-
Die vorliegende Erfindung betrifft Verfahren zum Ausschließen eines Teilnehmers aus einer Gruppe von mehreren Teilnehmern, bei der für eine autorisierte Kommunikation der Teilnehmer untereinander Zertifikate verwendet werden, sowie eine Recheneinheit, ein Kommunikationssystem und ein Computerprogramm zu dessen Durchführung.
-
Stand der Technik
-
In mobilen Ad-hoc-Netzwerken können Teilnehmer mit anderen Teilnehmern in ihrer Umgebung kommunizieren. Dabei kann es sich bspw. um Fahrzeuge in sog. Vehicular Ad-hoc Networks (VANET, auch Car-to-Car bzw. Car-to-X) handeln. Um den Teilnehmerkreis zu beschränken, können alle berechtigten Teilnehmer ein Berechtigungszertifikat erhalten. Aus Datenschutzgründen können Teilnehmer auch mehrere sog. Pseudonymzertifikate erhalten, die bspw. von einem bspw. länger gültigen oder technisch aufwändiger ausgeprägten, insbesondere anonymen, Berechtigungszertifikat abgeleitet sein können. Die Pseudonymzertifikate können aber bspw. auch periodisch oder bei Bedarf von einer Zertifizierungsinstanz abgerufen werden, wobei die Berechtigung bspw. durch ein initiales Zertifikat oder auf andere Art nachgewiesen wird.
-
Für einen möglichst optimalen Datenschutz können diese Pseudonymzertifikate so ausgestellt werden, dass keine Zuordnung zum Besitzer und umgekehrt möglich ist.
-
Es kann aber, bspw. wegen missbräuchlichen Verhaltens eines Teilnehmers, gewünscht oder nötig sein, diesen Teilnehmer aus dem Kommunikationssystem auszuschließen.
-
Offenbarung der Erfindung
-
Erfindungsgemäß werden ein Verfahren zum Ausschließen eines Teilnehmers sowie eine Recheneinheit, ein Kommunikationssystem und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
-
Vorteile der Erfindung
-
Ein erfindungsgemäßes Verfahren dient zum Ausschließen eines Teilnehmers aus einer Gruppe von mehreren Teilnehmern, bei der für eine autorisierte Kommunikation der Teilnehmer untereinander Zertifikate verwendet werden. Dabei wird eine Austrittsaufforderung von einem Teilnehmer der Gruppe empfangen, wobei die Austrittsaufforderung eine Identifikation des auszuschließenden Teilnehmers durch den auszuschließenden Teilnehmer (und insbesondere nur durch diesen) ermöglicht. Insbesondere kann dabei die Identifikation des auszuschließenden Teilnehmers durch die Identifikation eines von dem auszuschließenden Teilnehmer verwendeten Zertifikats erfolgen. Die Austrittsaufforderung wird dabei insbesondere von einer Zertifizierungsinstanz übermittelt, welche insbesondere auch für die Ausstellung der Zertifikate bzw. deren Signierung verantwortlich ist. Von dem Teilnehmer wird, wenn er anhand der Austrittsaufforderung als auszuschließender Teilnehmer identifizierbar ist, die autorisierte Kommunikation beendet.
-
Auf diese Weise ist es möglich, in einem Kommunikationssystem einen Teilnehmer, der bspw. sein Zertifikat missbräuchlich verwendet hat, auszuschließen, auch wenn der betreffende Teilnehmer anhand des missbräuchlich verwendeten Zertifikats nicht ermittelt werden kann. Dies ist dann der Fall, wenn bspw. aus Datenschutzgründen die Teilnehmer in einem Kommunikationssystem zwar Zertifikate verwenden, diese Zertifikate jedoch bspw. aus einem initialen Schlüssel oder besonderen Zertifikat generiert werden, um die Wiedererkennbarkeit zu begrenzen. Diese Generierung kann durch den Benutzer oder eine dritte Partei erfolgen. Alternativ können die Zertifikate auch von einer dritten Partei ausgestellt werden, wobei die Berechtigung zum Erhalt dieser Zertifikate durch das initiale Zertifikat nachgewiesen wird. Ein Zusammenhang zwischen einer Verwendung des betreffenden Zertifikats durch den Teilnehmer und dem unterliegenden initialen Schlüssel oder Zertifikat bzw. dem dahinter stehenden Teilnehmer ist von außen zumindest nicht offensichtlich. Damit kann bspw. verhindert werden, dass ein Teilnehmer anhand der von ihm verwendeten Zertifikate verfolgt werden kann. Ein Teilnehmer, der eine Austrittsaufforderung erhält, kann anhand dieser überprüfen, ob es sich bei ihm um den auszuschließenden Teilnehmer handelt. Wenn dies der Fall ist, so kann der betreffende Teilnehmer seine autorisierte Kommunikation beenden. Da vorzugsweise nur der auszuschließende Teilnehmer selbst und kein anderer Teilnehmer erkennen kann, dass er der auszuschließende Teilnehmer ist, bleibt die Anonymität gewahrt.
-
Im Rahmen der Erfindung kann bspw. durch Übermittlung der Austrittsaufforderung an mehrere Teilnehmer, unter welchen sich der auszuschließenden Teilnehmer befindet oder zumindest befinden sollte, der betreffende Teilnehmer ausgeschlossen werden, ohne dass ein Zusammenhang zwischen dem betreffenden Teilnehmer und dem missbräuchlich verwendeten Zertifikat bekannt ist oder hergestellt werden muss, d.h. ohne Verletzung des Datenschutzes. Insbesondere kann man dieses Verfahren also mit besonders datenschutzfreundlichen Verfahren zur Erstellung der Zertifikate kombinieren, bei denen eine Herstellung dieses Zusammenhanges zwischen den übermittelten Zertifikaten und der Identität des Teilnehmers technisch ausgeschlossen ist.
-
Die Kommunikation innerhalb des Kommunikationssystems kann über ein Kommunikationsmedium wie bspw. Mobilfunk, im Falle von Fahrzeugen (Car-to-Car), insbesondere auch in Kombination mit anderen Verkehrssystemen (Car-to-X), auch über W-LAN mit ITS-G5 oder dergleichen, erfolgen. Es ist hierbei sowohl möglich, dass die Kommunikation von Punkt zu Punkt zwischen jeweils zwei Teilnehmern erfolgt, und dass ein Teilnehmer Nachrichten an Gruppen anderer Teilnehmer sendet. Insbesondere kann daher auch die Austrittsaufforderung über dieses Kommunikationsmedium übermittelt werden.
-
Vorteilhafterweise wird die Beendigung der autorisierten Kommunikation durch eine vertrauenswürdige Komponente, durch die die Integrität des Teilnehmers sicherstellt werden kann und insbesondere auch wird, erzwungen oder überwacht. Bei einer vertrauenswürdigen Komponente handelt es sich um eine Komponente, welche die Integrität des Systems sicherstellen kann und deren dahingehenden Messungen schwer zu manipulieren sind, da sie über besondere Schutzmaßnahmen verfügt, die eine Manipulation erschweren bzw. zumindest offensichtlich machen, bspw. in Form einer Hard- und/oder Software-Komponente, z.B. ein Trusted Platform Module (TPM). Solche Komponenten enthalten typischerweise auch einen gegen Auslesen geschützten Speicherbereich, der kryptografische Schlüssel enthält, welche von der vertrauenswürdigen Komponente etwa zum Signieren von Nachrichten verwendet werden können.
-
Der Einsatz einer vertrauenswürdigen Komponente, um die Befolgung einer Austrittsaufforderung durchzusetzen, ist z.B. aus Raya, M., Papadimitratos, P., Aad, I., Jungeis, D., & Hubaux, J. P. (2007). Eviction of misbehaving and faulty nodes in vehicular networks. Selected Areas in Communications, IEEE Journal on, 25(8), 1557–1568, bekannt. Damit ist es jedoch nur möglich, bekannte Teilnehmer auszuschließen.
-
Ein Ausschluss eines Teilnehmers, der Pseudonymzertifikate verwendet, ist aus Stumpf, F., Fischer, L., & Eckert, C. (2007). Trust, security and privacy in vanets a multilayered security architecture for c2c-communication. VDI BERICHTE, 2016, 55, bekannt. Auch hier ist jedoch nötig, zu jedem Pseudonymzertifikat den Besitzer zu ermitteln.
-
Vorzugsweise umfasst die Austrittsaufforderung zur Identifikation des auszuschließenden Teilnehmers ein von dem auszuschließenden Teilnehmer verwendetes Zertifikat und/oder einen Code, aus dem das Zertifikat, insbesondere nur von dem auszuschließenden Teilnehmer, ermittelt werden kann. Wenn die Austrittsaufforderung das Zertifikat selbst umfasst, kann der auszuschließende Teilnehmer sehr einfach erkennen, dass er seine autorisierte Kommunikation beenden soll. Wenn die Austrittsaufforderung einen Code umfasst, aus dem das Zertifikat, insbesondere nur von dem auszuschließenden Teilnehmer, ermittelt werden kann, ist es möglich, dass ein Teilnehmer ermitteln kann, ob er der auszuschließende Teilnehmer ist, auch wenn er das betreffende Zertifikat bspw. bereits gelöscht hat. Hierzu kann der Code bspw. ein sog. Revocation Token sein, das bei einer Ausstellung im Zertifikat kodiert wird. Bspw. kann das Token über ein Verschlüsselungsverfahren, wie bspw. einer randomisierten Verschlüsselung, welches bspw. einen Initialisierungsvektor verwendet, erzeugt werden, das nur der Besitzer des Zertifikats entschlüsseln kann.
-
Vorzugsweise wird eine Authentizität der Austrittsaufforderung nachgewiesen, insbesondere von einer dritten Partei wie bspw. der Zertifizierungsinstanz. Dies kann bspw. mittels einer Signatur erfolgen. Auf diese Weise kann sichergestellt werden, dass die Austrittsaufforderung an den betreffenden Teilnehmer tatsächlich von einer dazu autorisierten Partei gewünscht bzw. erforderlich ist.
-
Vorteilhafterweise wird die Austrittsaufforderung an alle Teilnehmer der Gruppe oder an einen, insbesondere aufgrund eines geographischen Gebiets, ausgewählten Teil der Teilnehmer der Gruppe übermittelt. Wenn die Austrittsaufforderung an alle Teilnehmer der Gruppe übermittelt wird, kann sichergestellt werden, dass auch der auszuschließende Teilnehmer die Austrittsaufforderung erhält. Wenn jedoch bspw. sichergestellt werden kann oder zumindest mit hoher Wahrscheinlichkeit angenommen werden kann, dass sich der auszuschließende Teilnehmer innerhalb eines Teils der Gruppe befindet, kann die Übermittlung der Austrittsaufforderung auch auf diesen Teil beschränkt werden, wodurch Ressourcen geschont werden können. Bei einem solchen Teil einer Gruppe kann es sich bspw. um Teilnehmer in einem bestimmten geographischen Gebiet handeln. Wenn die Teilnehmer bspw. Fahrzeuge sind, kann das Gebiet eine Stadt oder einen Autobahnabschnitt umfassen. Die Verteilung der Nachricht kann bspw. mittels Geocast oder Multi-Hop-Kommunikation erfolgen. Die Nachricht kann also auf einen vorgegebenen örtlich beschränkten Bereich eingegrenzt sein, um ihre Reichweite zu begrenzen, oder von Teilnehmer zu Teilnehmer weitergeleitet werden, um ihre Reichweite zu erhöhen. Auch Kombinationen der beiden Verfahren sind denkbar, beispielsweise wenn die natürliche Reichweite der Nachricht deutlich kleiner ist als der örtlich beschränkte Bereich.
-
Es ist von Vorteil, wenn die Beendigung der autorisierten Kommunikation ein Löschen des von dem auszuschließenden Teilnehmer verwendeten Zertifikats und insbesondere weiterer Zertifikate des auszuschließenden Teilnehmers und/oder zu den Zertifikaten gehöriger Schlüssel umfasst. Auf diese Weise kann ein erneuter Beginn der autorisierten Kommunikation mit dem betreffenden Zertifikat oder mit anderen Zertifikaten, die der auszuschließende Teilnehmer noch besitzt, verhindert werden. Ein erneuter Beginn könnte somit nur dann erfolgen, wenn dem betreffenden Teilnehmer durch Überlassung von neuen Zertifikaten die autorisierte Kommunikation wieder erlaubt wird.
-
Vorzugsweise umfasst die Beendigung der autorisierten Kommunikation eine Bestätigung durch den auszuschließenden Teilnehmer, insbesondere an den Absender der Austrittsaufforderung. Bei dem Absender der Austrittsaufforderung handelt es sich dabei üblicherweise um die Zertifizierungsinstanz. Damit kann bspw. eine unnötige weitere bzw. wiederholte Übermittlung der Austrittsaufforderung vermieden werden.
-
Vorteilhafterweise werden Mittel zur Überprüfung und/oder Bestätigung des Erhalts der Austrittsaufforderung von dem auszuschließenden Teilnehmer nach Beendigung der autorisierten Kommunikation aufbewahrt. Damit kann im Falle einer weiteren Austrittsaufforderung auf Basis eines weiteren Zertifikats der Empfang dieser Austrittsaufforderung ebenfalls bestätigt werden.
-
Es ist von Vorteil, wenn von dem auszuschließenden Teilnehmer nach Beendigung der autorisierten Kommunikation Sicherheitsmaßnahmen durchgeführt werden. Wenn es sich bei dem Teilnehmer bspw. um ein Fahrzeug handelt, können die Sicherheitsmaßnahmen bspw. eine Aufforderung an den Fahrer zum Aufsuchen einer Werkstatt, eine Beschränkung der Höchstgeschwindigkeit des Fahrzeugs, eine Stillsetzung des Fahrzeugs und/oder eine Meldung über die aktuelle Position des Fahrzeugs bspw. an eine Behörde umfassen. Solche Sicherheitsmaßnahmen können insbesondere auch abhängig von der Art der missbräuchlichen Benutzung des Zertifikats sein und/oder erfolgen. Außerdem kann bspw. der Datenschutz des betreffenden Teilnehmers aufgehoben werden. Insgesamt sind somit auch trotz Datenschutz, d.h. der fehlenden Verbindung zwischen Teilnehmer und Zertifikat, Sicherheitsmaßnahmen möglich.
-
Vorzugsweise erfolgt ein Nachweis der Integrität eines Teilnehmers, insbesondere durch Nachweis gegenüber einem oder mehreren anderen Teilnehmern der Gruppe und/oder gegenüber einer Zertifizierungsinstanz. Insbesondere kann dieser Nachweis mittels der vertrauenswürdigen Komponenten erfolgen. Auf diese Weise kann innerhalb der Gruppe bzw. des gesamten Kommunikationssystems sichergestellt werden, dass der betreffende Teilnehmer auch tatsächlich seine autorisierte Kommunikation beendet.
-
Vorteilhafterweise erfolgt der Nachweis der Integrität des Teilnehmers vor Abruf eines oder mehrere neuer Zertifikate und/oder nach Erhalt der Austrittsaufforderung. Damit kann bspw. sichergestellt werden, dass ein Teilnehmer, bevor er neue Zertifikate erhält, im Falle einer missbräuchlichen Verwendung, die damit ermöglichte autorisierte Kommunikation auch zuverlässig wieder einstellt.
-
Der Nachweis der Integrität kann dabei bspw. mittels einer sog. Remote Attestation erfolgen. Bei diesem Verfahren wird, auf der Basis einer (eingangs erwähnten) vertrauenswürdigen Komponente, eine gegen Manipulation geschützte Messung verschiedener Eigenschaften des Teilnehmers durchgeführt. Um das von der Erfindung ermöglichte, hohe Datenschutzniveau zu wahren, können hierfür bspw. alle vertrauenswürdigen Komponenten mit einem einheitlichen Schlüssel ausgestattet werden. Da dies jedoch keine sehr robuste Lösung ist, könnte vorteilhaft bspw. auch Direct Anonymous Attestation (DAA) eingesetzt werden, bei der eine dritte Partei (ein sog. Issuer) die Schlüssel in den vertrauenswürdigen Komponenten bereitstellt, etwa nachdem sie bestimmte Systemeigenschaften überprüft hat, und einer anderen Partei (dem sog. Verifier) gegenüber unter Verwendung von Zero-Knowledge-Beweisen ein Nachweis dieser Eigenschaften möglich ist, ohne dass ein Wiedererkennen des Schlüssels bzw. der vertrauenswürdigen Komponente bzw. des Teilnehmers möglich ist.
-
Eine erfindungsgemäße Recheneinheit als Teilnehmer, z.B. ein Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
-
Ein erfindungsgemäßes Kommunikationssystem umfasst eine Gruppe von mehreren Teilnehmern und eine Zertifizierungsinstanz und ist dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen. Insbesondere können sowohl die Teilnehmer als auch die Zertifizierungsinstanz als Recheneinheit vorliegen.
-
Auch die Implementierung des Verfahrens in Form eines Computerprogramms ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
-
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
-
Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
-
Kurze Beschreibung der Zeichnungen
-
1 zeigt schematisch eine Vergabe von Zertifikaten in einem erfindungsgemäßen Kommunikationssystem in einer bevorzugten Ausführungsform.
-
2 zeigt schematisch eine Kommunikation unter Teilnehmern in einem erfindungsgemäßen Kommunikationssystem in einer bevorzugten Ausführungsform.
-
3 zeigt schematisch ein Ausschließen eines Teilnehmers in einem erfindungsgemäßen Kommunikationssystem in einer bevorzugten Ausführungsform anhand eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform.
-
Ausführungsform(en) der Erfindung
-
In 1 ist schematisch eine Vergabe von Zertifikaten in einem erfindungsgemäßen Kommunikationssystem 300 in einer bevorzugten Ausführungsform gezeigt. Das Kommunikationssystem umfasst vorliegend beispielhaft drei Teilnehmer 100, 101 und 102. Hierzu sei erwähnt, dass die Anzahl der Teilnehmer zwar wenigstens zwei betragen sollte, im Übrigen jedoch für die Funktionsweise eines erfindungsgemäßen Verfahrens nicht relevant ist.
-
Von einer Zertifizierungsinstanz 200 wird an die drei Teilnehmer 100, 101 und 102 jeweils ein initiales Zertifikat 110', 111' bzw. 112' vergeben. Der jeweiligen Vergabe dieser initialen Zertifikate kann eine hier nicht dargestellte Anfrage nach einem solchen initialen Zertifikat durch den jeweiligen Teilnehmer vorausgegangen sein.
-
Von den drei Teilnehmern 100, 101 und 102 wird nach Erhalt der initialen Zertifikate jeweils eine Nachricht 130, 131 bzw. 132 zum Nachweis ihrer Integrität an die Zertifizierungsinstanz 200 gesendet. Die Integrität der jeweiligen Teilnehmer wird dabei von einer vertrauenswürdigen Komponente 120, 121 bzw. 122, die bspw. als Hardware- und/oder Software-Komponenten vorliegen können, gewahrt. Bspw. können die initialen Zertifikate dann auch von bzw. in der jeweiligen vertrauenswürdigen Komponente verwahrt werden.
-
Aus dem initialen Zertifikat können von jedem der Teilnehmer 100, 101 bzw. 102 jeweils ein oder mehrere Zertifikate, welche anschließend zur autorisierten Kommunikation verwendet werden können, erzeugt werden. Diese Zertifikate können dazu bspw. aus dem jeweiligen initialen Zertifikat mittels eines Verschlüsselungsverfahrens, bspw. unter Verwendung von Zufallszahlen, abgeleitet werden. Diese abgeleiteten Zertifikate stehen dann in keiner erkennbaren Verbindung zum jeweiligen Teilnehmer, so dass bei der Verwendung dieser Zertifikate der Datenschutz für den jeweiligen Teilnehmer gewährleistet bleibt. In diesem Zusammenhang werden solche Zertifikate auch als sog. Pseudonymzertifikate bezeichnet.
-
Hierzu sei angemerkt, dass anstelle des erläuterten Verfahrens zur Erlangung von Zertifikaten auch andere Verfahren verwendet werden können. So kann bspw. anstelle des initialen Zertifikats ein Schlüssel übermittelt werden, aus dem wiederum Zertifikate ermitteln werden können. Alternativ können die zur Kommunikation verwendeten Zertifikate bzw. Pseudonymzertifikate auch von der Zertifizierungsinstanz abgerufen werden, wobei der Nachweis der Berechtigung durch das initiale Zertifikat erfolgt. Hier bei ist es auch sinnvoll, vor jedem Abruf solcher Pseudonymzertifikate die Integrität nachzuweisen.
-
In 2 ist schematisch eine autorisierte Kommunikation unter den drei Teilnehmern 100, 101 und 102 in dem Kommunikationssystem 300 dargestellt. Die Teilnehmer verwenden zur autorisierten Kommunikation jeweils eines ihrer Zertifikate, die wie oben erläutert bspw. aus den jeweiligen initialen Zertifikaten 100', 101' bzw. 102' abgeleitet worden sind. Beispielhaft verwenden die Teilnehmer jeweils nur ein Zertifikat, Teilnehmer 100 das Zertifikat 110, Teilnehmer 101 das Zertifikat 111 und Teilnehmer 102 das Zertifikat 112. Mit diesen Zertifikaten können die Teilnehmer, wie gezeigt, jeweils autorisiert miteinander kommunizieren.
-
Die Zertifikate 110, 11 und 112 werden dabei vom jeweiligen Teilnehmer niemals vollständig an andere Teilnehmer übermittelt. Lediglich Teile, die typischerweise noch weiterverarbeitet werden, werden übermittelt, beispielsweise eine vom privaten Schlüssel abgeleitete Signatur. Weiterhin sind zumindest Teile des Zertifikats (insbesondere der private Schlüssel) typischerweise in der vertrauenswürdigen Komponente des Teilnehmers gelagert.
-
Der Vollständigkeit halber sei an dieser Stelle nochmals erwähnt, dass durch Verwendung eines Zertifikats durch einen Teilnehmer zwar die Berechtigung des Teilnehmers nachgewiesen ist, jedoch von dem Zertifikat nicht auf die Identität des Teilnehmers selbst geschlossen werden kann.
-
Im gezeigten Beispiel weiß somit bspw. Teilnehmer 101, der eine Nachricht, die das Zertifikat 110 umfasst, empfängt, dass der Sender zur Kommunikation berechtigt ist, nicht jedoch, dass die Nachricht von Teilnehmer 100 stammt. Gleiches gilt für die weiteren gezeigten Kommunikationspfade zwischen den drei Teilnehmern.
-
In 3 ist schematisch ein Ausschließen des Teilnehmers 100 in dem Kommunikationssystem 300 anhand eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform dargestellt.
-
Dazu versendet die Zertifizierungsinstanz 200 eine Austrittsaufforderung 140 an jeden der drei Teilnehmer 100, 101 und 102. Wie eingangs erwähnt, kann die Versendung der Austrittsaufforderung auch nur an einen Teil der Teilnehmer erfolgen. Ist bspw. bekannt, dass sich nur Teilnehmer 100 und 101 innerhalb eines bestimmten Gebiets, in dem eine missbräuchliche Verwendung des Zertifikats 110 festgestellt wurde, befinden, Teilnehmer 102 jedoch nicht, so ist es ausreichend, wenn die Austrittsaufforderung 140 nur an die Teilnehmer 100 und 101 gesendet wird.
-
Die Austrittsaufforderung 140 ermöglicht nun eine Identifikation des von dem auszuschließenden Teilnehmer verwendeten Zertifikats 110. Dazu kann bspw. das Zertifikat 110 selbst in der Austrittsaufforderung enthalten sein. Ebenso kann aber bspw. auch das initiale Zertifikat 110' enthalten sein. Dabei kann nur der Teilnehmer 110 anhand der Austrittsaufforderung 140 erkennen, dass er der auszuschließende Teilnehmer ist.
-
Der Teilnehmer 110 beendet anschließend die autorisierte Kommunikation, indem er bspw. sein Zertifikat 110, welches er für die autorisierte Kommunikation benötigen würde, löscht. Dies ist vorliegend durch einen durchgestrichenen Block 110 dargestellt. Falls vorhanden, können gleichzeitig auch noch weitere Zertifikate und/oder dafür nötige Schlüssel gelöscht werden. Anschließend versendet der Teilnehmer 110 eine Bestätigung 150 an die Zertifizierungsinstanz, dass er die autorisierte Kommunikation beendet hat und bspw. auch, dass er die entsprechenden Zertifikate gelöscht hat.
-
Während nun der Teilnehmer 110 nicht mehr zur Kommunikation in dem Kommunikationssystem 300 berechtigt ist, können die beiden Teilnehmer 101 und 102 weiterhin autorisiert miteinander kommunizieren. Dabei wird durch die vertrauenswürdige Komponente 120 des Teilnehmers 100 sichergestellt, dass die Kommunikation tatsächlich beendet wird. Insbesondere kann auch die Bestätigung 150 durch oder unter Mitwirkung der vertrauenswürdigen Komponente 120 erfolgen, welche durch manipulationsresistente Messungen die Integrität nachvollzieht, und mittels eines gegen Auslesen geschützten geheimen Wertes diese Messung bestätigt.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Raya, M., Papadimitratos, P., Aad, I., Jungeis, D., & Hubaux, J. P. (2007). Eviction of misbehaving and faulty nodes in vehicular networks. Selected Areas in Communications, IEEE Journal on, 25(8), 1557–1568 [0011]
- Stumpf, F., Fischer, L., & Eckert, C. (2007). Trust, security and privacy in vanets a multilayered security architecture for c2c-communication. VDI BERICHTE, 2016, 55 [0012]