米国特許情報 | 欧州特許情報 | 国際公開(PCT)情報 | Google の米国特許検索
 
     特許分類
A 農業
B 衣類
C 家具
D 医学
E スポ−ツ;娯楽
F 加工処理操作
G 机上付属具
H 装飾
I 車両
J 包装;運搬
L 化学;冶金
M 繊維;紙;印刷
N 固定構造物
O 機械工学
P 武器
Q 照明
R 測定; 光学
S 写真;映画
T 計算機;電気通信
U 核技術
V 電気素子
W 発電
X 楽器;音響


  ホーム -> 計算機;電気通信 -> ヒューレット・パッカード・カンパニー

発明の名称 高信頼性コンピューティングプラットフォーム
発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2003−140759(P2003−140759A)
公開日 平成15年5月16日(2003.5.16)
出願番号 特願2002−221705(P2002−221705)
出願日 平成14年7月30日(2002.7.30)
代理人 【識別番号】100081721
【弁理士】
【氏名又は名称】岡田 次生 (外2名)
【テーマコード(参考)】
5B076
【Fターム(参考)】
5B076 FD08 
発明者 リクン・チェン / デイヴィッド・プラクイン / マイケル・ストーカー
要約 課題
信頼性のレベルが変化する場合に、ユーザデータを、TCPにおける信頼性レベルを変化させるイベントにおいて保護する装置を提供すること。

解決手段
高信頼性コンピューティングプラットフォーム(TCP)(10)は、セキュアチャネル(22)を介してユーザと通信する高信頼性接続エージェント(18)と、該TCPの環境内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCP(10)の保護された格納手段(26)に保護する高信頼性環境コントローラ(16)とを含む。
特許請求の範囲
【請求項1】高信頼性コンピューティングプラットフォーム(TCP)であって、セキュアチャネルを介してユーザと通信する高信頼性接続エージェントと、該TCPの環境内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCPの保護された格納手段に保護する高信頼性環境コントローラと、を含む高信頼性コンピューティングプラットフォーム。
発明の詳細な説明
【0001】
【発明の属する技術分野】本発明は、信頼性の高い環境、すなわち高信頼性環境にアプリケーションを組み込む方法に関し、また高信頼性環境にアプリケーションを組み込むための装置に関する。
【0002】
【従来の技術】ユーザが一定時間コンピューティングプラットフォーム上でアプリケーションの使用を望む状況では、ユーザはまず、WO 00/48063で開示されているように、高信頼性コンピューティングプラットフォーム(TCP,Trusted Computing Platform)の技術を用いて、プラットフォームの完全性チェック(integrity check)を行う。
【0003】TCPのユーザは、TCP上でアプリケーションを使用するか又は使用を意図するが、ここでアプリケーションはコンピューティングプラットフォーム上で実行される命令のセットである。
【0004】ユーザは、アプリケーションの実行で用いるプラットフォーム内の高信頼性装置(TD,Trusted Device)を介したプラットフォーム環境の完全性チェックを行う。ユーザが満足のいく応答を受けとると、ユーザは、そのアプリケーションにふさわしい環境で、高信頼性プラットフォームと相互に通信できたことを確信する。
【0005】あらゆる種類の実体(コンピューティングプラットフォーム、アイデンティティ又はサービス)が信頼性を持つことは、この文脈においては、サードパーティが、その実体がはっきりしたアイデンティティを持つか、権限なしでの変更を受けないか、その両方であるかについてある程度の確証をもつことを意味する。高信頼性装置の場合、このことはコンピューティングプラットフォームの他の機能要素から物理的論理的に分離することにより達成される。高信頼性装置との通信は、その高信頼性装置により通信した結果、その信頼性を覆さないよう、そしてそれ自身信頼性が高いものとなるよう制御される。
【0006】環境とは、ハードウェア構成、動作しているソフトウェア、及び特定プラットフォームにおけるその構成を意味するものである。ユーザは、完全性チェックの結果に基づき、プラットフォーム上でアプリケーションを動作させるかどうかを決定する。
【0007】
【発明が解決しようとする課題】しかしながら、アプリケーションのランタイム中、アプリケーションが同じプラットフォームの同じ環境で動作し続けているか否かがユーザに分からないという問題が発生する。従って、最初にユーザがチェックした後環境は変化するが、それはソフトウェアの構成又はその使用が、例えばユーザによりなされる最初の完全性チェックの後に変化する場合があるからである。
【0008】依然として正しいプラットフォームと通信を行っていることをユーザに確信させるべく、プラットフォームの完全性チェックの後、プラットフォームからの全てのメッセージを、例えばプラットフォーム内のTDによりなされた署名と共に保護しなければならないというやり方が提案できる。このアプローチでは、依然として同じプラットフォームにつながっており、その結果ユーザにそのアプリケーションが同じプラットフォーム上で動作していることを分かるようにしているかどうかを、ユーザがチェックできるようにしている。
【0009】このことは特に、アプリケーションが1度に1つしか動作しないような単純なプラットフォームで動作する場合に当てはまる。例えば、携帯電話、スマートカード、又は特定サービスを提供するサーバプラットフォーム等の既知の限定機能プラットフォームがそうである。しかしながらこの解決策は、複数アプリケーションを、そのうちいくつかはユーザが分からない形で同時に走らせるプラットフォームを用いるときに、そのプラットフォームがユーザへの通知を行わないという問題がある。さらに、このアプローチでは、この種のプラットフォームにおける環境が、アプリケーションの動作中に変わっていないことをユーザに知らせることができない。
【0010】上述の課題に対する解決策を提供する他の試みとして、オペレーティングシステムにおけるコンパートメント(compartment)を用いる技術がある。ここでコンパートメントは、例えば各アプリケーションがプラットフォームの自己のコンパートメントに配置される場合に環境変化による影響を少なくする。しかしながら、コンパートメントが1つ以上のアプリケーションを含めることができるかどうかという問題が依然として残る。
【0011】本発明は、上述の課題に対し、上述の不完全な解決策により提供されるものよりも、より完全な解決策を提供することを目的としている。
【0012】
【課題を解決するための手段】本発明の第1態様によると、高信頼性コンピューティングプラットフォーム(TCP)は、セキュアチャネルを介してユーザと通信する高信頼性接続エージェントと、該TCP内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCPの保護された格納手段に保護する高信頼性環境コントローラとを含む。
【0013】該高信頼性環境コントローラは、TCP内のイベント又はコードの集合に基づき該環境中の信頼性レベルの変化を検知することができる。
【0014】該高信頼性環境コントローラは、未認証又は未識別ソースにより起こされる該環境中の信頼性のレベルにおける変化を検知することができる。前記未認証又は未識別ソースは、未知の又は信頼性の低いコードとすることができる。信頼性は、それが積極的に証明された場合にのみ与えることができる。
【0015】高信頼性環境コントローラは、高信頼性接続エージェントを介して信頼性レベルの変化をユーザに通知することができる。特に信頼性のレベルが変化する場合に、高信頼性環境コントローラは、ユーザから処理の終了要因となる命令を受けとることができる。
【0016】従って、ユーザデータは、TCPにおける信頼性レベルを変化させるイベントにおいて保護されるのが都合がよい。また、ユーザは、新たな信頼性のレベルにおける処理で継続する選択肢を与えられる。
【0017】イベントは、オペレーティングシステムのイベントとすることができる。
【0018】機密データは、セッション関連情報とすることができるが、ユーザの個人データ又は他のデータには、ユーザは自由にアクセスすることはできない。
【0019】TCPは、高信頼性環境コントローラにより制御される、高信頼性環境を含むことができる。高信頼性環境は、高信頼性装置(TD)、高信頼性接続エージェント、高信頼性環境コントローラ、及び1つ又はそれ以上のアプリケーションを含めることができる。
【0020】高信頼性環境コントローラは、好ましくは各アプリケーションと通信して機密データを保護できるようにする。
【0021】高信頼性接続エージェントは、好ましくはTDと通信してユーザによるTCPの完全性チェック及びセッションキーの生成をできるようにする。
【0022】高信頼性環境コントローラは、信頼性レベルの変化を検知すると、ユーザへのコマンドリクエストを発行することができる。コマンドは好ましくは処理を進めるコマンド、又は処理を中断しユーザの全機密データを削除又は保護するコマンドである。
【0023】本発明の第2態様によると、高信頼性コンピューティングプラットフォーム(TCP)の信頼性のレベルを監視する方法では、該TCPの環境内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCPの保護された格納手段に保護する。
【0024】初期接続プロトコルの一部として、TCPは、ユーザが意図したTCPと通信していることを該ユーザに保証すべく、TCPの高信頼性装置(TD)によりなされた署名を出力することができる。
【0025】信頼性レベルの変化を検知すると、高信頼性環境コントローラは、信頼性の変化が起こる処理を続行するか中断するかの選択をユーザに提供する。処理の中断にはTCPセッションの終了や機密データの削除を含むことができる。高信頼性環境コントローラは、TCPの高信頼性エージェントを介してユーザと通信することができる。
【0026】本発明の第3態様によると、高信頼性コンピューティングプラットフォーム(TCP)のための高信頼性環境コントローラは、該TCPの環境内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCPの保護された格納手段に保護する。
【0027】高信頼性環境コントローラは、好ましくは高信頼性通信エージェントを介してユーザと通信し、変化した信頼性レベルを有する処理を進める又は中断するコマンドを取得する。
【0028】ここで説明した特徴については、上述の態様のすべてについての組み合わせとすることができる。
【0029】
【発明の実施の形態】図1は、高信頼性環境にアプリケーションを組み込む装置の配置及び相互接続状況を示している。高信頼性コンピューティングプラットフォーム(TCP)10は、高信頼性装置(TD)12、アプリケーション14、高信頼性環境コントローラ16及び高信頼性接続エージェント18により構成され、後者は、高信頼性プラットフォームのためにセキュアチャネル22を介してユーザ20と通信を行う。
【0030】図1に示された構成によると、ユーザ20は、TCP10で動作するアプリケーション14との通信を確立することができ、TCP10環境がこのアプリケーションにふさわしいことを確信することができる。ユーザ20及びアプリケーション14は、その通信についてセキュアチャネル22を必要とし、共有セッションキーは、このセキュアチャネル22を保護する。セッションキー生成処理は、ユーザが、所望のプラットフォームと通信中であることをTD12からの署名を介してユーザに保証しなければならない。
【0031】ユーザ20はまた、その環境が完全性の厳密な確認を実行することにより信頼性が高いことを確認できる。かかるTCPの完全性チェックの確認及び応答処理は、上述のWO 00/48063で説明されている通りである。例えばDiffie-Hellman交換によりセッションキーを生成しても、ユーザ20とTCP10との間の通信チャネルへのアクセスを得るべくセッションキーを生成する場合、ユーザとTCP10との間に侵入者が入るのは結局防げないので、高信頼性装置に署名を追加することは重要である。署名を使用することで、かかる可能性を回避し、セキュアチャネルを信頼性の高いものにしている。
【0032】一度ユーザ20がTCP10との通信を確立し、意図した使用に対し信頼性の高い環境であることを確保すると、ユーザ20は、アプリケーション14が存続する間信頼できる環境で動作することを確認しなければならない。このことは、その信頼性のレベルの変化に先立ち複数動作を実行することで、TCP10内の高信頼性環境を介して行うことができる。
【0033】この動作は、高信頼性環境コントローラ16により実行されるが、高信頼性環境コントローラ16は、通常極端な場合を除いてユーザ20に頼ることなく高信頼性環境を制御する。高信頼性環境コントローラは、後述の選択肢を提供することができる。
【0034】第1に、フルサービスモードにおいては、その環境で動作するアプリケーション14(例えばセッション関連情報又はユーザの個人データ)で用いられる機密情報は、TCP10の信頼性レベルが変化するときアクセスできないよう保護される。機密情報は、例えばセキュアポジション26への(データ保護のための)データの処理、削除又は除去を止めることにより保護することができるが、そうでない場合、セッションキーを代わりに除去することができ、それによってセキュアチャネル22を閉じる。
【0035】第2に、部分的サービスモードにおいては、ユーザ20は、どのような動作を実行するか(例えば、セッションを始める、セッションを終了する、TCP10についてさらなる完全性チェックを行う等)を決定できるようになると、信頼性のレベルを知ることができる。高信頼性環境コントローラ16は、陰に陽にユーザ20による通知の受信を保証する。高信頼性環境コントローラ16はまた、追加的にアプリケーション14又は他のアプリケーションの動作に影響を与える。一度ユーザ20がなされるべき動作について決定をすると、TCP10内の保護された格納機構により保持された個人情報は、追加的に回復することができる。個人情報はまた、TCP10の外側に暗号化された形式で保持することができる。
【0036】高信頼性環境コントローラ16は、高信頼性環境内でのユーザ20に与えられる選択肢についてのアプリケーションの制御を提供する。TCP10の信頼性のレベルが変化したことを、ユーザ20に高信頼性接続エージェント18を介して通知するのは、高信頼性環境コントローラ16である。
【0037】ユーザ20との通信を指示する代わりの方法は、ユーザ20が通信したいと考える信頼性のレベルを特定すべく、まずユーザ20がTCP10にポリシー(policy)を提供することである。それから、高信頼性環境コントローラは、TCP10における信頼性のレベルの変化を検知するが、信頼性のレベルがユーザ20によって提供されるポリシーで特定されるレベルより下がらない場合、信頼性のレベルが変わったことをユーザ20に連絡し通知する必要はない。高信頼性環境コントローラはまた、上述の通りユーザの機密情報を保護する。
【0038】ここで説明したTCP10は、ユーザ20がアプリケーション14をTCP10の高信頼性環境内に組み込むための解決策を提供するが、TCP10内の高信頼性環境がアプリケーションの実行中に変化したかどうかについてユーザ20に証拠を提供する可能性を伴う。
【0039】実際のところ、ユーザはTCP10に依存しており、高信頼性コンピューティングプラットフォーム技術の通常の手順の間に示された役割を果たす。
【0040】ここで説明したシステムでは、モバイルコードの集合、又は高信頼性環境ですでに記憶されているコードの集合により、信頼性レベルの変化の検出が可能になる。従って変化は、高信頼性環境の中で起こる。このシステムはまた、高信頼性システムの中又は外に起因する未識別又は未認証のソースによる信頼性のレベルの変化を許容している。プラットフォーム内の機能及び環境はまた、ウィルス又は高信頼性環境の外側からの同様のデータから保護される。本発明は、流入データを既知のウィルス又はその他のセットと比べるだけのものではない。本発明においては、変化の発生源が分かっていない、又は潜在的なウィルスと分かっていないときでも、あらゆる発生源の信頼性レベルの変化が検知され作用される。
【0041】TCP10における様々な要素間の残りの接続は、TCP10の外側のユーザと通信するために全ての部分が高信頼性接続エージェント18とつながるという点で、高信頼性プラットフォームへの通常の接続である。また、高信頼性接続エージェント18及びアプリケーション14は、TD12が高信頼性接続エージェントとの間で行っているように相互に通信している。その結果ユーザ20は、セッションキー生成におけるTD12の完全性をチェックできるようになる。さらに、アプリケーション14は、TD12及び当然高信頼性通信エージェント18が行っているように、高信頼性環境コントローラとの通信を行う。さらに、高信頼性環境コントローラ16は、TCP10内の信頼性レベルに影響を与える様々なイベントについての、オペレーティングシステムからの通知を受けとる。こうした通知はそれ後、セキュアチャネル22によりユーザへ送信すべく高信頼性接続エージェント18にわたされる。
【0042】当業者が理解する通り、アプリケーションを高信頼性環境に組み込む方法及び装置が、WO 00/48063で開示される高信頼性コンピューティングプラットフォームに関連して説明されている。しかしながら、この高信頼性プラットフォームは、本発明がユーザにより必要とされるセキュリティ及び情報のレベルを提供するのに用いることができる、様々な異なる信頼性の高いプラットフォームの一例としてのみ用いられる。
【0043】この発明は例として、次の実施形態を含む。
【0044】(1)高信頼性コンピューティングプラットフォーム(TCP)(10)であって、セキュアチャネル(22)を介してユーザと通信する高信頼性接続エージェント(18)と、該TCPの環境内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCP(10)の保護された格納手段(26)に保護する高信頼性環境コントローラ(16)と、を含む高信頼性コンピューティングプラットフォーム(10)。
【0045】(2)該高信頼性環境コントローラ(16)は、TCP(10)内のイベント又はコードの集合に基づき該環境中の信頼性レベルの変化を検知する、(1)に記載の高信頼性コンピューティングプラットフォーム(10)。
【0046】(3)該高信頼性環境コントローラ(16)は、未認証又は未識別ソースにより起こされる該環境中の信頼性のレベルにおける変化を検知する、(1)に記載の高信頼性コンピューティングプラットフォーム(10)。
【0047】(4)高信頼性コンピューティングプラットフォーム(TCP)(10)において、該TCPの環境内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCP(10)の保護された格納手段(26)に保護する、高信頼性コンピューティングプラットフォーム(10)の信頼性のレベルを監視する方法。
【0048】(5)初期接続プロトコルの一部として、TCP(10)は、ユーザが意図したTCP(10)と通信していることを該ユーザに保証すべく、TCP(10)の高信頼性装置(TD)(12)によりなされた署名を出力する、(4)に記載の方法。
【0049】(6)高信頼性コンピューティングプラットフォーム(TCP)(10)において、該TCPの環境内で生じるイベントを信頼性レベルの変化について監視し、信頼性レベルの変化を検知した場合、ユーザの機密データを該TCP(10)の保護された格納手段(26)に保護する、高信頼性コンピューティングプラットフォーム(10)のための高信頼性環境コントローラ(16)。




 

 


     NEWS
会社検索順位 特許の出願数の順位が発表

URL変更
平成6年
平成7年
平成8年
平成9年
平成10年
平成11年
平成12年
平成13年


 
   お問い合わせ info@patentjp.com patentjp.com   Copyright 2007-2013