DE112020005818B4 - Authentifikatorverwaltungsvorrichtung, authentifikatorverwaltungsprogramm und authentifikatorverwaltungsverfahren - Google Patents

Authentifikatorverwaltungsvorrichtung, authentifikatorverwaltungsprogramm und authentifikatorverwaltungsverfahren Download PDF

Info

Publication number
DE112020005818B4
DE112020005818B4 DE112020005818.2T DE112020005818T DE112020005818B4 DE 112020005818 B4 DE112020005818 B4 DE 112020005818B4 DE 112020005818 T DE112020005818 T DE 112020005818T DE 112020005818 B4 DE112020005818 B4 DE 112020005818B4
Authority
DE
Germany
Prior art keywords
authenticator
protocols
protocol
request
correspondence information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112020005818.2T
Other languages
English (en)
Other versions
DE112020005818T5 (de
Inventor
Manabu Misawa
Yuta Atobe
Yuya Takatsuka
Nobuaki MATOZAKI
Yukio Izumi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112020005818T5 publication Critical patent/DE112020005818T5/de
Application granted granted Critical
Publication of DE112020005818B4 publication Critical patent/DE112020005818B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)

Abstract

Authentifikatorverwaltungsvorrichtung (501), umfassend:eine Gruppengenerierungseinheit (30) zum Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle;eine Gruppenverwaltungseinheit (66) zum Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebene Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und zum Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator entsprechen, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht;eine Authentifikatorgenerierungseinheit (90) zum Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; undeine Authentifikatorverifizierungseinheit (70) zum Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl der in der Verifizierungsanforderung enthaltenen Protokolle, und zum Ausgeben eines Verifizierungsergebnisses, wobeidie Merkmalsinformationen Angriffserfassungsinformationen sind, wobei jeder Regel einer Vielzahl von Regeln eine Vielzahl von Protokollen zugeordnet sind, um den Cyberangriff zu erfassen.

Description

  • Gebiet der Technik
  • Die vorliegende Offenbarung betrifft eine Authentifikatorverwaltungsvorrichtung zum Verwalten eines Authentifikators.
  • Stand der Technik
  • Wenn ein Cyberangriff auf ein fahrzeuginternes System erkannt wird, referenziert das fahrzeuginterne System ein Protokoll, um ordnungsgemäß zu erfassen, welcher Cyberangriff erfolgte.
  • Wenn jedoch ein in einem fahrzeuginternen System generiertes Protokoll illegalerweise umgeschrieben wird, besteht das Risiko, dass ein Cyberangriff auf das fahrzeuginterne System nicht erfasst werden kann. Deshalb ist es bei aufgrund der Erfassung eines Cyberangriffs erfolgenden Referenzierung eines Protokolls erforderlich, zu verifizieren, ob das Protokoll gefälscht wurde. Die Verwendung eines Authentifikators, beispielsweise eines Hash-Wertes oder eines MAC (Message Authentication Code, Nachrichtenauthentifizierungscode) kann eine effektive Gegenmaßnahme zur Verifizierung von Protokollfälschung sein. Es gibt verschiedene Arten der Protokollfälschung, beispielsweise Zusätze zu einem Protokoll, Überschreiben eines Protokolls und Löschen eines Protokolls.
  • Im Stand der Technik wurde ein Verfahren zum Erfassen von Fälschung eines Programms durch Verwendung eines Authentifikators wie eines Hash-Wertes oder eines MAC offenbart (Beispiel: Patentliteratur 1). In der Patentliteratur 1 wird ein Authentifikator jedem von einer Vielzahl geteilter Programme, die durch Teilen eines Programms erhalten wurden, zugewiesen. Es ist vorstellbar, dass ein Verfahren zur Erfassung der Fälschung eines Programms in der Patentliteratur 1 auf ein Verfahren zur Erfassung von Protokollfälschung angewendet wird.
  • Wenn jedoch jedem von der Vielzahl von Protokollen ein Authentifikator zugewiesen wird, besteht das Problem, das es zu Belastungen durch das Generieren einer Vielzahl von Authentifikatoren und Belastungen durch das Verwalten einer Vielzahl von Authentifikatoren kommt.
  • Ein Ereignis-Informationmanagementsystem, das sich auf die Klassifikation von Logs nach ihrer Erscheinungswahrscheinlichkeit bezieht, ist in der Patentliteratur 2 beschrieben.
    Patentliteratur 3 offenbart eine Sicherheitsvorrichtung gegen Cyber-Angriffe, die abhängig von der Erfassung eines Angriffs ein Sicherheitsrisiko bestimmt.
  • Liste der Entgegenhaltungen
  • Patentliteratur
  • Abriss der Erfindung
  • Technische Aufgabe
  • Eine Aufgabe der vorliegenden Offenbarung besteht darin, das Problem zu lösen, dass es zu Belastungen durch das Generieren einer Vielzahl von Authentifikatoren und Belastungen durch das Verwalten einer Vielzahl von Authentifikatoren kommt.
  • Technische Lösung
  • Eine Authentifizierungsverwaltungsvorrichtung gemäß der vorliegenden Erfindung umfasst:
    • eine Gruppengenerierungseinheit zum Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle;
    • eine Gruppenverwaltungseinheit zum Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebene Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und zum Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht, entsprechen;
    • eine Authentifikatorgenerierungseinheit zum Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; und
    • eine Authentifikatorverifizierungseinheit zum Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl der in der Verifizierungsanforderung enthaltenen Protokolle, und zum Ausgeben eines Verifizierungsergebnisses.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der vorliegenden Offenbarung ist es, da eine Authentifikatorverwaltungsvorrichtung eine Gruppengenerierungseinheit zum Generieren einer Korrespondenzinformationsgruppe auf Grundlage von zwei oder mehreren durch Merkmalsinformationen spezifizierten Protokollen umfasst, möglich, die Authentifikatorverwaltungsvorrichtung mit einer geringen Belastung, eine Vielzahl von Authentifikatoren zu verwalten, zu generieren.
  • Kurze Beschreibung der Zeichnungen
    • 1 ist eine grafische Darstellung gemäß einer ersten Ausführungsform und ist eine grafische Darstellung, die eine Hardwarekonfiguration einer Angriffserfassungsvorrichtung 501 veranschaulicht.
    • 2 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung, die das Generieren eines MAC und das Authentifizieren des MAC in einem Fall, in dem der MAC als ein Authentifikator genutzt wird, veranschaulicht.
    • 3 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung zur Erläuterung eines Authentifikatorgraphen D36.
    • 4 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung, die den durch eine Gruppengenerierungseinheit 30 generierten Authentifikatorgraphen D36 veranschaulicht.
    • 5 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung, die in einer Angriffserfassungseinheit 10 enthaltene Angriffserfassungsinformationen 11 veranschaulicht.
    • 6 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung, die zwischen Komponenten der Angriffserfassungsvorrichtung 501 ausgetauschte Daten veranschaulicht.
    • 7 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist ein Ablaufdiagramm, das einen Vorgang zum Generieren eines relevanten Authentifikatorgraphen D64a durch die Angriffserfassungsvorrichtung 501 veranschaulicht.
    • 8 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist ein Ablaufdiagramm eines Vorgangs zur Aktualisierung eines Authentifikators zum Zeitpunkt der Aktualisierung eines Protokolls durch die Angriffserfassungsvorrichtung 501.
    • 9 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung zur Ergänzung von 8.
    • 10 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist ein Ablaufdiagramm, das einen Vorgang der Authentifikatorverifizierung zum Zeitpunkt der Erfassung eines Angriffs durch die Angriffserfassungsvorrichtung 501 veranschaulicht.
    • 11 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung zur Ergänzung von 10.
    • 12 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist ein Ablaufdiagramm, das einen Vorgang der Angriffserfassungsvorrichtung 501, wenn die Angriffserfassungsinformationen 11 aktualisiert werden, veranschaulicht.
    • 13 ist eine grafische Darstellung gemäß der ersten Ausführungsform und ist eine grafische Darstellung zur Ergänzung von 12.
    • 14 ist eine grafische Darstellung gemäß einer zweiten Ausführungsform und ist eine grafische Darstellung, die eine funktionale Konfiguration einer Angriffserfassungsvorrichtung 502 veranschaulicht.
    • 15 ist eine grafische Darstellung gemäß einer dritten Ausführungsform und ist eine grafische Darstellung, die einen Fluss von Daten zwischen Funktionselementen einer Angriffserfassungsvorrichtung 503 veranschaulicht.
    • 16 ist eine grafische Darstellung gemäß der dritten Ausführungsform und ist ein Ablaufdiagramm, das einen Vorgang zum Generieren eines Authentifikators durch die Angriffserfassungsvorrichtung 503 veranschaulicht.
    • 17 ist eine grafische Darstellung gemäß der dritten Ausführungsform und ist eine grafische Darstellung zur Ergänzung von 16.
    • 18 ist eine grafische Darstellung gemäß der dritten Ausführungsform und ist eine grafische Darstellung, die einen Zustand veranschaulicht, bei dem eine Zwischendatengenerierungseinheit 310 aus in der Vergangenheit generierten Zwischendaten einen Authentifikator D96 generiert.
    • 19 ist eine grafische Darstellung gemäß der dritten Ausführungsform und ist ein Ablaufdiagramm, das einen Vorgang zum Verifizieren eines Authentifikators durch die Angriffserfassungsvorrichtung 503 veranschaulicht.
    • 20 ist eine grafische Darstellung gemäß der dritten Ausführungsform und ist eine grafische Darstellung zur Ergänzung von 19.
    • 21 ist eine grafische Darstellung gemäß einer vierten Ausführungsform und ist eine grafische Darstellung, die einen Fluss von Daten in einer Angriffserfassungsvorrichtung 504 veranschaulicht.
    • 22 ist eine grafische Darstellung gemäß der vierten Ausführungsform und ist eine grafische Darstellung, die einen Zustand, bei dem ein Zählerwert auf einem Authentifikator widergespiegelt wird, veranschaulicht.
    • 23 ist eine grafische Darstellung gemäß der vierten Ausführungsform und ist ein Ablaufdiagramm, das einen Vorgang zu der Zeit, wenn ein Zählerwert eines Zählers 410 aktualisiert wird, veranschaulicht.
    • 24 ist eine grafische Darstellung gemäß der vierten Ausführungsform und ist eine grafische Darstellung zur Ergänzung von 23.
    • 25 ist eine grafische Darstellung gemäß einer fünften Ausführungsform und ist eine grafische Darstellung, die einen Fluss von Daten in einer Angriffserfassungsvorrichtung 505 veranschaulicht.
    • 26 ist eine grafische Darstellung gemäß der fünften Ausführungsform und ist eine grafische Darstellung, die eine Erfassungsfrequenz eines Protokolls veranschaulicht.
    • 27 ist eine grafische Darstellung gemäß der fünften Ausführungsform und ist ein Ablaufdiagramm, das einen Vorgang zum Generieren eines Authentifikatorgraphen D36 auf Grundlage einer Protokollbeschaffungsfrequenz D43 durch die Gruppengenerierungseinheit 30 veranschaulicht.
    • 28 ist eine grafische Darstellung gemäß der fünften Ausführungsform und ist eine grafische Darstellung zur Ergänzung von 27.
    • 29 ist eine grafische Darstellung gemäß einer sechsten Ausführungsform und ist eine grafische Darstellung, die eine Hardwarekonfiguration einer Angriffserfassungsvorrichtung 506 veranschaulicht.
    • 30 ist eine grafische Darstellung gemäß der sechsten Ausführungsform und ist eine weitere grafische Darstellung, die die Hardwarekonfiguration der Angriffserfassungsvorrichtung 506 veranschaulicht.
  • Beschreibung von Ausführungsformen
  • Nachstehend werden Ausführungsformen der vorliegenden Erfindung anhand von Skizzen beschrieben. In jeder grafischen Darstellung sind gleiche oder entsprechende Teile durch die gleichen Bezugszeichen bezeichnet. Bei gleichen Elementen oder entsprechenden Teilen wird in der Beschreibung der Ausführungsformen eine Beschreibung weggelassen oder entsprechend vereinfacht.
    • (1) Angriffserfassungsvorrichtungen, die nachfolgend in der ersten bis sechsten Ausführungsform zu beschreiben sind, sind Authentifikatorverwaltungsvorrichtungen, ein Angriffserfassungsprogramm ist ein Authentifikatorverwaltungsprogramm und ein Angriffserfassungsverfahren ist ein Authentifikatorverwaltungsverfahren.
    • (2) In den folgenden Ausführungsformen ist „Schnittstelle“ (Interface) mit „IF“ bezeichnet.
    • (3) In den folgenden Ausführungsformen geben Klammern für jeden Prozess in Ablaufdiagrammen das Subjekt von Vorgängen an.
    • (4) Wenn in den folgenden Ausführungsformen „Protokolle“ erscheinen, sind Protokolle elektronische Daten. „Protokolle“ bedeutet „Protokolldaten“.
    • (5) In den grafischen Darstellungen der folgenden Ausführungsformen geben ein Kommunikationsprotokoll, ein Prozessprotokoll und ein Authentifizierungsprotokoll, angegeben in einer Protokollbeschaffungseinheit 20, Aktualisierungsdaten an, wenn eine Aktualisierung auftritt. Anderenfalls können ein Kommunikationsprotokoll, ein Prozessprotokoll und ein Authentifizierungsprotokoll in der Protokollbeschaffungseinheit 20 ein Gesamtprotokoll sein, das Aktualisierungsdaten umfasst.
  • Erste Ausführungsform
  • ***Erläuterung der Konfiguration***
  • Beschrieben wird eine Angriffserfassungsvorrichtung 501 in der ersten Ausführungsform unter Bezugnahme auf die 1 bis 13.
  • 1 veranschaulicht eine Hardwarekonfiguration der Angriffserfassungsvorrichtung 501. Die Angriffserfassungsvorrichtung 501 umfasst einen Prozessor 110, eine Hauptspeichervorrichtung 120, eine Zusatzspeichervorrichtung 130, eine Eingabe-IF 140, eine Ausgabe-IF 150 und eine Kommunikations-IF 160 als Hardwarekomponenten. Diese Hardwarekomponenten sind über eine Signalleitung 170 verbunden.
  • Die Angriffserfassungsvorrichtung 501 umfasst als funktionale Komponenten eine Angriffserfassungseinheit 10, eine Protokollbeschaffungseinheit 20, eine Gruppengenerierungseinheit 30, eine Protokollverwaltungseinheit 40, eine Graphenverwaltungseinheit 60, eine Authentifikatorverifizierungseinheit 70 und eine Authentifikatorgenerierungseinheit 90. Die Protokollverwaltungseinheit 40 und die Graphenverwaltungseinheit 60 bilden eine Gruppenverwaltungseinheit 66. In den 6, 9, 11, 13, 14, 15, 17, 20, 21, 24, 25 und 28 wurde eine Beschreibung der Gruppenverwaltungseinheit 66 weggelassen.
  • Die Gruppengenerierungseinheit 30 und die Gruppenverwaltungseinheit 60 müssen nicht in derselben Vorrichtung existieren. Wenn eine Verarbeitung in der Gruppengenerierungseinheit 30 aufwendig ist, kann die Belastung eines fahrzeuginternen Systems, dessen Ressourcen begrenzt sind, verringert werden, indem die Gruppengenerierungseinheit 30 und die Graphenverwaltungseinheit 60 in verschiedenen Geräten untergebracht werden.
  • Die Gruppengenerierungseinheit 30 generiert eine Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst. Ein Element von Korrespondenzinformationen weist zwei oder mehr Protokolle zu, die in einer Vielzahl von Protokollen in Merkmalsinformationen, die Merkmale eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und die die Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle spezifizieren. Die Korrespondenzinformationen und die Korrespondenzinformationsgruppe werden in der Beschreibung zur 4 beschrieben.
  • Die Merkmalsinformationen sind Angriffserfassungsinformationen 11, wobei jeder Regel von einer Vielzahl von Regeln eine Vielzahl von Protokollen zugeordnet sind, um einen Cyberangriff zu erfassen. Die Angriffserfassungsinformationen 11 werden in der Beschreibung zur 11 beschrieben. Im Übrigen sind die Merkmalsinformationen Aktualisierungsfrequenzinformationen 44, wobei eine Aktualisierungsfrequenz einer Vielzahl von Protokollen registriert wird. Die Aktualisierungsfrequenzinformationen 44 werden in einer fünften Ausführungsform beschrieben.
  • Eine Gruppenverwaltungseinheit 66 gibt eine Authentifizierungsgenerierungsanforderung D69 aus, die die zwei oder mehr in dem Element von Korrespondenzinformationen enthaltenen Protokolle umfasst und die eine Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert. Die Generierung der Authentifikatorgenerierungsanforderung D69 durch die Gruppenverwaltungseinheit 66 wird im Schritt S35 von 12 und Schritt S75 von 27 in der fünften Ausführungsform beschrieben.
  • Die Gruppenverwaltungseinheit 66 gibt, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung D14 zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, eine Verifizierungsanforderung D47 aus, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung D14 zu referenzieren ist, entspricht, und dem Authentifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung D14 über den Identifikator zu referenzieren ist, entspricht, entsprechen. Die Ausgabe der Verifizierungsanforderung D47 durch die Gruppenverwaltungseinheit 66 wird in der Beschreibung zu 10 und 11 beschrieben.
  • Eine Authentifikatorgenerierungseinheit 90 generiert einen Authentifikator, identifiziert durch den in den Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung D69 enthaltenen Protokolle. Die Generierung eines Authentifikators durch die Authentifikatorgenerierungseinheit 90 wird im Schritt S36 von 12 und Schritt S76 von 27 in der fünften Ausführungsform beschrieben.
  • Eine Authentifikatorverifizierungseinheit 70 verifiziert die Validität einer Vielzahl von in der Verifizierungsanforderung D47 enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl der in der Verifizierungsanforderung D47 enthaltenen Protokolle und gibt ein Verifizierungsergebnis aus. Die Verifizierung eines Authentifikators durch die Authentifikatorverifizierungseinheit 70 wird in Schritt S25 von 10 beschrieben.
  • Die Graphenverwaltungseinheit 60 verwaltet die Korrespondenzinformationsgruppe, die ein Authentifikatorgraph ist, und den generierten Authentifikator. Die Authentifikatorverifizierungseinheit 70 führt einen Verifizierungsprozess des Authentifikators mit einem Authentifizierungsschlüssel 601 aus. Die Authentifikatorgenerierungseinheit 90 führt einen Generierungsprozess des Authentifikators mit dem Authentifizierungsschlüssel 601 aus. Ferner sind, als Speichereinheiten, eine Protokollspeichereinheit 50 und eine Authentifikatorspeichereinheit 80 enthalten. Die Protokollspeichereinheit 50 speichert ein Kommunikationsprotokoll, ein Prozessprotokoll, ein Authentifizierungsprotokoll, ein xxx-Protokoll, ein yyy-Protokoll und ein zzz-Protokoll. Die Authentifikatorspeichereinheit 80 speichert einen Authentifikator <1>, einen Authentifikator <2> und einen Authentifikator <3>.
  • 2 veranschaulicht das Generieren eines MAC und Authentifizieren eines MAC, wenn ein MAC als ein Authentifikator verwendet wird. In den folgenden Ausführungsformen verwendete Authentifikatoren sind nicht auf MACs beschränkt. Es kann auch ein Authentifikator in einem System vorkommen, der einen Hash-Wert nutzt. Ein MAC wird einfach unter Bezugnahme auf 2 beschrieben.
  • Zuerst wird das Generieren eines MAC beschrieben. In einer Angriffserfassungsvorrichtung 501 generiert die Authentifikatorgenerierungseinheit 90 einen MAC 1a aus einer Nachricht M1 mit einem Schlüssel K (MAC) unter Verwendung eines MAC-Generierungsalgorithmus. Der Schlüssel K (MAC) entspricht dem Authentifizierungsschlüssel 601. Die Nachricht M1 ist eine Vielzahl von Protokollen. Beispielsweise ist die Nachricht M1 ein Protokoll 1 und ein Protokoll 2.
  • Nachfolgend wird die Authentifizierung eines MAC diskutiert. Die Authentifikatorverifizierungseinheit 70 generiert einen MAC 1b aus der Nachricht M1, bei der es sich um Protokolle mit dem Schlüssel K (MAC) handelt, unter Verwendung eines MAC-Generierungsalgorithmus. Das K (MAC) entspricht dem Authentifizierungsschlüssel 601. Die Authentifikatorverifizierungseinheit 70 ordnet den von der Authentifikatorgenerierungseinheit 90 generierten MAC 1a dem von der Authentifikatorgenerierungseinheit 70 generierten MAClb zu. Wenn der von der Authentifikatorgenerierungseinheit 90 generierte MAC1a mit dem von der Authentifikatorgenerierungseinheit 70 generierten MAC1b übereinstimmt, stellt die Authentifikatorverifizierungseinheit 70 fest, dass das Protokoll 1 und das Protokoll 2 nicht gefälscht sind. Wenn der von der Authentifikatorgenerierungseinheit 90 generierte MAC1a nicht mit dem von der Authentifikatorgenerierungseinheit 70 generierten MAC1b übereinstimmt, stellt die Authentifikatorverifizierungseinheit 70 fest, dass das Protokoll 1 und/oder das Protokoll 2 gefälscht ist/sind.
  • Unter Bezugnahme auf die 3, 4 und 5 wird der Authentifikatorgraph D36, der ein Merkmal der Angriffserfassungsvorrichtung 501 ist, beschrieben.
  • 3 ist eine grafische Darstellung zur Beschreibung des Authentifikatorgraphen D36.
  • 4 veranschaulicht den Authentifikatorgraphen D36, den die Gruppengenerierungseinheit 30 generiert.
  • 5 veranschaulicht die in der Angriffserfassungseinheit 10 enthaltenen Angriffserfassungsinformationen 11.
  • Wie in 3 veranschaulicht, generiert die Gruppengenerierungseinheit 30 einen Authentifikatorgraphen D36 und überträgt den generierten Authentifikatorgraphen D36 an die Graphenverwaltungseinheit 60. Die Graphenverwaltungseinheit 60 verwaltet den Authentifikatorgraphen D36. Einzelheiten von 3 werden später diskutiert.
  • (Authentifikatorgraph D36)
  • Der Authentifikatorgraph D36 ist eine Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst. Wie in 4 veranschaulicht, ist der Authentifikatorgraph D36 eine Korrespondenzinformationsgruppe.
  • Der Authentifikatorgraph D36 umfasst eine Vielzahl von Elementen von Korrespondenzinformationen. Ein Element von Korrespondenzinformationen weist eine Vielzahl von Protokollen mit einem Identifikator zu, der einen unter Verwendung der Vielzahl von Protokollen generierten Authentifikator identifiziert. In 4 geben <1>, <2> und <3> Identifikatoren zum Identifizieren von Authentifikatoren an. In 3 entspricht der Identifikator <1> dem Authentifikator <1>, der Identifikator <2> entspricht dem Authentifikator <2>, und der Identifikator <3> entspricht dem Authentifikator <3>. Bei der Entsprechung zwischen dem Identifikator <1> und „einem Kommunikationsprotokoll und einem Authentifizierungsprotokoll“ handelt es sich um Korrespondenzinformationen; bei der Entsprechung zwischen dem Identifikator <2> und „einem Prozessprotokoll, einem xxx-Protokoll und einem yyy-Protokoll“ handelt es sich um Korrespondenzinformationen; und bei der Entsprechung zwischen dem Identifikator <3> und „einem Authentifizierungsprotokoll und einem zzz-Protokoll“ handelt es sich um Korrespondenzinformationen.
  • (Angriffserfassungsinformationen 11)
  • Die Gruppengenerierungseinheit 30 generiert den Authentifikatorgraphen 36 auf Grundlage der Angriffserfassungsinformationen 11. Wie in 5 veranschaulicht, umfassen die Angriffserfassungsinformationen 11 eine Vielzahl von Angriffserfassungsregeln, beispielsweise Angriffserfassungsregeln 11-1, 11-2, 11-3 usw. Die Angriffserfassungsregeln sind durch einen logischen Ausdruck wie „und“ und „oder“ ausgedrückt. Jede Angriffserfassungsregel von der Vielzahl von Angriffserfassungsregeln ist über die Informationen 13 zur Angriffsmethode einer Vielzahl von Protokollen zugeordnet.
  • Eine konkrete Beschreibung wird nachfolgend bereitgestellt.
  • Die Gruppengenerierungseinheit 30 referenziert die Angriffserfassungsregel 11-1 und erkennt, dass eine Angriffsmethode <A> mit einer Angriffsmethode <C> zusammenhängt. Zur gleichen Zeit, mit den Informationen 13 zur Angriffsmethode, erkennt die Gruppengenerierungseinheit 30, dass die Angriffsmethode <A> mit dem Prozessprotokoll zusammenhängt, und die Angriffsmethode <C> mit dem Kommunikationsprotokoll zusammenhängt. Die Gruppengenerierungseinheit 30 widerspiegelt das von der Angriffserfassungsregel 11-1 erkannte Ergebnis auf dem Authentifikatorgraphen D36.
  • Ähnlich referenziert die Gruppengenerierungseinheit 30 die Angriffserfassungsregel 11-2 und erkennt, dass die Angriffsmethode <B> mit der Angriffsmethode <A> zusammenhängt. Zur gleichen Zeit, mit den Informationen 13 zur Angriffsmethode, erkennt die Gruppengenerierungseinheit 30, dass die Angriffsmethode <B> mit dem Kommunikationsprotokoll zusammenhängt und die Angriffsmethode <A> mit dem Kommunikationsprotokoll zusammenhängt. Die Gruppengenerierungseinheit 30 widerspiegelt das von der Angriffserfassungsregel 11-2 erkannte Ergebnis auf dem Authentifikatorgraphen D36. Die Gruppengenerierungseinheit 30 wiederholt diese und generiert für jede Erfassungsregel aus dem Erkennungsergebnis einen Authentifikatorgraphen D36.
  • In Bezug auf die Angriffserfassungsregel 11-3 besteht, wenn das Protokoll referenziert wird, eine Beziehung zwischen dem „xxx-Protokoll“ und dem („Prozessprotokoll“ oder „Authentifizierungsprotokoll“). Im Zusammenhang mit diesem logischen Ausdruck kann die Gruppengenerierungseinheit 30 alle Protokolle als „xxx-Protokoll“ und „Prozessprotokoll“ und „Authentifizierungsprotokoll“ referenzieren. Alternativ, als logischer Ausdruck, kann die Gruppengenerierungseinheit 30 die Beziehung teilen und auf dem Authentifikatorgraphen D36 in einer solchen Weise wie „xxx-Protokoll“ mit „Prozessprotokoll“ und „xxx-Protokoll“ mit „Authentifizierungsprotokoll“ widerspiegeln.
  • 6 veranschaulicht Daten, die zwischen den Komponenten in der Angriffserfassungsvorrichtung 501 ausgetauscht werden. Unter Bezugnahme auf 6 werden die in der Angriffserfassungsvorrichtung 501 ausgetauschten Daten beschrieben.
  • (D13)
  • Die Angriffserfassungseinheit 10 überträgt eine Erfassungsinformationen-Aktualisierungsmitteilung D13 an die Gruppengenerierungseinheit 30. Die Erfassungsinformationen-Aktualisierungsmitteilung D13 ist eine Mitteilung, mit der mitgeteilt wird, dass die Angriffserfassungsinformationen 11 aktualisiert wurden.
  • (D14)
  • Die Angriffserfassungseinheit 10 überträgt eine Protokollreferenzanforderung D14 an die Protokollverwaltungseinheit 40. Wenn die Angriffserfassungseinheit 10 einen Erfassungsprozess startet, handelt es sich bei der Protokollreferenzanforderung D14 um Daten, mit denen bei der Protokollverwaltungseinheit 40 die Erfassung eines Protokolls angefordert wird, das zu referenzieren ist, damit die Angriffserfassungseinheit 10 mit einem weiteren Angriffserfassungsprozess fortfährt.
  • (D24)
  • Die Protokollbeschaffungseinheit 20 überträgt eine Protokollschreibanforderung D24 an die Protokollverwaltungseinheit 40. Die Protokollschreibanforderung D24 fordert das Schreiben eines Protokolls an, dessen Aktualisierung erfolgte.
  • (D36)
  • Die Gruppengenerierungseinheit 30 überträgt den Authentifikatorgraphen D36 an die Graphenverwaltungseinheit 60. Der Authentifikatorgraph D36 ist wie in 4 beschrieben.
  • (D41, D46a, D46b, D46c, D47)
  • Die Protokollverwaltungseinheit 40 überträgt ein Protokoll D41 an die Angriffserfassungseinheit 10. Die Protokollverwaltungseinheit 40 überträgt ein Protokoll D46a an die Graphenverwaltungseinheit 60. Die Protokollverwaltungseinheit 40 überträgt eine Protokollaktualisierungsmitteilung D46b an die Protokollverwaltungseinheit 60. Mit der Protokollaktualisierungsmitteilung D46b erfolgt die Mitteilung über ein aktualisiertes Protokoll. Die Protokollverwaltungseinheit 40 überträgt eine Authentifikatoranfrage D46c an die Graphenverwaltungseinheit 60. Die Authentifikatoranfrage D46c fragt einen Authentifikator an, der einem Protokoll entspricht, das mit der Protokollreferenzanforderung D14 von der Angriffserfassungseinheit 10 angefordert wurde. Die Graphenverwaltungseinheit 60 spezifiziert den Authentifikator entsprechend dem Protokoll, das mit der Protokollreferenzanforderung D14 vom Authentifikatorgraphen D36 angefordert wurde.
  • (D64a, D64b, D69)
  • Die Graphenverwaltungseinheit 60 überträgt einen relevanten Authentifikatorgraphen D64a an die Protokollverwaltungseinheit 40. Der relevante Authentifikatorgraph D64a ist ein Teil des Authentifikatorgraphen D36, der von der Graphenverwaltungseinheit 60 verwaltet wird. Das heißt, es handelt sich um Teilkorrespondenzinformationen unter allen in dem Authentifikatorgraphen D36 enthaltenen Korrespondenzinformationen. Als den relevanten Authentifikatorgraphen D64a kann die Graphenverwaltungseinheit 60 den Authentifikatorgraphen D36 übertragen. Die Graphenverwaltungseinheit 60 überträgt den Authentifikator D64b an die Protokollverwaltungseinheit 40. Die Graphenverwaltungseinheit 60 überträgt den Authentifikator D64b an die Protokollverwaltungseinheit 40. Die Graphenverwaltungseinheit 60 überträgt die Authentifikatorgenerierungsanforderung D69 an die Authentifikatorgenerierungseinheit 90. Die Authentifikatorgenerierungsanforderung D69 sind Daten zur Anforderung der Generierung eines Authentifikators an die Authentifikatorgenerierungseinheit 90 durch die Graphenverwaltungseinheit 60.
  • (D74)
  • Die Authentifikatorverifizierungseinheit 70 überträgt ein Verifizierungsergebnis D74 an die Protokollverwaltungseinheit 40. Das Verifizierungsergebnis D74 entspricht einem Zuordnungsergebnis zwischen MAC1a und MAC1b in 2.
  • (D96)
  • Die Authentifikatorgenerierungseinheit 90 überträgt einen generierten Authentifikator D96 an die Graphenverwaltungseinheit 60.
  • ***Erläuterung des Funktionsablaufs***
  • Nachfolgend wird die Funktion der Angriffserfassungsvorrichtung 501 beschrieben. Der Funktionsablauf der Angriffserfassungsvorrichtung 501 entspricht einem Angriffserfassungsverfahren. Ein Programm zur Realisierung der Funktion der Angriffserfassungsvorrichtung 501 entspricht einem Angriffserfassungsprogramm.
  • 7 ist ein Ablaufdiagramm, das einen Funktionsablauf zur Generierung des relevanten Authentifikatorgraphen D64a durch die Angriffserfassungsvorrichtung 501 als einen vorbereitenden Schritt veranschaulicht. Da 3 auch eine grafische Darstellung zur Ergänzung von 7 ist, erfolgt die Beschreibung unter Bezugnahme auf 7 und 3 zum Funktionsablauf bei der Generierung des Authentifikatorgraphen 64a durch die Angriffserfassungsvorrichtung 501 als den vorbereitenden Schritt.
    • (1) Im Schritt S01 generiert die Gruppengenerierungseinheit 30 einen Authentifikatorgraphen, der eine Korrespondenzinformationsgruppe ist, auf Grundlage von Angriffserfassungsregeln, die in 5 angegeben sind. Die Angriffserfassungsregeln sind Regeln zum Erfassen eines Cyberangriffs und Regeln, denen eine Vielzahl von Protokollen entsprechen. Konkret generiert die Gruppengenerierungseinheit 30 den Authentifikatorgraphen D36 auf Grundlage der Angriffserfassungsinformationen 11 und überträgt den Authentifikatorgraphen D36 an die Graphenverwaltungseinheit 60. Die Generierung des Authentifikatorgraphen D36 durch die Gruppengenerierungseinheit 30 läuft wie folgt ab. Die Angriffserfassungseinheit 10 extrahiert entsprechende Protokolle, beispielsweise ein Kommunikationsprotokoll und ein Prozessprotokoll, von der Protokollverwaltungseinheit 40 auf Grundlage der Angriffserfassungsregeln und sucht nach der Existenz einer Spur einer „Angriffsmethode“ aus diesen Protokollen. Beispielsweise sucht die Angriffserfassungseinheit 10 nach einer Spur eines „spezifischen Prozessstarts“ aus dem Prozessprotokoll und einer Spur eines „Anschluss-Scans“ aus dem Kommunikationsprotokoll. Auf diese Weise existiert eine Vielzahl von Protokollen, die auf Grundlage der Angriffserfassungsregeln referenziert werden. Dann generiert die Gruppengenerierungseinheit 30 den Authentifikatorgraphen D36 unter Referenzierung einer Vielzahl von Protokollen.
    • (2) Im Schritt S02 überträgt die Graphenverwaltungseinheit 60 den relevanten Authentifikatorgraphen D64a an die Protokollverwaltungseinheit 40. Die Protokollverwaltungseinheit 40 erkennt Entsprechung zwischen einem Authentifikator und einem Protokoll durch Empfang des relevanten Authentifikatorgraphen D64a.
    • (3) Im Schritt S03 überträgt die Protokollverwaltungseinheit 40 ein entsprechendes Protokoll im relevanten Authentifikatorgraphen D64a an die Graphenverwaltungseinheit 60.
    • (4) Im Schritt S04 überträgt die Graphenverwaltungseinheit 60 die Authentifikatorgenerierungsanforderung D69 an die Authentifikatorgenerierungseinheit 90.
    • (5) Im Schritt S05 generiert die Authentifikatorgenerierungseinheit 90 die von den Identifikatoren für jeden Identifikator identifizierten Authentifikatoren aus einer Vielzahl von Protokollen, die durch die Protokollverwaltungseinheit 40 erhalten wurden. Die Authentifikatorgenerierungseinheit 90 generiert einen Authentifikator D96 und sendet den Authentifikator D96 an die Graphenverwaltungseinheit 60 zurück.
  • Die Graphenverwaltungseinheit 60 speichert den von der Authentifikatorgenerierungseinheit 90 erhaltenen Authentifikator in der Authentifikatorspeichereinheit 80 und verwaltet den empfangenen Authentifikator.
  • 8 ist ein Ablaufdiagramm eines Vorgangs zur Aktualisierung eines Authentifikators zum Zeitpunkt der Protokollaktualisierung durch die Angriffserfassungsvorrichtung 501.
  • 9 ist eine grafische Darstellung zur Ergänzung von 8.
    • (1) im Schritt S11 überträgt die Protokollbeschaffungseinheit 20 eine Protokollschreibanforderung D24 an die Protokollverwaltungseinheit 40.
    • (2) Im Schritt S12, wenn die Protokollschreibanforderung D24 empfangen wurde, überträgt die Protokollverwaltungseinheit 40 eine Protokollaktualisierungsmitteilung D46b an die Graphenverwaltungseinheit 60.
    • (3) Im Schritt S13, wenn die Protokollaktualisierungsmitteilung D46b empfangen wurde, überträgt die Graphenverwaltungseinheit 60 einen relevanten Authentifikatorgraphen D64a an die Protokollverwaltungseinheit 40.
    • (4) Im Schritt S14 extrahiert die Protokollverwaltungseinheit 40 ein in dem relevanten Authentifikatorgraphen D64a angegebenes Protokoll aus der Protokollspeichereinheit 50 und überträgt ein Protokoll 46a, das extrahierte Protokoll, an die Graphenverwaltungseinheit 60.
    • (5) Im Schritt S15, wenn ein Protokoll entsprechend einem Identifikator eines Authentifikatorgraphen, der eine Korrespondenzinformationsgruppe ist, aktualisiert wird, erfasst die Graphenverwaltungseinheit 60 ein Aktualisierungsprotokoll, welches das aktualisierte Protokoll angibt, und gibt eine Authentifikatorgenerierungsanforderung aus, um die Generierung eines durch einen dem Aktualisierungsprotokoll zugeordneten Identifikator identifizierten Authentifikators zu bestellen. Konkret überträgt die Graphenverwaltungseinheit 60, wenn das Protokoll 46a empfangen wurde, die Authentifikatorgenerierungsanforderung D69 an die Authentifikatorgenerierungseinheit 90. Die Authentifikatorgenerierungsanforderung D69 umfasst das Protokoll 46a.
    • (6) Im Schritt S16 generiert die Authentifikatorgenerierungseinheit 90, wenn die Authentifikatorgenerierungsanforderung ausgegeben wurde, den durch einen dem Aktualisierungsprotokoll in dem Authentifikatorgraphen, der die Korrespondenzinformationsgruppe ist, zugeordneten Identifikator identifizierten Authentifikator unter Verwendung des aktualisierten Aktualisierungsprotokolls. Konkret generiert die Authentifikatorgenerierungseinheit 90 den Authentifikator D96, wenn die Authentifikatorgenerierungsanforderung D69 empfangen wurde, und überträgt den Authentifikator D96 an die Graphenverwaltungseinheit 60.
    • (7) Im Schritt S17 verwaltet die Graphenverwaltungseinheit 60 den unter Verwendung des Aktualisierungsprotokolls generierten Authentifikator. Konkret speichert die Graphenverwaltungseinheit 60 den Authentifikator D96, der in der Authentifikatorspeichereinheit 80 empfangen wurde, und aktualisiert einen Authentifikator, der dem Authentifikator D96 entspricht, auf den Authentifikator D96.
  • 10 ist ein Ablaufdiagramm, das einen Vorgang der Authentifikatorverifizierung zum Zeitpunkt der Erfassung eines Angriffs durch die Angriffserfassungsvorrichtung 501 veranschaulicht.
  • 11 ist eine grafische Darstellung zur Ergänzung von 10.
    • (1) Im Schritt S21 gibt die Angriffserfassungseinheit 10 eine Protokollreferenzanforderung aus, um ein Protokoll anzufordern, das bei Bedarf referenziert werden soll. Konkret überträgt die Angriffserfassungseinheit 10 eine Protokollreferenzanforderung D14 an die Protokollverwaltungseinheit 40.
    • (2) Im Schritt S22 überträgt die Protokollverwaltungseinheit 40 eine Authentifizierungsanfrage D46c, um einen Authentifikator D64b, der dem Protokoll zugeordnet ist, das durch die Protokollreferenzanforderung D14 angefordert wurde, an die Graphenverwaltungseinheit 60.
    • (3) Im Schritt S23 referenziert die Graphenverwaltungseinheit 60 einen Authentifikatorgraphen, der die Korrespondenzinformationsgruppe ist, und extrahiert einen Authentifikator, der dem Protokoll zugeordnet ist, das durch die Protokollreferenzanforderung angefordert wurde. Die Graphenverwaltungseinheit 60 überträgt den extrahierten Authentifikator D64b an die Protokollverwaltungseinheit 40.
    • (4) Im Schritt S24 überträgt die Protokollverwaltungseinheit 40 eine Verifizierungsanforderung D47 an die Authentifikatorverifizierungseinheit 70. Die Verifizierungsanforderung D47 sind der Authentifikator D64b und ein Protokoll, um den Authentifikator D64b speziell zu generieren.
    • (5) Im Schritt S25, unter Verwendung einer Vielzahl von Protokollen, die dem Authentifikator zugeordnet sind, der über den Identifikator der Korrespondenzinformationen in dem Authentifikatorgraphen extrahiert wurde, generiert die Authentifikatorverifizierungseinheit 70 einen Korrespondenzauthentifikator, der dem extrahierten Authentifikator entspricht. Und die Authentifikatorverifizierungseinheit 70 gibt ein Verifizierungsergebnis aus, das angibt, ob es erfolgreich ist, indem der Korrespondenzauthentifikator verifiziert wird. Die Authentifikatorverifizierungseinheit 70 überträgt ein Verifizierungsergebnis D74 an die Protokollverwaltungseinheit 40.
    • (6) In Schritt S26 gibt die Protokollverwaltungseinheit 40 der Gruppenverwaltungseinheit 66 das Protokoll, das durch die Protokollreferenzanforderung D14 referenziert werden soll, als Reaktion auf die Protokollreferenzanforderung D14 an die Angriffserfassungseinheit 10 aus, wenn das Verifizierungsergebnis der Validität durch die Authentifikatorverifizierungseinheit 70 Gültigkeit angibt.
  • Konkret überträgt die Protokollverwaltungseinheit 40, wenn das Verifizierungsergebnis D74 „erfolgreich“ ist, das von der Protokollreferenzanforderung D14 angeforderte Protokoll D41 an die Angriffserfassungseinheit 10.
  • Auf diese Weise erfasst die Angriffserfassungseinheit 10 das Protokoll, das durch die Verifizierungsanforderung, die aufgrund der Protokollreferenzanforderung generiert wurde, als gültig verifiziert wurde, und bestimmt die Existenz des Cyberangriffs unter Verwendung des erfassten Protokolls. Es ist möglich, dass die Angriffserfassungseinheit 10, die das Protokoll erfasst hat, das Protokoll referenziert, das die Angriffserfassung begleitet.
  • In dem oben beschriebenen Schritt S21 bis Schritt S26 wird es in Bezug auf ein anderes Protokoll als das Protokoll, das durch die Protokollreferenzanforderung D14 von der Angriffserfassungseinheit 10 angefordert wird, sehr wahrscheinlich, dass das Protokollschreiben zum Aktualisieren durchgeführt wird, ohne auf das Schreiben zu warten.
  • Zum Beispiel fordert die Protokollreferenzanforderung D14 in 11 eine Referenzierung des Authentifizierungsprotokolls und des zzz-Protokolls an. Zu diesem Zeitpunkt wird davon ausgegangen, dass Aktualisierungen im Kommunikationsprotokoll, im Prozessprotokoll und im Authentifizierungsprotokoll erfolgen und ein Schreiben notwendig wird. Während es nicht möglich ist, in ein Authentifizierungsprotokoll zu schreiben, wo ein Update stattfindet, ist es möglich, das Kommunikationsprotokoll und das Prozessprotokoll zu aktualisieren.
  • 12 ist ein Ablaufdiagramm, das einen Vorgang der Angriffserfassungsvorrichtung 501 zum Zeitpunkt der Aktualisierung der Angriffserfassungsinformationen 11 veranschaulicht.
  • 13 ist eine grafische Darstellung zur Ergänzung von 12.
    • (1) In Schritt S31 empfängt die Gruppengenerierungseinheit 30 die Erfassungsinformationen-Aktualisierungsmitteilung D13 von der Angriffserfassungseinheit 10. Die Erfassungsinformationen-Aktualisierungsmitteilung D13 umfasst neue, aktualisierte Angriffserfassungsinformationen 11a.
    • (2) Im Schritt S32 generiert die Gruppengenerierungseinheit 30 einen neuen Authentifikatorgraphen D36a auf Grundlage der empfangenen Angriffserfassungsinformationen 11a und überträgt den Authentifikatorgraphen D36a an die Graphenverwaltungseinheit 60.
    • (3) Im Schritt S33, wenn der Authentifikatorgraph D36a empfangen wurde, überträgt die Graphenverwaltungseinheit 60 den relevanten Authentifikatorgraphen D64a an die Protokollverwaltungseinheit 40. Der relevante Authentifikatorgraph D64a ist eine Korrespondenzinformation, die sich zwischen dem neuen Authentifikatorgraphen D36a und dem gehaltenen Authentifikatorgraphen D36a unterscheidet.
    • (4) Im Schritt S34, wenn der relevante Authentifikatorgraph D64a empfangen wurde, überträgt die Protokollverwaltungseinheit 40 ein Protokoll D46a, das einem Identifikator in dem relevanten Authentifikatorgraphen D64a zugeordnet ist, an die Graphenverwaltungseinheit 60.
    • (5) Im Schritt S35 überträgt die Graphenverwaltungseinheit 60, wenn das Protokoll D46a empfangen wurde, die Authentifikatorgenerierungsanforderung D69 an die Authentifikatorgenerierungseinheit 90. Die Authentifikatorgenerierungsanforderung D69 umfasst das Protokoll D46a.
    • (6) Im Schritt S36 generiert die Authentifikatorgenerierungseinheit 90 einen Authentifikator D96, wenn die Authentifikatorgenerierungsanforderung D69 empfangen wurde, und überträgt den Authentifikator D96 an die Graphenverwaltungseinheit 60.
  • ***Wirkung der ersten Ausführungsform***
  • In der Angriffserfassungsvorrichtung 501 der ersten Ausführungsform generiert die Gruppengenerierungseinheit 30 den Authentifikatorgraphen D36, und die Graphenverwaltungseinheit 60 verwaltet den Authentifikatorgraphen D36. Daher ist es möglich, eine Authentifikatorverwaltungsvorrichtung bereitzustellen, um die Belastung für die Verwaltung von Authentifikatoren und die Zeit des Wartens auf das Schreiben von Protokollen zu reduzieren.
  • Als Erfassungsverfahren für Protokollfälschung wird ein Verfahren zum Zuweisen eines Authentifikators zu jedem von einer Vielzahl von Protokollen erachtet. Bei diesem Verfahren ist es jedoch nicht möglich, eine Protokolllöschung in einem Fall zu erfassen, in dem die Protokolllöschung gefälscht ist. Im Gegensatz dazu ist es in der Angriffserfassungsvorrichtung 501 der ersten Ausführungsform möglich, eine Fälschung der Protokolllöschung zu erfassen, da ein Authentifikator aus einer Vielzahl von Protokollen generiert wird.
  • Ferner wird ein Verfahren zum Zuweisen eines Authentifikators zu dem Ganzen von der Vielzahl von Protokollen ebenfalls als ein Erfassungsverfahren für Protokollfälschung erachtet. Bei diesem Verfahren wird jedoch, wenn aufgrund der Erfassung eines Cyberangriffs auf Protokolle verwiesen wird, die Vielzahl von Protokollen als Ganzes zur Verifizierung des Authentifikators verwendet; wenn also eines der Protokolle aktualisiert wird und Schreiben erforderlich wird, ist es unmöglich, in das Protokoll zu schreiben, und die Zeit des Wartens auf das Schreiben des Protokolls wird lang. Im Gegensatz dazu ist es in der Angriffserfassungsvorrichtung 501 in der ersten Ausführungsform möglich, eine Verlängerung der Zeit des Wartens auf das Schreiben des Protokolls zu unterdrücken, da jedes Element von Korrespondenzinformationen einer Vielzahl von Korrespondenzinformationen und der Authentifikator einander zugeordnet und verwaltet werden.
  • Zweite Ausführungsform
  • Unter Bezugnahme auf 14 wird die Angriffserfassungsvorrichtung 502 in der zweiten Ausführungsform beschrieben.
  • 14 veranschaulicht eine funktionale Konfiguration der Angriffserfassungsvorrichtung 502 in der zweiten Ausführungsform. Die Protokollverwaltungseinheit 40 der Angriffserfassungsvorrichtung 502 umfasst eine Verifizierungszeitsteuerungseinheit 210. In der Angriffserfassungsvorrichtung 501 verifiziert die Authentifikatorverifizierungseinheit 70 einen Authentifikator in einem Ablauf von Schritt S21 bis Schritt S26, der durch eine Protokollreferenzanforderung D14 verursacht wurde, die durch die Protokollverwaltungseinheit 40 von der Angriffserfassungseinheit 10 empfangen wurde. Aus diesem Grund wird eine Zeitverzögerung von dem Zeitpunkt, zu dem die Protokollreferenzanforderung D14 empfangen wird, bis zu dem Zeitpunkt, zu dem ein angefordertes Protokoll über einen Verifizierungsprozess an die Angriffserfassungseinheit 10 gesendet wird, verursacht. Daher veranlasst die Verifizierungszeitsteuerungseinheit 210 in der Angriffserfassungsvorrichtung 502 unabhängig von der Protokollreferenzanforderung D14 von der Angriffserfassungseinheit 10 die Authentifikatorverifizierungseinheit 70, einen Authentifikator in einem mit der Protokollreferenzanforderung D14 asynchronen Zustand zu „verifizieren“. Nachfolgend wird die Wirkungsweise der Verifizierungszeitsteuerungseinheit 210 beschrieben.
  • Die Angriffserfassungseinheit 10 überwacht ein Stadium von Fortschritt eines Cyberangriffs. Die Angriffserfassungseinheit 10 bestimmt das Stadium des Fortschritts eines Cyberangriffs beispielsweise aus der Anzahl von UND-Elementen, die als wahr bestimmt wurden, oder einem Anteil von UND-Elementen, die als wahr bestimmt wurden, in UND-Elementen in den Angriffserfassungsregeln, die in 5 veranschaulicht sind.
  • Die Verifizierungszeitsteuerungseinheit 210 entscheidet entsprechend einer Stufe des Fortschritts des Cyberangriffs über die Vielzahl der Protokolle und den Authentifikator, die in der Verifizierungsanforderung D47 enthalten sein sollen, und steuert einen Zeitverlauf, um die Verifizierungsanforderung D47 auszugeben. Die Verifizierungszeitsteuerungseinheit 210 gibt gemäß dem von der Angriffserfassungseinheit 10 überwachten Fortschritt des Cyberangriffs die Verifizierungsanforderung D47 intermittierend an die Authentifikatorverifizierungseinheit 70 aus, um eine Verifizierung eines Authentifikators anzufordern.
  • Die Authentifikatorverifizierungseinheit 70 verifiziert den durch die Verifizierungsanforderung D47 angeforderten Authentifikator, indem sie jedes Mal, wenn die Verifizierungsanforderung D47 ausgegeben wird, eine Vielzahl von Protokollen verwendet, die dem von der Verifizierungsanforderung D47 angeforderten Authentifikator über einen Identifikator in Korrespondenzinformationen zugeordnet sind.
  • Eine konkrete Erläuterung folgt. Die Verifizierungszeitsteuerungseinheit 210 empfängt einen Angriffsfortschrittsgrad 12, der von der Angriffserfassungseinheit 10 erkannt wird, von der Angriffserfassungseinheit 10. Die Verifizierungszeitsteuerungseinheit 210 steuert einen Verifizierungsanforderungszeitverlauf eines Authentifikators für jeden Identifikator der Authentifikatoren, die in dem Authentifikatorgraphen D36 beschrieben sind, als Reaktion auf den Angriffsfortschrittsgrad 12. Es wird angenommen, dass sich der Wert des Angriffsfortschrittsgrades 12 mit 10, 20, 30 ändert. Je größer der Wert des Angriffsfortschrittsgrades 12 ist, desto weiter ist der Angriff fortgeschritten.
  • Wenn der Wert des Angriffsfortschrittsgrades beispielsweise 10 ist, verifiziert die Verifizierungszeitsteuerungseinheit 210 den Authentifikator <1>, der dem Identifikator <1> des Authentifikatorgraphen D36 zugeordnet ist. Die Verifikationszeitsteuerungseinheit 210 erfasst ein Kommunikationsprotokoll und ein Authentifizierungsprotokoll, die dem Authentifikator <1> von der Protokollspeichereinheit 50 zugeordnet wurden, und erfasst den Authentifikator <1> von der Graphenverwaltungseinheit 60. Die Verifikationszeitsteuerungseinheit 210 überträgt die Verifizierungsanforderung D47 an die Authentifikatorverifizierungseinheit 70. Die Verifizierungsanforderung D47 umfasst den Authentifikator <1>, das Kommunikationsprotokoll und das Authentifizierungsprotokoll. Die Authentifikatorverifizierungseinheit 70 führt einen Verifizierungsprozess des Authentifikators <1> durch und überträgt das Verifizierungsergebnis D74 an die Verifizierungszeitsteuerungseinheit 210.
  • Wenn sich der Wert des Angriffsfortschrittsgrades 12 von 10 auf 20 verändert, verifiziert die Verifizierungszeitsteuerungseinheit 210 den Authentifikator <2>, der dem Identifikator <2> des Authentifikatorgraphen D36 zugeordnet ist. Die Verifikationszeitsteuerungseinheit 210 erfasst ein Prozessprotokoll, ein xxx-Protokoll und ein yyy-Protokoll, die dem Authentifikator <2> von der Protokollspeichereinheit 50 zugeordnet wurden, und erfasst den Authentifikator <2> von der Graphenverwaltungseinheit 60. Die Verifikationszeitsteuerungseinheit 210 überträgt die Verifizierungsanforderung D47 an die Authentifikatorverifizierungseinheit 70. Die Verifizierungsanforderung D47 umfasst den
  • Authentifikator <2>, das Prozessprotokoll, das xxx-Protokoll und das yyy-Protokoll. Die Authentifikatorverifizierungseinheit 70 führt einen Verifizierungsprozess des Authentifikators <2> durch und überträgt das Verifizierungsergebnis D74 an die Verifizierungszeitsteuerungseinheit 210.
  • Ein Fall, in dem sich der Wert des Angriffsfortschrittsgrades 12 ebenfalls von 20 auf 30 ändert, ist der gleiche wie der Fall, in dem sich der Wert des Angriffsfortschrittsgrades 12 von 10 und 20 ändert.
  • ***Wirkung der zweiten Ausführungsform***
  • In der Angriffserfassungsvorrichtung 502 in der zweiten Ausführungsform veranlasst die Verifizierungszeitsteuerungseinheit 210 die Authentifikatorverifizierungseinheit 70, den Authentifikator als Reaktion auf den Angriffsfortschrittsgrad 12 in einem Zustand asynchron mit der Protokollreferenzanforderung D14 zu verifizieren. Es ist daher möglich, die Zeitverzögerung, die zu dem Zeitpunkt auftritt, zu dem der Authentifikator aufgrund der Protokollreferenzanforderung D14 verifiziert wird, ab dem Verursachen eines Angriffs bis zur Referenzierung eines notwendigen Protokolls, entsprechend dem Fortschrittsgrad des Angriffs zu reduzieren.
  • Dritte Ausführungsform
  • Unter Bezugnahme auf 15 bis 20 wird eine Angriffserfassungsvorrichtung 503 der dritten Ausführungsform beschrieben.
  • 15 veranschaulicht einen Fluss von Daten zwischen funktionalen Komponenten der Angriffserfassungsvorrichtung 503. Wie in 15 veranschaulicht, umfasst die Authentifikatorgenerierungseinheit 90 eine Zwischendatengenerierungseinheit 310. Ferner umfasst die Angriffserfassungsvorrichtung 503 eine Zwischendatenspeichereinheit 320. Diese beiden Teile unterscheiden sich von der Angriffserfassungsvorrichtung 501.
  • Die Zwischendaten sind Daten, die bei der Generierung des Authentifikators vor der Generierung eines Authentifikators erscheinen. Mit anderen Worten, die Zwischendaten sind Daten, die in der Mitte eines Prozesses während einer Vielzahl von Prozessen generiert werden, wenn ein Authentifikator durch die Vielzahl von Prozessen generiert wird.
  • 16 ein Ablaufdiagramm, das einen Vorgangs zur Generierung eines Authentifikators durch die Angriffserfassungsvorrichtung 503 veranschaulicht.
  • 17 ist eine grafische Darstellung zur Ergänzung von 16.
  • Unter Bezugnahme auf 16 und 17 wird ein Generierungsvorgang eines Authentifikators durch die Angriffserfassungsvorrichtung 503 beschrieben.
    • (1) im Schritt S41 überträgt die Protokollbeschaffungseinheit 20 eine Protokollschreibanforderung D24 an die Protokollverwaltungseinheit 40.
    • (2) Im Schritt S42, wenn die Protokollschreibanforderung D24 empfangen wurde, überträgt die Protokollverwaltungseinheit 40 eine Protokollaktualisierungsmitteilung D46b an die Graphenverwaltungseinheit 60.
    • (3) Im Schritt S43 überträgt die Protokollverwaltungseinheit 40 ein Protokoll D46a, das durch die Protokollschreibanforderung D24 an die Graphenverwaltungseinheit 60 aktualisiert wurde.
    • (4) Im Schritt S44 überträgt die Graphenverwaltungseinheit 60, wenn das Protokoll D46a empfangen wurde, eine Authentifikatorgenerierungsanforderung D69 an die Authentifikatorgenerierungseinheit 90.
    • (5) Im Schritt S45 verwendet die Authentifikatorgenerierungseinheit 90 Zwischendaten zum Zeitpunkt der Generierung eines bereits generierten Authentifikators und generiert einen neuen Authentifikator, der einen Aktualisierungswert des bereits generierten Authentifikators angibt. Die Authentifikatorgenerierungseinheit 90 speichert die Zwischendaten des Authentifikators in der Zwischendatenspeichereinheit 320, die eine Zwischendatenspeichervorrichtung ist. Insbesondere generiert die Zwischendatengenerierungseinheit 310 der Authentifikatorgenerierungseinheit 90 bei Empfang der Authentifikatorgenerierungsanforderung D69 Zwischendaten 311 und einen Authentifikator D96.
  • Wenn der Authentifikator D96 generiert wird, beginnt die Zwischendatengenerierungseinheit 310 mit der Generierung des Authentifikators D96 aus den Zwischendaten, die in der Vergangenheit generiert wurden und die in der Zwischendatenspeichereinheit 320 gespeichert sind.
  • 18 gibt einen Zustand an, in dem die Zwischendatengenerierungseinheit 310 den Authentifikator D96 aus den Zwischendaten generiert, die in der Vergangenheit generiert wurden. Durch die Verwendung von zurückgehaltenen Zwischendaten Cn-1 ist es der Zwischendatengenerierungseinheit 310 möglich, aus den Zwischendaten Cn-1 zu verarbeiten, wenn ein Authentifikator Mn* neu berechnet wird. Das heißt, in 18 wird der Prozess von einem Authentifikator M1 zu einem Authentifikator Mn-1 überflüssig. Wenn Zwischendaten generiert werden, speichert die Zwischendatengenerierungseinheit 310 die Zwischendaten, die in der Zwischendatenspeichereinheit 320 generiert wurden.
  • (6) In Schritt S46 werden, wenn die Zwischendaten 311 generiert werden, die Zwischendaten 311 in der Zwischendatenspeichereinheit 320 gespeichert, und die Zwischendaten werden aktualisiert. Die in der Zwischendatenspeichereinheit 320 gespeicherten Zwischendaten 311 werden zur Generierung eines nächsten Authentifikators verwendet.
  • (7) Im Schritt S47 überträgt die Zwischendatengenerierungseinheit 310 den Authentifikator D96 an die Graphenverwaltungseinheit 60. Die Graphenverwaltungseinheit 60 speichert den Authentifikator D96 in der Authentifikatorspeichereinheit 80 und aktualisiert einen Authentifikator.
  • 19 ein Ablaufdiagramm, das einen Vorgang zur Verifizierung eines Authentifikators durch die Angriffserfassungsvorrichtung 503 veranschaulicht.
  • 20 ist eine grafische Darstellung zur Ergänzung von 19.
  • Unter Bezugnahme auf 19 und 20 wird ein Verifizierungsvorgang eines Authentifikators durch die Angriffserfassungsvorrichtung 503 beschrieben.
    • (1) im Schritt S51 überträgt die Angriffserfassungseinheit 10 eine Protokollreferenzanforderung D14 an die Protokollverwaltungseinheit 40.
    • (2) Im Schritt S52, wenn die Protokollreferenzanforderung D14 empfangen wurde, überträgt die Protokollverwaltungseinheit 40 eine Authentifizierungsanfrage D46c an die Graphenverwaltungseinheit 60.
    • (3) Im Schritt S53, wenn die Authentifizierungsanfrage D46c empfangen wurde, überträgt die Graphenverwaltungseinheit 60 einen Authentifikator D64b an die Protokollverwaltungseinheit 40.
    • (4) Im Schritt S54, wenn der Authentifikator D64b empfangen wurde, überträgt die Protokollverwaltungseinheit 40 eine Verifizierungsanforderung D47 an die Authentifikatorverifizierungseinheit 70.
    • (5) Im Schritt S55, wenn die Verifizierungsanfrage D47 empfangen wurde, verifiziert die Authentifikatorverifizierungseinheit 70 einen Authentifikator. Es ist möglich, dass die Authentifikatorverifizierungseinheit 70 einen Authentifikator unter Verwendung von Zwischendaten generiert, wie in 18 veranschaulicht, wie bei der Authentifikatorgenerierungseinheit 90. Ein Protokoll und ein Index von Verifizierungsobjektdaten werden an die Authentifikatorverifizierungseinheit 70 weitergeleitet. Die Authentifikatorverifizierungseinheit 70 startet einen Verifizierungsprozess von einem Zwischenwert nahe dem Index. Wenn zum Beispiel die Indexpunkte Mn und die Zwischendaten nahe dem Index Cn-1 sind, wird der Prozess von einem Zeitpunkt an wiederaufgenommen, zu dem Cn-1 von CIPHK in 18 ausgegeben wird. Der Inhalt des Verifizierungsprozesses danach ist der gleiche wie im Schritt S25. Die Authentifikatorverifizierungseinheit 70 überträgt das Verifizierungsergebnis D74 an die Protokollverwaltungseinheit 40.
    • (6) Im Schritt S56 überträgt die Protokollverwaltungseinheit 40, wenn das Verifizierungsergebnis D74 „erfolgreich“ ist, ein durch die Protokollreferenzanforderung D14 angefordertes Protokoll D41 an die Angriffserfassungseinheit 10.
  • In der Angriffserfassungsvorrichtung 503 in der dritten Ausführungsform kann, da die Authentifikatorgenerierungseinheit 90 unter Verwendung von Zwischendaten einen Authentifikator generiert, die Zeit des Wartens auf das Schreiben eines Protokolls, für das zum Zeitpunkt der Generierung des Authentifikators geschrieben wird, reduziert werden. In der Angriffserfassungsvorrichtung 503 in der dritten Ausführungsform kann, da die Authentifikatorverifizierungseinheit 70 unter Verwendung von Zwischendaten auch einen Authentifikator generiert, die Zeit des Wartens auf das Schreiben eines Protokolls, das zum Zeitpunkt der Authentifikatorverifizierung geschrieben wird, reduziert werden.
  • Vierte Ausführungsform
  • Beschrieben wird eine Angriffserfassungsvorrichtung 504 in der vierten Ausführungsform unter Bezugnahme auf die 21 bis 24.
  • 21 veranschaulicht einen Fluss von Daten in der Angriffserfassungsvorrichtung 504. Die Angriffserfassungsvorrichtung 504 umfasst ferner einen Zähler 410, um einen Zählerwert gemäß einer Aktualisierungsanforderung in Bezug auf die Angriffserfassungsvorrichtung 501 zu aktualisieren.
  • Wenn ein Angriff empfangen wird, bei dem die Protokollspeichereinheit 500 und die Authentifikatorspeichereinheit 80 zurückgerollt werden, ist es unmöglich, ein Zurückrollen zu erfassen. Es wird davon ausgegangen, dass die Blockspeichereinheit 500 und die Authentifikatorspeichereinheit 80 in einem sicheren Bereich gelagert sind; die Kosten werden jedoch extrem hoch. Daher wird durch den Zähler 410 die Gefahr eines Rollback-Angriffs reduziert.
  • 22 veranschaulicht einen Zustand, bei dem ein Zählerwert auf einem Authentifikator widergespiegelt wird. Wie in 22 veranschaulicht, generiert die Authentifikatorgenerierungseinheit 90 einen Authentifikator auf Grundlage eines Zählerwerts und eines Protokolls. In 22 wird aus dem Zählerwert und dem Protokoll ein Authentifikator generiert. Der „Authentifikator“ + der Zählerwert in der Authentifikatorspeichereinheit 80 aus 21 bedeuten den in 22 angegebenen Inhalt. Wie in 21 und 22 veranschaulicht, wird der Authentifikator in der Authentifikatorspeichereinheit 80 in einem Zustand gespeichert, in dem der Zählerwert des Zählers 410 zum Zeitpunkt der Generierung des Authentifikators widergespiegelt wird. Wenn der Authentifikator generiert wird, wird der Zählerwert des Zählers 410 kurz vor der Generierung aktualisiert.
  • 23 ist ein Ablaufdiagramm, das einen Vorgang zu der Zeit, wenn der Zählerwert des Zählers 410 aktualisiert wird, veranschaulicht. 24 ist eine grafische Darstellung zur Ergänzung von 23. Unter Bezugnahme auf 23 und 24 wird ein Verifizierungsvorgang eines Authentifikators durch die Angriffserfassungsvorrichtung 503 beschrieben.
    • (1) Im Schritt S61 überträgt die Graphenverwaltungseinheit 60 eine Zähleraktualisierungsanforderung D69a an die Authentifikatorgenerierungseinheit 90. Wenn die Zähleraktualisierungsanforderung D69a empfangen wird, aktualisiert der Zähler 410 den Zählerwert.
    • (2) Im Schritt S62 überträgt die Graphenverwaltungseinheit 60 eine Protokollanforderung D64c zum Anfordern eines in dem Authentifikatorgraphen D36 zugeordneten Protokolls an die Protokollverwaltungseinheit 40.
    • (3) Im Schritt S63 überträgt die Protokollverwaltungseinheit 40, wenn die Protokollanforderung D69c empfangen wurde, ein von der Protokollanforderung D64c angefordertes Protokoll D46a an die Graphenverwaltungseinheit 60.
    • (4) Im Schritt S64 wird eine Authentifizierungsgenerierungsanforderung D69 ausgegeben. Konkret wie folgt.
  • Die Protokollverwaltungseinheit 40 der Gruppenverwaltungseinheit 66 ordnet den durch eine Aktualisierungsanforderung aktualisierten Zählerwert der Vielzahl von Protokollen zu, die durch die Merkmalsinformationen spezifiziert sind, und verwaltet den aktualisierten Zählerwert und die Vielzahl von Protokollen. Die Graphenverwaltungseinheit 60 der Gruppenverwaltungseinheit 66 gibt die Authentifikatorgenerierungsanforderung D69 aus, die die zwei oder mehr Protokolle beinhaltet, die in der Vielzahl von Protokollen enthalten sind, die durch die Merkmalsinformationen und den Zählerwert spezifiziert sind, und die die Generierung des Authentifikators anfordert. Konkret überträgt die Graphenverwaltungseinheit 60, wenn die Graphenverwaltungseinheit 60 von der Protokollverwaltungseinheit 40 ein Protokoll D46a empfängt, eine Authentifikatorgenerierungsanforderung D69 an die Authentifikatorgenerierungseinheit 90.
  • (5) Im Schritt S65 generiert die Authentifikatorgenerierungseinheit 90 einen Authentifikator auf Grundlage des Zählerwerts und des durch eine Aktualisierungsanforderung aktualisierten Protokolls. Insbesondere dann, wenn die Authentifikatorgenerierungseinheit 90 die Authentifikatorgenerierungsanforderung D69 empfängt, generiert die Authentifikatorgenerierungseinheit 90 einen Authentifikator D96 aus dem Protokoll D46a und dem Zählerwert und überträgt den generierten Authentifikator D96 an die Graphenverwaltungseinheit 60. 22 veranschaulicht einen Zustand, in dem der Authentifikator D96 aus dem Protokoll D46a und dem Zählerwert generiert wird.
  • ***Wirkung der vierten Ausführungsform***
  • Die Angriffserfassungsvorrichtung 504 in der vierten Ausführungsform generiert einen Authentifikator, der einen Zählerwert widerspiegelt; daher ist es möglich, einen Rollback-Angriff zu erfassen.
  • Fünfte Ausführungsform
  • Eine Angriffserfassungsvorrichtung 505 in einer fünften Ausführungsform wird unter Bezugnahme auf 25 bis 28 beschrieben.
  • 25 veranschaulicht einen Fluss von Daten in der Angriffserfassungsvorrichtung 505. Das Merkmal der Angriffserfassungsvorrichtung 505 besteht darin, dass die Protokollverwaltungseinheit 40 eine Protokollbeschaffungsfrequenz D43 an die Gruppengenerierungseinheit 30 überträgt und die Gruppengenerierungseinheit 30 einen Authentifikatorgraphen D36 auf Grundlage der Protokollbeschaffungsfrequenz D43 generiert.
  • Die Gruppengenerierungseinheit 30 generiert einen Authentifikatorgraphen, der eine Korrespondenzinformationsgruppe ist, basierend auf einer Aktualisierungsfrequenz eines Protokolls, das einem Authentifikator über einen Identifikator von Korrespondenzinformationen zugeordnet ist.
  • 26 sind Aktualisierungsfrequenzinformationen 44, die eine Erfassungsfrequenz eines Protokolls angeben. Die Erfassungsfrequenz des Protokolls ist eine Aktualisierungsfrequenz des Protokolls. In den in 26 veranschaulichten Aktualisierungsfrequenzinformationen 44 werden Frequenzen nach Art des Protokolls beschrieben. Die Protokollverwaltungseinheit 40 erhält eine Erfassungsfrequenz eines Protokolls wie in 26. Beispielsweise ist es möglich, dass die Protokollverwaltungseinheit 40 eine Frequenz auf der Grundlage eines Protokolls berechnet, das dem gegenwärtigen Zeitpunkt für N Sekunden vorausging, und zwar aus einer Protokollbeschaffungsfrequenzdatei, die zuvor eingerichtet wurde.
  • 27 ist ein Ablaufdiagramm, das den Betrieb der Gruppengenerierungseinheit 30 veranschaulicht, um einen Authentifikatorgraphen D36 auf Grundlage der Protokollbeschaffungshäufigkeit D43 zu generieren.
  • 28 ist eine grafische Darstellung zur Ergänzung von 27.
    • (1) Im Schritt S71 überträgt die Protokollverwaltungseinheit 40 eine Protokollbeschaffungsfrequenz D43 an die Gruppengenerierungseinheit 30.
    • (2) Im Schritt S72, wenn die Protokollbeschaffungsfrequenz D43 empfangen wurde, generiert die Gruppengenerierungseinheit 30 einen Authentifikatorgraphen D36 auf Grundlage der Protokollbeschaffungsfrequenz D43. Die Gruppengenerierungseinheit 30 überträgt den generierten Authentifikatorgraphen D36 an die Graphenverwaltungseinheit 60.
    • (3) Im Schritt S73, wenn der Authentifikatorgraph D36 empfangen wurde, überträgt die Graphenverwaltungseinheit 60 den Authentifikatorgraphen D36 an die Protokollverwaltungseinheit 40.
    • (4) Im Schritt S74, wenn der Authentifikatorgraph D36 empfangen wurde, überträgt die Protokollverwaltungseinheit 40 ein Protokoll D46 an die Graphenverwaltungseinheit 60.
    • (5) Im Schritt S75 überträgt die Graphenverwaltungseinheit 60, wenn das Protokoll D46 empfangen wurde, eine Authentifikatoranforderung D69 an die Authentifikatorgenerierungseinheit 90.
    • (6) Im Schritt S76 generiert die Authentifikatorgenerierungseinheit 90 einen Authentifikator D96, wenn die Authentifikatorgenerierungsanforderung D69 empfangen wurde, und überträgt den Authentifikator D96 an die Graphenverwaltungseinheit 60.
  • In der Angriffserfassungsvorrichtung 505 in der fünften Ausführungsform generiert die Gruppengenerierungseinheit 30 den Authentifikatorgraphen D36 auf Grundlage der Protokollbeschaffungsfrequenz D43. In der fünften Ausführungsform kann durch Verhindern, dass ein Protokoll mit hoher Aktualisierungsfrequenz und ein Protokoll mit niedriger Aktualisierungsfrequenz einem identischen Authentifikator zugeordnet werden, eine Generierungszeit von Authentifikatoren stärker reduziert werden.
  • Vorstehend sind die erste Ausführungsform bis fünfte Ausführungsform der vorliegenden Erfindung beschrieben; es ist jedoch auch möglich, zwei oder mehr dieser Ausführungsformen zu kombinieren und umzusetzen. Gleichzeitig ist es auch möglich, eine dieser Ausführungsformen teilweise umzusetzen. Darüber hinaus ist es auch möglich, zwei oder mehr dieser Ausführungsformen teilweise zu kombinieren und umzusetzen. Die vorliegende Erfindung ist nicht auf die vorliegenden Ausführungsformen beschränkt, und verschiedene Modifikationen sind nach Bedarf möglich.
  • Sechste Ausführungsform
  • Als eine sechste Ausführungsform werden Hardwarekomponenten von der Angriffserfassungsvorrichtung 501 bis zur Angriffserfassungsvorrichtung 505 erörtert.
  • ***Erläuterung der Konfiguration***
  • 29 veranschaulicht eine Hardwarekonfiguration einer Angriffserfassungsvorrichtung 506. Die Angriffserfassungsvorrichtung 506 umfasst funktionale Komponenten der Angriffserfassungsvorrichtungen 501, 502, 503, 504 und 505. Die Beschreibung der Angriffserfassungsvorrichtung 506 gilt auch für die Angriffserfassungsvorrichtung 501 bis zur Angriffserfassungsvorrichtung 505. Unter Bezugnahme auf 29 wird die Hardwarekonfiguration der Angriffserfassungsvorrichtung 506 beschrieben.
  • Die Angriffserfassungsvorrichtung 506 ist ein Computer. Die Angriffserfassungsvorrichtung 506 umfasst den Prozessor 110. Neben dem Prozessor 110 umfasst die Angriffserfassungsvorrichtung 506 weitere Hardwarekomponenten wie die Hauptspeichervorrichtung 120, die Zusatzspeichervorrichtung 130, die Eingabe-IF 140, die Ausgabe-IF 150 und die Kommunikations-IF 160. Der Prozessor 110 ist über die Signalleitung 170 mit den anderen Hardwarekomponenten verbunden, um die anderen Hardwarekomponenten zu steuern.
  • Die Angriffserfassungsvorrichtung 506 umfasst als funktionale Komponenten die Angriffserfassungseinheit 10, die Protokollbeschaffungseinheit 20, die Gruppengenerierungseinheit 30, die Protokollverwaltungseinheit 40, die Graphenverwaltungseinheit 60, die Authentifikatorverifizierungseinheit 70, die Authentifikatorgenerierungseinheit 90, die Verifizierungszeitsteuerungseinheit 210 und den Zähler 410. Funktionen der Angriffserfassungseinheit 10, der Protokollbeschaffungseinheit 20, der Gruppengenerierungseinheit 30, der Protokollverwaltungseinheit 40, der Graphenverwaltungseinheit 60, der Authentifikatorverifizierungseinheit 70, der Authentifikatorgenerierungseinheit 90, der Verifizierungszeitsteuerungseinheit 210 und des Zählers 410 werden durch ein Angriffserfassungsprogramm 507 realisiert. Das Angriffserfassungsprogramm 507 ist in der Zusatzspeichervorrichtung 130 gespeichert.
  • Der Prozessor 110 ist eine Vorrichtung zum Ausführen eines Angriffserfassungsprogramms 507. Die Angriffserfassungsvorrichtung 507 ist ein Programm zum Umsetzen der Funktionen der Angriffserfassungseinheit 10, der Protokollbeschaffungseinheit 20, der Gruppengenerierungseinheit 30, der Protokollverwaltungseinheit 40, der Graphenverwaltungseinheit 60, der Authentifikatorverifizierungseinheit 70, der Authentifikatorgenerierungseinheit 90, der Verifizierungszeitsteuerungseinheit 210 und des Zählers 410. Der Prozessor 110 ist eine integrierte Schaltung (IC), die eine operative Verarbeitung ausführt. Konkrete Beispiele für den Prozessor 110 sind eine zentrale Verarbeitungseinheit (Central Processing Unit, CPU), ein Digitaler Signalprozessor (DSP) und eine Grafikverarbeitungseinheit (Graphics Processing Unit, GPU).
  • Die Hauptspeichereinrichtung 120 ist eine Speichereinrichtung. Konkrete Beispiele für die Hauptspeichervorrichtung 120 sind ein statischer Speicher mit wahlfreiem Zugriff (Static Random Access Memory, SRAM) und ein dynamischer Speicher mit wahlfreiem Zugriff (Dynamic Random Access Memory, DRAM). Die Hauptspeichervorrichtung 120 verwahrt ein Vorgangsergebnis des Prozessors 110.
  • Die Zusatzspeichervorrichtung 130 ist eine Speichervorrichtung zum Speichern von Daten in einer nicht flüchtigen Weise. Ein schematisches Beispiel der Hilfsspeichervorrichtung 130 ist eine Festplatte (Hard Disk Drive, HDD). Ferner ist es auch möglich, dass die Hilfsspeichervorrichtung 130 ein tragbares Aufzeichnungsmedium wie etwa eine Secure Digital-Speicherkarte (SD; eingetragene Marke), ein NAND-Flash, eine flexible Scheibe, eine optische Scheibe, eine Compact Disc, eine Blu-Ray-Disc (eingetragene Marke) und eine digitale vielseitige Scheibe (Digital Versatile Disk, DVD) usw. ist. Die Zusatzspeichervorrichtung 130 realisiert die Protokollspeichereinheit 50, die Authentifikatorspeichereinheit 80 und die Zwischendatenspeichereinheit 320.
  • Die Eingangs-IF 140 ist ein Anschluss, in den Daten von jeder Vorrichtung eingegeben werden. Die Ausgangs-IF 150 ist ein Anschluss, mit dem verschiedene Vorrichtungen verbunden sind und über den Daten von dem Prozessor 110 an die verschiedenen Vorrichtungen ausgegeben werden. Die Kommunikations-IF 160 ist ein Kommunikationsanschluss, über den Prozessoren mit anderen Vorrichtungen kommunizieren.
  • Der Prozessor 110 lädt das Angriffserfassungsprogramm 507 aus der Zusatzspeichervorrichtung 130 in die Hauptspeichervorrichtung 120 und liest das Angriffserfassungsprogramm 507 aus der Hauptspeichervorrichtung 120 und führt es aus. In der Hauptspeichervorrichtung 120 ist nicht nur das Angriffserfassungsprogramm 507, sondern auch ein Betriebssystem (Operating System, OS) gespeichert. Der Prozessor 110 führt das Angriffserfassungsprogramm 507 während der Ausführung des OS aus. Die Angriffserfassungsvorrichtung 506 kann eine Vielzahl von Prozessoren umfassen, die den Prozessor 110 ersetzen. Die Vielzahl von Prozessoren teilen sich die Ausführung des Angriffserfassungsprogramms 507. Jeder der Prozessoren ist eine Vorrichtung, die das Angriffserfassungsprogramm 507 in einer gleichen Weise wie der Prozessor 110 ausführt. Die Daten, Informationen, Signalwerte und Variablenwerte, die von dem Angriffserfassungsprogramm 507 genutzt, verarbeitet oder ausgegeben werden, werden in der Hauptspeichervorrichtung 120, der Zusatzspeichervorrichtung 130 oder einem Register oder einem Cache-Speicher in dem Prozessor 110 gespeichert.
  • Das Angriffserfassungsprogramm 507 ist ein Programm, das einen Computer jeden Prozess, jedes Verfahren oder jeden Schritt von „Prozessen“, „Verfahren“ oder „Schritten“, mit denen „Einheiten“ der Angriffserfassungseinheit 10, der Protokollbeschaffungseinheit 20, der Gruppengenerierungseinheit 30, der Protokollverwaltungseinheit 40, der Graphenverwaltungseinheit 60, der Authentifikatorverifizierungseinheit 70, der Authentifikatorgenerierungseinheit 90 und der Verifizierungszeitsteuerungseinheit 210 ersetzt werden, ausführen lässt.
  • Ferner ist ein Angriffserfassungsverfahren ein Verfahren, das durch Ausführen des Angriffserfassungsprogramms 507 durch die Angriffserfassungsvorrichtung 506, die ein Computer ist, ausgeführt wird. Es ist anwendbar, um das Angriffserfassungsprogramm 507 bereitzustellen, indem das Angriffserfassungsprogramm 507 in einem computerlesbaren Aufzeichnungsmedium oder als ein Programmprodukt gespeichert wird.
  • <Ergänzung der Hardwarekonfiguration>
  • In der Angriffserfassungsvorrichtung 506 von 29 sind Funktionen der Angriffserfassungsvorrichtung 506 durch Software realisiert; allerdings können die Funktionen der Angriffserfassungsvorrichtung 506 auch durch eine Hardwarekomponente realisiert sein.
  • 30 veranschaulicht eine Konfiguration zum Umsetzen der Funktionen der Angriffserfassungsvorrichtung 506 durch die Hardwarekomponente. Eine elektronische Schaltung 700 von 30 ist eine dedizierte elektronische Schaltung zum Umsetzen der Funktionen der Angriffserfassungseinheit 10, der Protokollbeschaffungseinheit 20, der Gruppengenerierungseinheit 30, der Protokollverwaltungseinheit 40, der Graphenverwaltungseinheit 60, der Authentifikatorverifizierungseinheit 70, der Authentifikatorgenerierungseinheit 90, der Verifizierungszeitsteuerungseinheit 210, des Zählers 410, der Protokollspeichereinheit 50, der Authentifikatorspeichereinheit 80 und der Zwischendatenspeichereinheit 320 in der Angriffserfassungsvorrichtung 506. Die elektronische Schaltung 700 ist mit einer Signalleitung 710 verbunden. Die elektronische Schaltung 700 ist, konkret, eine einzelne Schaltung, eine zusammengesetzte Schaltung, ein in ein Programm integrierter Prozessor, ein in ein paralleles Programm integrierter Prozessor, eine Logik-IC, ein GA, eine ASIC oder ein FPGA. GA ist eine Abkürzung für „Gate-Array“. ASIC ist eine Abkürzung für „Application Specific Integrated Circuit“ (dt. Anwendungsspezifische Integrierte Schaltung). FPGA ist eine Abkürzung für Feldprogrammierbares Gate-Array. Die Funktionen der Komponenten der Angriffserfassungsvorrichtung 506 können durch eine elektronische Schaltung realisiert sein oder können durch eine Vielzahl elektronischer Schaltungen verteilt realisiert sein. Ferner kann eine Teilfunktion der Komponenten der Angriffserfassungsvorrichtung 506 durch eine elektronische Schaltung realisiert sein, und die übrigen Funktionen können durch Software realisiert sein.
  • Sowohl der Prozessor 110 als auch die elektronische Schaltung 700 werden auch als Verarbeitungsschaltungen bezeichnet. In der Angriffserfassungsvorrichtung 506 können die Funktionen der Angriffserfassungseinheit 10, der Protokollbeschaffungseinheit 20, der Gruppengenerierungseinheit 30, der Protokollverwaltungseinheit 40, der Graphenverwaltungseinheit 60, der Authentifikatorverifizierungseinheit 70, der Authentifikatorgenerierungseinheit 90, der Verifizierungszeitsteuerungseinheit 210, des Zählers 410, der Protokollspeichereinheit 50, der Authentifikatorspeichereinheit 80 und der Zwischendatenspeichereinheit 320 durch Verarbeitungsschaltungen realisiert sein.
  • Bezugszeichenliste
  • 10: Angriffserfassungseinheit; 11, 11a: Angriffserfassungsinformationen, 11-2, 11-2, 11-3: Angriffserfassungsregel; 12: Angriffsfortschrittsgrad; 13: Informationen zur Angriffsmethode; 20: Protokollbeschaffungseinheit; 30: Gruppengenerierungseinheit; 31: Identifikatorgraph; 40: Protokollverwaltungseinheit; 50: Protokollspeichereinheit; 51: Protokolldatenbank; 60: Graphenverwaltungseinheit; 66: Gruppenverwaltungseinheit; 70: Authentifikatorverifizierungseinheit; 80: Authentifikatorspeichereinheit; 90: Authentifikatorgenerierungseinheit; 110: Prozessor; 120: Hauptspeichervorrichtung; 130: Zusatzspeichervorrichtung; 140: Eingabe-IF; 150: Ausgabe-IF; 160: Kommunikations-IF; 170: Signalleitung; 210: Verifizierungszeitsteuerungseinheit; 310: Zwischendatengenerierungseinheit; 311: Zwischendaten; 320: Zwischendatenspeichereinheit; 410: Zähler; 501, 502, 503, 504, 505, 506: Angriffserfassungsvorrichtung; 507: Angriffserfassungsprogramm; 601: Authentifizierungsschlüssel; 602: Zwischendatenschutzschlüssel; 700: elektronische Schaltung; 710: Signalleitung; D14: Protokollreferenzanforderung; D13: Erfassungsinformationen-Aktualisierungsmitteilung; D24 Protokollschreibanforderung; D36, D36a: Authentifikatorgraph; D41: Protokoll; D46a: Protokoll; D46b: Protokollaktualisierungsmitteilung; D46c: Authentifikatoranfrage; D47: Verifizierungsanforderung; D43: Protokollbeschaffungsfrequenz; D64a: relevanter Authentifikatorgraph; D64b: Authentifikator; D64c: Protokollanforderung; D69: Authentifikatorgenerierungsanforderung; D69a: Zähleraktualisierungsanforderung; D74: Verifizierungsergebnis; D96: Authentifikator.

Claims (12)

  1. Authentifikatorverwaltungsvorrichtung (501), umfassend: eine Gruppengenerierungseinheit (30) zum Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle; eine Gruppenverwaltungseinheit (66) zum Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebene Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und zum Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator entsprechen, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht; eine Authentifikatorgenerierungseinheit (90) zum Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; und eine Authentifikatorverifizierungseinheit (70) zum Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl der in der Verifizierungsanforderung enthaltenen Protokolle, und zum Ausgeben eines Verifizierungsergebnisses, wobei die Merkmalsinformationen Angriffserfassungsinformationen sind, wobei jeder Regel einer Vielzahl von Regeln eine Vielzahl von Protokollen zugeordnet sind, um den Cyberangriff zu erfassen.
  2. Authentifikatorverwaltungsvorrichtung, umfassend: eine Gruppengenerierungseinheit (30) zum Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle; eine Gruppenverwaltungseinheit (66) zum Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebene Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und zum Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht, entsprechen; eine Authentifikatorgenerierungseinheit (90) zum Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; und eine Authentifikatorverifizierungseinheit (70) zum Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl der in der Verifizierungsanforderung enthaltenen Protokolle, und zum Ausgeben eines Verifizierungsergebnisses, wobei die Gruppenverwaltungseinheit (66) eine Verifizierungszeitplan-Steuerungseinheit (210) entsprechend einer Stufe des Fortschritts des Cyberangriffs umfasst, um über die Vielzahl von Protokollen und den Authentifikator, die in die Verifizierungsanforderung aufzunehmen sind, zu entscheiden, und um einen Zeitplan für die Ausgabe der Verifizierungsanforderung zu steuern.
  3. Authentifikatorverwaltungsvorrichtung (505) nach Anspruch 2, wobei die Merkmalsinformationen Aktualisierungsfrequenzinformationen sind, wobei eine Aktualisierungsfrequenz der Vielzahl von Protokollen registriert wird.
  4. Authentifikatorverwaltungsvorrichtung (501) nach einem der Ansprüche 1 bis 3, wobei eine Gruppenverwaltungseinheit (66), wenn das Verifizierungsergebnis der Validität Gültigkeit angibt, das Protokoll ausgibt, das durch die Protokollreferenzanforderung in Reaktion auf die Protokollreferenzanforderung zu referenzieren ist.
  5. Authentifikatorverwaltungsvorrichtung (503) nach einem der Ansprüche 1 bis 4, wobei die Authentifikatorgenerierungseinheit (90), unter Verwendung von Zwischendaten zu einer Generierungszeit des Authentifikators, der bereits generiert wurde, einen neuen Authentifikator, der einen Aktualisierungswert des bereits generierten Authentifikators angibt, generiert.
  6. Authentifikatorverwaltungsvorrichtung (503) nach Anspruch 5, wobei die Authentifikatorgenerierungseinheit (90) die Zwischendaten des Authentifikators in einer Zwischendatenspeichervorrichtung (320) speichert.
  7. Authentifikatorverwaltungsvorrichtung (504) nach einem der Ansprüche 1 bis 6, ferner umfassend einen Zähler zum Aktualisieren eines Zählerwertes entsprechend einer Aktualisierungsanforderung, wobei die Gruppenverwaltungseinheit (66) den durch die Aktualisierungsanforderung aktualisierten Zählerwert der Vielzahl von durch die Merkmalsinformationen spezifizierten Protokollen zuordnet und den durch die Aktualisierungsanforderungen aktualisierten Zählerwert und die Vielzahl der durch die Merkmalsinformationen spezifizierten Protokolle verwaltet und eine Authentifikatorgenerierungsanforderung ausgibt, die die zwei oder mehr Protokolle, die in der Vielzahl von durch die Merkmalsinformationen spezifizierten Protokollen enthalten sind, und den Zählerwert umfasst, und die eine Generierung des Authentifikators anfordert.
  8. Authentifikatorverwaltungsvorrichtung (501) nach einem der Ansprüche 1 bis 7, ferner umfassend eine Angriffserfassungseinheit (10) zum Ausgeben der Protokollreferenzanforderung, zum Beschaffen des Protokolls, das durch die aufgrund der Protokollreferenzanforderung generierte Verifizierungsanforderung als gültig verifiziert wurde, und zum Feststellen der Existenz des Cyberangriffs unter Verwendung des beschafften Protokolls.
  9. Authentifizierungsverwaltungsprogramm, um einen Computer zu veranlassen, auszuführen: einen Gruppengenerierungsprozess zum Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle; einen Gruppenverwaltungsprozess zum Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebene Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und zum Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator entsprechen, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht; einen Authentifikatorgenerierungsprozess zum Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; und einen Authentifikatorverifizierungsprozess zum Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen und zum Ausgeben eines Verifizierungsergebnisses, wobei die Merkmalsinformationen Angriffserfassungsinformationen sind, wobei jeder Regel einer Vielzahl von Regeln eine Vielzahl von Protokollen zugeordnet sind, um den Cyberangriff zu erfassen.
  10. Authentifizierungsverwaltungsprogramm, um einen Computer zu veranlassen, auszuführen: einen Gruppengenerierungsprozess zum Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle; einen Gruppenverwaltungsprozess zum Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebene Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und zum Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator entsprechen, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht; einen Authentifikatorgenerierungsprozess zum Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; und einen Authentifikatorverifizierungsprozess zum Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen und zum Ausgeben eines Verifizierungsergebnisses, und einen Computer ferner zu veranlassen, im Gruppenverwaltungsprozess einen Verifizierungszeitplan-Steuerungsprozess entsprechend einer Stufe des Fortschritts des Cyberangriffs auszuführen, um über die Vielzahl von Protokollen und den Authentifikator, die in die Verifizierungsanforderung aufzunehmen sind, zu entscheiden, und um einen Zeitplan für die Ausgabe der Verifizierungsanforderung zu steuern.
  11. Authentifizierungsverwaltungsverfahren durch einen Computer, der ausführt: Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle; Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebenen Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator entsprechen, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht; Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; und Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl der in der Verifizierungsanforderung enthaltenen Protokolle und Ausgeben eines Verifizierungsergebnisses, wobei die Merkmalsinformationen Angriffserfassungsinformationen sind, wobei jeder Regel einer Vielzahl von Regeln eine Vielzahl von Protokollen zugeordnet sind, um den Cyberangriff zu erfassen.
  12. Authentifizierungsverwaltungsverfahren durch einen Computer, der ausführt: Generieren einer Korrespondenzinformationsgruppe, die eine Vielzahl von Elementen von Korrespondenzinformationen umfasst, wobei ein Element von Korrespondenzinformationen zwei oder mehr Protokolle zuordnet, die in einer Vielzahl von Protokollen von Merkmalsinformationen, die ein Merkmal eines Systems repräsentieren, das ein Objekt eines Cyberangriffs ist, enthalten sind, und zum Spezifizieren der Vielzahl von Protokollen mit einem Identifikator zum Identifizieren eines Authentifikators zum Authentifizieren der Validität der zwei oder mehr Protokolle; Ausgeben einer Authentifikatorgenerierungsanforderung, die die zwei oder mehr in dem Element von Korrespondenzinformationen angegebenen Protokolle umfasst, und die die Generierung eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator, anfordert, und Ausgeben, durch Referenzieren der Korrespondenzinformationsgruppe in einem Fall, in dem eine Protokollreferenzanforderung zum Anfordern eines Protokolls, das zu referenzieren ist, empfangen wurde, einer Verifizierungsanforderung, die eine Vielzahl von Protokollen umfasst, die dem Identifikator, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung zu referenzieren ist, entspricht, und dem Authentifikator entsprechen, der dem angeforderten Protokoll, das durch die Protokollreferenzanforderung über den Identifikator zu referenzieren ist, entspricht; Generieren eines Authentifikators, identifiziert durch den in dem Element von Korrespondenzinformationen angegebenen Identifikator durch Verwendung der zwei oder mehr in der Authentifikatorgenerierungsanforderung enthaltenen Protokolle; und Verifizieren der Validität der Vielzahl von in der Verifizierungsanforderung enthaltenen Protokollen unter Verwendung des Authentifikators und der Vielzahl der in der Verifizierungsanforderung enthaltenen Protokolle und Ausgeben eines Verifizierungsergebnisses, und ferner Entscheiden, entsprechend einer Stufe des Fortschritts des Cyberangriffs, über die Vielzahl der Protokolle und den Authentifikator, die in der Verifizierungsanforderung enthalten sein sollen, und Steuern eines Zeitverlaufs, um die Verifizierungsanforderung auszugeben.
DE112020005818.2T 2020-01-28 2020-01-28 Authentifikatorverwaltungsvorrichtung, authentifikatorverwaltungsprogramm und authentifikatorverwaltungsverfahren Active DE112020005818B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/003001 WO2021152699A1 (ja) 2020-01-28 2020-01-28 認証子管理装置、認証子管理プログラム及び認証子管理方法

Publications (2)

Publication Number Publication Date
DE112020005818T5 DE112020005818T5 (de) 2022-09-08
DE112020005818B4 true DE112020005818B4 (de) 2023-11-09

Family

ID=77078689

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020005818.2T Active DE112020005818B4 (de) 2020-01-28 2020-01-28 Authentifikatorverwaltungsvorrichtung, authentifikatorverwaltungsprogramm und authentifikatorverwaltungsverfahren

Country Status (5)

Country Link
US (1) US20220300597A1 (de)
JP (1) JP7012922B2 (de)
CN (1) CN115023701A (de)
DE (1) DE112020005818B4 (de)
WO (1) WO2021152699A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007272774A (ja) 2006-03-31 2007-10-18 Secom Co Ltd 事象情報管理システム
WO2019198137A1 (ja) 2018-04-10 2019-10-17 三菱電機株式会社 セキュリティ装置及び組込み機器

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002244554A (ja) * 2001-02-16 2002-08-30 Hitachi Software Eng Co Ltd タイムスタンプ生成方法及び確認方法並びに装置並びにシステム
US8181248B2 (en) * 2006-11-23 2012-05-15 Electronics And Telecommunications Research Institute System and method of detecting anomaly malicious code by using process behavior prediction technique
JP2013003968A (ja) * 2011-06-20 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> ログ管理装置、ログ管理方法及びログ管理プログラム
US20170054742A1 (en) * 2013-12-27 2017-02-23 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
US9338013B2 (en) * 2013-12-30 2016-05-10 Palantir Technologies Inc. Verifiable redactable audit log
US10503906B2 (en) * 2015-12-02 2019-12-10 Quest Software Inc. Determining a risk indicator based on classifying documents using a classifier
US10225273B2 (en) * 2017-01-27 2019-03-05 International Business Machines Corporation Secured event monitoring leveraging blockchain
JP6949416B2 (ja) 2017-07-13 2021-10-13 株式会社デンソー 電子制御装置、プログラム改ざん検知方法
RU2725033C2 (ru) * 2018-03-30 2020-06-29 Акционерное общество "Лаборатория Касперского" Система и способ создания правил
US11777970B1 (en) * 2019-12-12 2023-10-03 Rapid7, Inc. Granular and prioritized visualization of anomalous log data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007272774A (ja) 2006-03-31 2007-10-18 Secom Co Ltd 事象情報管理システム
WO2019198137A1 (ja) 2018-04-10 2019-10-17 三菱電機株式会社 セキュリティ装置及び組込み機器

Also Published As

Publication number Publication date
US20220300597A1 (en) 2022-09-22
CN115023701A (zh) 2022-09-06
JPWO2021152699A1 (de) 2021-08-05
DE112020005818T5 (de) 2022-09-08
WO2021152699A1 (ja) 2021-08-05
JP7012922B2 (ja) 2022-01-28

Similar Documents

Publication Publication Date Title
CN108446407B (zh) 基于区块链的数据库审计方法和装置
DE602004010563T2 (de) Ausführliche Identifizierung von Hardware zur Verbindung der Software mit einem änderungstolerantem Computersystem
DE60303753T2 (de) Selektives Erkennen von böswilligem Rechnercode
DE69521977T2 (de) Verfahren und System zur gesicherten Programmenverteilung
DE69634684T2 (de) Vorrichtung und Verfahren zur Ausführung nachprüfbarer Programme mit Möglichkeit zur Nutzung von nicht-nachprüfbaren Programmen aus vertrauten Quellen
DE112012002624B4 (de) Regex-Kompilierer
DE102016100494B4 (de) Sichere Identitätsauthentifizierung in einer elektronischen Transaktion
DE112012000526T5 (de) Malware - Erkennung
DE112010003971T5 (de) Vorübergehende Bereitstellung höherer Vorrechte für ein Rechensystem für eine Benutzerkennung
DE112017007515T5 (de) Fahrzeuginternes Authentifikationssystem, fahrzeuginternes Authentifikationsverfahren und fahrzeuginternes Authentifikationsprogramm
EP3696699B1 (de) Sichere und flexible firmwareaktualisierung in elektronischen geräten
DE102012223167A1 (de) Gemeinsame Nutzung von Artefakten zwischen kollaborativen Systemen
DE602004009639T2 (de) Verfahren oder Vorrichtung zur Authentifizierung digitaler Daten mittels eines Authentifizierungs-Plugins
DE60221861T2 (de) Server mit dateiverifikation
DE102020121075A1 (de) Einrichtung und Verfahren zur Authentifizierung von Software
DE102017104080A1 (de) Generalisiertes verifizierungsschema für sichere metadaten-modifizierung
DE112017007755T5 (de) Schlüsselverwaltungsvorrichtung und kommunikationsgerät
DE102018130297A1 (de) Arbeitsnachweis-Konzept für ein Fahrzeug
DE102010002472A1 (de) Verfahren zum Verifizieren eines Speicherblocks eines nicht-flüchtigen Speichers
EP3811261B1 (de) Kryptografiemodul und betriebsverfahren hierfür
DE112019005317T5 (de) Objektspeicher für garantierte inhalte zur sicherung und aufbewahrung
DE112020005818B4 (de) Authentifikatorverwaltungsvorrichtung, authentifikatorverwaltungsprogramm und authentifikatorverwaltungsverfahren
CN112182606A (zh) 访问请求的处理方法、装置、电子设备及可读存储介质
DE112019004146T5 (de) Authentifizierung von dateien
DE19734585C2 (de) Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R084 Declaration of willingness to licence
R018 Grant decision by examination section/examining division