Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7524075B2 - 信頼できるコンテキスチャルコンテンツ - Google Patents
[go: Go Back, main page]

JP7524075B2 - 信頼できるコンテキスチャルコンテンツ - Google Patents

信頼できるコンテキスチャルコンテンツ Download PDF

Info

Publication number
JP7524075B2
JP7524075B2 JP2020564393A JP2020564393A JP7524075B2 JP 7524075 B2 JP7524075 B2 JP 7524075B2 JP 2020564393 A JP2020564393 A JP 2020564393A JP 2020564393 A JP2020564393 A JP 2020564393A JP 7524075 B2 JP7524075 B2 JP 7524075B2
Authority
JP
Japan
Prior art keywords
contextual content
trusted
data
sensor
sensor data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020564393A
Other languages
English (en)
Other versions
JP2021523490A (ja
Inventor
エンケ,ジョーセフ・アントニー
モスコフチェンコ,スチェパン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Skydio Inc
Original Assignee
Skydio Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Skydio Inc filed Critical Skydio Inc
Publication of JP2021523490A publication Critical patent/JP2021523490A/ja
Application granted granted Critical
Publication of JP7524075B2 publication Critical patent/JP7524075B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/4367Establishing a secure communication between the client and a peripheral device or smart card
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Description

この開示は、信頼できるコンテキスチャルコンテンツの生成および転送に関する。
多くのデバイス(たとえば、ドローン、カメラ、車両、またはセキュリティシステム)は、ビデオ、モーションデータ、タイムスタンプ、全地球測位システム座標、またはライダポイントクラウドのようなデータまたはコンテンツを作り出す。暗号化は、通信および記憶中にデータをセキュアにするために使用され、セキュアなデータを用いて不正アクセスや改ざんを防ぐ。暗号化の前に、コンテンツが破損またはなりすましされている可能性がある。コンテンツは孤立して調べられるときに、誤った特徴付けの影響を特に受けやすくなり得る。
本明細書に開示されているものは、信頼できるコンテキスチャルコンテンツ(contextual content)の生成および転送の実装である。
第1の態様では、本明細書で説明される主題は、1つ以上のセンサを含み、1つ以上のセンサからのセンサデータにアクセスし、署名鍵を使用してセンサデータに署名して、デジタル署名を含む信頼できるコンテキスチャルコンテンツを生成するように構成された、信頼できるコンテキスチャルコンテンツデバイスと;信頼できるコンテキスチャルコンテンツを受信し、信頼できるコンテキスチャルコンテンツを、デジタル署名に基づいて認証するように構成された認証デバイスと;信頼できるコンテキスチャルコンテンツを認証するための要求を、認証デバイスに送信し、認証デバイスから受信された認証メッセージに応答して、センサデータをユーザインターフェースにおいて提示するように構成されたコンテキスチャルコンテンツコンシューマデバイスとを含む、システムにおいて具体化され得る。
第2の態様では、本明細書で説明される主題は、1つ以上のセンサと、1つ以上のセンサからのセンサデータの第1のセットにアクセスし;第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツを受信し;第1の信頼できるコンテキスチャルコンテンツおよびセンサデータの第1のセットに基づくデータを含むデータ構造を生成し;署名鍵を使用してデータ構造に署名して、第2のデジタル署名を含む第2の信頼できるコンテキスチャルコンテンツを生成し;第2の信頼できるコンテキスチャルコンテンツを記憶または送信するように構成された処理装置とを含む、システムにおいて具体化され得る。
第3の態様では、本明細書で説明される主題は、1つ以上のセンサからのセンサデータの第1のセットにアクセスすることと;第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツを受信することと;第1の信頼できるコンテキスチャルコンテンツおよびセンサデータの第1のセットに基づくデータを含むデータ構造を生成することと;署名鍵を使用してデータ構造に署名して、第2のデジタル署名を含む第2の信頼できるコンテキスチャルコンテンツを生成することと;第2の信頼できるコンテキスチャルコンテンツを記憶または送信することとを含む、方法において具体化され得る。
本開示は、添付の図面と併せて読むと、以下の詳細な説明から最も良く理解される。一般的な慣行にしたがって、図面の様々な特徴は、原寸に比例していないことが強調される。それどころか、様々な特徴の寸法は、明確化のために任意に拡大または縮小される。
信頼できるコンテキスチャルコンテンツを管理するためのシステムの例のブロック図である。 ドローンによって生成された信頼できるコンテキスチャルコンテンツを管理するためのシステムの例のブロック図である。 信頼できるコンテキスチャルコンテンツのフォーマットの例を示すメモリマップである。 信頼できるコンテキスチャルコンテンツの例を示すメモリマップである。 信頼できるコンテキスチャルコンテンツデバイスの例のブロック図である。 信頼できる構成要素の例のブロック図である。 信頼できるセンサの例のブロック図である。 信頼できる画像センサの例のブロック図である。 ドローンに含まれる信頼できるコンテキスチャルコンテンツデバイスの例のブロック図である。 デバイスのハードウェア構成の例のブロック図である。 信頼できるコンテキスチャルコンテンツを生成するためのプロセスの例のフローチャートである。 多数のソースからのセンサデータを用いて、信頼できるコンテキスチャルコンテンツを生成するためのプロセスの例のフローチャートである。 信頼できるコンテキスチャルコンテンツを提示するためのプロセスの例のフローチャートである。 信頼できるコンテキスチャルコンテンツを増強するためのプロセスの例のフローチャートである。
本明細書で使用される場合、「コンテキスチャルコンテンツ」(CC)は、所与の状況、所、エリア、またはオブジェクトのいくつかの物理的特質を、時間フレーム内で理解または評価するために使用され得るように編成されたデータである。たとえば、家のデジタル写真ファイルは、所与の場所および時間における家の物理的特質を評価するために使用され得るコンテンツを含み得る。本明細書で使用される場合、「コンテキスチャルコンテンツデバイス」(CCD)は、コンテキスチャルコンテンツを作り出すデバイスである。本明細書で使用される場合、「信頼できるコンテキスチャルコンテンツ」(TCC)は、暗号で認証可能なコンテキスチャルコンテンツである。本明細書で使用される場合、「信頼できるコンテキスチャルコンテンツデバイス」(TCCD)は、信頼できるコンテキスチャルコンテンツを作り出し、暗号で認証可能なデバイスである。
コンテキスチャルコンテンツの生成のための従来システムは、多くの問題を提示し得る。たとえば、コンテキスチャルコンテンツを生成するこれらのデバイスを偽造して複製するのは容易であり得る。これらのデバイスによって作り出されたコンテンツを破損する、捏造する、改正する、選択的に削減する、除去する、および悪意を持って侵害することは容易であり得る。コンテンツは、誤って破損され、除去され、選択的に削減され、または侵害され得る。コンテンツの破損は、検出が困難である場合がある。コンテキスチャルコンテンツが除去される、通信される、またはデバイスからトランスポートされると、そのコンテキスチャルコンテンツが侵害されているか否かを区別する方法はない。コンテキストデバイスカスタマとして、コンテキスチャルコンテンツが真正であるか否か、どのデバイスから来たか、またはデバイスが真正であったか否かを確実に区別する方法がない場合がある。デバイスが真正である場合、ブートローダ、ファームウェア、およびソフトウェアの悪意のあるバージョンが、デバイスで実行されたり、一時的にデバイスで実行されて、コンテキスチャルコンテンツが侵害されているのかを検出または防止する方法がないことがよくある。認証スキームは通常、単一の機関、機関のグループ、またはコミュニティによって制御されるが、1つ以上の機関、およびコミュニティの組合せによっては制御されない。認証スキームは、デバイスまたはコンテンツが真正または真正ではないと見なされるように、通常はバイナリであり、デバイスおよびコンテンツの真正性または信頼性のレベルのメトリックおよびまたはスコアを提供しない。典型的なソリューションは、セキュリティおよび暗号化に重点を置く傾向があるが、コンテキスチャルコンテンツ自体の真正性を保証するものではない。つまり、ほとんどのシステムは、デバイスが存在し、そのオンボードセンサを使用してデータを収集し、コンテキスチャルコンテンツを生成した場所において、およびそのとき、コンテキスチャルコンテンツが、特定のデバイスからの意図されたコンテキスチャルコンテンツであり、意図されたコンテキスチャルコンテンツが、実際の環境と、発生したイベントとを確実に表していることの両方を確実に証明するのではなく、コンテキスチャルコンテンツへのアクセスを保護しようとする。他の製品やソリューションは、そのソースをトレースバックできる、暗号的に検証可能なコンテキスチャルコンテンツを作り出さない。
多くのアプリケーションは、コンテキスチャルコンテンツが真正であることを必要とする。信頼できるコンテキスチャルコンテンツのためのアーキテクチャは、デバイスからユーザに、真正のコンテキスチャルコンテンツを確実に配信し得る。悪意のある理由または他の良い理由に関わらず、コンテキスチャルコンテンツが、不正な形式である、改ざんされている、不完全である、捏造されている、または他の方法で変更または攻撃されているのであれば、根本的に問題である。たとえば、高すぎる温度で保管されていたために、他のデバイスの保証が無効であるという保証請求の証拠として、変造あるいは破損された温度計デバイスが、温度読取値を平均化し、タイムスタンプを付し、較正したのであれば、問題である。別の例は、カメラ、場所、および時間データが、ドローンによって収集され、特定の時間および場所で、犯罪の容疑者を確実に識別する場合である。法廷で提示された場合、データが正確で、変更されておらず、破損しておらず、正しいデバイスから収集されていることが重要である。それで、コンテキスチャルコンテンツがキャプチャされた時から、そのような決定を行うために使用される時まで、コンテキスチャルコンテンツが変造または破損されることは不可能または非常に困難であることが重要である。
さらに、コンテンツコンシューマが、意図された受信者ではない場合、コンテンツ製作者にとっても問題である。さらに、コンテンツ製作者が、意図された配信者ではない場合、コンテンツコンシューマにとって根本的に問題である。偽造されたまたは無許可のデバイス、およびまたはデバイスクローンを作り出すまたは利用することによって、データが捏造または変更され得る場合も問題である。また、コンテキスチャルコンテンツは、製作から消費まで秘密のままにすることが望ましい場合もある。さらに、一意のコンテキスチャルコンテンツの多くの製作者と、多くのコンシューマが存在する可能性がある。
多くの場合、真正性および信頼性のレベルを評価することがより重要である場合があるため、デバイスまたはコンテンツが真正であるかどうかの質問に対するバイナリ回答を有することは望ましくない。同様に、様々な状況、時間、および評価者が、真正性および信頼性を評価するための様々なメトリックを有し得る。信頼できるコンテキスチャルコンテンツを生成および管理するためのシステムおよび方法は、これらの問題に対処し得る。
本明細書で説明されるアーキテクチャは、信頼できるコンテキストデータを作り出す、信頼できるデバイスを実装するための、暗号的に検証可能な認証および暗号化スキームを提供し得る。このシステムは、追加の信頼できるデバイスを使用して、データをさらに確証するための柔軟なアーキテクチャを提供する。このアーキテクチャは、信頼できるデバイスと混合された、信頼できないデバイスを使用して、信頼できるコンテキスチャルコンテンツを依然として作り出すための方法を提供する。このアーキテクチャは、集中型認証機関、認証コミュニティ、または両方の組合せを可能にする柔軟な認証スキームを提供する。このアーキテクチャは、時間の経過とともに変わる、または状況や評価者に基づいて異なって評価され得る、認証および信頼性のメトリックおよびスコアを備えた柔軟な認証スキームを可能にする。
このアーキテクチャは、信頼できるコンテキスチャルコンテンツデバイス、信頼できる構成要素、および信頼できるセンサを含み得る。いくつかの実装では、信頼できるコンテキスチャルコンテンツデバイスは、ロボット工学、特にドローンのために使用される。いくつかの実装では、集中型とコミュニティベースとの混合された認証スキームおよび/または非バイナリ認証スキームが利用される。デバイスおよびデータの信頼性および真正性を評価するためのメトリックおよびスコアを計算するための方法およびアルゴリズムが実装され得る。いくつかの実装では、信頼できるコンテキスチャルコンテンツのストレージおよびトランスポートのためのデータ構造が使用され、これは、さらなるコンテキスチャルコンテンツおよび署名が付加されることを可能にし、認証者が、コンテキスチャルコンテンツおよび署名を作り出したデバイスだけでなく、データ構造によって表されるコンテキスチャルコンテンツをも、容易に検証およびまたは評価することを可能にする。
図1は、信頼できるコンテキスチャルコンテンツを管理するためのシステム100の例のブロック図である。このアーキテクチャには、データを収集し、信頼できるコンテキスチャルコンテンツ(TCC)を作り出す1つ以上の信頼できるコンテキスチャルコンテンツデバイス(TCCD)(110および112)がある。これらのデバイスは、TCCを、公開およびプライベートネットワーク(たとえば、ネットワーク130および/またはプライベートネットワーク134)を介して、信頼できるコンテキスチャルコンテンツサービスプロバイダデバイス150、および信頼できるコンテキスチャルコンテンツコンシューマデバイス120(たとえば、デスクトップコンピュータ)へ直接配信するだけでなく、他のTCCD、信頼できないコンテキスチャルコンテンツデバイス、ソフトウェアサービス(132および136)へ配信することをも可能にする。TCCD(110および112)は、ワイヤドまたはワイヤレスデバイスとして、ネットワーク(たとえば、ネットワーク130)へ接続し得る。たとえば、TCCD110および112は、Wi-Fi、Bluetooth、ZigBee、プロプライエタリ(proprietary)、または他のタイプのワイヤレス技術、プロトコル、および規格を使用し得るワイヤレス接続114を介して互いに接続し得る。たとえば、TCCD110および112は、Wi-Fi、3G、LTE、プロプライエタリ、または他のタイプのワイヤレス技術、プロトコル、および規格を使用し得るそれぞれのワイヤレス接続116および118を介してネットワーク130に接続し得る。TCCDは、TCCのコンシューマでもあり、パススルーを介した他のTCCDおよび信頼できないデバイス、公開およびプライベートネットワーク(130および134)を介したソフトウェアサービス(132および136)、TCCコンシューマデバイス120、およびTCCサービスプロバイダデバイス150から、TCCを消費し得ることに注意することが重要である。
システム100は、オプションで、1つ以上のTCCサービスプロバイダデバイス150を含み、これらは、TCC、TCCD、およびまたはTCCコンシューマデバイス120へのサービスの形態で、値を消費する、記憶する、変更する、強化する、選択的に削減する、配信する、およびまたは他の方法で追加し得る。
このアーキテクチャには、TCCを消費してサービスを利用する1つ以上のTCCコンシューマデバイス1120がある。
システム100には、1つ以上の集中型認証機関デバイス140および/または分散型認証コミュニティデバイス144があり、これらは、次の2つの任意の組合せを相互に認証する責任がある:TCCD、TCCDユーザ、TCCサービス、TCCサービスプロバイダ、およびまたはTCCコンシューマ。相互認証は、通信をしている2つの当事者の識別が、相互に通信を試みている意図された当事者であることを検証することにより、プライバシを強化するのに役立つ。さらに、認証機関およびまたはコミュニティは、TCCを認証する責任がある。たとえば、TCCコンシューマは、特定のTCCを生成したTCCDおよび/またはTCCDユーザが、本当にTCC内部データ構造によって示されるものであることを検証したいと考えている。同様に、TCCDユーザは、意図されたTCC受信者の識別を検証することを望むであろう。たとえば、集中型認証機関デバイス140は、認証機関または認証機関のチェーンとして実装され得る。たとえば、(分散型認証コミュニティデバイス144を含む)分散型認証コミュニティは、信頼のウェブ(たとえば、PGPおよびGPGプロトコルを利用するコミュニティ)、信頼のマジョリティ(たとえば、コミュニティにおける参加者の大多数が同意する必要がある公開データベースまたは台帳)、信頼のコンセンサス(たとえば、コミュニティにおけるすべての参加者が同意する必要がある公開データベースまたは台帳)、または、信頼の投票(たとえば、コミュニティの参加者のすべてが、投票する機会を有し、結果が記録され、すぐにまたは後に評価されて、真正性または信頼性を決定する公開データベースまたは台帳)として実装され得る。
システム100は、非バイナリ認証をできるようにし得る。バイナリ認証は、デバイスの識別、およびコンテンツの真正性が、真または偽のいずれかであると見なすであろう。そのようなシステムでは、通常、識別が偽であると見なされると、デバイスとの通信が終了する。同様に、真正ではないと見なされるコンテンツを伝達する動機はないだろう。バイナリデバイス認証の典型的な例は、認証機関が、デバイス証明書が認証機関に登録されており、何らかの方法で認証機関に戻る起源をもつ適切な信頼のチェーンを有していることを確認することである。同様に、TCCの場合、TCCデータ構造内の1つ以上の署名を検証できる。そのとき、デバイス識別が検証され得る。非バイナリ認証を使用することが、デバイス識別だけでなくコンテンツへも、スコアまたはメトリックの割当のプロビジョンを可能にする。しきい値および評価メトリックが使用されて、システム要件に基づいて、デバイスとの通信が許可されるか、コンテンツが伝播されるべきかを決められる。また、そのようなスコアおよびメトリックがTCCデータ構造に付加された場合も、それらを後で再評価することが可能になる。たとえば、認証機関は、デバイス識別を有効と見なす場合があるが、そのようなデバイスは、非常に大きなコストとリソースで偽造される可能性があるというさらなる情報を有し得る。その場合、これを示すメトリックを提供し得る。たとえば、ゼロ以上、1以下の実数を使用すること、ここで、ゼロは完全に偽を表し(デバイスまたはコンテンツは、まったく真正ではないと考えられる)、1は完全に真を表す(デバイスまたはコンテンツは、完全に真正であると考えられる)。メトリックがしきい値以上の場合、デバイスまたはコンテンツが真正であると評価されるように、この範囲内でしきい値を定義できる。上記の例では、デバイスは、認証機関から0.3のメトリックを受信し、0.25のしきい値が、所与のアプリケーションおよび時間に使用され得、これが、メトリックは、しきい値以上であるので、デバイスまたはコンテンツが認証されるという結果になる。このメトリックを様々な機関で、様々な時間において確認すると、様々な結果になる可能性があることは注目に値する。たとえば、これらのデバイスの偽造を非常に簡単にするために何らかの技術が開発されたことが後で判明した場合、メトリックをより小さな値、たとえば0.001に下げられ得る。この場合、しきい値が大幅に下げられない限り、デバイスはもはや認証され得なくなる。これらのメトリックは、TCCにさらなるコンテキストを追加する可能性があるため、コンテキスチャルコンテンツとして取り扱い、TCCに付加し、署名して新しいTCCを作り出すことができる。
ハイブリッド認証スキームでは、これらの方法の2つ以上が使用され得る。様々な機能に対してどのような認証のタイプが許可されるかと、いかにそれらが評価されるかとに関するルールを定義するのは、システムの実装と要件次第である。たとえば、コミュニティを使用して、TCC認証のために信頼できるウェブを確立し、(たとえば、分散型認証コミュニティデバイス144からのものを含む)コミュニティ評価に60%の重み付けを行い、40%の重み付けがなされた(たとえば、集中型認証機関デバイス140からの)認証機関評価を使用することが可能である。そのようなスキームでは、コミュニティは、0.8のメトリックでTCCを評価でき、認証機関は、0.7として評価できる。重みを使用すると、これは以下:
(metric_1*weight_1)+(metric_2*weight_2)+・・・(metric_n*weight_n)=(0.8*0.6)+(0.7*0.4)=0.48+0.28=0.76 [式1]
のように全体的なメトリックに対して評価する。
システム100は、TCCD(110および112)の通信トランスポートおよび相互接続に使用される1つ以上の公開ネットワーク130および/またはプライベートネットワーク134、TCCサービスプロバイダデバイス150、TCCコンシューマデバイス120、集中型認証機関デバイス140、分散型認証コミュニティデバイス144およびサービス132を含む。さらに、サービス136は、プライベートネットワーク134上でホストされ得る。
システム100は、オプションで、1つ以上のTCCサービスプロバイダデバイス150を含み、これらは、TCC、TCCD110または112、およびあるいはTCCコンシューマデバイス120への値を消費する、記憶する、変更する、強化する、選択的に削減する、配信する、作り出す、およびまたは他の方法で追加し得る。いくつかの実装では、TCCサービスプロバイダデバイス150は、ネットワーク130による通信を介してサービスおよびメンテナンスのための情報を転送する。いくつかの実装では、TCCサービスプロバイダデバイス150は、通信リンク152(たとえば、Wi-Fi、Bluetooth、ZigBee、または他のワイヤレス通信リンク)上の通信を介して、TCCと、管理およびサービスのための情報とを、TCCD112に転送する。TCCサービスプロバイダデバイス150が、TCCを作り出す、および消費するの両方を行い得ることに注目すべきである。たとえば、サービスの1つの実施形態は、ビデオを含むTCC内の顔およびオブジェクトを検出できる。別の実施形態は、ビデオを含むTCC内のオブジェクト、または地理的場所への近接、またはグローバル基準に関する場所を含むTCC内の関心のあるポイントなどの特定の出来事またはイベントを求めてTCCを探索することができる。
いくつかの実装(図1には示されていない)では、TCCサービスプロバイダデバイス150は、省略され得、TCCコンシューマデバイス120は、ネットワーク130を介して、またはダイレクトポイントツーポイント通信リンクまたはメモリ転送124を介して、TCCD112に直接接続する。
いくつかの実装(図1には示されていない)では、デバイス製造者、サービスプロバイダ、コンテンツコンシューマ、および認証機関/コミュニティが、すべて1つのエンティティであるように、単一の組織が、システム100を閉じた様式で実装する。この例は、ファイアウォールの背後の、閉じたプライベートネットワークを有するエンティティであり、これは、それ自体のTCCDカメラを製造して、内部的に使用し、それ自体のプライベートネットワークで動いている内部開発されたソフトウェアサービスにTCCを配信し、それ自体の内部コミュニティを介して相互認証を提供し、ソフトウェアサービスを介してTCCを消費する内部組織または内部個人を有する。その場合、図1は、有効ではあるが、大幅に簡略化される。
図2は、ドローンによって生成された信頼できるコンテキスチャルコンテンツを管理するためのシステム200の例のブロック図である。この実装では、TCCDはドローン210であり、それは、様々なビデオ、オーディオ、時間、場所、機首方位、高度、温度、加速度、および速度センサからデータを収集し、データを処理してコンテンツを作り出し、さらにコンテンツを処理してコンテキスチャルコンテンツを作り出し、オプションで、コンテキスチャルコンテンツを暗号化して、暗号化されたコンテキスチャルコンテンツを作り出し、暗号化されたコンテキスチャルコンテンツに署名してTCCを作り出す。システム内の他のプレーヤが、TCCDとTCCとの両方を認証できるという事実により、コンテキスチャルコンテンツは、信頼できると考えられ得る。TCCDドローン210は、ワイヤレス通信リンク214(たとえば、Wi-Fi、Bluetooth、またはZigBeeリンク)を介して、TCCをTCCDドローンコントローラ212に渡す。たとえば、ドローン210およびドローンコントローラ212は、それぞれのワイヤレス接続216および218を介してネットワーク230に接続することができ、これらは、Wi-Fi、3G、LTE、プロプライエタリ、または他のタイプのワイヤレス技術、プロトコル、および規格を使用し得る。異なる実装では、ドローン210が、TCCを、TCCDスマートデバイスに、信頼できないスマートデバイスに、信頼できないドローンコントローラに、公開ネットワーク230またはプライベートネットワーク234(たとえば、Wi-FiまたはLTEネットワーク)を介して直接サービス(たとえば、フリート管理サービス266)に、直接TCCサービスプロバイダデバイス250に、または直接TCCコンシューマデバイス220に渡すことも有効であることは注目に値する。いくつかの実装では、TCCコンシューマデバイス120は、ネットワーク230を介して、またはダイレクトポイントツーポイント通信リンクまたはメモリ転送224を介して、ドローンコントローラ212に接続する。たとえば、TCCコンシューマデバイス220は、裁判所、法律事務所、公安担当官、および/または法執行官によって利用され得る。
ドローン210はまた、TCC、たとえば、セキュアな時間サービス268からの信頼できる時間ソースを消費することができる。ドローン210はまた、TCC、たとえば、そのグローバルナビゲーション衛星システム(GNSS)センサシステムから時間基準を作り出す。さらに、ドローン210は、内部の改ざん防止時間ソースを有することができる。多数のソースが、同じ誤りを反映する必要がある場合、類似したコンテンツのこれらの独立した基準のすべてを相関付けることにより、TCCDは、攻撃する、変造する、または誤って破損することがより困難になる。デバイスの信頼性を強化するために、相関付けられていないデータの独立した基準の多くのそのような組合せを有することが可能である。さらに、これらのソースがクロスチェックされて、デバイスの障害、改ざん、または攻撃を検出できる。障害、改ざん、および攻撃は、TCC自体の内部で報告され得、デバイス(たとえば、ドローン210)は、これらのイベントが検出されたとき、またはデバイスユーザを変更したときに、TCCを作り出し送信することを停止できる。
TCCDドローンコントローラ216は、公開ネットワーク230および/またはプライベートネットワーク234を介してTCCサービス(たとえば、セキュアなストレージサービス236)に渡すだけでなく、TCCをTCCサービスプロバイダデバイス250にも直接渡す。
ドローン210およびドローンコントローラ212は、コンテンツストレージ262、トラフィック管理264、フリート管理266、およびセキュアなストレージサービス236のためのTCCの製作者だけでなく、トラフィック管理264、フリート管理266、およびセキュアな時間サービス268のコンシューマでもある。
たとえば、トラフィック管理サービス264は、エリア内の他の航空機の更新、制限された飛行ゾーン、および一時的な飛行制限および高度制限を提供し得る。トラフィック管理サービス264はまた、ドローン210からのTCCを使用して、その地理的場所、高度、機首方位、速度、風、および天気の推定を決定することができる。トラフィック管理サービス264は、TCCおよびTCCDを認証して、信頼性をアサートし、そのデータベースを更新して、他の航空機が、この情報を利用できるようにすることができる。これは、TCCサービスプロバイダが、潜在的に多くのTCCDからTCCを取り、それが多くの認証済みデバイスの時間、地理的場所、高度、速度、および方位を検証できる場合、航空トラフィックの信頼できる表現を提示する能力を介してすべてのTCCコンシューマに値を追加することの例である。
たとえば、フリート管理サービス264は、TCCDおよびTCCDユーザのためのメンテナンスを追加する、削除する、プロビジョンする、割り当てる、割り振る、割り当て解除する、追跡する能力を提供することができる。
たとえば、セキュアな時間サービス268(たとえば、セキュアなNTP)は、TCCをシステム内の他のプレーヤだけでなく、TCCDにも提供して、時間のための信頼できる基準を提供することができる。時間は、ほとんどすべてのコンテンツとコンテキスチャルコンテンツに共通の基準である。1つの実施形態は、TCCが作り出された直後に、デバイスTCCのハッシュを、サービスまたは公開台帳に公開することができるだけでなく、デバイスのTCC内にセキュアな時間サービス268からの時間を含めることもできる。TCCコンシューマまたは検証者は、TCCに組み込まれた時間(下限)と、サービスまたは公開台帳が更新された時間(上限)との組合せを使用して、TCCが作り出されたとき、したがって、TCCが記述するイベントが生じたときの証明可能な時間範囲を確立できる。
たとえば、コンテンツストレージ262およびセキュアなコンテンツストレージ236サービスは、TCCDだけでなく他のサービスとの両方によって生成されるTCCの永続的なバックアップ、アップロード、およびダウンロードを提供することができる。
システム200は、1つ以上の集中型認証機関デバイス240および/または分散型認証コミュニティデバイス244を含み、これらは、次の2つの任意の組合せを相互に認証する責任がある:TCCD、TCCDユーザ、TCCサービス、TCCサービスプロバイダ、およびまたはTCCコンシューマ。たとえば、集中型認証機関デバイス240は、ドローン製造者、ドローンシステムオンチップ製造者、規制機関、または民間機関によって利用され得る。たとえば、集中型認証機関デバイス240は、認証機関または認証機関のチェーンとして実装され得る。たとえば、(分散型認証コミュニティデバイス244を含む)分散型認証コミュニティは、信頼のウェブ(たとえば、PGPおよびGPGプロトコルを利用するコミュニティ)、信頼のマジョリティ(たとえば、コミュニティの参加者の大多数が同意する必要がある公開データベースまたは台帳)、信頼のコンセンサス(たとえば、コミュニティのすべての参加者が同意する必要がある公開データベースまたは台帳)、または、信頼の投票(たとえば、コミュニティの参加者のすべてが、投票する機会を有し、結果が記録され、すぐにまたは後で評価されて、真正性または信頼性を決定する公開データベースまたは台帳)として実装され得る。たとえば、分散型認証コミュニティデバイス244は、市民、ウォッチドッグエンティティ、ドローンユーザ、またはTCCコンシューマによって利用され得る。
たとえば、TCCサービスプロバイダデバイス250は、ドローン製造者、クラウドサービスプロバイダ、ドローン保険プロバイダ、またはドローン修理/交換プロバイダによって利用され得る。いくつかの実装では、TCCサービスプロバイダデバイス250は、ネットワーク230上の通信を介して、サービスおよびメンテナンスのための情報を転送する。いくつかの実装では、TCCサービスプロバイダデバイス250は、通信リンク252(たとえば、Wi-Fi、Bluetooth、ZigBee、または他のワイヤレス通信リンク)上の通信を介して、管理およびサービスのためのTCCおよび情報をドローンコントローラ212に転送する。
たとえば、ネットワーク230を介して利用可能な他のサービスは、地図サービス260、天気サービス270、ユーザ許可サービス272、およびTCCウォッチドッグサービス274を含むことができる。
図3は、信頼できるコンテキスチャルコンテンツのフォーマットの例を示すメモリマップ300である。コンテキスチャルコンテンツは、環境およびイベントが理解および評価され得るように処理および編成される固有データとオプションで組み合わされた、1つ以上のソースからのデータである。信頼できるコンテキスチャルコンテンツのアーキテクチャは、信頼できるコンテキスチャルコンテンツ(TCC)のストレージおよびトランスポートのためのデータ構造を定義する。TCCは、暗号で検証および監査され得る。TCCは、デジタル署名を使用して、位置合わせ、認証、識別、および検証のために、知られている方法を利用する。図3は、有効なフォーマットされた信頼できるコンテキスチャルコンテンツの多くの例を示し、ここでは、「コンテキスチャルコンテンツ」が「CC」と短縮され、「署名」が「S」と短縮されている。TCC310のデータ構造は、コンテキスチャルコンテンツ312と、署名314のような認証のための手段とを含み得る。たとえば、TCC310の1つのフォーマットは、コンテキスチャルコンテンツ312と、それに続くデジタル署名314として定義され得る。データ構造は、自己記述式フォーマットで記憶されるコンテキスチャルコンテンツのフォーマットを定義することができ、これは、署名自体の記述を含むことができ、オプションで、コンテキスチャルコンテンツ自体内に署名を含めることができる。たとえば、XMLは、自己記述式フォーマットであり、バージョンおよびプロトコルに関する情報、TCCを生成したデバイスに関するコンテンツや、スカラ、単位、および時間データを含むコンテキスチャルコンテンツ自体だけでなく、それ自体のデータ構造の全長のタグ値のペアをも含み得る。たとえば、TCC320は、関連するコンテキスチャルコンテンツの多数のブロックと、TCCD(たとえば、ドローン210)によって署名されたコンテキスチャルコンテンツの多数のブロックのデジタル署名とを含む。外部データを認証できる値だけでなく、外部ファイルまたはデータを指し得るタグ値のペアをも定義することが可能である。たとえば、ビデオファイルの署名を有する外部ビデオファイルを指すタグ値のペアである。TCCは、それ自体がコンテキスチャルコンテンツであるため、カプセル化されたTCCだけでなく、予想されるデジタル署名が付加されている限り、コンテキスチャルコンテンツおよび/またはTCCの後に、追加のコンテキスチャルコンテンツおよびまたはTCCをも有することは有効である。たとえば、TCC330は、TCCD(たとえば、ドローン210)によって適用される新しいデジタル署名334でカプセル化された(たとえば、信頼できるセンサ710のように、信頼できるセンサからの)TCC332を含む。たとえば、TCC340は、(たとえば、TCCD510からの)新しいデジタル署名を備えた多数のカプセル化されたTCCを含む。たとえば、TCC350は、多数のカプセル化されたTCCと、(たとえば、TCCDドローン910からの)新しいデジタル署名を備えたCCの多数の追加のブロックとを含む。
このフォーマットは、TCCコンシューマまたは認証者が、TCCおよびまたはそれを作り出したデバイスを認証するだけでなく、データ構造を簡単に調べて、TCCを理解することをも可能にする。このフォーマットは、データ構造が伝達されるときに、多数のデバイスおよびサービスが、追加のデータおよび署名を付加することを可能にする。データの付加することは、すべての以前の署名を伴うデータ構造全体を含み得る追加の署名を適用することを含む場合があり、これは、構造に含まれるデータを暗号的に変えることを困難にする。
図4は、信頼できるコンテキスチャルコンテンツの例を示すメモリマップ400である。図4は、温度測定デバイスによって作り出され得るTCC410の例を示す。この例では、デバイス実装は、コンテキスチャルコンテンツとしていくつかの固有データを含めることを選択する:同様のメッセージが捏造される可能性がないように、グローバルに一意の番号420の1回の使用。TCC410はまた、製造者名、デバイス名、デバイスモデル番号、製造者ロット番号、および一意のデバイスIDのような製造者情報430を含む。TCC410は、環境を記述するいくつかの測定データ440を含み、所与の所および時間のイベントがより完全に理解される:摂氏温度;暦月、日、および年;GMTに対する時間;北緯および西経の角度での地球の地理的場所、WiFi SSID、またはセルラタワー識別子。TCC410は、デバイスの署名鍵を使用する一意のグローバルIDを有するデータ構造に特定のデジタル署名450を含む。このフォーマットは、認証者が、デバイスの公開データを使用してデータ構造を検証することを可能にし、TCCコンシューマが、TCC410を作り出したTCCDと直接通信する必要なくTCC410を簡単に解釈することを可能にする。
デバイスの公開データ(たとえば、公開鍵やデバイス証明書)は、コンテキスチャルコンテンツと考えられ得、データ構造に直接組み込まれる場合があることに注意されたい。データプライバシのためにこのデータ構造を暗号化することはオプションであり、TCCDおよびTCC認証には必要ないことに注意されたい。TCCDは、直接評価するか、後にコンテキスチャルコンテンツを評価するために使用され得るデータを作り出し得ることに注意されたい。そのようなデータは、コンテキスチャルコンテンツ自体と考えられ得、データ構造に直接組み込まれる。たとえば、2つは期待通りに有効な読取値を作り出し、3つ目は所与の環境では統計的にありそうもないと思われる疑わしい無効な読取値を作り出す、3つの温度センサを備えたTCCDである。そのようなデバイスは、TCCに3つの読取値すべてを含めるか、誤りモデルおよびセンサからの障害データを考慮するフィルタに基づく単一の読取値および品質スコアのみを含めるか、または、TCCが後で評価または再評価され得るように、これら2つのアプローチの組合せを含めることができるようにする。このデータ構造を使用すると、追加のデバイスがTCCを付加したり、カプセル化されたTCCの評価を追加することが可能である。たとえば、第1のデバイスと同時に同じエリアにある第2のデバイスは、元のTCCを確証するかまたは否定するのに役立つそれ自体のデータを付加できる。2次的な(secondary)デバイスは、付加されるデータに組み合わされたデータのそのような追加のメトリックおよびスコアを含めることができる。同様に、TCCサービスは、追加のTCCを付加したり、多くのソースからのTCCを組み合わせてそれら自体のTCCを作り出し得る。さらに、TCCのサブセクションは、伝播するように選択的に選択され得る一方、他のサブセクションは省かれるが、これはTCC境界でのみ実行され得る。コンテキスチャルコンテンツは、TCCから選択的にサンプリングされて、派生TCCを作成できるが、この場合、元のTCCは、元のTCC製作者からの署名を失い、そのデバイスへと戻る信頼のチェーンを失うことに注意されたい。対照的に、TCC境界(コンテキスチャルコンテンツとその検証データ)においてTCCを選択的にサンプリングすることは、元のTCCを作り出すデバイスまたはサービスへと戻る信頼のチェーンを維持する。
図5は、信頼できるコンテキスチャルコンテンツデバイス510の例のブロック図である。信頼できるコンテキスチャルコンテンツデバイスは、データを収集し、データを、他のデータおよびデバイス固有データ(たとえば、時間、スケーリングパラメータ、および較正パラメータ)へ参照することを介して、データコンテキストを与え、データを処理してコンテキスチャルコンテンツを作成し、オプションで、コンテキスチャルコンテンツを暗号化し、コンテキスチャルコンテンツに署名してTCCを作成し、オプションで、そのTCCを記憶し、ワイヤレスまたはワイヤドインターフェースを介してTCCを送信する。ワイヤドインターフェースは、USBタイプ-Cコネクタ上のUSBデータを含むことができ、ワイヤレスインターフェースは、Wi-Fi、Bluetooth、3G、4G、LTE、およびプロプライエタリを含むとができる。たとえば、信頼できるコンテキスチャルコンテンツデバイス510は、図10のデバイス1000を含み得る。
信頼できるコンテキスチャルコンテンツデバイス510は、コンテンツの第1のセットを出力する1つ以上のセンサ512と、コンテンツの第2のセットを出力する1つ以上のセンサ514とを含む。信頼できるコンテキスチャルコンテンツデバイス510は、コンテキスチャルコンテンツを生成するために、1つ以上のセンサ512、および、1つ以上のセンサ514からのコンテンツに、信号処理を適用する処理モジュール520を含む。コンテキスチャルコンテンツはまた、信頼できるコンテキスチャルコンテンツデバイス510のデバイス固有データ526を含み得る。コンテキスチャルコンテンツは、コンテキスチャルコンテンツをセキュアにするために、真の乱数発生器532および暗号化鍵534を使用する暗号化モジュール530で暗号化され得る。セキュアなコンテキスチャルコンテンツは、信頼できるコンテキスチャルコンテンツデバイス510に署名鍵552を適用する署名モジュール550で署名され得る。
TCCDは、オプションで、TCCおよびまたは信頼できないコンテキスチャルコンテンツ、およびまたはデータを受信し得る。そのようなデータはまた、TCCを作り出すモジュールによって処理され得る。たとえば、TCCDは、LTEインターフェースを介して、公開ネットワーク上のセキュアな時間サーバから、セキュアな時間TCCを受信し、このデータを使用して、デバイスの現地時間を参照し、確認し、および修正し得る。TCCDの1つの実施形態は、その構成要素すべてのデバイス固有データをハッシュし、このハッシュをそのデバイス証明書に含めるか、後で作り出されるTCCに含めるか、または後で監査され得るようにサービスまたは公開台帳に公開し得る。
TCCD510は、セキュアなブート522、(ブートローダ、ファームウェア、およびソフトウェアの)アンチロールバック524、暗号化システムに適したハードウェア真の乱数発生器(TRNG)532、およびルート鍵ペアを介した信頼のルート540を含む。これらの特徴は、デバイスのセキュリティおよび信頼性を向上させるソフトウェアを後でリリースしたり、システム実装において発見された欠陥を修繕できるソフトウェアパッチをリリースする能力を与える。さらに重要なことに、これらの特徴がないことは、ソフトウェアの更新に単に依存する能力を妨げ、これらのタイプの改善をロールアウトするために、ハードウェアの改訂を必要とする場合があることに注意されたい。これらの特徴は、デバイスが、TCCコンシューマによって信頼され得る方法でTCCを作り出すこともできるようにする。
セキュアなブート522は、その後に実行されるデバイスブートローダによってロードされるファームウェアおよびソフトウェアが製造者が意図したファームウェアおよびソフトウェアであることを保証する、セキュアなブートローダの実装によってできるようにされる。悪意のある、または意図されていないソフトウェアおよびファームウェアは、TCCDでは実行しない。アンチロールバック524は、TCCDにロードされた新しいブートローダ、ファームウェア、およびソフトウェアが、現在のバージョンよりも新しいバージョンであることを保証する。これは、TCCDバイナリが、知られている欠陥およびまたはエクスプロイトのあるバージョンに戻されないことを保証する。これは、デバイスの製造者、およびまたは、ブートローダ、ファームウェア、およびソフトウェアの開発者が、欠陥やエクスプロイトを修繕するアップデートをリリースし、修繕が適用され、削除または復帰されないことを、TCCDユーザに保証することをできるようにする。それはまた、TCCコンテンツコンシューマが、それらのTCCをクロスチェックして、TCCDブートローダ、ファームウェア、およびソフトウェアの知られている欠陥やエクスプロイトがないバージョンによって作り出される可能性を低減し、信頼できない、または、欠陥やエクスプロイトが発見された後、信頼できなくなるTCCを、無効化する、削除する、またはフラグ付けすることを可能にする。暗号化システムに適したハードウェア真の乱数発生器532は、統計的にランダムで予測不可能な数値を作り出せるデバイスである。TRNGは、しばしば、意図的に観察および改ざんすることが難しい。TRNG532は、鍵の生成、暗号化、署名、および暗号化通信プロトコルに使用され得ることを考えると、強力で信頼できるシステムを作成するための重要な一部である。これらのプロトコル、アルゴリズム、およびプロセスにおけるTRNG532の利用は、デバイスが、悪意のある攻撃に対してさらにレジリエントであり、TCC、TCCD、および他のデバイスやインフラストラクチャとの通信の信頼性の維持に役立つことを保証する。信頼のルート540は、TCCDのために確立され得る。暗号化システムの場合、これは通常、デバイスまたはSoCの作成時と、デバイスのプロビジョニングとの間に実装され、暗号化システムの基礎として使用され、認証および暗号化の基本となるデータの作成または投入(injection)として実装される。TCCD510は、データの作成または投入のプロセスと同等にのみ信頼され得る。TCCDの場合、これは、外部の信頼できる機器によって投入されるか、または、(IC作製時または作製後プロビジョニング時における)TCCD製造者の集積回路ベンダのうちの1つ、または(製造時または製造後プロビジョニング時における)TCCD製造者、または(デバイスのシステムへのプロビジョニング時における)TCCDカスタマのうちのいずれかによって、TCCD510によって内部的に、ハードウェアセキュアな要素によって作り出される、ルート鍵ペアとして実装され得る。信頼できる機器の場合、そのような機器の信頼のレベルは、非常に重要であり、なぜなら、それは、同じ鍵材料を使用して、誤ってまたは悪意を持って異なるパーツを作り出す可能性があるためである。鍵ペアは、秘密鍵および公開鍵で構成される。これらの鍵は、たとえば、暗号化鍵および署名鍵のように、暗号化および認証サブシステム用の他の様々な鍵を生成するために使用される。さらに、デバイス証明書がプロビジョンされ、インストールされ、認証機関およびまたは認証コミュニティと公開して共有される。SoC製造者、TCCD製造者、およびTCCDカスタマのおのおのが、互いに信頼を委任することにより、信頼のチェーンを確立することができる。たとえば、知られているx.509規格は、チェーンにおける最後のプレーヤが、中間証明書を使用して、デバイス証明書をプロビジョンするまで、各当事者が、連続する中間電子証明書に署名することで、信頼を委任することを可能にする証明書フォーマットを定義する。これは、認証者が、デバイスの識別情報およびTCCが真正であることを確実に検証できることのみならず、知られている方法を使用して、信頼のルートを、ある起源までトレースバックすることを可能にする。たとえば、知られている信頼できる認証機関(CA)は、知られている信頼できる証明書を所有している。CAは、それがSoC製造者に付与する中間証明書に署名し得る。その後、SoC製造者は、SoCを製造して、TCCD製造者にそれらを販売し、別のカスケードされた中間証明書に署名して、それをTCCD製造者に付与する。TCCD製造者は、SoCを構成要素として使用してTCCDを製造し、製造プロセス中にSoCに信頼のルートを確立し、中間証明書を使用して、デバイスによって署名されたデバイス証明書をプロビジョンする。デバイスはTCCDカスタマに販売され、デバイス証明書のコピーが、認証機関およびコミュニティに公開される。後に、デバイスは、ネットワークにプロビジョンされ、サービスと通信し、TCCを作り出し得る。システム内の他の当事者が、デバイスまたはそのTCCと相互作用するときに、認証機関およびまたはコミュニティに確認して、デバイスの識別およびTCCの真正性を検証するのみならず、デバイスの証明書のチェーンが有効であることを二重に確認することもできる。これは、デバイス証明書が有効であるのみならず、TCCD製造者、SoC製造者、およびCAの中間証明書も有効であることを意味する。この信頼のチェーン全体を検証することが可能であるため、意図されていない信頼のルートを捏造することは非常に困難になる。攻撃者または悪意のある当事者は、TCCD製造者のみならず、SoC製造者、および認証機関をも破壊する必要がある。さらに、信頼のチェーンにおけるいずれかの当事者は、そのような試みを検出することができる。TCCDは、オプションで、多数のユーザを有する機能を提供する。多数のユーザが、ユーザの追加および削除と、ユーザの認証と、ログインと、ログアウトと、権限のレベルの定義および調整と、特定の特徴へのアクセスの定義および調整と、データへのアクセスの定義および調整と、ユーザデータの分割と、データの共有と、データの読取、書込、および読取書込アクセスの定義および調整とを行うための方法を実装できるデバイス。たとえば、デバイスは、デバイス上のすべてのデータ、コンテンツ、および機能への最高レベルのアクセスを有する管理ユーザと、フィールドTCC収集に関連する機能へのアクセスを有するユーザと、TCCをデバイスから特定のTCCサービスに転送するのみの制限されたアクセスを有するユーザとを有し得る。
セキュアなブート522は、ブートローダ、主要なオペレーティングシステムファイル、および無許可のオプションROMの改ざんを、それらのデジタル署名を検証することによって検出するプロセスを含み得る。検出は、それらがシステムを攻撃するまたは影響を与え得る前に、動くことがブロックされる。セキュアな認証済みのコンテキストデータシステムのコンテキストでは、セキュアなブート522は、システムによって実行されているバイナリが、デバイス製造者がデバイス上で実行することを意図した正しいバイナリであることを保証するので、システムは、攻撃者によって破壊されない。セキュアなブートシステムは、いずれかの改ざんが試みられると、システムが動かず、潜在的に他のシステムに通知またはアラートしたり、または、ユーザインターフェースを使用して、ユーザにそれを示す、ハードウェアとソフトウェアとの組合せであることが、典型的である。ハードウェアハッシュと、ブートローダが、実行のためにジャンプすることを意図するソフトウェアイメージの検証とが行われ得る。セキュアなブート522を実装するための多くの知られた方法があり、多くのセキュリティのレベルがある。デバイス上のソフトウェアおよびファームウェアのすべてのバージョンが、多数の構成要素から成るソフトウェアおよびファームウェアのイメージを有するシステムにおいて、互換性があることを検証することは優れた実践である。
アンチロールバック524は、ハードウェア、ソフトウェア、またはハードウェアとソフトウェアの混合プロセスまたは実装を含み得、システム上でソフトウェアの以前のバージョンを実行することを妨げ、したがって、ソフトウェアの現在のバージョンまたは将来のバージョンのみを実行し得る。そのような特徴は、実行中のソフトウェアのバージョンを確実に検出し、ソフトウェアには、それを表す信用できるスキームがある。これは、バージョンナンバリングスキーム、ハードウェアOTP、および最小デジタル署名システムバイナリを使用して実装され得る。
信頼のルート540は、暗号化システムの基盤を確立するために、データを生成またはデバイスに投入するハードウェア、ソフトウェア、またはハードウェアとソフトウェアの混合プロセスを含み得る。これは、しばしば、鍵のペア、一つは公開鍵、一つは秘密鍵、の生成または投入として実装され、秘密鍵のランダム性、予測不可能性、および機密性は、暗号化システムの動作の基本である。そのような公開鍵と秘密鍵との生成、投入、および取扱が、そのようなシステムを攻撃する時間および場所を提示することは注目に値する。このため、システムが、信頼できる当事者の管理を離れると、そのような動作を行うのは適切でない場合がある。製造者は、信頼できる当事者であり、検証可能な信頼のチェーンが、信頼できる機関およびまたはコミュニティに対して確立されることがしばしばある。これらの動作を行う機器へのアクセスを制限およびセキュアにするだけでなく、製造施設をもセキュアにするために注意が払われるのが一般的である。用途、製品、およびカスタマ要件に応じて、製造施設の地理的場所だけでなく、製造パートナをも選択する際には、多くの場合、注意が払われる。
信頼できるコンテキスチャルコンテンツデバイス510は、一意のデバイス識別542およびデバイス証明書544を含む。
信頼できるコンテキスチャルコンテンツデバイス510は、改ざん防止組込式不揮発性メモリ560を含む。たとえば、改ざん防止組込式不揮発性メモリ560が使用されて、信頼できるコンテキスチャルコンテンツデバイス510によって生成されたTCCを、信頼できるコンテキスチャルコンテンツデバイス510上にローカルに記憶することができる。
図6は、信頼できる構成要素610の例のブロック図である。TCCD(たとえば、信頼できるコンテキスチャルコンテンツデバイス510)は、オプションで、1つ以上の信頼できる構成要素を有し得る。信頼できる構成要素は、それ自体が暗号で検証可能な、信頼のルートを有するデバイス内部品である。TCCDの1つの実施形態では、デバイス内のすべての信頼できる構成要素の公開鍵を、そのデバイス証明書に含めることが可能である。これは、TCCDに、特定の構成要素のセットが含まれているという信頼を提供するのに役立ち、デバイスが、リサイクルされた、または未承認の部品で作られるのを防ぐのに役立つ。それはまた、製造後に修正されたTCCDを検出することにも役立つ。
信頼できる構成要素610は、信頼のルート640、それ自体を識別するためのいくつかのデバイス固有データ626、信号処理および通信を行うための処理モジュール620、署名モジュール650、一意の署名鍵652、および通信のための外部インターフェースを有する。信頼できる構成要素610は、オプションで、データを収集するための1つ以上のセンサ612、1つ以上の追加の信頼できない外部インターフェース、TRNG632、一意のデバイス識別642、およびデバイス証明書644を有し得る。単純な信頼できる構成要素は、製造時にインストールされたグローバル署名鍵を有することができ、これは、外部インターフェース上で単純なメッセージに署名するために使用される。例は、製造者名、ねじのロット番号、ねじの材料、ねじの寸法、およびねじの質量を、固有データとして有する、信頼できる機械式ねじである。固有データが照会され得るワイヤレスインターフェースを有する可能性もある。それは、応答すると、知られているデジタル署名アルゴリズム(たとえば、ECDSA)を使用して、その署名鍵652でメッセージに署名する。照会デバイスは、知られている方法を使用して、固有メッセージを検証し、固有データが正しいことを検証できる。より複雑なデバイスの実施形態は、攻撃者が1つのデバイスを、悪意を持って破壊した後に、任意のデバイスをでっち上げる能力を防ぐであろう一意の署名鍵を有することができる。信頼できる構成要素のさらに別の、より複雑でロバストな実施形態は、TRNG652、一意のデバイス識別642、およびデバイス証明書644を含み得る。信頼できる構成要素はさらに、オプションで、デバイスに記憶されるデータと、信頼できるインターフェース上で通信されるデータとを、暗号化し得る。
図7は、信頼できるセンサ710の例のブロック図である。TCCD(たとえば、信頼できるコンテキスチャルコンテンツデバイス510)は、オプションで、1つ以上の信頼できるセンサを含み得る。信頼できるセンサは、1つ以上のセンサを含み、暗号で認証可能なデータを作り出す信頼できる構成要素である。信頼できるセンサとインターフェースするシステムは、センサが、意図されたセンサであることを認証できる場合がある。たとえば、製造者AAが、一意のIDであるAA-BB-CCを有するセンサモデルAA-BBを製造している場合、システムは、デバイスに暗号で照会し、センサが、実際にAAからのものであり、モデル番号AA-BBを有し、一意のIDであるAA-BB-CCを有することを検証できる。信頼できるセンサは、オプションで、物理的な改ざんに対するガード、較正データが有効であるというアサーション、動作および保証条件が満たされているというアサーションを実装することもできる。このように、信頼できるセンサを利用するTCCDシステムアーキテクチャは、デバイス上で作り出されたTCCが真正で有効であることをさらに保証できる。
信頼できるセンサ710は、1つ以上のセンサ712(たとえば、超音波変換器、無線受信機、フォトダイオード、フォトダイオードアレイ、マイクロボロメータ、画像センサ、サーミスタ、GNSS受信機、加速度計、ジャイロスコープ、磁気計、または圧力センサ)を含む。信頼できるセンサ710は、信頼のルート740、それ自体を識別するためのいくつかのデバイス固有データ726、コンテンツの信号処理および通信を行うための処理モジュール720、署名モジュール750、一意の署名鍵752、および通信のための外部インターフェースを有する。信頼できるセンサ710は、TRNG732、一意のデバイス識別742、およびデバイス証明書744を含む。単純な信頼できるセンサは、外部インターフェース上で単純なメッセージに署名するために使用される製造時にインストールされたグローバル署名鍵を有し得る。より複雑な信頼できるセンサの実施形態は、攻撃者が、1つのデバイスを、悪意を持って破壊した後に、任意のデバイスを偽造する能力を防ぐ、一意の署名鍵752を有することができる。信頼できるセンサのさらに別のより複雑でロバストな実施形態は、TRNG752、一意のデバイス識別742、およびデバイス証明書744を含み得る。信頼できるセンサはさらに、オプションで、デバイスに記憶されているデータと、信頼できるインターフェース上で通信されるデータとを暗号化することもできる。
信頼できるセンサの例は、信頼できる画像センサである。図8は、信頼できる画像センサ810の例のブロック図である。信頼できる画像センサ810は、可視スペクトルにおける光を感知する焦点面アレイ812を含む。信頼できる画像センサ810は、レンズが調整された、除去された、または他の方法で改ざんされたか否かを検出できる電気スイッチセンサからの電気信号に基づいて、レンズの改ざんを検出するように構成されたレンズ改ざん検出器814を含む。信頼できる画像センサ810は、慣性センサからの慣性信号に基づいて、レンズへの衝撃を検出するように構成されたレンズ衝撃検出器816を含み、これは、レンズを損傷するか、または、レンズからセンサ、レンズからデバイス、またはセンサからデバイスへの較正を無効にする、大きな衝撃があるか否かを検出できる。信頼できる画像センサ810は、信頼のルート840、それ自体を識別するためのいくつかのデバイス固有データ826、コンテンツの信号処理および通信を行うための処理モジュール820、署名モジュール850、一意の署名鍵752、および通信のための外部インターフェースを有する。デバイス固有データ826は、製造者、製造日、ロット番号、特定のモデル、一意のデバイス識別子842、センサ較正データ、レンズ較正データ、較正日、較正場所、測定データをピクセルデータに変換するためのスカラおよび行列、ならびにデバイス証明書844を含み得る。信頼できる画像センサ810は、ハードウェアTRNG832、製造時にハードウェアセキュアなモジュールを使用して内部的に生成されたルート鍵ペアとしての信頼のルート840、製造された一意のデバイス識別842、デバイス証明書844、および製造時における署名鍵852を含む。信頼できる画像センサ810は、ECDSA署名画像データを、他の構成要素に送信する、信頼できる外部MIPIインターフェースを含み得、これは、知られている方法を使用して、インターフェース上のデータの真正性を暗号的に検証することができる。それはさらに、デバイスレジスタの読取および書込だけでなく、コマンドおよび制御メッセージのためにも、信頼できる外部SPIまたはI2Cインターフェースを有し得る。これらのインターフェース上のメッセージは署名されることもでき、これによって、外部デバイスも同様に、メッセージの真正性を検証し、データを登録できる。登録データは、較正データのようなデバイス固有データ826を含み得る。信頼できる画像センサ810は、センサのレンズが改ざんされた場合、またはセンサが落下したことを慣性的に検出した場合に、画像データにフラグを立てる処理機能を実装することができる。このような事例では、センサから画像データが送信されることを可能にせず、障害または誤りが発生したことを示すメッセージのみを可能にする処理機能を追加で実装する場合がある。多くの場合、デバイスは、センサデータを削減する。たとえば、多くの画像デバイスは、画像センサデータを圧縮するであろう。この場合、信頼できるセンサからのデータを、それが圧縮される前に検証することが重要である。信頼できる画像センサ810のデバイス証明書844を、そのTCCに組み込まれることができる固有のTCCDデータとして含めることも有用であろう。これは、TCCコンシューマが、証明書の失効や、他の知られている動作を確認することだけでなく、信頼できるセンサを検証することをも可能にする。
1つ以上の信頼できる構成要素と、1つ以上の信頼できるセンサとを含むTCCDは、デバイスによって収集されたデータが有効であるという暗号的に検証可能な保証を提供できる場合がある。たとえば、信頼できる画像センサを含むTCCDは、光子が、信頼できる画像センサの焦点面アレイに到着した時点から、真正であることが保証されている、暗号で検証可能なTCC画像データを提供できる。対照的に、信頼できる画像センサのないTCCDは、デバイス内のメインアプリケーションプロセッサが、データに署名したときからのみ、TCCの真正性を保証できる。そのようなシステムでは、画像センサに障害または改ざんが、不注意に欠陥があるか、または悪意を持って捏造された画像センサデータを作り出す可能性がある。対照的に、典型的なデバイスは、そのコンテキスチャルコンテンツが信頼できるという保証を提供しない場合がある。
TCCDは、1つ以上のセンサを使用して、将来のコンテキスチャルコンテンツ値を予測し、結果を評価し、結果をデバイスTCCに含めることで、それらのデータの信頼性を向上させようと試み得る。これは、推定技法を使用して達成できる。たとえば、単一の温度センサを備えた温度TCCDは、線形2乗推定技法を使用して、センサを経時的にサンプリングし、センサに関して知られている固有データ、たとえば、そのようなセンサの予想される誤差のモデルを使用して、次の値を予測できる。予測値と実際の値とが比較され使用されて、センサ読取値の品質メトリックを定義できる。推定技法を使用することは、依存するデータソースを有する多くのセンサが比較されて、1つ以上のセンサデータが無視されるか、より信頼できないかを決定できる。たとえば、多くの温度センサを備えたシステムは、すべての読取値を、所与の条件でシステムにわたる温度がどのように変化するのかを示すモデルなどの固有データと比較して、センサのデータの1つ以上が、無視されるか、より信頼できないかを決定するためのメトリックを作成することに役立つ。相関誤りのあるN個のセンサを考えると、以下のアルゴリズムが使用されて、多くのセンサの出力を組み合わせることができる:
Combined_sensor_value=(Sensor_1_value*sensor_1_weight)+(Sensor_2_value*sensor_2_weight)+・・・+(Sensor_N_value*sensor_N_weight) [式2]
上記の式2では、センサ値は、組み合わされる前に、いくつかの固有データを使用してオプションで正規化され得る。たとえば、較正データ、オフセット、スカラ、およびモデルベースの補正を適用できる。いくつかの実装では、重みは、動的であることができ、合計して正確に1.0になるように正規化され得る。センサに、障害のある挙動、または誤り条件を検出する能力がある場合は、センサ値が、デバイスTCCに影響を与えないように、重みを0.0に調整することができる。相関性のない誤りのあるN個のセンサを考慮すると、推定技法が使用されて、デバイスのローカル環境を記述する方法で、多くのセンサの出力を組み合わせることができる。たとえば、加速度計、ジャイロスコープ、磁気計、気圧計、GNSS、およびカメラを備えたデバイスは、推定技法を使用して、たとえば:地球に対するデバイスの絶対位置や、高度や、速度や、加速度や、回転速度や、回転加速度や、デバイス周辺の環境の視覚化や、環境、オブジェクト、存在、および環境内の物の分類や、環境、オブジェクト、存在、環境内の物の識別のように、環境に対するデバイスに関連するコンテキスチャルコンテンツを作り出せる。これらの推定技法は、同時ローカリゼーションおよびマッピング(simultaneous localization and mapping)(SLAM)、分類、および追跡を含み得る。これらの推定技法は、コンテンツの所与の部分が正確であるという品質または確率を記述するコンテンツを作り出し得る。たとえば、地球に対するデバイスの高度は、推定される、および推定値が真の値に対して正確である可能性を記述する品質メトリックを有する、の両方の場合もある。上記の例では、GNSSシステムは、デバイスの高度に関する直接的な情報を与える。さらに、気圧計は、高度の変化に応じて読取値が異なることを考えると、間接的な情報を与え得る。さらに、時間に対する加速度計の第2の積分は、絶対位置を与える。さらに、カメラは、カメラの視野内の環境を追跡する画像処理を介して、絶対位置データを与えることができる。同様のデバイスは、非常に豊富なコンテキスチャルコンテンツに処理および組み合わされ得る、データの相関性のないソースが多数含む場合がある。さらに、障害を検出して、適切な較正を報告できる可能性のある多くの信頼できる構成要素を組み合わせることは、コンテキスチャルコンテンツをさらに強化する。2次的なデバイスまたはサービスは、同様の推定技法を使用して、追加のコンテキスチャルコンテンツを作り出すだけでなく、それら自体のコンテキスチャルコンテンツ、または他のデバイスからのコンテキスチャルコンテンツを付加する場合もある。
TCCDの例示的な実装は、TCCDドローンである。TCCDドローンは、データを収集するセンサ、固有デバイスデータ、データ処理、オプションの暗号化、コンテキスチャルコンテンツの暗号化署名、ワイヤレスおよびオプションのワイヤド外部インターフェースを有する。
図9は、ドローンに含まれる信頼できるコンテキスチャルコンテンツデバイス910の例のブロック図である。TCCDドローン910は、画像センサ912と、1つ以上の追加のセンサ914とを含む、データをキャプチャするセンサを有する。センサの例は、超音波変換器、無線受信機、フォトダイオード、フォトダイオードアレイ、マイクロボロメータ、画像センサ、水晶発振素子、時間センサ、サーミスタ、GNSS受信機、加速度計、ジャイロスコープ、磁気計、圧力センサを含むことができる。データは、限定されないが、超音波、音波、電波、マイクロ波、赤外光、可視光、紫外光、電離放射線、時間、周囲温度、地理的場所、機首方位、速度、加速度、および気圧であり得、時間や、デバイス固有データ926や、較正データや、およびまたは、TCCDドローン910によって受信された他のデータ、コンテンツ、およびコンテキスチャルコンテンツが参照された場合、コンテンツとなる。固有デバイスデータ626の例は、一意のデバイス識別子942、パラメータ、センサ較正データ、およびデバイスに記憶されている他のデバイスに一意のデータである。他の例は、デバイスモデル番号、センサデータをコンテンツに変換するためのスケーリングおよび変換パラメータ、様々なコンテンツのコンテキスチャルコンテンツへの処理を支援する変換パラメータ、配列、および行列である。そのようなデータは、デバイスに一意であり、オンボードセンサによって測定および記憶され、デバイス特定のソフトウェアに記憶され、デバイスモデル特定のソフトウェアに記憶され、工場またはユーザの較正セットの一部として記録され、およびまたは、工場で、プロビジョニング時に、またはユーザによってマニュアルで入力される。コンテキスチャルコンテンツは、処理モジュール920によって処理されてコンテキスチャルコンテンツを作成し、コンテキスチャルコンテンツは、オプションで、AES-GCM暗号化モジュール930を使用して暗号化される。署名鍵952を使用して署名モジュール950で署名されたコンテキスチャルコンテンツ。署名されたデータは、オプションで、記憶され、ワイヤレスおよび/またはオプションのワイヤド外部インターフェースを介して送信される。TCCDドローン910は、ハードウェアベースのセキュアなブート922と、アンチロールバック924とを実装する。ハードウェアベースのセキュアなブート922は、ハードウェア機能を使用して、デバイスソフトウェアのハッシュを計算および検証し得る。TCCDドローン910は、そのメインアプリケーションプロセッサにハードウェアTRNG932を有する。メインアプリケーションプロセッサは、メインアプリケーションプロセッサICベンダによって、ルート鍵ペアでプロビジョンされ得る。製造者は、オプションで、信頼のルート940を確立することによって、製造時にデバイスをプロビジョンし、デバイスのハードウェアセキュリティモジュールを利用して、鍵ペアおよび派生鍵を生成し、製造者の中間証明書から導出されるデバイス証明書944を生成し、これは、信頼できる証明機関または信頼できる認証者のコミュニティに辿り戻ることができる信頼のチェーンを有し、デバイスに、デバイス証明書944に署名させ、署名された証明書をデバイスに記憶し、デバイス証明書944を、認証機関およびまたはコミュニティに登録する。TCCDカスタマが、オプションで、デバイスをプロビジョンするためのワイヤレスおよびオプションでワイヤドAPIが存在する。TCCおよび他のデバイスデータの暗号化は、オプションで実装される。例示的な実装は、ハードウェアAES-GCMである。TCCの署名が実装される。例示的な実装は、ハードウェアベースのECDSAである。TCCDドローン910は、オプションで、TCCを、組込式または取り外し可能な不揮発性メモリ960に記憶する。メモリ960は、セキュリティをさらに改善するために、さらに、改ざん防止され、物理的にセキュアにされ得る。外部ワイヤレスインターフェースは、802.11プロトコルおよびまたはカスタムのプロプライエタリのプロトコルを備えたWi-Fi無線、3G、4G、またはLTE無線として実装され得、ワイヤドインターフェースは、USBプロトコル、他の標準的なワイヤレスプロトコルを備えたUSBタイプ-Cコネクタ、およびまたはカスタムのプロプライエタリのプロトコルおよびコネクタとすることができる。
このアーキテクチャは、多くの様々なTCCD、サービスプロバイダ、およびTCCコンシューマに適用できる。たとえば、TCCDは、取り付け可能なカメラや、ウェアラブルカメラや、ダッシュカメラや、温度計などの接続されたセンサや、地上ロボット、ヒューマノイド、多足ロボット、車輪付きロボット、自動運転車、自律型水上艦などのロボティックデバイスや、マルチロータ、VTOL、固定翼、およびヘリコプタのようなドローンであり得る。サービスプロバイダは、ローカリゼーションデータ、他のTCCDからのTCC、信頼できないデータ、コンテンツ、およびコンテキスチャルコンテンツを提供することだけでなく、TCC分析、AI処理、画像処理、メディアトランスコーディング、ストレージ、バックアップ、圧縮、フォーマット変換、ルーティングをも含む。TCCコンシューマは、コンシューマ、TCCDを所有およびまたは運用している組織、および、所有およびまたは運用していない他のTCCDからのTCCデータに依存している組織であり得る。
図10は、デバイス1000のハードウェア構成の例のブロック図である。ハードウェア構成は、データ処理装置1010、データストレージデバイス1020、センサインターフェース1030、コントローラインターフェース1040、ユーザインターフェース1044、およびデータ処理装置1010が他の構成要素にアクセスし得る相互接続1050を含み得る。たとえば、デバイス1000は、信頼できるコンテキスチャルコンテンツデバイス(たとえば、信頼できるコンテキストデバイス110、信頼できるコンテキストデバイス112、または信頼できるコンテキストデバイス510)であるか、その一部であり得る。たとえば、デバイス1000は、信頼できるコンテキスチャルコンテンツコンシューマデバイス(たとえば、信頼できるコンテキスチャルコンテンツコンシューマデバイス120)であるか、またはその一部であり得る。たとえば、デバイス1000は、信頼できるコンテキスチャルコンテンツサービスプロバイダデバイス(たとえば、信頼できるコンテキスチャルコンテンツサービスプロバイダデバイス150)であるか、またはその一部であり得る。デバイス1000は、信頼できるコンテキスチャルコンテンツを生成する、増強する、および/または提示するように構成され得る。たとえば、デバイス1000は、図11のプロセス1100、図12のプロセス1200、図13のプロセス1300、および/または、図14のプロセス1400を実装するように構成され得る。
データ処理装置1010は、データストレージデバイス1020に記憶された命令を実行するように動作可能である。いくつかの実装では、データ処理装置1010は、命令が実行されている間に、データストレージデバイス1020から読み取られた命令を一時的に記憶するためのランダムアクセスメモリを備えたプロセッサである。データ処理装置1010は、おのおのが単一または多数の処理コアを有する単一または多数のプロセッサを含み得る。あるいは、データ処理装置1010は、データを操作または処理することができる別のタイプのデバイス、または多数のデバイスを含み得る。たとえば、データストレージデバイス1020は、ハードドライブ、ソリッドステートドライブ、読取専用メモリ装置(ROM)、光ディスク、磁気ディスク、または、非一時的なコンピュータ読取可能メモリなど他の任意の適切なタイプのストレージデバイスのような不揮発性情報ストレージデバイスであり得る。データストレージデバイス1020は、データ処理装置1010による検索または処理のためにデータを記憶することができる別のタイプのデバイスまたは多数のデバイスを含み得る。データ処理装置1010は、相互接続1050を介して、データストレージデバイス1020に記憶されたデータにアクセスし、操作し得る。たとえば、データストレージデバイス1020は、データ処理装置1010による実行時にデータ処理装置1010に動作(たとえば、図11のプロセス1100、図12のプロセス1200、図13のプロセス1300、および/または図14のプロセス1400を実装する動作)を行わせる、データ処理装置1010によって実行可能な命令を記憶し得る。
センサインターフェース1030は、1つ以上のセンサ(たとえば、1つ以上のセンサ512)からのデータ(たとえば、温度測定値、圧力測定値、ライダポイントクラウド、加速度測定値、角速度測定値、磁束測定値、および/または可視スペクトル画像)を制御および/または受信するように構成され得る。いくつかの実装では、センサインターフェース1030は、導体上での1つ以上のセンサデバイスとの通信のためのシリアルポートプロトコル(たとえば、I2CまたはSPI)を実装し得る。いくつかの実装では、センサインターフェース1030は、低電力の短距離通信を介して(たとえば、ボディエリアネットワークプロトコルまたは車両エリアネットワークプロトコルを使用して)1つ以上のセンサグループと通信するためのワイヤレスインターフェースを含み得る。
通信インターフェース1040は、他のデバイス、たとえば、別の信頼できるコンテキスチャルコンテンツデバイス(たとえば、ドローン210)との通信を容易にする。たとえば、通信インターフェース1040は、Wi-Fiネットワーク、Bluetoothリンク、またはZigBeeリンクを介した通信を容易にし得るワイヤレスインターフェースを含み得る。たとえば、通信インターフェース1040は、シリアルポート(たとえば、RS-232またはUSB)を介した通信を容易にし得るワイヤドインターフェースを含み得る。通信インターフェース1040は、ネットワーク(たとえば、ネットワーク230)を介した通信を容易にする。
ユーザインターフェース1044は、ユーザからの/への情報の入力および出力を可能にする。いくつかの実装では、ユーザインターフェース1044は、液晶ディスプレイ(LCD)、カソードレイチューブ(CRT)、発光ダイオード(LED)ディスプレイ(たとえば、OLEDディスプレイ)、または他の適切なディスプレイであり得るディスプレイを含むことができる。たとえば、ユーザインターフェース1044は、タッチスクリーンを含み得る。たとえば、ユーザインターフェース1044は、ヘッドマウントディスプレイ(たとえば、仮想現実ゴーグルまたは拡張現実グラス)を含み得る。たとえば、ユーザインターフェース1044は、マウス、タッチパッド、タッチスクリーンなどのような位置入力デバイスと;キーボードと;または他の適切なヒューマンまたはマシンインターフェースデバイスとを含み得る。
たとえば、相互接続1050は、システムバス、またはワイヤドまたはワイヤレスネットワーク(たとえば、車両エリアネットワーク)であり得る。いくつかの実装(図10には示されていない)では、センサインターフェース1030またはユーザインターフェース1044のような、デバイス1000のいくつかの構成要素は省略され得る。
図11は、信頼できるコンテキスチャルコンテンツを生成するためのプロセス1100の例のフローチャートである。プロセス1100は、1つ以上のセンサからのセンサデータにアクセスすること1110と;センサデータを暗号化すること1120と;署名鍵を使用してセンサデータに署名して、信頼できるコンテキスチャルコンテンツを生成すること1130と;信頼できるコンテキスチャルコンテンツを記憶または送信すること1140とを含む。たとえば、プロセス1100は、図1の信頼できるコンテキスチャルコンテンツデバイス112、図5の信頼できるコンテキスチャルコンテンツデバイス510、または、図9の信頼できるコンテキスチャルコンテンツデバイスドローン910のような信頼できるコンテキスチャルコンテンツデバイスによって実装され得る。たとえば、プロセス1100は、図6の信頼できる構成要素610のような信頼できる構成要素によって実装され得る。たとえば、プロセス1100は、図7の信頼できるセンサ710のような信頼できるセンサによって実装され得る。たとえば、プロセス1100は、図8の信頼できる画像センサ810のような信頼できる画像センサによって実装され得る。たとえば、プロセス1100は、図10のデバイス1000によって実装され得る。
プロセス1100は、1つ以上のセンサ(たとえば、1つ以上のセンサ512、または1つ以上のセンサ612)からのセンサデータにアクセスすること1110を含む。たとえば、センサデータは、温度測定値、圧力測定値、ライダポイントクラウド、加速度測定値、角速度測定値、磁束測定値、赤外線画像、および/または可視スペクトル画像を含み得る。センサデータは、1つ以上のセンサを含む信頼できるコンテキスチャルコンテンツデバイスの近くの環境の状態に関する情報を提供し得る。いくつかの実装では、1つ以上のセンサは、車両(たとえば、自動運転車)の構成要素であり得る。いくつかの実装では、1つ以上のセンサは、ドローン(たとえば、ドローン210)の構成要素であり得る。いくつかの実装では、1つ以上のセンサは、信頼できる構成要素(たとえば、信頼できるセンサ710)の一部である。センサデータは、様々な方法でアクセスされ得る1110。たとえば、センサデータは、センサインターフェース(たとえば、センサインターフェース1030)を介してセンサから直接、または相互接続(たとえば、相互接続1050)を介してメモリ(たとえば、ストレージデバイス1020)から読み取ることによってアクセスされ得る1110。
プロセス1100は、センサデータに署名する前にセンサデータを暗号化することを含む。たとえば、センサデータは、暗号化鍵(たとえば、暗号化鍵534)を使って、暗号化モジュール(たとえば、暗号化モジュール530)を使用して暗号化され得る。たとえば、センサデータは、Advanced Encryption Standard(AES)暗号化を使用して暗号化され得る1120。
プロセス1100は、署名鍵を使用して、センサデータに署名して、デジタル署名を含む、信頼できるコンテキスチャルコンテンツを生成すること1130を含む。たとえば、センサデータは、楕円曲線デジタル署名アルゴリズム(ECDSA)のようなデジタル署名アルゴリズムを使用して署名され得る1130。たとえば、署名鍵(たとえば、署名鍵552または署名鍵752)は、信頼できるコンテキスチャルコンテンツデバイスに、または信頼できるコンテキスチャルコンテンツデバイス内の信頼できるセンサに関連付けられ得る。いくつかの実装では、信頼できるセンサによってキャプチャされたセンサデータは、信頼できるセンサの署名鍵で署名されて、信頼できるセンサに関連付けられたデジタル署名を含む、信頼できるコンテキスチャルコンテンツを生成する1130。
プロセス1100は、信頼できるコンテキスチャルコンテンツを記憶または送信すること1140を含む。たとえば、信頼できるコンテキスチャルコンテンツは、処理装置1010またはストレージデバイス1020のメモリに記憶され得る1140。たとえば、信頼できるコンテキスチャルコンテンツは、通信インターフェース1040を使用して送信され得る1140。たとえば、信頼できるコンテキスチャルコンテンツは、ネットワーク130を介して、またはワイヤレス通信リンク114を介して送信され得る1140。
いくつかの実装(図11には示されていない)では、プロセス1100は、上で説明されたステップを追加、並べ替え、または省略するように修正され得る。たとえば、データは、センサデータを暗号化する1120ことなく署名され得る1130か、または、センサデータは署名され1130、その後、デジタル署名とともに暗号化され得る。
図12は、多数のソースからのセンサデータを用いて、信頼できるコンテキスチャルコンテンツを生成するためのプロセス1200の例のフローチャートである。多数のソースからのセンサデータを、信頼できるコンテキスチャルコンテンツに組み込むことは、環境の状態に関するより完全で、および/または、信用できる情報を提供し得る。プロセス1200は、1つ以上のセンサからのセンサデータの第1のセットにアクセスすること1210と;第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツを受信すること1220と;第1の信頼できるコンテキスチャルコンテンツからのセンサデータを、センサデータの第1のセットからのセンサデータと比較することによって、確証スコアを決定すること1230と;第1の信頼できるコンテキスチャルコンテンツおよびセンサデータの第1のセットに基づくデータを含むデータ構造を生成すること1240と;署名鍵を使用してデータ構造に署名して、第2のデジタル署名を含む第2の信頼できるコンテキスチャルコンテンツを生成すること1250と;第2の信頼できるコンテキスチャルコンテンツを記憶または送信すること1260とを含む。たとえば、プロセス1200は、図1の信頼できるコンテキスチャルコンテンツデバイス112、図2のドローンコントローラ212、図5の信頼できるコンテキスチャルコンテンツデバイス510、または、図9の信頼できるコンテキスチャルコンテンツデバイスドローン910のような信頼できるコンテキスチャルコンテンツデバイスによって実装され得る。たとえば、プロセス1200は、図10のデバイス1000によって実装され得る。
プロセス1200は、1つ以上のセンサ(たとえば、1つ以上のセンサ512、または画像センサ912)からのセンサデータの第1のセットにアクセスすること1210を含む。たとえば、センサデータは、温度測定値、圧力測定値、ライダポイントクラウド、加速度測定値、角速度測定値、磁束測定値、赤外線画像、および/または可視スペクトル画像を含み得る。センサデータは、1つ以上のセンサを含む信頼できるコンテキスチャルコンテンツデバイスの近くの環境の状態に関する情報を提供し得る。いくつかの実装では、1つ以上のセンサは、車両(たとえば、自動運転車)の構成要素であり得る。いくつかの実装では、1つ以上のセンサは、ドローン(たとえば、ドローン210)の構成要素であり得る。たとえば、1つ以上のセンサは、画像センサ(たとえば、画像センサ912)を含み得、センサデータの第1のセットは、画像データを含み得る。いくつかの実装では、1つ以上のセンサは、信頼できるセンサ(たとえば、信頼できるセンサ710)を含み、センサデータの第1のセットは、信頼できるセンサのデジタル署名を含む信頼できるセンサからの、信頼できるコンテキスチャルコンテンツを含む。センサデータは、様々な方法でアクセスされ得る1210。たとえば、センサデータは、センサインターフェース(たとえば、センサインターフェース1030)を介してセンサから直接、または相互接続(たとえば、相互接続1050)を介してメモリ(たとえば、ストレージデバイス1020)から読み取ることによってアクセスされ得る1210。
プロセス1200は、第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツを受信すること1220を含む。第1の信頼できるコンテキスチャルコンテンツは、別の信頼できるコンテキスチャルコンテンツデバイスから受信され得る1220。たとえば、第1の信頼できるコンテキスチャルコンテンツは、ドローン(たとえば、ドローン210)から受信され得る1220。たとえば、第1の信頼できるコンテキスチャルコンテンツは、ドローンコントローラ(たとえば、ドローンコントローラ212)によって受信され得る1220。たとえば、プロセス1200を実装する1つ以上のセンサおよび処理装置は、ドローンのためのリモートコントローラ(たとえば、ドローンコントローラ212)の構成要素であり得る。いくつかの実装では、第1の信頼できるコンテキスチャルコンテンツは、別のドローンからドローンによって受信される1220。たとえば、第1の信頼できるコンテキスチャルコンテンツは、通信インターフェース1040を使用して受信され得る1220。
第1の信頼できるコンテキスチャルコンテンツは、受信する1220デバイスの1つ以上のセンサからのセンサデータの第1のセットに反映される条件を有する領域に近いかまたは重複する領域のセンサデータを含み得る。センサデータの第1のセットと、第1の信頼できるコンテキスチャルコンテンツからのセンサデータは、領域の状態に関するより多くの情報を提供する領域に関する多様なセンサデータを共同で提供することができ、センサデータのこれら2つのセットはまた、確証に使用され得る領域に関する冗長な情報をも提供し得る。センサデータのこれら2つのセットの値の間には、予想される関係が存在する可能性がある。たとえば、互いに近くを飛行する2つのドローンは、同様の温度および圧力を測定し、同じ場所に同時に現れる共有視野内のオブジェクトを示す画像をキャプチャすることが期待され得る。たとえば、知られている高度で飛行するドローン(たとえば、ドローン210)は、近くの地面に位置する関連するドローンコントローラ(たとえば、ドローンコントローラ212)によって測定された温度および圧力に関連する温度および圧力を測定することが期待され得る。
プロセス1200は、第1の信頼できるコンテキスチャルコンテンツからのセンサデータを、センサデータの第1のセットからのセンサデータと比較することによって、確証スコアを決定すること1230を含む。たとえば、確証スコアは、2つのソースからの同じタイプのセンサ測定値間の差または二乗差に基づいて決定され得る1230。たとえば、確証スコアは、第1の信頼できるコンテキスチャルコンテンツからのセンサ測定値と、センサデータの第1のセットに基づいて決定される期待値との間の差または二乗差に基づいて決定され得る1230。
プロセス1200は、第1の信頼できるコンテキスチャルコンテンツおよびセンサデータの第1のセットに基づくデータを含むデータ構造を生成すること1240を含む。たとえば、センサデータの第1のセットに基づくデータは、生のセンサデータのコピーを含み得る。いくつかの実装では、信号処理が、センサの第1のセットに適用されて、データ構造に含まれるデータの第1のセットに基づいてデータを決定する。たとえば、センサデータの第1のセットに基づくデータは、確証スコアを含み得る。たとえば、データ構造が生成されて、確証スコアを含めることができる1240。データ構造は、図3および図4のメモリマップに関連して説明されたデータ構造に類似し得る。データ構造は、センサデータの第1のセットに基づくデータを、別のデバイスからの第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツに付加し得る。
プロセス1200は、署名鍵を使用してデータ構造に署名して、第2のデジタル署名(たとえば、プロセス1200を実装するデバイスのデジタル署名)を含む第2の信頼できるコンテキスチャルコンテンツを生成すること1250を含む。たとえば、データ構造は、楕円曲線デジタル署名アルゴリズム(ECDSA)のようなデジタル署名アルゴリズムを使用して署名され得る1250。たとえば、署名鍵(たとえば、署名鍵552または署名鍵952)は、信頼できるコンテキスチャルコンテンツデバイス(たとえば、ドローンコントローラ212)に関連付けられ得る。
プロセス1200は、第2の信頼できるコンテキスチャルコンテンツを記憶または送信すること1260を含む。たとえば、第2の信頼できるコンテキスチャルコンテンツは、処理装置1010またはストレージデバイス1020のメモリに記憶され得る1260。たとえば、第2の信頼できるコンテキスチャルコンテンツは、通信インターフェース1040を使用して送信され得る1260。たとえば、第2の信頼できるコンテキスチャルコンテンツは、ネットワーク130を介して、または通信リンク134を介して送信され得る1260。
いくつかの実装(図12には示されていない)では、プロセス1200は、上で説明されたステップを追加、並べ替え、または省略するように修正され得る。たとえば、センサデータの第1のセットに基づくデータは、署名された1250データ構造に含められる前に暗号化され得る。たとえば、確証スコアを決定すること1230は省略され得る。
図13は、信頼できるコンテキスチャルコンテンツを提示するためのプロセス1300の例のフローチャートである。プロセス1300は、信頼できるコンテキスチャルコンテンツへアクセスすること1310と;信頼できるコンテキスチャルコンテンツを認証するための1つ以上の要求を、1つ以上の認証デバイスに送信すること1320と;1つ以上の認証デバイスから、1つ以上の認証メッセージを受信すること1330と;1つ以上の認証メッセージに応答して、ユーザインターフェースにおいてセンサデータを提示すること1340とを含む。たとえば、プロセス1300は、図1の信頼できるコンテキスチャルコンテンツコンシューマデバイス120のように、信頼できるコンテキスチャルコンテンツコンシューマデバイスによって実装され得る。たとえば、プロセス1300は、図10のデバイス1000によって実装され得る。
プロセス1300は、信頼できるコンテキスチャルコンテンツへアクセスすること1310を含む。信頼できるコンテキスチャルコンテンツは、様々な方法でアクセスされ得る1310。たとえば、信頼できるコンテキスチャルコンテンツは、信頼できるコンテキスチャルコンテンツデバイスから直接(たとえば、通信リンク124を介して、信頼できるコンテキスチャルコンテンツデバイス112から)、信頼できるコンテキスチャルコンテンツを受信することによってアクセスされ得る1310。たとえば、信頼できるコンテキスチャルコンテンツは、ネットワーク(たとえば、ネットワーク130)を介して、信頼できるコンテキスチャルコンテンツを受信することによってアクセスされ得る1310。たとえば、たとえば、信頼できるコンテキスチャルコンテンツは、ネットワークを介して利用可能なサービス(たとえば、1つ以上のサービス132、または1つ以上のサービス136)によって記憶され得る、信頼できるコンテキスチャルコンテンツを受信することによってアクセスされ得る1310。いくつかの実装では、信頼できるコンテキスチャルコンテンツは、ローカルに記憶される。たとえば、信頼できるコンテキスチャルコンテンツは、相互接続(たとえば、相互接続1050)を介してメモリ(たとえば、ストレージデバイス1020)から、信頼できるコンテキスチャルコンテンツを読み取ることによってアクセスされ得る1310。
プロセス1300は、信頼できるコンテキスチャルコンテンツを認証するための要求を、認証デバイスに送信すること1320を含む。いくつかの実装では、認証デバイスは、集中型認証機関の一部(たとえば、集中型認証機関デバイス140のデバイス)である。いくつかの実装では、認証デバイスは、分散型認証コミュニティの一部(たとえば、分散型認証コミュニティ144のデバイス)である。たとえば、この要求は、ネットワーク130を介して、通信インターフェース1040を使用して送信され得る。いくつかの実装では、この要求は、信頼できるコンテキスチャルコンテンツのコピー、または信頼できるコンテキスチャルコンテンツの部分を含む。いくつかの実装では、この要求は、信頼できるコンテキスチャルコンテンツへのリンクまたは他のポインタを含む。いくつかの実装では、認証のための多数の要求が、多数の認証デバイスに送信される1320。たとえば、信頼できるコンテキスチャルコンテンツを認証するための1つ以上の追加の要求は、1つ以上の追加の認証デバイス(たとえば、分散型認証コミュニティ144の一部である1つ以上の追加の認証デバイス)へ送信され得る1320。
プロセス1300は、認証デバイスから認証メッセージを受信すること1330を含む。たとえば、認証メッセージは、ネットワーク130を介して通信インターフェース1040を使用して受信され得る1330。いくつかの実装では、認証メッセージは、信頼できるコンテキスチャルコンテンツが信用できるか否かを示すバイナリインジケーションを含む。いくつかの実装では、認証メッセージは、信頼できるコンテキスチャルコンテンツが信用できると推定される程度を示す認証メトリックを含む。いくつかの実装では、多数の認証メッセージが、多数の認証デバイスから受信される1330。たとえば、認証メッセージ、および1つ以上の追加の認証デバイスからの1つ以上の追加の認証メッセージは、それぞれの認証メトリックを含み得る。たとえば、プロセス1300は、それぞれの認証メトリックの加重平均を決定することを含み得る。
プロセス1300は、認証デバイスから受信された認証メッセージに応答して、ユーザインターフェース(たとえば、ユーザインターフェース1044)に、信頼できるコンテキスチャルコンテンツのセンサデータを提示すること1340を含む。多数の認証要求が送信される1320いくつかの実装では、プロセス1300は、1つ以上の追加の認証デバイスから受信された1つ以上の追加の認証メッセージに応答して、ユーザインターフェースにおいてセンサデータを提示すること1340を含む。たとえば、認証デバイスからのそれぞれの認証メトリックの加重平均が決定され、センサデータの評価を容易にするために、ユーザインターフェースにおいてセンサデータとともに提示され得る1340。たとえば、認証デバイスからのそれぞれの認証メトリックの加重平均が決定され、しきい値と比較され得る。いくつかの実装では、認証メトリックの加重平均が、しきい値を超えた場合にのみ、センサデータが提示される1340。
たとえば、信頼できるコンテキスチャルコンテンツは、多数のデバイスによってキャプチャされたセンサデータと、確証スコアまたは(たとえば、図14のプロセス1400を使用して生成された)他のメタデータと、センサデータの保護のチェーンにあるデバイスからの多数のデジタル署名とを含み得る。いくつかの実装では、認証メトリックは、センサデータの保護のチェーンにあるデバイスからの多数のデジタル署名に基づく。いくつかの実装では、多数の認証メトリックが、信頼できるコンテキスチャルコンテンツに含まれるそれぞれの信頼できるコンテキスチャルコンテンツデバイスからのセンサデータに対して決定される。
図14は、信頼できるコンテキスチャルコンテンツを増強するためのプロセス1400の例のフローチャートである。プロセス1400は、第1の信頼できるコンテキスチャルコンテンツを受信すること1410と;信頼できるコンテキスチャルコンテンツのセンサデータに基づいてメタデータを生成すること1420と;メタデータおよび信頼できるコンテキスチャルコンテンツを含むデータ構造を生成すること1430と;署名鍵を使用してデータ構造に署名して、第2のデジタル署名を含む第2の信頼できるコンテキスチャルコンテンツを生成すること1440とを含む。たとえば、プロセス1400は、図1の信頼できるコンテキスチャルコンテンツサービスプロバイダデバイス150のように、信頼できるコンテキスチャルコンテンツサービスプロバイダデバイスによって実装され得る。たとえば、プロセス1400は、図10のデバイス1000によって実装され得る。
プロセス1400は、第1の信頼できるコンテキスチャルコンテンツを受信することを含む。第1の信頼できるコンテキスチャルコンテンツは、第1のデジタル署名を含む。たとえば、第1の信頼できるコンテキスチャルコンテンツは、信頼できるコンテキスチャルコンテンツデバイス(たとえば、信頼できるコンテキスチャルコンテンツデバイス112、ドローン210、またはドローンコントローラ212)から受信され得る。
プロセス1400は、第1の信頼できるコンテキスチャルコンテンツのセンサデータに基づいて、メタデータを生成すること1420を含む。たとえば、センサデータは、画像データを含み得、メタデータは、画像データを(たとえば、畳み込みニューラルネットワークを含む)画像分類器に入力することによって生成された1420、オブジェクト検出および/または分類データを含み得る。いくつかの実装では、多数の信頼できるコンテキスチャルコンテンツからのセンサデータが組み合わされて、メタデータを生成し得る1420。たとえば、多数のドローンからの信頼できるコンテキスチャルコンテンツは、それらのそれぞれのセンサデータにおける位置および方位データに基づいて相関付けされ得、ドローンからの画像データは、データにおける不整合を識別し、および/または、多数のソースからのデータを確証するために分析され得る。たとえば、別の信頼できるコンテキスチャルコンテンツデバイスによって署名された、第3の信頼できるコンテキスチャルコンテンツが受信され得(1310)、メタデータは、第3の信頼できるコンテキスチャルコンテンツのセンサデータに基づいて生成され得1320、ここで、メタデータは、第1の信頼できるコンテキスチャルコンテンツのセンサデータの、第3の信頼できるコンテキスチャルコンテンツのセンサデータとの比較に基づいて決定される確証スコアを含む。
プロセス1400は、メタデータおよび第1の信頼できるコンテキスチャルコンテンツを含むデータ構造を生成すること1430を含む。データ構造は、図3および図4のメモリマップに関連して説明されたデータ構造に類似し得る。データ構造は、別のデバイスからの第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツにメタデータを付加し得る。
プロセス1400は、第2の署名鍵を使用してデータ構造に署名して、第2のデジタル署名(たとえば、信頼できるコンテキスチャルコンテンツサービスプロバイダデバイスのデジタル署名)を含む第2の信頼できるコンテキスチャルコンテンツを生成すること1440を含む。たとえば、データ構造は、楕円曲線デジタル署名アルゴリズム(ECDSA)のような、デジタル署名アルゴリズムを使用して署名され得る1440。たとえば、署名鍵は、信頼できるコンテキスチャルコンテンツサービスプロバイダデバイス(たとえば、信頼できるコンテキスチャルコンテンツサービスプロバイダデバイス150)に関連付けられ得る。
本開示は特定の実施形態に関連して説明されたが、本開示は、開示された実施形態に限定されるものではなく、それどころか、法の下で許可されているすべてのそのような変更および均等の構成を包含するように、その範囲が最も広い解釈を与えられるべきである添付の特許請求の範囲内に含まれる様々な変更および均等の構成をカバーすることが意図される。

Claims (15)

  1. 1つ以上のセンサを含み、1つ以上のセンサからのセンサデータにアクセスし、署名鍵を使用してセンサデータに署名して、デジタル署名を含む信頼できるコンテキスチャルコンテンツを生成するように構成された信頼できるコンテキスチャルコンテンツデバイスと、
    集中型認証機関の一部であり、信頼できるコンテキスチャルコンテンツを受信し、信頼できるコンテキスチャルコンテンツを、デジタル署名に基づいて認証するように構成された認証デバイスと、
    分散型認証コミュニティの一部である1つ以上の追加の認証デバイスと、
    信頼できるコンテキスチャルコンテンツを認証するための要求を、認証デバイスに、および信頼できるコンテキスチャルコンテンツを認証するための1つ以上の追加の要求を、1つ以上の追加の認証デバイスに送信し、認証デバイスから受信された認証メッセージに、および1つ以上の追加の認証デバイスから受信された1つ以上の追加の認証メッセージに応答して、センサデータをユーザインターフェースにおいて提示するように構成されたコンテキスチャルコンテンツコンシューマデバイスと
    を備える、システム。
  2. 認証メッセージ、および1つ以上の追加の認証メッセージが、それぞれの認証メトリックを含み、
    コンテキスチャルコンテンツコンシューマデバイスが、それぞれの認証メトリックの加重平均を決定するように構成される、請求項1に記載のシステム。
  3. 信頼できるコンテキスチャルコンテンツを受信し、
    信頼できるコンテキスチャルコンテンツのセンサデータに基づいてメタデータを生成し、
    メタデータおよび信頼できるコンテキスチャルコンテンツを含むデータ構造を生成し、
    第2の署名鍵を使用してデータ構造に署名して、第2のデジタル署名を含む第2の信頼できるコンテキスチャルコンテンツを生成する
    ように構成されたサービスプロバイダデバイスを備える、請求項1に記載のシステム。
  4. サービスプロバイダデバイスが、
    別の信頼できるコンテキスチャルコンテンツデバイスによって署名された第3の信頼できるコンテキスチャルコンテンツを受信し、
    第3の信頼できるコンテキスチャルコンテンツのセンサデータに基づいてメタデータを生成するように構成され、
    メタデータが、信頼できるコンテキスチャルコンテンツのセンサデータの、第3の信頼できるコンテキスチャルコンテンツのセンサデータとの比較に基づいて決定される確証スコアを含む、請求項3に記載のシステム。
  5. 信頼できるコンテキスチャルコンテンツデバイスが、センサデータに署名する前にセンサデータを暗号化するように構成される、請求項1に記載のシステム。
  6. 1つ以上のセンサが、画像センサを含み、センサデータが、画像データを含む、請求項1に記載のシステム。
  7. 信頼できるコンテキスチャルコンテンツデバイスが、ドローンである、請求項1に記載のシステム。
  8. 1つ以上のセンサであって、
    信頼できるセンサによってキャプチャされたセンサデータを、信頼できるセンサの署名鍵で署名して、第3のデジタル署名を含む第3の信頼できるコンテキスチャルコンテンツを生成するように構成された信頼できるセンサを含み、センサデータの第1のセットが、第3の信頼できるコンテキスチャルコンテンツを含む、1つ以上のセンサ
    処理装置であって、
    1つ以上のセンサからのセンサデータの第1のセットにアクセスし、
    第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツを受信し、
    第1の信頼できるコンテキスチャルコンテンツおよびセンサデータの第1のセットに基づくデータを含むデータ構造を生成し、
    署名鍵を使用してデータ構造に署名して、第2のデジタル署名を含む第2の信頼できるコンテキスチャルコンテンツを生成し、
    第2の信頼できるコンテキスチャルコンテンツを記憶または送信する
    ように構成された処理装置
    を備える、システム。
  9. 処理装置が、
    第1の信頼できるコンテキスチャルコンテンツからのセンサデータを、センサデータの第1のセットからのセンサデータと比較することによって、確証スコアを決定し、
    データ構造を生成して確証スコアを含めるように構成される、請求項8に記載のシステム。
  10. 第1の信頼できるコンテキスチャルコンテンツが、ドローンから受信される、請求項8に記載のシステム。
  11. 1つ以上のセンサ、および処理装置が、ドローンのためのリモートコントローラの構成要素である、請求項10に記載のシステム。
  12. 1つ以上のセンサ、および処理装置が、ドローンの構成要素である、請求項8に記載のシステム。
  13. 1つ以上のセンサが、画像センサを含み、センサデータの第1のセットが、画像データを含む、請求項8に記載のシステム。
  14. 1つ以上のセンサからのセンサデータの第1のセットにアクセスすることと、
    第1のデジタル署名を含む第1の信頼できるコンテキスチャルコンテンツを受信することと、
    第1の信頼できるコンテキスチャルコンテンツおよびセンサデータの第1のセットに基づくデータを含むデータ構造を生成することと、
    署名鍵を使用してデータ構造に署名して、第2のデジタル署名を含む第2の信頼できるコンテキスチャルコンテンツを生成することと、
    第2の信頼できるコンテキスチャルコンテンツを記憶または送信することとを含む、方法であって、
    1つ以上のセンサが、信頼できるセンサを含み、
    信頼できるセンサによってキャプチャされたセンサデータを、信頼できるセンサの署名鍵で署名して、第3のデジタル署名を含む第3の信頼できるコンテキスチャルコンテンツを生成することをさらに含み、センサデータの第1のセットが、第3の信頼できるコンテキスチャルコンテンツを含む、方法
  15. 第1の信頼できるコンテキスチャルコンテンツからのセンサデータを、センサデータの第1のセットからのセンサデータと比較することによって、確証スコアを決定することと、
    データ構造を生成して確証スコアを含めることとを含む、請求項14に記載の方法。
JP2020564393A 2018-05-14 2019-05-14 信頼できるコンテキスチャルコンテンツ Active JP7524075B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/978,463 US11025429B2 (en) 2018-05-14 2018-05-14 Trusted contextual content
US15/978,463 2018-05-14
PCT/US2019/032091 WO2019222131A1 (en) 2018-05-14 2019-05-14 Trusted contextual content

Publications (2)

Publication Number Publication Date
JP2021523490A JP2021523490A (ja) 2021-09-02
JP7524075B2 true JP7524075B2 (ja) 2024-07-29

Family

ID=66655490

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020564393A Active JP7524075B2 (ja) 2018-05-14 2019-05-14 信頼できるコンテキスチャルコンテンツ

Country Status (4)

Country Link
US (3) US11025429B2 (ja)
EP (2) EP3794492B1 (ja)
JP (1) JP7524075B2 (ja)
WO (1) WO2019222131A1 (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104335220B (zh) * 2012-03-30 2018-04-20 爱迪德技术有限公司 用于防止和检测安全威胁的方法和系统
GB2565052B (en) * 2017-07-27 2020-08-19 Arm Ip Ltd Authorized operations in electronic systems
EP3785409B1 (en) 2018-04-25 2023-08-02 British Telecommunications public limited company Data message sharing
JP7336152B2 (ja) * 2018-05-22 2023-08-31 ユープリー 環境を監視するシステム
EP3804212A1 (en) 2018-05-24 2021-04-14 British Telecommunications public limited company Cryptographic key generation using multiple random sources
WO2019223979A1 (en) * 2018-05-24 2019-11-28 British Telecommunications Public Limited Company Cryptographic key generation and storage
US11722315B2 (en) * 2018-09-11 2023-08-08 Apple Inc. Factory data storage and recovery
US10797873B2 (en) * 2018-09-12 2020-10-06 Keysight Technologies, Inc. Methods, systems, and computer readable media for verifying calibration information using a distributed ledger
US11248939B2 (en) 2018-09-12 2022-02-15 Keysight Technologies, Inc. Methods, systems, and computer readable media for calibration testing and traceability using a distributed ledger
US20200111080A1 (en) * 2018-10-08 2020-04-09 BitGo Holdings, Inc. Security Secret Interface and Token Wrap Structure Apparatuses, Methods and Systems
US11550928B2 (en) * 2019-01-11 2023-01-10 Combined Conditional Access Development And Support, Llc Distributed ledger-based digital content tracing
US11641363B2 (en) * 2019-01-14 2023-05-02 Qatar Foundation For Education, Science And Community Development Methods and systems for verifying the authenticity of a remote service
US11329968B2 (en) * 2019-03-18 2022-05-10 Microsoft Technology Licensing, Llc Authentication across decentralized and centralized identities
US11139043B2 (en) * 2019-05-20 2021-10-05 Board Of Trustees Of The University Of Alabama, For And On Behalf Of The University Of Alabama In Huntsville Systems and methods for identifying counterfeit memory
US11409903B2 (en) * 2019-10-10 2022-08-09 Shmuel Ur Innovation Ltd Private and non-private tasks in augmented reality systems
US11463268B2 (en) * 2019-09-17 2022-10-04 International Business Machines Corporation Sensor calibration
US12124553B2 (en) * 2020-01-08 2024-10-22 Disney Enterprises, Inc. Content authentication based on intrinsic attributes
US11424911B2 (en) * 2020-03-03 2022-08-23 International Business Machines Corporation Storage and communication environment for cryptographic tags
US12002127B2 (en) * 2020-03-10 2024-06-04 Samsung Electronics Co., Ltd. Robust selective image, video, and audio content authentication
US11645397B2 (en) 2020-04-15 2023-05-09 Crowd Strike, Inc. Distributed digital security system
US11711379B2 (en) 2020-04-15 2023-07-25 Crowdstrike, Inc. Distributed digital security system
US11861019B2 (en) 2020-04-15 2024-01-02 Crowdstrike, Inc. Distributed digital security system
US11616790B2 (en) 2020-04-15 2023-03-28 Crowdstrike, Inc. Distributed digital security system
US11563756B2 (en) 2020-04-15 2023-01-24 Crowdstrike, Inc. Distributed digital security system
IL274165B2 (en) * 2020-04-23 2023-08-01 Google Llc An application for maintaining privacy and detecting device errors
US11194561B1 (en) * 2020-07-08 2021-12-07 Vmware, Inc. System and method for generating and recommending desired state of virtualization software
DE102020120300A1 (de) * 2020-07-31 2022-02-03 Endress+Hauser Flowtec Ag Verfahren zum Detektieren einer etwaigen Manipulation einer Automatisierungskomponente
CN112152997B (zh) * 2020-08-20 2021-10-22 同济大学 面向设备识别的双因子认证方法、系统、介质及服务端
US11588632B2 (en) * 2020-09-22 2023-02-21 International Business Machines Corporation Private key creation using location data
US11836137B2 (en) 2021-05-19 2023-12-05 Crowdstrike, Inc. Real-time streaming graph queries
US11983420B2 (en) * 2022-06-17 2024-05-14 Nuvoton Technology Corporation Method and system for protecting data in external memory based on isolated execution environment
EP4344123A1 (en) * 2022-09-20 2024-03-27 Thales Dis Cpl Usa, Inc. System and method supporting data residency requirement in cloud hosted hardware security modules
JP2024047695A (ja) * 2022-09-27 2024-04-08 富士通株式会社 情報表示装置、情報表示方法および情報表示プログラム
DE102023108680A1 (de) * 2023-04-05 2024-10-10 Trustnxt Gmbh Verfahren zum Erzeugen mindestens eines kryptografischen Schlüssels sowie Computerprogrammprodukt und Vorrichtung dafür
US20240273120A1 (en) * 2024-03-14 2024-08-15 Intel Corporation Automatic data source marking using autonomous systems
US12256020B1 (en) * 2024-06-21 2025-03-18 Purple Squid LLC Systems and methods for generating attested data
US12572700B1 (en) 2024-10-28 2026-03-10 Dell Products L.P. Managing corroborated data
US12572602B1 (en) 2024-10-28 2026-03-10 Dell Products L.P. Managing corroborated data using pre-computed partial corroboration results

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003524948A (ja) 1999-09-28 2003-08-19 マリンクロッド・インコーポレイテッド センサに関するデータの電子署名を有するセンサ
JP2004260533A (ja) 2003-02-26 2004-09-16 Sony Corp データ処理装置およびその方法
US20130261927A1 (en) 2012-03-28 2013-10-03 Delphi Technologies, Inc. System and method to authenticate an automotive engine device
US20170085539A1 (en) 2015-09-22 2017-03-23 Bernard Wishard Autonomous sensor system with intrinsic asymmetric encryption
JP2017509034A (ja) 2013-07-31 2017-03-30 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd 遠隔制御方法および端末
JP2018511248A (ja) 2015-03-27 2018-04-19 アマゾン・テクノロジーズ、インコーポレイテッド 無人機間の認証メッセージ

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2504973B1 (en) * 2009-11-25 2016-11-16 Security First Corp. Systems and methods for securing data in motion
US9582843B2 (en) * 2012-08-20 2017-02-28 Tautachrome, Inc. Authentication and validation of smartphone imagery
US9432390B2 (en) * 2013-12-31 2016-08-30 Prometheus Security Group Global, Inc. Scene identification system and methods
US10185316B2 (en) * 2015-08-10 2019-01-22 Edward Kablaoui System and method for drone connectivity and communication over a cellular network
US10223812B2 (en) * 2016-09-30 2019-03-05 Amazon Technologies, Inc. Image validation
US10467891B1 (en) * 2017-05-10 2019-11-05 Alarm.Com Incorporated Method for allowing drone activity to modify event detection by a monitoring system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003524948A (ja) 1999-09-28 2003-08-19 マリンクロッド・インコーポレイテッド センサに関するデータの電子署名を有するセンサ
JP2004260533A (ja) 2003-02-26 2004-09-16 Sony Corp データ処理装置およびその方法
US20130261927A1 (en) 2012-03-28 2013-10-03 Delphi Technologies, Inc. System and method to authenticate an automotive engine device
JP2017509034A (ja) 2013-07-31 2017-03-30 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd 遠隔制御方法および端末
JP2018511248A (ja) 2015-03-27 2018-04-19 アマゾン・テクノロジーズ、インコーポレイテッド 無人機間の認証メッセージ
US20170085539A1 (en) 2015-09-22 2017-03-23 Bernard Wishard Autonomous sensor system with intrinsic asymmetric encryption

Also Published As

Publication number Publication date
US20250226991A1 (en) 2025-07-10
EP3794492C0 (en) 2023-09-20
US20190349204A1 (en) 2019-11-14
EP4319172A3 (en) 2024-04-10
US20210273815A1 (en) 2021-09-02
US11025429B2 (en) 2021-06-01
WO2019222131A1 (en) 2019-11-21
EP4319172A2 (en) 2024-02-07
US12231575B2 (en) 2025-02-18
JP2021523490A (ja) 2021-09-02
EP3794492B1 (en) 2023-09-20
EP3794492A1 (en) 2021-03-24

Similar Documents

Publication Publication Date Title
JP7524075B2 (ja) 信頼できるコンテキスチャルコンテンツ
US11831710B2 (en) Tracking and certification of digital media via distributed ledger
KR102908961B1 (ko) 암호화 태그를 위한 저장 및 통신 환경
US10885207B2 (en) Method, apparatus, and electronic device for blockchain-based recordkeeping
US11868509B2 (en) Method and arrangement for detecting digital content tampering
CN117557270B (zh) 移动终端安全支付管理方法及系统
BR102020005717A2 (pt) Segurança e rastreamento de máquina e dados agronômicos com base em transação distribuída
US20220067570A1 (en) Training machine learning models with training data
CN111984725B (zh) 分布式数据库中的测量数据集的验证
JP2019013009A (ja) 不正デジタル証明書の自動検出
JP2024506738A (ja) PUFおよびブロックチェーンベースのIoTイベントレコーダおよび方法
JP7026971B2 (ja) デジタル現場調査記録信頼モデルシステム及び方法
CN113407213B (zh) 资源包更新方法、装置、设备及存储介质
CN120979751A (zh) 安全检测方法、装置、存储介质和电子设备
Sisinni et al. Integrity verification of distributed nodes in critical infrastructures
CN117746361A (zh) 一种基于许可区块链的地图监控和地图更新方法及系统
Kuntze et al. On the creation of reliable digital evidence
CN109922056A (zh) 数据安全处理方法及其终端、服务器
CN116915408A (zh) 用于生成数据块的模块、方法和系统
CN114139118B (zh) 采集信息的方法、装置及系统
CN120750551B (zh) 一种基于区块链的药品检验信息共享方法及系统
KR101990959B1 (ko) 데이터 무결성을 보장하는 블랙박스 시스템 및 그 제어방법
Crosby et al. On Trusting Third-party Satellite Data.
CN120337253A (zh) 教育平台的数据访问处理方法及装置
CN121639482A (zh) 一种基于3d布控球的激光点云与视频融合的方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230904

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230919

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240118

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20240321

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240625

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240717

R150 Certificate of patent or registration of utility model

Ref document number: 7524075

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150