ設定指示は、WTRUの送信機若しくは送受信機を介して送信されてもよいか、またはネットワークへのインターフェイスを有するWTRU内の別のエンティティに送信されてもよい。指示されたプライバシーおよびセキュリティ設定は、本明細書にて説明される例のいずれかに基づいてもよい。
別の例において、ユーザは、ネットワークを選択し、選択されたネットワークに基づいてプライバシープロファイルを調整することができる。この手順において、WTRU内のプライバシーマネージャは、隣接するネットワークに関する情報を受信することができる。この情報は、接続マネージャによって送信されてもよいか、または別のネットワークソースから送信されてWTRUの受信機若しくは送受信機によって受信されてもよい。WTRU内のプライバシーマネージャは、複数のネットワークからネットワークを選択することができる。この選択は、WTRUのプロセッサによる決定に基づいてもよい。WTRU内のプライバシーマネージャは、選択されたネットワークのコンテキストに基づいてプライバシープロファイルを調整することができる。コンテキストは、選択されたネットワークに関連付けられている受信された情報に基づいてもよい。WTRU内のプライバシーマネージャは、調整されたプライバシープロファイルに基づくプライバシーおよびセキュリティ設定をプロトコルスタックの各レイヤに指示することができる。プライバシーおよびセキュリティ設定指示は、WTRUの送信機若しくは送受信機を介して送信されてもよいか、またはネットワークへのインターフェイスを有するWTRU内の別のエンティティに送信されてもよい。指示されたプライバシーおよびセキュリティ設定は、本明細書にて説明される例のいずれかに基づいてもよい。
上記で説明される実施形態は、様々なユースケースをサポートする。例示のユースケースにおいて、ユーザは、いずれも本明細書において説明されるプライバシーメカニズムを装備された、自身の仕事用ラップトップおよび携帯電話を使用することができる。3つの例示的な位置(異なるコンテキストを示す)が検討され得る。
(1) 第1の位置において、ユーザは、顧客サイドで作業している。ここで、ユーザの仕事用ラップトップ上のプライバシーマネージャは、デフォルトのプライバシープロファイルを自動的にセットアップし、コンテキスト情報(例えば、ホームオフィスネットワークではない)および管理者ポリシーを考慮に入れる。デフォルトのプロファイルは、L2暗号化(接続先ネットワークで使用可能である場合)、L2アドレスランダム化、およびホームオフィスへのL3 VPNの使用を必要とすることがある。第2のプライバシープロファイルが使用可能とされてもよく、これは全てのトラフィックに対してホームオフィスとのL3 VPNを使用しないが、企業アプリケーション(例えば、電子メール)に関連付けられているトラフィックおよび/または企業ネットワークのサーバに向けられたトラフィックに限っては使用する。携帯電話では、コンテキストに基づいて、プライバシーマネージャは、様々なプライバシープロファイルをユーザに提示することができ、それらのすべてが最小レベルのプライバシーを提供するが、異なるオプションを提示して、最終選択をエンドユーザに任せることができる。例えば、ユーザに対して使用可能にされた全てのプロファイルは、L2およびL3アドレスランダム化を暗示することができるが、ホームへ戻るVPNトンネリングの使用はオプションであってもよく、さらに匿名ブラウジングの使用もオプションであってもよい。
(2) 第2の位置において、ユーザは、ホテルにいる。そこで、仕事用ラップトップ上のプライバシーマネージャは、以前の位置におけるものと同じプロファイルを提供し、加えて、ユーザが企業関連ではないアプリケーションにアクセスできるようにするがブラウザ「匿名」モードの使用を強制する追加のプロファイルを提供することができる。携帯電話において、ユーザに使用可能にされるプライバシープロファイルは、例えばホテルのネットワークにおいて行われ得るパッシブモニタリングアクティビティの影響を低減するためにアクティブスキャンアクティビティを最小化することなど、プライバシーおよびセキュリティのさらに高いレベルを提示することができる。仕事用ラップトップおよび携帯電話の両方において、ユーザがホテルに滞在する時間中(またはより正確には、少なくともホテルにおけるインターネット接続が所与のL2アドレスにバインドされる時間)にL2アドレスの変更の結果ユーザがホテルネットワークから切断されることを回避するため、L2アドレスランダム化は、ランダム化アドレスが変わり得ないような方法で実行されてもよい。
(3) 第3の位置において、ユーザは自宅にいる。この位置は、仕事用ラップトップの管理者の観点からは、ホテルの場合と類似したコンテキストに関連付けられているので(すなわち、ラップトップは企業ネットワークの外部にある)、同じプライバシープロファイルがユーザに提示される。しかし、ユーザは自分のホームを信頼して、L2/L3アドレスに基づいて適切にアクセスメカニズムを実施することができるので、携帯電話では、L2およびL3アドレスランダム化は使用不可にされてもよい。
上記の説明は、プロファイルがWTRUと位置(および使用可能なネットワーク)の間でどのように変化することができるかを明らかにする例である。コンテキストおよび関与するアクターに応じて、異なる状況が生じることがある。
上記で説明されるように、ユーザに提示されるプロファイルは、コンテキスト情報(例えば、現在の位置、ログインに使用されるアカウント、ネットワーク接続、プロトコルスタックレイヤの機能など)および関与するアクターによって課されるプリファレンス/制限に基づいて動的に計算されてもよい。これらのプロファイルは、例えばL2/L3のみに制限されないなど、各プロトコルスタックレイヤに影響を及ぼすことのあるアクションを暗示する。プライバシーマネージャは、任意の位置におけるあらゆるユーザに所定のプロファイルの同じセットを提示しないことがあるが、コンテキストおよびアクターのプリファレンスを考慮に入れて、カスタマイズされたプロファイルのセットを動的および/または自動的に生成することができる。
特徴および要素は特定の組み合わせで上記で説明されるが、各々の特徴または要素は、単独で使用されるか、または他の特徴および要素との任意の組み合わせで使用されてもよいことを、当業者であれば理解するであろう。また、本明細書において説明される方法は、コンピュータまたはプロセッサにより実行するためにコンピュータ可読媒体に組み込まれたコンピュータプログラム、ソフトウェアまたはファームウェアにおいて実施されてもよい。コンピュータ可読媒体の例は、(有線または無線接続を介して送信される)電子信号およびコンピュータ可読ストレージ媒体を含む。コンピュータ可読ストレージ媒体の例は、ROM、RAM、レジスタ、キャッシュメモリ、半導体メモリデバイス、内蔵ハードディスクおよびリムーバブルディスクなどの磁気媒体、磁気光学媒体、CD−ROMディスクおよびデジタル多用途ディスク(DVD)などの光媒体を含むが、これらに限定されることはない。ソフトウェアと共同してプロセッサは、WTRU、UE、端末、基地局、RNC、または任意のホストコンピュータにおいて使用する無線周波数送受信機を実施するために使用されてもよい。