JP2018503909A - モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダ - Google Patents

モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダ Download PDF

Info

Publication number
JP2018503909A
JP2018503909A JP2017535650A JP2017535650A JP2018503909A JP 2018503909 A JP2018503909 A JP 2018503909A JP 2017535650 A JP2017535650 A JP 2017535650A JP 2017535650 A JP2017535650 A JP 2017535650A JP 2018503909 A JP2018503909 A JP 2018503909A
Authority
JP
Japan
Prior art keywords
authentication information
valid
token
transfer
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017535650A
Other languages
English (en)
Other versions
JP6403176B2 (ja
Inventor
ホー、タンピン
チャン、ターチェン
Original Assignee
ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホアウェイ・テクノロジーズ・カンパニー・リミテッド filed Critical ホアウェイ・テクノロジーズ・カンパニー・リミテッド
Publication of JP2018503909A publication Critical patent/JP2018503909A/ja
Application granted granted Critical
Publication of JP6403176B2 publication Critical patent/JP6403176B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダを開示する。当該方法は制約付きノードに適用され、認証情報を受信する段階と、認証情報が初めて受信されたのかどうかを判断する段階と、認証情報が初めて受信されたのではない場合、認証情報を転送する段階、又は、認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断する段階、並びに、前記認証情報が有効な認証情報ではない場合、認証情報を破棄する段階、若しくは、認証情報が有効な認証情報である場合、有効な認証情報を検証する段階、及び、検証が成功した後、有効な認証情報を転送する段階とを備える。本発明の実施形態は、制約付きノードのリソースを低減し、モノのインターネットの性能を向上できる。

Description

本願は、「モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダ」と題する、2015年1月4日に中国特許庁に出願された中国特許出願第201510003726.5号に基づく優先権を主張し、その全体が参照によって本明細書において組み込まれる。
本発明は、モノのインターネットの分野に関し、特には、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダに関する。
モノのインターネットは、人々の生活に多大な利便性をもたらす。従来技術において、モノのインターネットによって使用される許可及び認証の方法は共に、基本フレームワークとしてプッシュモデル(push model)を使用する。例えば、クライアントが、モノのインターネットの他方側のRS(Resource Server、リソースサーバ)にリソースを要求する、又は、リソース操作を実行する場合、クライアントはまず要求を取得するリソースをRSに送信する必要があり、RSが、AS(Authorization Serve、許可サーバ)についての情報を返した後、クライアントは、ASに許可を要求する。ASからの許可証明書を取得した後、クライアントは、DTLS(Datagram Transport Layer Security、データグラムトランスポート層セキュリティプロトコル)を使用することによって、RSに認証を要求する。クライアント上でのRSによる認証が成功した後、クライアントは、RSにリソースを要求してよい、又は、リソース操作を実行してよい。
従来技術において、クライアントは、RSと直接通信することができないことがある。この場合、クライアントによってRSに向けて送信された認証情報は、別のノードによって転送される必要がある。しかしながら、認証要求を転送するノードが制約付きノードであった場合、制約付きノードは限定された数のリソースしか有さないので、特に、帯域幅リソース及び電源リソースが限定されているとき、クライアントとRSとの間の通信の品質が直接影響を受ける。
従来技術において、モノのインターネットにおける制約付きノードを含む全ノードは、認証情報をフィルタリングすることなく無条件に当該情報を転送する。実際の状況において、モノのインターネットにおけるクライアントが、モノのインターネットの他方側のRSに大量の認証情報を悪意を持って送信した場合、クライアントとRSとの間に位置するノードは、大量の悪質な認証メッセージを無条件に転送する必要がある。認証情報を転送するノードが制約付きノードである場合、それが原因で、これらのノードの大量の帯域幅リソースが占有され、電力がすぐに消費されることになりかねない。その結果、モノのインターネットの全体的性能が影響を受け、モノのインターネットがまひさえする。
本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダを提供し、これにより、モノのインターネットにおいて、制約付きノードが認証情報を無条件に転送するために、モノのインターネットの性能が影響を受けるという問題を解決する。
上述の技術的問題を解決すべく、本発明の実施形態は以下の技術的解決手段を開示する。
一態様において、モノのインターネットにおける認証情報のための転送方法が提供される。当該方法は、制約付きノードに適用され、
認証情報を受信する段階と、
認証情報が初めて受信されたのかどうかを判断する段階と、
認証情報が初めて受信されたのではない場合、認証情報を転送する段階、又は、
認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断する段階、並びに、認証情報が有効な認証情報ではない場合、認証情報を破棄する段階、若しくは、認証情報が有効な認証情報である場合、有効な認証情報を検証する段階、及び、検証が成功した後、有効な認証情報を転送する段階とを含む。
第1の態様に関連して、第1の態様の第1の可能な実施方式において、認証情報が初めて受信されたのかどうかを判断する段階は、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する段階、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断する段階を含む。
第1の態様に関連して、第1の態様の第2の可能な実施方式において、認証情報が有効な認証情報であるかどうかを判断する段階は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する段階、又は、認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断する段階を含む。
第1の態様に関連して、第1の態様の第3の可能な実施方式において、有効な認証情報を検証する段階は、有効な認証情報から、許可サーバによって配信された転送トークンを取得する段階と、
転送トークンが正当なトークンであるかどうかを判断する段階と、
転送トークンが正当なトークンである場合、検証は成功したと判断する段階、又は
転送トークンが正当なトークンではない場合、検証は失敗したと判断する段階とを含む。
第1の態様の第3の可能な実施方式に関連して、第1の態様の第4の可能な実施方式において、転送トークンが正当なトークンであるかどうかを判断する段階は、
転送トークンによる、転送トークンの時間有効性を取得する段階と、
転送トークンが有効期間内であるかどうかを判断する段階と、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断する段階と、
ルートが存在する場合、転送トークンが正当なトークンであると判断する段階とを含む。
第1の態様の第4の可能な実施方式に関連して、第1の態様の第5の可能な実施方式において、検証が成功した後、有効な認証情報を転送する段階は、
各既存ルートにおける転送ノードを取得する段階であって、転送ノードは、ノードによって転送された有効な認証情報を受信するノードである、段階と、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送する段階とを含む。
第1の態様の第5の可能な実施方式に関連して、第1の態様の第6の可能な実施方式において、転送ノードのIPアドレスに従って、有効な認証情報を転送する段階は、
有効な認証情報の転送トークンを削除する段階と、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送する段階とを含む。
第2の態様において、モノのインターネットにおける認証情報のための転送装置が提供される。当該装置は、
認証情報を受信するよう構成される受信ユニットと、
認証情報が初めて受信されたのかどうかを判断するよう構成される第1の判断ユニットと、
認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成される転送ユニットと、
認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される第2の判断ユニットとを含む。
第2の態様に関連して、第2の態様の第1の可能な実施方式において、第1の判断ユニットは、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
第2の態様に関連して、第2の態様の第2の可能な実施方式において、第2の判断ユニットは、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
第2の態様に関連して、第2の態様の第3の可能な実施方式において、第2の判断ユニットは検証サブユニットを含み、検証サブユニットは、
有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
第2の態様の第3の可能な実施方式に関連して、第2の態様の第4の可能な実施方式において、検証サブユニットは更に、
転送トークンによる転送トークンの時間有効性を取得し、
転送トークンが有効期間内かどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
第2の態様の第4の可能な実施方式に関連して、第2の態様の第5の可能な実施方式において、検証が成功した後、有効な認証情報を転送することは、
第2の判断ユニットが更に、有効認証情報転送サブユニットを含み、有効認証情報転送サブユニットは、
各既存ルートにおける転送ノードであって、当該ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成されることを含む。
第2の態様の第5の可能な実施方式に関連して、第2の態様の第6の可能な実施方式において、有効認証情報転送サブユニットは更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
第3の態様において、モノのインターネットにおける認証情報のためのフォワーダ、当該フォワーダは、
認証情報を受信するよう構成される受信機と、
認証情報が初めて受信されたのかどうかを判断するよう構成されるプロセッサとを含み、
プロセッサは更に、認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成され、
プロセッサは更に、認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される。
第3の態様に関連して、第3の態様の第1の可能な実施方式において、プロセッサは、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
第3の態様に関連して、第3の態様の第2の可能な実施方式において、プロセッサは
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
第3の態様に関連して、第3の態様の第3の可能な実施方式において、プロセッサは、
有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
第3の態様に関連して、第3の態様の第4の可能な実施方式において、プロセッサは、
転送トークンによる、転送トークンの時間有効性を取得し、
転送トークンが有効期間内であるかどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
第3の態様の第4の可能な実施方式に関連して、第3の態様の第5の可能な実施方式において、プロセッサは、
各既存ルートにおける転送ノードであって、ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成される。
第3の態様の第5の可能な実施方式に関連して、第3の態様の第6の可能な実施方式において、プロセッサは更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法を開示する。当該方法において、初めて認証情報を受信した後、制約付きノードは、認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
本発明の実施形態における、又は従来技術における技術的解決手段をより明確に説明すべく、実施形態を説明するために必要な添付図面を以下で簡潔に説明する。明らかに、以下の説明における添付図面は、本発明の一部の実施形態を示しているに過ぎず、当業者は、創造努力なくこれらの添付図面から他の図面を更に導き出し得る。
本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送方法のフローチャートを示す。
本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送方法のフローチャートを示す。
本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送装置の概略図を示す。
本発明の実施形態に係る、モノのインターネットにおける認証情報のためのフォワーダの概略図を示す。
本発明の以下の実施形態は、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダを提供し、これにより、モノのインターネットの性能が向上される。
以下で、本発明の実施形態における添付図面を参照して、本発明の実施形態における技術的解決手段を明確かつ十分に説明する。明らかに、説明される実施形態は、本発明の実施形態の全部ではなく一部に過ぎない。創造努力なく本発明の実施形態に基づいて当業者によって取得された全ての他の実施形態は、本発明の保護範囲内に含まれるものとする。
本発明の実施形態では、制約付きノードは、計算、記憶、及び電源の限定された能力と、限定された帯域幅とを有するノード、特には、限定された電源能力及び限定された帯域幅を有するノード、例えば、モノのインターネットにおいてノードとして機能してよい携帯電話などのモバイル端末を指す。本発明の実施形態の「制約付きノード」は、或いは、インターネットエンジニアリングタスクフォース(Internet Engineering Task Force、IETF)のRFC 7228において規定される制約付きノード又は制約付きデバイスであってよい。
図1に示されるように、本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法のフローチャートを提供する。図1に示されるように、当該方法は、制約付きノードに適用される。
当該方法は、以下の段階を含む。
S101:認証情報を受信する。
S102:認証情報が初めて受信されたのかどうかを判断する。
認証情報が初めて受信されたということは、送信元クライアントによって宛先リソースサーバに送信された現在の認証情報を、ノードが初めて受信したことを意味する。
S102において、認証情報が初めて受信されたのかどうかを判断する段階は、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する段階、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断する段階を含む。
S103:認証情報が初めて受信されたのではない場合、認証情報を転送する。
認証情報が有効な認証情報であるかどうかを判断する段階は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する段階、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断する段階を含む。
S104:認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送する。
S104において、認証情報が有効な認証情報であるかどうかを判断する段階は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断する段階を含む。
認証情報は、第1のハンドシェイクメッセージ(Client Hello)であってよい。
本発明の本実施形態において、初めて受信された、有効ではない認証情報は、悪質な認証情報とみなされてよい。悪質な認証情報を破棄すれば、制約付きノードのリソースの浪費を回避し得る。
本発明の本実施形態では、クライアントが許可サーバから許可を取得し、許可サーバは、許可トークンを配信しつつ転送トークンを配信する。転送トークンは、転送トークンの時間有効性、クライアントのIPアドレス、リソースサーバのアドレス、及び許可サーバの署名などの情報を保持してよい。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送方法において、認証情報を初めて受信した後、制約付きノードはまず、認証情報が有効な認証情報であるかどうかを判断する。認証情報が有効な認証情報である場合、制約付きノードは有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
実際、本発明の本実施形態の方法は、制約付きノードに適用されてよい。認証情報を送信するクライアントが、異なるドメインから来た場合、本実施形態の方法は、同様にproxy proxyサーバに適用されてよい。この場合、proxyサーバもまた、制約付きノードとみなされてよい。
S104において、有効な認証情報を検証する段階は、
認証情報から、許可サーバによって配信された転送トークンを取得する段階と、
転送トークンが正当なトークンであるかどうかを判断する段階と、
転送トークンが正当なトークンである場合、検証は成功したと判断する段階、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断する段階とを含む。
転送トークンは、forward tokenであってよい。
認証情報において保持された転送トークンは、第1のハンドシェイクメッセージ内のdataフィールドを転送トークンで置き換えてよい。
転送トークンが正当なトークンであるかどうかを判断する段階は、
転送トークンによる、転送トークンの時間有効性を取得する段階と、
転送トークンが有効期間内であるかどうかを判断する段階と、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断する段階と、
ルートが存在するかどうかを判断し、ルートが存在する場合、転送トークンは正当なトークンであると判断する段階とを含む。
検証が成功した後、認証情報を転送する段階は、
各既存ルートにおける転送ノードを取得する段階であって、当該転送ノードは、当該ノードによって転送された有効な認証情報を受信するノードである、段階と、
各転送ノードのインターネットプロトコルIPアドレスを取得し、転送ノードのIPアドレスに従って、認証情報を転送する段階とを含む。
クライアントとリソースサーバとの間には複数のルートがあってよい。全ルートにおいて有効な認証情報を転送することで、1つのルートである場合における、回線障害、回線干渉、比較的長い遅延、又は同様のものを原因とする、時間内に有効な認証情報をリソースサーバに配信することの失敗を回避できる。
転送ノードのIPアドレスに従って、認証情報を転送する段階は、
有効な認証情報の転送トークンを削除する段階と、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送する段階とを含む。
有効な認証情報の転送トークンは削除され、有効な認証情報はセキュリティモードで転送される。従って、認証情報を受信した後、次のノードは、更に検証することなく、認証情報は初めて受信されたのではないと判断してよい。これにより、制約付きノードのリソースが低減され、認証情報がクライアントからリソースサーバに伝わる時間が短縮される。転送トークンが削除された有効な認証情報は、認証情報の全ての後続の情報であって、送信元アドレスから宛先アドレスまでの全ての後続の情報を依然として含む。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送方法において、認証情報を初めて受信した後、制約付きノードは、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報である場合、制約付きノードは、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
図2は、本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送方法のフローチャートを示す。当該方法は、制約付きノードに適用される。図2に示されるように、当該方法は以下の段階を含む。
S201:認証情報を受信する。
S202:認証情報がセキュリティモードで転送されたかどうかを判断する。ここで、認証情報がセキュリティモードで転送された、すなわち、認証情報が初めて受信されたのではない場合、S203が続く、又は、認証情報がセキュリティモードで転送されたのではない、すなわち、認証情報が初めて受信された場合、S204が続く。
S203:認証情報を転送する。
S204:認証情報が転送トークンを含むかどうかを判断し、認証情報が転送トークンを含まない、すなわち、認証情報が有効な認証情報ではない場合、205を実行する、又は、認証情報が転送トークンを含む、すなわち、認証情報が有効な認証情報である場合、S206を実行する。
S205:認証情報を破棄する。
S206:有効な認証情報から、許可サーバによって配信された転送トークンを取得する。
S207:転送トークンによる、転送トークンの時間有効性を取得する。
S208:転送トークンが有効期間内かどうかを判断し、転送トークンが有効期間内ではない場合、S205を実行する、又は、転送トークンが有効期間内である場合、S209を実行する。
S209:ノードとリソースサーバとの間のルートが存在するかどうかを判断し、ルートが存在しない場合、S205を実行する、又は、ルートが存在する場合、S210を実行する。
S210:検証が成功したと判断し、転送トークンを格納し、有効な認証情報の転送トークンを削除する。
S211:転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送する。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送方法において、認証情報を初めて受信した後、制約付きノードは、認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
上述の方法に対応して、本発明の実施形態は更に、モノのインターネットにおける認証情報のための転送装置を提供する。図3は、本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送装置の構造の概略図を示す。図3に示されるように、当該装置は、
認証情報を受信するよう構成される受信ユニット301と、
認証情報が初めて受信されたのかどうかを判断するよう構成される第1の判断ユニット302と、
認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成される転送ユニット303と、
認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される第2の判断ユニット304とを含む。
任意選択で、第1の判断ユニット301は、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
任意選択で、第2の判断ユニット304は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
任意選択で、第2の判断ユニット304は、検証サブユニットを含み、検証サブユニットは、
有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
任意選択で、検証サブユニットは更に、
転送トークンによる、転送トークンの時間有効性を取得し、
転送トークンが有効期間内であるかどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
任意選択で、第2の判断ユニット304は更に、有効認証情報転送サブユニットを含み、有効認証情報転送サブユニットは、
各既存ルートにおける転送ノードであって、当該ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成される。
任意選択で、有効認証情報転送サブユニットは更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送装置があれば、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止され、モノのインターネットの性能が向上される。
図4は、本発明の実施形態に係る、モノのインターネットにおける認証情報のためのフォワーダの概略図を示す。図4に示されるように、フォワーダは、
認証情報を受信するよう構成される受信機401と、
認証情報が初めて受信されたのかどうかを判断するよう構成されるプロセッサ402とを含み、ここで、
当該プロセッサ402は更に、認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成され、
プロセッサ402は更に、認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される。
任意選択で、プロセッサ402は
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
任意選択で、プロセッサ402は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
任意選択で、プロセッサ402は、有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
任意選択で、プロセッサ402は、
転送トークンによる、転送トークンの時間有効性を取得し、
転送トークンが有効期間内であるかどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
任意選択で、プロセッサ402は、
各既存ルートにおける転送ノードであって、当該ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成される。
任意選択で、プロセッサ402は更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のためのフォワーダは、認証情報が初めて受信された後、認証情報が有効な認証情報であるかどうかを判断し、有効な認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、有効ではない認証情報が、帯域幅を占有すること、及び、制約付きノードの電力を消費することが防止され、モノのインターネットの性能が向上される。
本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダを開示する。本発明の実施形態において、認証情報を初めて受信した後、制約付きノードが、認証情報が有効な認証情報であるかどうかを判断し、有効な認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、無効な認証情報、例えば、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
当業者ならば明確に理解し得るように、本発明の実施形態の技術は、ソフトウェアに加えて必要な汎用ハードウェアによって実施され得る。汎用ハードウェアは、汎用集積回路、汎用CPU、汎用メモリ、汎用コンポーネント、および同様のものを含む。言うまでもなく、当該技術は、特定用途向け集積回路、特定用途向けCPU、特定用途向けメモリ、特定用途向けコンポーネント、および同様のものを含む、特定用途向けハードウェアによっても同様に実施され得る。しかしながら、多くの場合、前者の方がより好ましい。そのような理解に基づいて、本発明の技術的解決手段は基本的に、又は、従来技術に貢献する部分は、ソフトウェア製品の形で実施されてよい。ソフトウェア製品は、リードオンリメモリ(ROM、リードオンリメモリ)、ランダムアクセスメモリ(RAM、ランダムアクセスメモリ)、ハードディスク、又は光ディスクなどの記憶媒体に格納され、本発明の実施形態、又は実施形態のいくつかの部分において説明された方法を実行するよう、(パーソナルコンピュータ、サーバ、又はネットワークデバイスであってよい)コンピュータデバイスに命令するための多数の命令を含む。
本明細書の実施形態は、全て漸進的な方式で説明されている。実施形態における同一又は類似の部分については、相互に参照されてよい。各実施形態は、何が他の実施形態とは異なっているかに着目している。特に、システムの実施形態は、基本的に方法の実施形態に類似しており、従って、簡潔に説明されている。関連する情報については、方法の実施形態におけるこれについての説明が参照されてよい。
上述の説明は、本発明の実施方式であり、本発明の保護範囲を限定するよう意図されてはいない。本発明の主旨及び原理から逸脱することなく成された何れの修正、等価な置き換え、及び改善も、本発明の保護範囲内に含まれるものとする。
本願は、「モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダ」と題する、2015年1月4日に中国特許庁に出願された中国特許出願第201510003726.5号に基づく優先権を主張し、その全体が参照によって本明細書において組み込まれる。
本発明は、モノのインターネットの分野に関し、特には、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダに関する。
モノのインターネットは、人々の生活に多大な利便性をもたらす。従来技術において、モノのインターネットによって使用される許可及び認証の方法は共に、基本フレームワークとしてプッシュモデル(push model)を使用する。例えば、クライアントが、モノのインターネットの他方側のRS(Resource Server、リソースサーバ)にリソースを要求する、又は、リソース操作を実行する場合、クライアントはまず要求を取得するリソースをRSに送信する必要があり、RSが、AS(Authorization Serve、許可サーバ)についての情報を返した後、クライアントは、ASに許可を要求する。ASからの許可証明書を取得した後、クライアントは、DTLS(Datagram Transport Layer Security、データグラムトランスポート層セキュリティ)プロトコルを使用することによって、RSに認証を要求する。クライアント上でのRSによる認証が成功した後、クライアントは、RSにリソースを要求してよい、又は、リソース操作を実行してよい。
従来技術において、クライアントは、RSと直接通信することができないことがある。この場合、クライアントによってRSに向けて送信された認証情報は、別のノードによって転送される必要がある。しかしながら、認証要求を転送するノードが制約付きノードであった場合、制約付きノードは限定された数のリソースしか有さないので、特に、帯域幅リソース及び電源リソースが限定されているとき、クライアントとRSとの間の通信の品質が直接影響を受ける。
従来技術において、モノのインターネットにおける制約付きノードを含む全ノードは、認証情報をフィルタリングすることなく無条件に当該情報を転送する。実際の状況において、モノのインターネットにおけるクライアントが、モノのインターネットの他方側のRSに大量の認証情報を悪意を持って送信した場合、クライアントとRSとの間に位置するノードは、大量の悪質な認証メッセージを無条件に転送する必要がある。認証情報を転送するノードが制約付きノードである場合、それが原因で、これらのノードの大量の帯域幅リソースが占有され、電力がすぐに消費されることになりかねない。その結果、モノのインターネットの全体的性能が影響を受け、モノのインターネットがまひさえする。
本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダを提供し、これにより、モノのインターネットにおいて、制約付きノードが認証情報を無条件に転送するために、モノのインターネットの性能が影響を受けるという問題を解決する。
上述の技術的問題を解決すべく、本発明の実施形態は以下の技術的解決手段を開示する。
第1の態様において、モノのインターネットにおける認証情報のための転送方法が提供される。当該方法は、制約付きノードに適用され、
認証情報を受信する段階と、
認証情報が初めて受信されたのかどうかを判断する段階と、
認証情報が初めて受信されたのではない場合、認証情報を転送する段階、又は、
認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断する段階、並びに、認証情報が有効な認証情報ではない場合、認証情報を破棄する段階、若しくは、認証情報が有効な認証情報である場合、有効な認証情報を検証する段階、及び、検証が成功した後、有効な認証情報を転送する段階とを含む。
第1の態様に関連して、第1の態様の第1の可能な実施方式において、認証情報が初めて受信されたのかどうかを判断する段階は、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する段階、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断する段階を含む。
第1の態様に関連して、第1の態様の第2の可能な実施方式において、認証情報が有効な認証情報であるかどうかを判断する段階は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する段階、又は、認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断する段階を含む。
第1の態様に関連して、第1の態様の第3の可能な実施方式において、有効な認証情報を検証する段階は、有効な認証情報から、許可サーバによって配信された転送トークンを取得する段階と、
転送トークンが正当なトークンであるかどうかを判断する段階と、
転送トークンが正当なトークンである場合、検証は成功したと判断する段階、又は
転送トークンが正当なトークンではない場合、検証は失敗したと判断する段階とを含む。
第1の態様の第3の可能な実施方式に関連して、第1の態様の第4の可能な実施方式において、転送トークンが正当なトークンであるかどうかを判断する段階は、
転送トークンによる、転送トークンの時間有効性を取得する段階と、
転送トークンが有効期間内であるかどうかを判断する段階と、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断する段階と、
ルートが存在する場合、転送トークンが正当なトークンであると判断する段階とを含む。
第1の態様の第4の可能な実施方式に関連して、第1の態様の第5の可能な実施方式において、検証が成功した後、有効な認証情報を転送する段階は、
各既存ルートにおける転送ノードを取得する段階であって、転送ノードは、ノードによって転送された有効な認証情報を受信するノードである、段階と、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送する段階とを含む。
第1の態様の第5の可能な実施方式に関連して、第1の態様の第6の可能な実施方式において、転送ノードのIPアドレスに従って、有効な認証情報を転送する段階は、
有効な認証情報の転送トークンを削除する段階と、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送する段階とを含む。
第2の態様において、モノのインターネットにおける認証情報のための転送装置が提供される。当該装置は、
認証情報を受信するよう構成される受信ユニットと、
認証情報が初めて受信されたのかどうかを判断するよう構成される第1の判断ユニットと、
認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成される転送ユニットと、
認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される第2の判断ユニットとを含む。
第2の態様に関連して、第2の態様の第1の可能な実施方式において、第1の判断ユニットは、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
第2の態様に関連して、第2の態様の第2の可能な実施方式において、第2の判断ユニットは、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
第2の態様に関連して、第2の態様の第3の可能な実施方式において、第2の判断ユニットは検証サブユニットを含み、検証サブユニットは、
有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
第2の態様の第3の可能な実施方式に関連して、第2の態様の第4の可能な実施方式において、検証サブユニットは更に、
転送トークンによる転送トークンの時間有効性を取得し、
転送トークンが有効期間内かどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
第2の態様の第4の可能な実施方式に関連して、第2の態様の第5の可能な実施方式において、検証が成功した後、有効な認証情報を転送することは、
第2の判断ユニットが更に、有効認証情報転送サブユニットを含み、有効認証情報転送サブユニットは、
各既存ルートにおける転送ノードであって、当該ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成されることを含む。
第2の態様の第5の可能な実施方式に関連して、第2の態様の第6の可能な実施方式において、有効認証情報転送サブユニットは更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
第3の態様において、モノのインターネットにおける認証情報のためのフォワーダが提供される。当該フォワーダは、
認証情報を受信するよう構成される受信機と、
認証情報が初めて受信されたのかどうかを判断するよう構成されるプロセッサとを含み、
プロセッサは更に、認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成され、
プロセッサは更に、認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される。
第3の態様に関連して、第3の態様の第1の可能な実施方式において、プロセッサは、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
第3の態様に関連して、第3の態様の第2の可能な実施方式において、プロセッサは
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
第3の態様に関連して、第3の態様の第3の可能な実施方式において、プロセッサは、
有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
第3の態様の第3の可能な実施方式に関連して、第3の態様の第4の可能な実施方式において、プロセッサは、
転送トークンによる、転送トークンの時間有効性を取得し、
転送トークンが有効期間内であるかどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
第3の態様の第4の可能な実施方式に関連して、第3の態様の第5の可能な実施方式において、プロセッサは、
各既存ルートにおける転送ノードであって、ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成される。
第3の態様の第5の可能な実施方式に関連して、第3の態様の第6の可能な実施方式において、プロセッサは更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法を開示する。当該方法において、初めて認証情報を受信した後、制約付きノードは、認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
本発明の実施形態における、又は従来技術における技術的解決手段をより明確に説明すべく、実施形態を説明するために必要な添付図面を以下で簡潔に説明する。明らかに、以下の説明における添付図面は、本発明の一部の実施形態を示しているに過ぎず、当業者は、創造努力なくこれらの添付図面から他の図面を更に導き出し得る。
本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送方法のフローチャートを示す。
本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送方法のフローチャートを示す。
本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送装置の概略図を示す。
本発明の実施形態に係る、モノのインターネットにおける認証情報のためのフォワーダの概略図を示す。
本発明の以下の実施形態は、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダを提供し、これにより、モノのインターネットの性能が向上される。
以下で、本発明の実施形態における添付図面を参照して、本発明の実施形態における技術的解決手段を明確かつ十分に説明する。明らかに、説明される実施形態は、本発明の実施形態の全部ではなく一部に過ぎない。創造努力なく本発明の実施形態に基づいて当業者によって取得された全ての他の実施形態は、本発明の保護範囲内に含まれるものとする。
本発明の実施形態では、制約付きノードは、計算、記憶、及び電源の限定された能力と、限定された帯域幅とを有するノード、特には、限定された電源能力及び限定された帯域幅を有するノード、例えば、モノのインターネットにおいてノードとして機能してよい携帯電話などのモバイル端末を指す。本発明の実施形態の「制約付きノード」は、或いは、インターネットエンジニアリングタスクフォース(Internet Engineering Task Force、IETF)のRFC 7228において規定される制約付きノード又は制約付きデバイスであってよい。
図1に示されるように、本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法のフローチャートを提供する。図1に示されるように、当該方法は、制約付きノードに適用される。
当該方法は、以下の段階を含む。
S101:認証情報を受信する。
S102:認証情報が初めて受信されたのかどうかを判断する。
認証情報が初めて受信されたということは、送信元クライアントによって宛先リソースサーバに送信された現在の認証情報を、ノードが初めて受信したことを意味する。
S102において、認証情報が初めて受信されたのかどうかを判断する段階は、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する段階、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断する段階を含む。
S103:認証情報が初めて受信されたのではない場合、認証情報を転送する。
認証情報が有効な認証情報であるかどうかを判断する段階は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する段階、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断する段階を含む。
S104:認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送する。
S104において、認証情報が有効な認証情報であるかどうかを判断する段階は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断する段階を含む。
認証情報は、第1のハンドシェイクメッセージ(Client Hello)であってよい。
本発明の本実施形態において、初めて受信された、有効ではない認証情報は、悪質な認証情報とみなされてよい。悪質な認証情報を破棄すれば、制約付きノードのリソースの浪費を回避し得る。
本発明の本実施形態では、クライアントが許可サーバから許可を取得し、許可サーバは、許可トークンを配信しつつ転送トークンを配信する。転送トークンは、転送トークンの時間有効性、クライアントのIPアドレス、リソースサーバのアドレス、及び許可サーバの署名などの情報を保持してよい。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送方法において、認証情報を初めて受信した後、制約付きノードはまず、認証情報が有効な認証情報であるかどうかを判断する。認証情報が有効な認証情報である場合、制約付きノードは有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
実際、本発明の本実施形態の方法は、制約付きノードに適用されてよい。認証情報を送信するクライアントが、異なるドメインから来た場合、本実施形態の方法は、同様にproxyーバに適用されてよい。この場合、proxyサーバもまた、制約付きノードとみなされてよい。
S104において、有効な認証情報を検証する段階は、
認証情報から、許可サーバによって配信された転送トークンを取得する段階と、
転送トークンが正当なトークンであるかどうかを判断する段階と、
転送トークンが正当なトークンである場合、検証は成功したと判断する段階、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断する段階とを含む。
認証情報において保持された転送トークンは、第1のハンドシェイクメッセージ内のdataフィールドを転送トークンで置き換えてよい。
転送トークンが正当なトークンであるかどうかを判断する段階は、
転送トークンによる、転送トークンの時間有効性を取得する段階と、
転送トークンが有効期間内であるかどうかを判断する段階と、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断する段階と、
ートが存在する場合、転送トークンは正当なトークンであると判断する段階とを含む。
検証が成功した後、認証情報を転送する段階は、
各既存ルートにおける転送ノードを取得する段階であって、当該転送ノードは、当該ノードによって転送された有効な認証情報を受信するノードである、段階と、
各転送ノードのインターネットプロトコルIPアドレスを取得し、転送ノードのIPアドレスに従って、認証情報を転送する段階とを含む。
クライアントとリソースサーバとの間には複数のルートがあってよい。全ルートにおいて有効な認証情報を転送することで、1つのルートである場合における、回線障害、回線干渉、比較的長い遅延、又は同様のものを原因とする、時間内に有効な認証情報をリソースサーバに配信することの失敗を回避できる。
転送ノードのIPアドレスに従って、認証情報を転送する段階は、
有効な認証情報の転送トークンを削除する段階と、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送する段階とを含む。
有効な認証情報の転送トークンは削除され、有効な認証情報はセキュリティモードで転送される。従って、認証情報を受信した後、次のノードは、更に検証することなく、認証情報は初めて受信されたのではないと判断してよい。これにより、制約付きノードのリソースが低減され、認証情報がクライアントからリソースサーバに伝わる時間が短縮される。転送トークンが削除された有効な認証情報は、認証情報の全ての後続の情報であって、送信元アドレスから宛先アドレスまでの全ての後続の情報を依然として含む。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送方法において、認証情報を初めて受信した後、制約付きノードは、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報である場合、制約付きノードは、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
図2は、本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送方法のフローチャートを示す。当該方法は、制約付きノードに適用される。図2に示されるように、当該方法は以下の段階を含む。
S201:認証情報を受信する。
S202:認証情報がセキュリティモードで転送されたかどうかを判断する。ここで、認証情報がセキュリティモードで転送された、すなわち、認証情報が初めて受信されたのではない場合、S203が続く、又は、認証情報がセキュリティモードで転送されたのではない、すなわち、認証情報が初めて受信された場合、S204が続く。
S203:認証情報を転送する。
S204:認証情報が転送トークンを含むかどうかを判断し、認証情報が転送トークンを含まない、すなわち、認証情報が有効な認証情報ではない場合、205を実行する、又は、認証情報が転送トークンを含む、すなわち、認証情報が有効な認証情報である場合、S206を実行する。
S205:認証情報を破棄する。
S206:有効な認証情報から、許可サーバによって配信された転送トークンを取得する。
S207:転送トークンによる、転送トークンの時間有効性を取得する。
S208:転送トークンが有効期間内かどうかを判断し、転送トークンが有効期間内ではない場合、S205を実行する、又は、転送トークンが有効期間内である場合、S209を実行する。
S209:ノードとリソースサーバとの間のルートが存在するかどうかを判断し、ルートが存在しない場合、S205を実行する、又は、ルートが存在する場合、S210を実行する。
S210:検証が成功したと判断し、転送トークンを格納し、有効な認証情報の転送トークンを削除する。
S211:転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送する。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送方法において、認証情報を初めて受信した後、制約付きノードは、認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
上述の方法に対応して、本発明の実施形態は更に、モノのインターネットにおける認証情報のための転送装置を提供する。図3は、本発明の実施形態に係る、モノのインターネットにおける認証情報のための転送装置の構造の概略図を示す。図3に示されるように、当該装置は、
認証情報を受信するよう構成される受信ユニット301と、
認証情報が初めて受信されたのかどうかを判断するよう構成される第1の判断ユニット302と、
認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成される転送ユニット303と、
認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される第2の判断ユニット304とを含む。
任意選択で、第1の判断ユニット302は、
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
任意選択で、第2の判断ユニット304は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
任意選択で、第2の判断ユニット304は、検証サブユニットを含み、検証サブユニットは、
有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
任意選択で、検証サブユニットは更に、
転送トークンによる、転送トークンの時間有効性を取得し、
転送トークンが有効期間内であるかどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
任意選択で、第2の判断ユニット304は更に、有効認証情報転送サブユニットを含み、有効認証情報転送サブユニットは、
各既存ルートにおける転送ノードであって、当該ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成される。
任意選択で、有効認証情報転送サブユニットは更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のための転送装置があれば、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止され、モノのインターネットの性能が向上される。
図4は、本発明の実施形態に係る、モノのインターネットにおける認証情報のためのフォワーダの概略図を示す。図4に示されるように、フォワーダは、
認証情報を受信するよう構成される受信機401と、
認証情報が初めて受信されたのかどうかを判断するよう構成されるプロセッサ402とを含み、ここで、
当該プロセッサ402は更に、認証情報が初めて受信されたのではない場合、認証情報を転送するよう構成され、
プロセッサ402は更に、認証情報が初めて受信された場合、認証情報が有効な認証情報であるかどうかを判断し、認証情報が有効な認証情報ではない場合、認証情報を破棄する、又は、認証情報が有効な認証情報である場合、有効な認証情報を検証し、検証が成功した後、有効な認証情報を転送するよう構成される。
任意選択で、プロセッサ402は
認証情報がセキュリティモードで転送された場合、認証情報が初めて受信されたのではないと判断する、又は、
認証情報がセキュリティモードで転送されたのではない場合、認証情報が初めて受信されたと判断するよう構成される。
任意選択で、プロセッサ402は、
認証情報が転送トークンを含む場合、認証情報は有効な認証情報であると判断する、又は、
認証情報が転送トークンを含まない場合、認証情報は有効な認証情報ではないと判断するよう構成される。
任意選択で、プロセッサ402は、有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
転送トークンが正当なトークンであるかどうかを判断し、
転送トークンが正当なトークンである場合、検証は成功したと判断する、又は、
転送トークンが正当なトークンではない場合、検証は失敗したと判断するよう構成される。
任意選択で、プロセッサ402は、
転送トークンによる、転送トークンの時間有効性を取得し、
転送トークンが有効期間内であるかどうかを判断し、
転送トークンが有効期間内である場合、ノードとリソースサーバとの間のルートが存在するかどうかを判断し、
ルートが存在する場合、転送トークンは正当なトークンであると判断するよう構成される。
任意選択で、プロセッサ402は、
各既存ルートにおける転送ノードであって、当該ノードによって転送された有効な認証情報を受信するノードである、転送ノードを取得し、
各転送ノードのIPアドレスを取得し、転送ノードのIPアドレスに従って、有効な認証情報を転送するよう構成される。
任意選択で、プロセッサ402は更に、
有効な認証情報の転送トークンを削除し、
転送ノードのIPアドレスに従い、かつセキュリティモードで、転送トークンが削除された有効な認証情報を転送するよう構成される。
本発明の本実施形態に係る、モノのインターネットにおける認証情報のためのフォワーダは、認証情報が初めて受信された後、認証情報が有効な認証情報であるかどうかを判断し、有効な認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、有効ではない認証情報が、帯域幅を占有すること、及び、制約付きノードの電力を消費することが防止され、モノのインターネットの性能が向上される。
本発明の実施形態は、モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダを開示する。本発明の実施形態において、認証情報を初めて受信した後、制約付きノードが、認証情報が有効な認証情報であるかどうかを判断し、有効な認証情報を検証し、検証が成功した後、認証情報を転送する。これにより、無効な認証情報、例えば、大量の悪質な認証情報が、帯域幅を占有すること、及び、認証情報を転送する制約付きノードの電力を消費することが防止される。別の場合において、認証情報が初めて受信されたのではない場合、制約付きノードは認証情報をそのまま転送し、これにより、システムリソースの浪費が回避され、モノのインターネットの性能が向上される。
当業者ならば明確に理解し得るように、本発明の実施形態の技術は、ソフトウェアに加えて必要な汎用ハードウェアによって実施され得る。汎用ハードウェアは、汎用集積回路、汎用CPU、汎用メモリ、汎用コンポーネント、および同様のものを含む。言うまでもなく、当該技術は、特定用途向け集積回路、特定用途向けCPU、特定用途向けメモリ、特定用途向けコンポーネント、および同様のものを含む、特定用途向けハードウェアによっても同様に実施され得る。しかしながら、多くの場合、前者の方がより好ましい。そのような理解に基づいて、本発明の技術的解決手段は基本的に、又は、従来技術に貢献する部分は、ソフトウェア製品の形で実施されてよい。ソフトウェア製品は、リードオンリメモリ(ROM、リードオンリメモリ)、ランダムアクセスメモリ(RAM、ランダムアクセスメモリ)、ハードディスク、又は光ディスクなどの記憶媒体に格納され、本発明の実施形態、又は実施形態のいくつかの部分において説明された方法を実行するよう、(パーソナルコンピュータ、サーバ、又はネットワークデバイスであってよい)コンピュータデバイスに命令するための多数の命令を含む。
本明細書の実施形態は、全て漸進的な方式で説明されている。実施形態における同一又は類似の部分については、相互に参照されてよい。各実施形態は、何が他の実施形態とは異なっているかに着目している。特に、システムの実施形態は、基本的に方法の実施形態に類似しており、従って、簡潔に説明されている。関連する情報については、方法の実施形態におけるこれについての説明が参照されてよい。
上述の説明は、本発明の実施方式であり、本発明の保護範囲を限定するよう意図されてはいない。本発明の主旨及び原理から逸脱することなく成された何れの修正、等価な置き換え、及び改善も、本発明の保護範囲内に含まれるものとする。

Claims (21)

  1. モノのインターネットにおける認証情報のための転送方法であって、制約付きノードに適用され、
    認証情報を受信する段階と、
    前記認証情報が初めて受信されたのかどうかを判断する段階と、
    前記認証情報が初めて受信されたのではない場合、前記認証情報を転送する段階、又は、
    前記認証情報が初めて受信された場合、前記認証情報が有効な認証情報であるかどうかを判断する段階、並びに、前記認証情報が有効な認証情報ではない場合、前記認証情報を破棄する段階、若しくは、前記認証情報が有効な認証情報である場合、前記有効な認証情報を検証する段階、及び、前記検証が成功した後、前記有効な認証情報を転送する段階とを備える、方法。
  2. 前記認証情報が初めて受信されたのかどうかを判断する前記段階は、
    前記認証情報がセキュリティモードで転送された場合、前記認証情報が初めて受信されたのではないと判断する段階、又は、
    前記認証情報がセキュリティモードで転送されたのではない場合、前記認証情報が初めて受信されたと判断する段階を有する、請求項1に記載の方法。
  3. 前記認証情報が有効な認証情報であるかどうかを判断する前記段階は、前記認証情報が転送トークンを含む場合、前記認証情報は有効な認証情報であると判断する段階、又は、
    前記認証情報が転送トークンを含まない場合、前記認証情報は有効な認証情報ではないと判断する段階を有する、請求項1に記載の方法。
  4. 前記有効な認証情報を検証する前記段階は、
    前記有効な認証情報から、許可サーバによって配信された転送トークンを取得する段階と、
    前記転送トークンが正当なトークンであるかどうかを判断する段階と、
    前記転送トークンが正当なトークンである場合、前記検証は成功したと判断する段階、又は、
    前記転送トークンが正当なトークンではない場合、前記検証は失敗したと判断する段階とを有する、請求項1に記載の方法。
  5. 前記転送トークンが正当なトークンであるかどうかを判断する前記段階は、
    前記転送トークンによる、前記転送トークンの時間有効性を取得する段階と、
    前記転送トークンが有効期間内であるかどうかを判断する段階と、
    前記転送トークンが前記有効期間内である場合、前記ノードと前記リソースサーバとの間のルートが存在するかどうかを判断する段階と、
    前記ルートが存在する場合、前記転送トークンは正当なトークンであると判断する段階とを含む、請求項4に記載の方法。
  6. 前記検証が成功した後、前記有効な認証情報を転送する前記段階は、
    各既存ルートにおける転送ノードを取得する段階であって、前記転送ノードは、前記ノードによって転送された前記有効な認証情報を受信するノードである、段階と、
    各転送ノードのIPアドレスを取得し、前記転送ノードの前記IPアドレスに従って、前記有効な認証情報を転送する段階とを有する、請求項5に記載の方法。
  7. 前記転送ノードの前記IPアドレスに従って、前記有効な認証情報を転送する前記段階は、
    前記有効な認証情報の前記転送トークンを削除する段階と、
    前記転送ノードの前記IPアドレスに従い、かつセキュリティモードで、前記転送トークンが削除された前記有効な認証情報を転送する段階とを含む、請求項6に記載の方法。
  8. モノのインターネットにおける認証情報のための転送装置であって、
    認証情報を受信するよう構成される受信ユニットと、
    前記認証情報が初めて受信されたのかどうかを判断するよう構成される第1の判断ユニットと、
    前記認証情報が初めて受信されたのではない場合、前記認証情報を転送するよう構成される転送ユニットと、
    前記認証情報が初めて受信された場合、前記認証情報が有効な認証情報であるかどうかを判断し、前記認証情報が有効な認証情報ではない場合、前記認証情報を破棄する、又は、前記認証情報が有効な認証情報である場合、前記有効な認証情報を検証し、前記検証が成功した後、前記有効な認証情報を転送するよう構成される第2の判断ユニットとを備える装置。
  9. 前記第1の判断ユニットは、
    前記認証情報がセキュリティモードで転送された場合、前記認証情報が初めて受信されたのではないと判断する、又は、
    前記認証情報がセキュリティモードで転送されたのではない場合、前記認証情報が初めて受信されたと判断するよう構成される、請求項8に記載の装置。
  10. 前記第2の判断ユニットは、
    前記認証情報が、転送トークンを含む場合、前記認証情報は有効な認証情報であると判断する、又は、
    前記認証情報が、転送トークンを含まない場合、前記認証情報は有効な認証情報ではないと判断するよう構成される、請求項8に記載の装置。
  11. 前記第2の判断ユニットは、検証サブユニットを含み、前記検証サブユニットは、
    前記有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
    前記転送トークンは正当なトークンであるかどうかを判断し、
    前記転送トークンが正当なトークンである場合、前記検証は成功したと判断する、又は、
    前記転送トークンが正当なトークンではない場合、前記検証は失敗したと判断するよう構成される、請求項8に記載の装置。
  12. 前記検証サブユニットは更に、
    前記転送トークンによる、前記転送トークンの時間有効性を取得し、
    前記転送トークンが有効期間内であるかどうかを判断し、
    前記転送トークンが前記有効期間内である場合、前記ノードと前記リソースサーバとの間のルートが存在するかどうかを判断し、
    前記ルートが存在する場合、前記転送トークンは正当なトークンであると判断するよう構成される、請求項11に記載の装置。
  13. 前記第2の判断ユニットは更に、有効認証情報転送サブユニットを含み、前記有効認証情報転送サブユニットは、
    各既存ルートにおける転送ノードであって、前記ノードによって転送された前記有効な認証情報を受信するノードである、転送ノードを取得し、
    各転送ノードのIPアドレスを取得し、前記転送ノードの前記IPアドレスに従って、前記有効な認証情報を転送するよう構成される、請求項12に記載の装置。
  14. 前記有効認証情報転送サブユニットは更に、
    前記有効な認証情報の前記転送トークンを削除し、
    前記転送ノードの前記IPアドレスに従い、かつセキュリティモードで、前記転送トークンが削除された前記有効な認証情報を転送するよう構成される、請求項13に記載の装置。
  15. モノのインターネットにおける認証情報のためのフォワーダであって、
    認証情報を受信するよう構成される受信機と、
    前記認証情報が初めて受信されたのかどうかを判断するよう構成されるプロセッサとを備え、
    前記プロセッサは更に、前記認証情報が初めて受信されたのではない場合、前記認証情報を転送するよう構成され、
    前記プロセッサは更に、前記認証情報が初めて受信された場合、前記認証情報が有効な認証情報であるかどうかを判断し、前記認証情報が有効な認証情報ではない場合、前記認証情報を破棄する、又は、前記認証情報が有効な認証情報である場合、前記有効な認証情報を検証し、前記検証が成功した後、前記有効な認証情報を転送するよう構成されるフォワーダ。
  16. 前記プロセッサは、
    前記認証情報がセキュリティモードで転送された場合、前記認証情報が初めて受信されたのではないと判断する、又は、
    前記認証情報がセキュリティモードで転送されたのではない場合、前記認証情報が初めて受信されたと判断するよう構成される、請求項15に記載のフォワーダ。
  17. 前記プロセッサは、
    前記認証情報が転送トークンを含む場合、前記認証情報は有効な認証情報であると判断する、又は、
    前記認証情報が転送トークンを含まない場合、前記認証情報は有効な認証情報ではないと判断するよう構成される、請求項15に記載のフォワーダ。
  18. 前記プロセッサは、
    前記有効な認証情報から、許可サーバによって配信された転送トークンを取得し、
    前記転送トークンが正当なトークンであるかどうかを判断し、
    前記転送トークンが正当なトークンである場合、前記検証は成功したと判断する、又は、
    前記転送トークンが正当なトークンではない場合、前記検証は失敗したと判断するよう構成される、請求項15に記載のフォワーダ。
  19. 前記プロセッサは、
    前記転送トークンによる、前記転送トークンの時間有効性を取得し、
    前記転送トークンが有効期間内であるかどうかを判断し、
    前記転送トークンが前記有効期間内である場合、前記ノードと前記リソースサーバとの間のルートが存在するかどうかを判断し、
    前記ルートが存在する場合、前記転送トークンは正当なトークンであると判断するよう構成される、請求項18に記載のフォワーダ。
  20. 前記プロセッサは、
    各既存ルートにおける転送ノードであって、前記ノードによって転送された前記有効な認証情報を受信するノードである、転送ノードを取得し、
    各転送ノードのIPアドレスを取得し、前記転送ノードの前記IPアドレスに従って、前記有効な認証情報を転送するよう構成される、請求項19に記載のフォワーダ。
  21. 前記プロセッサは更に、
    前記有効な認証情報の前記転送トークンを削除し、
    前記転送ノードの前記IPアドレスに従い、かつセキュリティモードで、前記転送トークンが削除された前記有効な認証情報を転送するよう構成される、請求項20に記載のフォワーダ。
JP2017535650A 2015-01-04 2015-12-03 モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダ Active JP6403176B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510003726.5A CN104580207B (zh) 2015-01-04 2015-01-04 物联网中的认证信息的转发方法、装置以及转发器
CN201510003726.5 2015-01-04
PCT/CN2015/096300 WO2016107367A1 (zh) 2015-01-04 2015-12-03 物联网中的认证信息的转发方法、装置以及转发器

Publications (2)

Publication Number Publication Date
JP2018503909A true JP2018503909A (ja) 2018-02-08
JP6403176B2 JP6403176B2 (ja) 2018-10-10

Family

ID=53095388

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017535650A Active JP6403176B2 (ja) 2015-01-04 2015-12-03 モノのインターネットにおける認証情報のための転送方法、転送装置、及びフォワーダ

Country Status (5)

Country Link
US (2) US10880297B2 (ja)
EP (2) EP3771175B1 (ja)
JP (1) JP6403176B2 (ja)
CN (1) CN104580207B (ja)
WO (1) WO2016107367A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580207B (zh) * 2015-01-04 2019-03-19 华为技术有限公司 物联网中的认证信息的转发方法、装置以及转发器

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004172865A (ja) * 2002-11-19 2004-06-17 Casio Comput Co Ltd 電子機器及び認証システム
JP2005301876A (ja) * 2004-04-15 2005-10-27 Matsushita Electric Ind Co Ltd 通信装置及び通信システム
JP2006178976A (ja) * 2004-12-16 2006-07-06 Samsung Electronics Co Ltd ホームネットワークにおけるデバイス及びユーザ認証システム並びに方法
JP2007149010A (ja) * 2005-11-30 2007-06-14 Nec Corp 権限管理サーバ、権限管理システム、トークン検証方法、トークン検証プログラム
JP2007293719A (ja) * 2006-04-26 2007-11-08 Funai Electric Co Ltd デジタルメディアサーバ及びホームネットワーク対応機器
JP2011100411A (ja) * 2009-11-09 2011-05-19 Nec Corp 認証代行サーバ装置、認証代行方法及びプログラム
JP2011221706A (ja) * 2010-04-07 2011-11-04 Sharp Corp 操作装置、データ処理装置、転送装置、操作システム、操作装置の制御方法、データ処理装置の制御方法、転送装置の制御方法、制御プログラム、およびコンピュータ読み取り可能な記録媒体
JP2012242990A (ja) * 2011-05-18 2012-12-10 Hitachi Ltd ゲートウェイとそのアクセス制御方法
JP2014511579A (ja) * 2011-01-05 2014-05-15 ネクスステップ, インコーポレイテッド 消費者向け電子装置を登録し、制御し、及びサポートするコンシェルジュデバイス及び方法
JP2014164751A (ja) * 2013-02-25 2014-09-08 Sung Jung Kim デジタルコンテンツをオフラインに流通させるためのカード,方法及びサーバ
JPWO2013168461A1 (ja) * 2012-05-10 2016-01-07 三菱電機株式会社 アプリケーションプログラム実行装置

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5598459A (en) 1995-06-29 1997-01-28 Ericsson Inc. Authentication and handover methods and systems for radio personal communications
US20060059346A1 (en) * 2004-09-14 2006-03-16 Andrew Sherman Authentication with expiring binding digital certificates
EP1650923B1 (en) * 2004-10-22 2011-05-18 Software AG Authentication method and devices
US7721091B2 (en) * 2006-05-12 2010-05-18 International Business Machines Corporation Method for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
CN101110762A (zh) * 2007-08-22 2008-01-23 华中科技大学 一种Ad hoc网络安全路由方法
CN101378315B (zh) * 2007-08-27 2011-09-14 华为技术有限公司 认证报文的方法、系统、设备和服务器
US8640202B2 (en) * 2007-10-04 2014-01-28 International Business Machines Corporation Synchronizing user sessions in a session environment having multiple web services
CN101252438A (zh) * 2008-01-10 2008-08-27 任少华 基于可移动式ic的第三方身份认证系统
US20100299212A1 (en) * 2008-08-27 2010-11-25 Roam Data Inc System and method for a commerce window application for computing devices
CN101997681B (zh) * 2009-08-14 2012-08-22 中国移动通信集团公司 一种多节点路径的认证方法、系统及相关节点设备
CN102143489A (zh) * 2010-02-01 2011-08-03 华为技术有限公司 中继节点的认证方法、装置及系统
US8695076B2 (en) * 2010-03-19 2014-04-08 Oracle International Corporation Remote registration for enterprise applications
CN101902462B (zh) * 2010-04-22 2013-03-13 国家无线电监测中心检测中心 一种低开销的传感器网络访问控制方法及系统
CN102480490B (zh) * 2010-11-30 2014-09-24 国际商业机器公司 一种用于防止csrf攻击的方法和设备
US9119067B2 (en) * 2011-06-03 2015-08-25 Apple Inc. Embodiments of a system and method for securely managing multiple user handles across multiple data processing devices
EP2842296A2 (en) * 2012-04-27 2015-03-04 Interdigital Patent Holdings, Inc. Method and apparatuses for supporting proximity discovery procedures
JP6006533B2 (ja) * 2012-05-25 2016-10-12 キヤノン株式会社 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法
CN103580863B (zh) * 2012-08-01 2017-09-08 中国移动通信集团公司 通信安全控制方法、装置及物联网节点
US10536850B2 (en) * 2013-07-18 2020-01-14 Fortinet, Inc. Remote wireless adapter
US20150139211A1 (en) * 2013-11-19 2015-05-21 Huawei Technologies Co., Ltd. Method, Apparatus, and System for Detecting Rogue Wireless Access Point
CN103684790B (zh) * 2013-12-17 2017-08-11 北京邮电大学 基于历史数据的验证方法和系统
US9451462B2 (en) * 2014-08-10 2016-09-20 Belkin International Inc. Setup of multiple IoT network devices
CN103905203A (zh) * 2014-04-02 2014-07-02 北京中交兴路车联网科技有限公司 一种单点认证方法及装置
US9426118B2 (en) * 2014-10-28 2016-08-23 Belkin International Inc. Remote grant of network access
US9450757B2 (en) * 2014-05-07 2016-09-20 Oxcept Limited Method and device for communication security
WO2015174903A1 (en) * 2014-05-16 2015-11-19 Telefonaktiebolaget L M Ericsson (Publ) Device authentication to capillary gateway
US10484187B2 (en) * 2014-05-20 2019-11-19 Nokia Technologies Oy Cellular network authentication
US9350548B2 (en) * 2014-05-30 2016-05-24 Tokenym, LLC Two factor authentication using a protected pin-like passcode
WO2016050285A1 (en) * 2014-09-30 2016-04-07 Telefonaktiebolaget L M Ericsson (Publ) Technique for handling data in a data network
CN104580207B (zh) * 2015-01-04 2019-03-19 华为技术有限公司 物联网中的认证信息的转发方法、装置以及转发器

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004172865A (ja) * 2002-11-19 2004-06-17 Casio Comput Co Ltd 電子機器及び認証システム
JP2005301876A (ja) * 2004-04-15 2005-10-27 Matsushita Electric Ind Co Ltd 通信装置及び通信システム
JP2006178976A (ja) * 2004-12-16 2006-07-06 Samsung Electronics Co Ltd ホームネットワークにおけるデバイス及びユーザ認証システム並びに方法
JP2007149010A (ja) * 2005-11-30 2007-06-14 Nec Corp 権限管理サーバ、権限管理システム、トークン検証方法、トークン検証プログラム
JP2007293719A (ja) * 2006-04-26 2007-11-08 Funai Electric Co Ltd デジタルメディアサーバ及びホームネットワーク対応機器
JP2011100411A (ja) * 2009-11-09 2011-05-19 Nec Corp 認証代行サーバ装置、認証代行方法及びプログラム
JP2011221706A (ja) * 2010-04-07 2011-11-04 Sharp Corp 操作装置、データ処理装置、転送装置、操作システム、操作装置の制御方法、データ処理装置の制御方法、転送装置の制御方法、制御プログラム、およびコンピュータ読み取り可能な記録媒体
JP2014511579A (ja) * 2011-01-05 2014-05-15 ネクスステップ, インコーポレイテッド 消費者向け電子装置を登録し、制御し、及びサポートするコンシェルジュデバイス及び方法
JP2012242990A (ja) * 2011-05-18 2012-12-10 Hitachi Ltd ゲートウェイとそのアクセス制御方法
JPWO2013168461A1 (ja) * 2012-05-10 2016-01-07 三菱電機株式会社 アプリケーションプログラム実行装置
JP2014164751A (ja) * 2013-02-25 2014-09-08 Sung Jung Kim デジタルコンテンツをオフラインに流通させるためのカード,方法及びサーバ

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
渋谷 彰: "新しいサービス創出に向けたポータブルSIMの開発", NTT DOCOMOテクニカル・ジャーナル, vol. 22, no. 4, JPN6016027328, 1 January 2015 (2015-01-01), pages 21 - 28, ISSN: 0003802878 *

Also Published As

Publication number Publication date
US20170302660A1 (en) 2017-10-19
EP3232635A1 (en) 2017-10-18
EP3771175A1 (en) 2021-01-27
CN104580207B (zh) 2019-03-19
US10880297B2 (en) 2020-12-29
EP3232635B1 (en) 2020-07-15
EP3232635A4 (en) 2018-01-17
US20210006556A1 (en) 2021-01-07
EP3771175B1 (en) 2022-02-23
JP6403176B2 (ja) 2018-10-10
CN104580207A (zh) 2015-04-29
WO2016107367A1 (zh) 2016-07-07

Similar Documents

Publication Publication Date Title
US11863448B2 (en) Method and apparatus for traffic optimization in virtual private networks (VPNs)
CN107810627B (zh) 用于建立媒体会话的方法和装置
JP5969689B2 (ja) リアルタイム通信のための冗長性
US7921282B1 (en) Using SYN-ACK cookies within a TCP/IP protocol
JP6858749B2 (ja) 負荷平衡システムにおいて接続を確立するデバイス及び方法
US20240163350A1 (en) Virtual Private Network (VPN) Whose Traffic Is Intelligently Routed
US20120136945A1 (en) Terminal and intermediate node in content oriented networking environment and communication method of terminal and intermediate node
TW201644238A (zh) 用於服務-使用者平面方法的使用網路符記的高效策略實施
JP2016509457A (ja) 情報中心のネットワークにおけるトラストアンカーを用いたプロトコルのルーティングに基づく名前/プレフィックスの増加
US9246906B1 (en) Methods for providing secure access to network resources and devices thereof
US20120240184A1 (en) System and method for on the fly protocol conversion in obtaining policy enforcement information
WO2017067160A1 (zh) 基于mptcp的主流连接建立方法及装置
US11159420B2 (en) Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network
US11895149B2 (en) Selective traffic processing in a distributed cloud computing network
JP5790391B2 (ja) 遠隔ダウンロードを行う方法、システム及び持続性コンピュータ可読記憶媒体
WO2014127615A1 (zh) 一种实现手机客户端即时通信的方法及装置
US20210006556A1 (en) Forwarding Method, Forwarding Apparatus, and Forwarder for Authentication Information in Internet of Things
JP5726302B2 (ja) トポロジサーバを用いた、通信アーキテクチャにわたって分散されたノードのネットワークに対する秘密または保護されたアクセス
WO2011100876A1 (zh) 一种实现网络侧去附着过程的方法及系统
US20150079931A1 (en) Communications method, device and system in mobile backhaul transport network

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180731

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180814

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180905

R150 Certificate of patent or registration of utility model

Ref document number: 6403176

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250