CN108011790A - 管理通信连接的方法、包括通信伙伴的系统和交通工具 - Google Patents
管理通信连接的方法、包括通信伙伴的系统和交通工具 Download PDFInfo
- Publication number
- CN108011790A CN108011790A CN201711000072.6A CN201711000072A CN108011790A CN 108011790 A CN108011790 A CN 108011790A CN 201711000072 A CN201711000072 A CN 201711000072A CN 108011790 A CN108011790 A CN 108011790A
- Authority
- CN
- China
- Prior art keywords
- communication
- parter
- message
- communication parter
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Abstract
本发明涉及一种用于管理第一通信伙伴与第二通信伙伴之间的第一通信连接的方法。所述方法包含通过第一通信伙伴接收第一消息。在此,第一消息包含断开第一通信连接的指令。所述方法还包含通过第一通信伙伴经由第一通信伙伴与第二通信伙伴之间的不同的第二通信连接向第二通信伙伴发送第二消息。在此,第二消息包含确认指令有效性的请求。此外,所述方法包含当第一通信伙伴通过第二通信连接接收包含确认指令有效性的第三消息时,通过第一通信伙伴断开第一通信连接。
Description
技术领域
本发明涉及两个通信伙伴之间的通信。本发明尤其涉及一种用于管理第一通信连接的方法、一种包括第一通信伙伴和第二通信伙伴的系统以及一种交通工具。
背景技术
两个设备之间的通信连接(例如无线或者有线)可能受到攻击者的干扰。例如,两个设备之间通过无线局域网(英语Wireless Local Area Network,WLAN)的无线通信连接可能由攻击者通过易于伪造的解除认证请求(英语deauthentificaiton request)干扰。在此,外部攻击者可能使设备解除现有的连接。这导致两个设备之间的WLAN通信受到干扰。由此可能例如不能提供为WLAN连接服务的功能性。
在WLAN连接中的示例性的解除认证攻击(英语deauthentification attack)的示意性流程在图1中显示,以便说明。
客户端110例如向网络接入点120发送认证请求(英语authentication request)。网络接入点(英语Access Point,AP)120又向客户端110发送认证应答(英语authentication response)121。由此,客户端110向网络接入点120发送关联请求112(英语association request)。网络接入点120又向客户端110发送关联应答(英语associationresponse)122。由此在客户端110与网络接入点120之间建立WLAN连接,并且可以在客户端110与网络接入点120之间交换数据113。
现在可能通过攻击者(英语attacker)130向网络接入点120发送伪造的解除认证请求131。由此在客户端110与网络接入点120之间的其它数据114的传递被停止或者不可行。网络接入点120还向客户端110确认解除认证123。
因此,WLAN连接可能受到解除认证攻击的持续干扰。所述攻击也可以是其它攻击的准备。
发明内容
因此,本发明所要解决的技术问题在于,提供一种改善通信连接的防止第三方攻击的稳定性的可能性。
该技术问题按本发明通过一种用于管理第一通信伙伴与第二通信伙伴之间的第一通信连接的方法解决。第一通信伙伴和第二通信伙伴可以指的是能够通过通信连接相互交换数据或者信息的设备。例如,第一通信伙伴或者第二通信伙伴可以指的是移动终端设备、控制设备、计算机或者网络接入点。通信连接可以是实现两个通信伙伴之间的通信的通信连接。因此,第一通信连接既可以设计为无线的(例如按照电器和电子工程师协会的标准IEEE802.11的WLAN;按照IEEE的标准IEEE 802.15.1的蓝牙;按照国际标准组织的标准ISO14443,18092或21481、欧洲计算机制造商协会的ECMA 340,352,356,362或者欧洲电信标准协会的ETSI TS 102 190中的一个的近场通信,NFC),也可以设计为有线的(例如局域网LAN;以太网;总线)。
所述方法包括通过第一通信伙伴接收第一消息。在此,第一消息包含断开第一通信连接的指令。在此,第一消息既可能来源于想要中断与第一通信伙伴的第一通信连接的第二通信伙伴,也可能来源于想要干扰第一通信伙伴与第二通信伙伴之间的通信连接的攻击者。为此,攻击者可能例如窥探到第二通信伙伴的身份或者识别信号并且这样操纵第一消息,使得其将第二通信伙伴认证为消息发送者。
因此,所述方法还包含通过第一通信伙伴经由第一通信伙伴与第二通信伙伴之间的不同的第二通信连接向第二通信伙伴发送第二消息。在此,第二消息包含确认指令有效性的请求。因此,第一通信伙伴和第二通信伙伴可以经由两个通信连接,也就是经由两个不同的通信连接交换消息。如第一通信连接那样,第二通信连接也可以是任何的实现两个通信伙伴之间的通信并且不同于第一通信连接的通信连接。借助第二消息,第一通信伙伴可以再确认具有断开指令的第一消息是否真正来源于第二通信伙伴。
此外,所述方法包括(仅)当第一通信伙伴通过第二通信连接接收包含确认指令有效性的第三消息时,通过第一通信伙伴断开第一通信连接。因此,(仅)在通过第二通信伙伴确认通信连接真的需要断开之后,进行所述断开。由此可以避免由于通过第三方的攻击(也就是通过第三方发送第一消息)造成的通信连接的错误断开。因此可以改善第一通信连接的防止第三方攻击的稳定性。
按照本发明的一些实施例,所述方法还包括当第一通信伙伴通过第二通信连接接收包含否定指令有效性的第四消息时,通过第一通信伙伴保持第一通信连接。如果第一消息不来源于第二通信伙伴,则保持第一通信连接。由此可以避免由于通过第三方的攻击(也就是通过第三方发送第一消息)造成的通信连接的错误断开。因此可以改善第一通信连接的防止第三方攻击的稳定性。
在本发明的一些实施例中,所述方法在接收第二消息之后还包括通过第二通信伙伴检验指令是否是通过第二通信伙伴发送的。在通过第一通信伙伴请求之后,第二通信伙伴主动地检验具有断开指令的第一消息是否真的是由其发送的。如果指令是通过第二通信伙伴发送的,则所述方法还包括通过第二通信连接向第一通信伙伴发送第三消息。如果指令不是通过第二通信伙伴发送的,则所述方法备选地包括通过第二通信连接向第一通信伙伴发送第四消息。通过第二通信伙伴针对请求的主动检验,可以为第一通信伙伴提供关于第一消息的有效性的认证信息。通过第二通信连接传输第三或者第四消息还提高了防止第三方操纵的安全性,因为第三方除了第一通信连接之外还需要识别第二通信连接并且需要基本上同时操纵或者影响两个通信连接。
按照本发明的一些实施例,所述方法还包括如果指令不是通过第二通信伙伴发送的,则记录(Protokollieren)第一消息。通过记录可以将所尝试的攻击固定在第一通信连接上,以便其接下来例如进行分析和采取应对措施。作为备选或补充,如果指令不是通过第二通信伙伴发送的,也可以通过第一消息通知第一通信伙伴、第二通信伙伴和/或第一通信连接的负责人。以此方式可以同时告知负责人可能的攻击,以便例如能够对其作出反应。
在本发明的一些实施例中,所述第一通信连接是第一通信伙伴与第二通信伙伴之间的无线连接。第一通信连接例如是通常用于在通信伙伴之间进行数据交换的连接。第一通信连接作为无线连接的设计可以更简单地在通信伙伴之间进行数据交换,因为例如不需要在两个通信伙伴之间安装或者提供具有高数据速率的缆线连接。
按照本发明的一些实施例,所述第二通信连接是第一通信伙伴与第二通信伙伴之间的有线连接。因为通过第二通信连接在按照本发明的方法中只传递关于检验断开指令有效性的数据或者消息,所以例如可以使用两个通信伙伴之间具有较低数据速率的已经存在的有线连接。有线连接还可以提高防止第三方攻击的安全性,因为需要有形地接入缆线、导线或者管线。
按照本发明的另一方面,通过一种包括第一通信伙伴和第二通信伙伴的系统改善通信连接的防止第三方攻击的稳定性。所述第一通信伙伴和第二通信伙伴在此通过第一通信连接相互通信。
第一通信伙伴在此设置用于接收第一消息,其中,第一消息包含断开第一通信连接的指令。如上所述,第一消息既可能来源于想要断开与第一通信伙伴的第一通信连接的第二通信伙伴,也可能来源于攻击者,其想要干扰第一通信伙伴与第二通信伙伴之间的通信连接。
因此,第一通信伙伴还设置用于通过第一通信伙伴与第二通信伙伴之间的不同的第二通信连接向第二通信伙伴发送第二消息。在此,第二消息包含确认指令有效性的请求。第一通信伙伴和第二通信伙伴通过两个通信连接相连,也就是它们可以通过两个不同的通信通道交换消息或者信息。借助第二消息,第一通信伙伴可以再确认具有断开指令的第一消息是否真的来源于第二通信伙伴。
第一通信伙伴也设置用于,(仅)当第一通信伙伴通过第二通信连接接收包含确认指令有效性的第三消息时,断开第一通信连接。因此,第一通信伙伴(仅)在通过第二通信伙伴确认通信连接真的需要断开之后断开第一通信连接。由此可以避免由于通过第三方的攻击(也就是通过第三方发送第一消息)造成的通信连接的错误断开。因此可以改善第一通信连接的防止第三方攻击的稳定性。
按照本发明的一些实施例,所述第一通信伙伴还设置用于当第一通信伙伴通过第二通信连接接收包含否定指令有效性的第四消息时,保持第一通信连接。如果第一消息不来源于第二通信伙伴,则由此保持第一通信连接。因此可以避免由于通过第三方的攻击(也就是通过第三方发送第一消息)造成的通信连接的错误断开。因此可以改善第一通信连接的防止第三方攻击的稳定性。
在本发明的一些实施例中,所述第二通信伙伴设置用于在接收第二消息之后检验指令是否是通过第二通信伙伴发送的。也就是在通过第一通信伙伴请求之后,第二通信伙伴主动地检验具有断开指令的第一消息是否真的是由其发送的。如果指令是通过第二通信伙伴发送的,则第二通信伙伴设置用于通过第二通信连接向第一通信伙伴发送第三消息。如果指令不是通过第二通信伙伴发送的,则第二通信伙伴设置用于通过第二通信连接向第一通信伙伴发送第四消息。通过第二通信伙伴针对请求的主动检验,可以为第一通信伙伴提供关于第一消息的有效性的认证信息。通过第二通信连接传输第三或者第四消息还提高了防止第三方操纵的安全性,因为第三方除了第一通信连接之外还需要识别第二通信连接并且需要基本上同时操纵或者影响两个通信连接。
按照本发明的一些实施例,所述第一通信连接又是第一通信伙伴与第二通信伙伴之间的无线连接。第一通信连接作为无线连接的设计可以如上所述地更简单地在通信伙伴之间进行常规数据交换。
在本发明的一些实施例中,所述第二通信连接又是第一通信伙伴与第二通信伙伴之间的有线连接。这如上所述地例如可以使用两个通信伙伴之间具有较低数据速率的已经存在的有线连接。有线连接同样可以提高防止第三方攻击的安全性。
在本发明的一些其它实施例中,系统或者系统的部件可以设置用于实施一个或多个其它的上述方法步骤。
按照本发明的另一方面,通过一种交通工具改善通信连接的防止第三方攻击的稳定性。所述交通工具在此包括按照上述实施例的系统。交通工具是用于运输人或者货物的移动交通工具。因此,交通工具既可以是指轿车也可以是指商用车。例如交通工具可以是轿车、载重汽车、摩托车或者拖拉机。交通工具一般理解为包括发动机、传动链系统以及轮子的设备。
因此,两个相互通信的交通工具部件之间的通信连接(仅)在确认所述通信连接真的应断开之后才断开。由此可以避免由于通过第三方的攻击造成的通信连接的错误断开。因此可以改善交通工具中的通信连接的防止第三方攻击的稳定性。
在本发明的一些实施例中,所述系统的第一通信伙伴或者第二通信伙伴在此是交通工具的用于与蜂窝网络(例如按照第三代合作伙伴计划的标准,3GPP)通信的通信设备,并且另一通信伙伴是交通工具的信息娱乐系统。信息娱乐系统和通信设备在交通工具中例如耦连,以便实现交通工具功能(例如紧急呼叫功能)或者信息娱乐功能(例如后座娱乐、音频或者视频流)。按照本发明可以防止由于第三方的攻击造成的信息娱乐系统与通信设备之间的通信失灵和由此造成的前述功能性的失灵。
按照本发明的一些实施例,所述第一通信连接在此是无线局域网。通过无线局域网的连接可以减少交通工具中的布线并且因此除了简化安装也降低了交通工具的成本。
在本发明的一些实施例中,所述第二通信连接是控制器区域网络(CAN)总线。交通工具中的很多部件(例如信息娱乐系统和通信设备)通过CAN总线相互耦连,以确保例如能够在其间交换证书。因此,通过将CAN总线用作第二通信连接,能够利用已经存在于交通工具中的通信连接。因此可以避免为了实现本发明而装入附加部件。
附图说明
以下参照附图详细阐述本发明的实施例。在附图中:
图1示出示例性的解除认证攻击的示意性流程;
图2示出用于管理第一通信伙伴与第二通信伙伴之间的第一通信连接的方法的一个实施例的流程图;
图3示出包括第一通信伙伴和第二通信伙伴的系统的一个实施例;
图4示出交通工具的一个实施例;
图5示出系统的一个实施例,其包括交通工具的信息娱乐系统和通信设备;并且
图6示出按照本发明的在交通工具的信息娱乐系统与通信设备之间的方法的示意性流程的一个实施例。
具体实施方式
在图2中示出用于管理第一通信伙伴与第二通信伙伴之间的第一通信连接的方法200。
在此,方法200包括通过第一通信伙伴接收202第一消息。所述第一消息在此包含断开第一通信连接的指令。
所述方法200还包括通过第一通信伙伴经由第一通信伙伴与第二通信伙伴之间的不同的第二通信连接向第二通信伙伴发送204第二消息。所述第二消息在此包含确认指令有效性的请求。
此外,所述方法200包括当第一通信伙伴通过第二通信连接接收包含确认指令有效性的第三消息时,通过第一通信伙伴断开206a第一通信连接。
备选地,所述方法200包括当第一通信伙伴通过第二通信连接接收包含否定指令有效性的第四消息时,通过第一通信伙伴保持206b第一通信连接。
因此,(仅)在通过第二通信伙伴确认通信连接真的应断开之后才断开通信连接。如果第一消息不来源于第二通信伙伴,则保持第一通信连接。由此可以避免由于通过第三方的攻击(也就是通过第三方发送第一消息)造成的通信连接的错误断开。因此可以改善第一通信连接的防止第三方攻击的稳定性。
所述方法200的其它细节和方面在以上和以下结合一个或多个实施例描述。所述方法200可以包括按照一个或多个其它实施例的一个或多个可选特征。
此外,图3示出包括第一通信伙伴310和第二通信伙伴320的系统300。第一通信伙伴310和第二通信伙伴320在此通过第一通信连接330相互通信。
第一通信伙伴310在此设置用于接收第一消息,其中,第一消息包含断开第一通信连接330的指令。如上所述,第一消息既可能来源于想要断开与第一通信伙伴310的第一通信连接330的第二通信伙伴320,也可能来源于攻击者,其想要干扰第一通信伙伴310与第二通信伙伴320之间的通信连接330。
第一通信伙伴310还设置用于通过第一通信伙伴310与第二通信伙伴320之间的不同的第二通信连接340向第二通信伙伴320发送第二消息。在此,第二消息包含确认指令有效性的请求。借助第二消息,第一通信伙伴310可以再确认具有断开指令的第一消息是否真的来源于第二通信伙伴320。
第一通信伙伴310在此也设置用于,(仅)当第一通信伙伴通过第二通信连接340接收包含确认指令有效性的第三消息时,断开第一通信连接330。因此,第一通信伙伴310(仅)在通过第二通信伙伴320确认通信连接真的需要断开之后才断开第一通信连接330。由此可以避免由于通过第三方的攻击(也就是通过第三方发送第一消息)造成的通信连接330的错误断开。
此外,所述第一通信伙伴也可以设置用于当第一通信伙伴通过第二通信连接340接收包含否定指令有效性的第四消息时,保持第一通信连接330。如果第一消息不来源于第二通信伙伴320,则由此保持第一通信连接330。因此可以避免由于通过第三方的攻击(也就是通过第三方发送第一消息)造成的通信连接330的错误断开。因此可以改善第一通信连接330的防止第三方攻击的稳定性。
所述系统300的其它细节和方面在以上和以下结合一个或多个实施例描述。所述系统300可以包括按照一个或多个其它实施例的一个或多个可选特征。
图4示出具有按照实施例的系统410的交通工具400。因此,交通工具400的两个相互通信的通信伙伴之间的通信连接(仅)在确认所述通信连接真的应断开之后才断开。由此可以避免由于通过第三方的攻击造成的通信连接的错误断开。因此可以改善交通工具400中的通信连接的防止第三方攻击的稳定性。
图5还示出系统500的实施例,其中第一通信伙伴是交通工具的信息娱乐系统510,并且第二通信伙伴是交通工具的用于与蜂窝网络通信的通信设备520。
在图5所示的系统500中,在通信设备(通信单元,OCU)520的热点521与信息娱乐系统(MIB)之间存在WLAN连接。通过接入点522可以访问蜂窝网络。
附加地在两个设备之间存在CAN连接。通过该线段可以例如交换用于自动认证的检验参数。
OCU与MIB之间的WLAN连接的功能性可能对于实现交通工具功能(例如灰色服务如紧急呼叫功能)以及对于实现信息娱乐功能(例如后座娱乐,音频/视频数据)是必要的。然而,该线段例如在解除认证攻击(英语deauthentification attack)的情况下受到威胁。
在本系统500中,OCU520和MIB510通过不可见的热点相互连接并且可以附加地通过CAN总线540交换消息。通过CAN总线540确保能够在两个设备之间交换证书。因此正好存在两个通信参与者(也就是通信伙伴)。这可以用于防止解除认证攻击。
在接收解除认证请求(英语deauthentification request)的情况下,通过现有的第二通道(在本情况下是CAN总线540)启动是否正确地发出解除认证请求的反问。
对于解除认证请求来源于外部攻击者的情况,取消确认并且可以忽略请求。
因此,通过将CAN总线540用作第二通信连接,可以保护通过WLAN连接530实现的第一通信连接以防第三方攻击。由此可以防止由于第三方的攻击造成的信息娱乐系统510与通信设备520之间的通信失灵和由此造成的前述功能性的失灵。
因此可以改善WLAN连接的防止解除认证攻击的稳定性。
在图6中示出交通工具的信息娱乐系统与通信设备之间的按照本发明的通信的示意性流程。换而言之:所述系统可以由上述参与者组成。在此显示了在接收解除认证框架之后的通信情景。
首先,在信息娱乐系统的WLAN客户端610与通信设备的WLAN接入点(热点)620之间进行正常的WLAN通信600。信息娱乐系统的WLAN客户端610从攻击者630接收601解除认证框架,也就是断开与通信设备的WLAN接入点620的WLAN连接的指令。
接着,信息娱乐系统的WLAN客户端610向信息娱乐系统的CAN总线连接611发送602确认解除认证框架的有效性的请求。信息娱乐系统的CAN总线连接611将请求传导603至通信设备的CAN总线连接621。由通信设备的CAN总线连接621将请求传导604至通信设备的WLAN接入点620。
所述接入点检验其是否通过WLAN连接向信息娱乐系统的WLAN客户端610发送了解除认证框架。如果其没有,则其向通信设备的CAN总线连接621发送605否认解除认证框架的有效性的信息。通信设备将信息传导606至信息娱乐系统的CAN总线连接611,所述CAN总线连接611又将信息传导607至信息娱乐系统的WLAN客户端610。
因为解除认证框架601的有效性被否认,所以其在之后被信息娱乐系统的WLAN客户端610忽略608。接着仍在信息娱乐系统的WLAN客户端610与通信设备的WLAN接入点620之间进行正常的WLAN通信609。
因此,在图6中示出的示意性流程给出了将独立的第二通信通道用于确认WLAN解除认证框架的有效性的教导。
本身不言而喻的是,在图6中所示的情景在通过通信设备(OCU)接收认证框架时(也就是在接收建立通信连接的指令时)类似地进行。
解除认证(并且由此发送解除认证框架)不仅可以通过客户端进行,而且也可以通过网络接入点(英语access point)进行。在这种情况下之前阐述的本发明当然类似地进行。
除了发送伪造的解除认证框架之外,WLAN连接例如也可能受到发送解除关联框架的干扰。在客户端与网络接入点之间的连接应断开但不应复位认证参数时(例如在WLAN网络的两个网络接入点之间的WLAN漫游时),发送解除关联框架。解除关联框架既可以由客户端发送,也可以由网络接入点发送。本身不言而喻的是,以上阐述的本发明同样可以应用到解除关联框架上。
尽管以上示例性地描述了交通工具的通信设备与交通工具的信息娱乐系统之间的无线连接(通过WLAN),但不言而喻的是,本发明例如也可以用于在交通工具中的控制设备之间使用无线连接(例如WLAN)或者在交通工具与外部设备(例如交通工具乘客的移动终端设备)之间使用无线连接(例如WLAN)或者也可以在与交通工具无关的设备之间使用无线连接(例如WLAN)。
附图标记清单
110 客户端
111 认证请求
112 关联请求
113 数据
114 数据
120 网络接入点
121 认证应答
122 关联应答
123 解除认证
130 攻击者
131 伪造的解除认证请求
200 用于管理第一通信连接的方法
202 接收第一消息
204 发送第二消息
206a 断开第一通信连接
206b 保持第一通信连接
300 系统
310 第一通信伙伴
320 第二通信伙伴
330 第一通信连接
340 第二通信连接
400 交通工具
410 系统
510 信息娱乐系统
520 通信设备
521 热点
522 接入点
530 WLAN(无线局域网)连接
540 CAN总线
600 WLAN通信
601 解除认证框架
602 接收
603 发送
604 传导
605 发送
606 传导
607 传导
608 忽略
609 WLAN通信
610 信息娱乐系统的WLAN客户端
611 信息娱乐系统的CAN总线连接
620 通信设备的WLAN客户端
621 通信设备的CAN总线连接
630 攻击者
Claims (15)
1.一种用于管理第一通信伙伴与第二通信伙伴之间的第一通信连接的方法(200),所述方法包含:
通过第一通信伙伴接收(202)第一消息,其中,第一消息包含断开第一通信连接的指令;
通过第一通信伙伴经由第一通信伙伴与第二通信伙伴之间的不同的第二通信连接向第二通信伙伴发送(204)第二消息,其中,第二消息包含确认指令有效性的请求;
当第一通信伙伴通过第二通信连接接收包含确认指令有效性的第三消息时,通过第一通信伙伴断开(206a)第一通信连接。
2.按权利要求1所述的方法,其特征在于,所述方法还包括以下步骤:
当第一通信伙伴通过第二通信连接接收包含否定指令有效性的第四消息时,通过第一通信伙伴保持(206b)第一通信连接。
3.按权利要求2所述的方法,其特征在于,所述方法在接收第二消息之后还包括以下步骤:
通过第二通信伙伴检验指令是否是通过第二通信伙伴发送的;并且
如果指令是通过第二通信伙伴发送的,则通过第二通信连接向第一通信伙伴发送第三消息;或者
如果指令不是通过第二通信伙伴发送的,则通过第二通信连接向第一通信伙伴发送第四消息。
4.按权利要求2或3所述的方法,其特征在于,所述方法还包括以下步骤:
如果指令不是通过第二通信伙伴发送的,则记录第一消息。
5.按权利要求1至4之一所述的方法,其特征在于,所述第一通信连接是第一通信伙伴与第二通信伙伴之间的无线连接。
6.按前述权利要求之一所述的方法,其特征在于,所述第二通信连接是第一通信伙伴与第二通信伙伴之间的有线连接。
7.一种包括第一通信伙伴(310)和第二通信伙伴(320)的系统(300),所述第一通信伙伴(310)和第二通信伙伴(320)通过第一通信连接(330)相互通信,其中,第一通信伙伴(310)设置用于:
接收第一消息,其中,第一消息包含断开第一通信连接(330)的指令;
通过第一通信伙伴(310)与第二通信伙伴(320)之间的不同的第二通信连接(340)向第二通信伙伴(320)发送第二消息,其中,第二消息包含确认指令有效性的请求;并且
当第一通信伙伴通过第二通信连接(340)接收包含确认指令有效性的第三消息时,断开第一通信连接(330)。
8.按权利要求7所述的系统,其特征在于,所述第一通信伙伴(310)还设置用于当第一通信伙伴通过第二通信连接(340)接收包含否定指令有效性的第四消息时,保持第一通信连接(330)。
9.按权利要求8所述的系统,其特征在于,所述第二通信伙伴(320)设置用于:
在接收第二消息之后检验指令是否是通过第二通信伙伴(320)发送的;并且
如果指令是通过第二通信伙伴(320)发送的,则通过第二通信连接(340)向第一通信伙伴(310)发送第三消息;或者
如果指令不是通过第二通信伙伴(320)发送的,则通过第二通信连接(340)向第一通信伙伴(310)发送第四消息。
10.按权利要求7至9之一所述的系统,其特征在于,所述第一通信连接(330)是第一通信伙伴(310)与第二通信伙伴(320)之间的无线连接。
11.按前述权利要求之一所述的系统,其特征在于,所述第二通信连接(340)是第一通信伙伴(310)与第二通信伙伴(320)之间的有线连接。
12.一种交通工具(400),具有按权利要求7至11之一所述的系统(410)。
13.按权利要求12所述的交通工具,其特征在于,第一通信伙伴或者第二通信伙伴是交通工具的用于与蜂窝网络通信的通信设备(520),并且其中,另一通信伙伴是交通工具的信息娱乐系统(510)。
14.按权利要求12或13所述的交通工具,其特征在于,所述第一通信连接是无线局域网(530)。
15.按权利要求12至14之一所述的交通工具,其特征在于,所述第二通信连接是CAN总线(540)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210802558.6A CN115277118A (zh) | 2016-10-27 | 2017-10-24 | 管理通信连接的方法、通信设备、系统和交通工具 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016221233.8 | 2016-10-27 | ||
| DE102016221233.8A DE102016221233B3 (de) | 2016-10-27 | 2016-10-27 | Verfahren zum Verwalten einer ersten Kommunikationsverbindung, System umfassend einen ersten Kommunikationspartner und einen zweiten Kommunikationspartner sowie Fahrzeug |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210802558.6A Division CN115277118A (zh) | 2016-10-27 | 2017-10-24 | 管理通信连接的方法、通信设备、系统和交通工具 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108011790A true CN108011790A (zh) | 2018-05-08 |
Family
ID=59700516
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711000072.6A Pending CN108011790A (zh) | 2016-10-27 | 2017-10-24 | 管理通信连接的方法、包括通信伙伴的系统和交通工具 |
| CN202210802558.6A Pending CN115277118A (zh) | 2016-10-27 | 2017-10-24 | 管理通信连接的方法、通信设备、系统和交通工具 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210802558.6A Pending CN115277118A (zh) | 2016-10-27 | 2017-10-24 | 管理通信连接的方法、通信设备、系统和交通工具 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10425487B2 (zh) |
| JP (1) | JP6429976B2 (zh) |
| KR (1) | KR101913515B1 (zh) |
| CN (2) | CN108011790A (zh) |
| DE (1) | DE102016221233B3 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10966277B1 (en) * | 2019-06-20 | 2021-03-30 | Amazon Technologies, Inc. | Preventing insider attack in wireless networks |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040218609A1 (en) * | 2003-04-29 | 2004-11-04 | Dayton Foster | System and method for delivering messages using alternate modes of communication |
| JP2004363670A (ja) * | 2003-06-02 | 2004-12-24 | Sharp Corp | 無線通信機器 |
| CN101257614A (zh) * | 2007-02-28 | 2008-09-03 | 沈阳康耐克软件有限公司 | 一种依托移动电子设备的电视节目表服务系统及技术方法 |
| CN101594695A (zh) * | 2008-05-30 | 2009-12-02 | 富士通株式会社 | 无线通信系统、无线通信装置、其断开处理方法、存储介质 |
| CN102118353A (zh) * | 2009-12-30 | 2011-07-06 | 上海可鲁系统软件有限公司 | 一种工业互联网远程维护系统的指令安全审计方法 |
| KR20110076575A (ko) * | 2009-12-29 | 2011-07-06 | 한국단자공업 주식회사 | 통신단말장치 및 그 제어방법 |
| CN102273106A (zh) * | 2008-10-31 | 2011-12-07 | 三星电子株式会社 | 使用声学信号进行无线通信的方法和装置 |
| CN102394872A (zh) * | 2005-05-25 | 2012-03-28 | 微软公司 | 数据通信协议 |
| US20140351880A1 (en) * | 2012-03-26 | 2014-11-27 | Nextwave Technology Sdn Bhd | Method of Seamless Policy Based Network Discovery, Selection and Switching |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3600564B2 (ja) * | 2001-09-11 | 2004-12-15 | 株式会社東芝 | 複数の無線部を有する携帯型情報機器 |
| KR100595493B1 (ko) | 2004-04-13 | 2006-07-03 | 주식회사 아라기술 | P2p 유해 정보 차단 시스템 및 방법 |
| US8954590B2 (en) * | 2004-04-27 | 2015-02-10 | Sap Ag | Tunneling apparatus and method for client-server communication |
| DE102007003492B4 (de) * | 2007-01-24 | 2010-04-08 | Siemens Enterprise Communications Gmbh & Co. Kg | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| KR101343693B1 (ko) * | 2007-02-05 | 2013-12-20 | 주식회사 엘지씨엔에스 | 네트워크 보안시스템 및 그 처리방법 |
| US9118716B2 (en) * | 2010-12-09 | 2015-08-25 | Nec Corporation | Computer system, controller and network monitoring method |
| US8863256B1 (en) * | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| CN102202300B (zh) * | 2011-06-14 | 2016-01-20 | 上海众人网络安全技术有限公司 | 一种基于双通道的动态密码认证系统及方法 |
| JP6126980B2 (ja) * | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| US20150373121A1 (en) * | 2014-06-23 | 2015-12-24 | Northwest Aerospace Technologies, Inc. | Wireless passenger service system |
| DE102014214300A1 (de) * | 2014-07-22 | 2016-01-28 | Continental Automotive Gmbh | Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug |
| JP6350652B2 (ja) * | 2014-08-27 | 2018-07-04 | 日本電気株式会社 | 通信装置、方法、およびプログラム |
| DE102014220535A1 (de) * | 2014-10-09 | 2016-04-14 | Continental Automotive Gmbh | Fahrzeugmultimediaeinrichtung |
| GB2538802A (en) * | 2015-05-29 | 2016-11-30 | Nordic Semiconductor Asa | Wireless communication |
| US11070555B2 (en) * | 2015-08-25 | 2021-07-20 | Telefonaktiebolaget Lm Ericsson (Publ) | User profile provisioning in WLAN |
-
2016
- 2016-10-27 DE DE102016221233.8A patent/DE102016221233B3/de active Active
-
2017
- 2017-09-26 US US15/716,054 patent/US10425487B2/en active Active
- 2017-10-23 KR KR1020170137178A patent/KR101913515B1/ko active IP Right Grant
- 2017-10-24 CN CN201711000072.6A patent/CN108011790A/zh active Pending
- 2017-10-24 CN CN202210802558.6A patent/CN115277118A/zh active Pending
- 2017-10-27 JP JP2017208144A patent/JP6429976B2/ja active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040218609A1 (en) * | 2003-04-29 | 2004-11-04 | Dayton Foster | System and method for delivering messages using alternate modes of communication |
| JP2006524935A (ja) * | 2003-04-29 | 2006-11-02 | ソニック モビリティー インコーポレイテッド | 通信の複数の代替モードを用いて複数のメッセージを配信するためのシステムおよび方法 |
| JP2004363670A (ja) * | 2003-06-02 | 2004-12-24 | Sharp Corp | 無線通信機器 |
| CN102394872A (zh) * | 2005-05-25 | 2012-03-28 | 微软公司 | 数据通信协议 |
| CN101257614A (zh) * | 2007-02-28 | 2008-09-03 | 沈阳康耐克软件有限公司 | 一种依托移动电子设备的电视节目表服务系统及技术方法 |
| CN101594695A (zh) * | 2008-05-30 | 2009-12-02 | 富士通株式会社 | 无线通信系统、无线通信装置、其断开处理方法、存储介质 |
| CN102273106A (zh) * | 2008-10-31 | 2011-12-07 | 三星电子株式会社 | 使用声学信号进行无线通信的方法和装置 |
| KR20110076575A (ko) * | 2009-12-29 | 2011-07-06 | 한국단자공업 주식회사 | 통신단말장치 및 그 제어방법 |
| CN102118353A (zh) * | 2009-12-30 | 2011-07-06 | 上海可鲁系统软件有限公司 | 一种工业互联网远程维护系统的指令安全审计方法 |
| US20140351880A1 (en) * | 2012-03-26 | 2014-11-27 | Nextwave Technology Sdn Bhd | Method of Seamless Policy Based Network Discovery, Selection and Switching |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115277118A (zh) | 2022-11-01 |
| KR20180046367A (ko) | 2018-05-08 |
| US10425487B2 (en) | 2019-09-24 |
| KR101913515B1 (ko) | 2018-10-30 |
| DE102016221233B3 (de) | 2017-09-14 |
| JP6429976B2 (ja) | 2018-11-28 |
| US20180124179A1 (en) | 2018-05-03 |
| JP2018101973A (ja) | 2018-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105491084B (zh) | 基于ota协议的车联网系统及其控制方法 | |
| CN101523798B (zh) | 利用能力评估进行安全的装置引入 | |
| US7046638B1 (en) | Wireless access to closed embedded networks | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| CN107819730B (zh) | 数据传输方法、安全隔离装置及车载以太网系统 | |
| AU2018249485A1 (en) | Methods and apparatus for hypersecure last mile communication | |
| US20130110328A1 (en) | Control network for a rail vehicle | |
| CN110337799A (zh) | 具有车辆内部的数据网络的机动车以及运行机动车的方法 | |
| CN111077883A (zh) | 一种基于can总线的车载网络安全防护方法及装置 | |
| CN110393002B (zh) | 用于在轨道车辆的第一网络和第二网络之间传输数据的方法和设备 | |
| US20070162741A1 (en) | Data sending/receiving device and digital certificate issuing method | |
| US8914870B2 (en) | Methods and arrangements for security support for universal plug and play system | |
| US10863352B2 (en) | System for wireless network access control in an aircraft | |
| CN108011790A (zh) | 管理通信连接的方法、包括通信伙伴的系统和交通工具 | |
| US8606228B2 (en) | Method, user network equipment and management system thereof for secure data transmission | |
| CN114257388B (zh) | 一种车联网系统的信息安全防护方法、装置及电动汽车 | |
| CN111510494B (zh) | 车载网络安全系统及实现方法 | |
| CN105933636B (zh) | 医用可视通话系统及方法 | |
| JP2005167580A (ja) | 無線lanシステムにおけるアクセス制御方法と装置 | |
| CN217496051U (zh) | 车载混合网关架构及车辆 | |
| CN112333219A (zh) | 一种汽车网络通信系统 | |
| CN110086884A (zh) | 一种主机连接通讯系统及连接方法 | |
| CN101534250B (zh) | 一种网络接入控制方法及接入控制装置 | |
| CN110366139A (zh) | 一种动车网络设备安全接入系统及方法 | |
| CN217388734U (zh) | 网关连接装置和车辆 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180508 |