JP2023514959A - セキュリティ情報の発見方法、セキュリティ情報の配置方法及び機器 - Google Patents
セキュリティ情報の発見方法、セキュリティ情報の配置方法及び機器 Download PDFInfo
- Publication number
- JP2023514959A JP2023514959A JP2022543396A JP2022543396A JP2023514959A JP 2023514959 A JP2023514959 A JP 2023514959A JP 2022543396 A JP2022543396 A JP 2022543396A JP 2022543396 A JP2022543396 A JP 2022543396A JP 2023514959 A JP2023514959 A JP 2023514959A
- Authority
- JP
- Japan
- Prior art keywords
- security domain
- information
- security
- devices
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 110
- 238000004590 computer program Methods 0.000 claims abstract description 37
- 238000004891 communication Methods 0.000 claims description 52
- 238000012545 processing Methods 0.000 claims description 27
- 238000013468 resource allocation Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 7
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000013475 authorization Methods 0.000 description 4
- 206010012586 Device interaction Diseases 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/24—Connectivity information management, e.g. connectivity discovery or connectivity update
- H04W40/246—Connectivity information discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Power Engineering (AREA)
- Alarm Systems (AREA)
Abstract
本発明は、セキュリティ情報の発見方法、セキュリティ情報の配置方法、機器、チップ、コンピュータ可読記憶媒体、コンピュータプログラム製品及びコンピュータプログラムを提供し、前記セキュリティ情報の発見方法は、第1機器が、ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信することであって、Mは、1以上の整数であり、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれることと、前記第1機器が、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信することであって、Nは、1以上M以下の整数であることと、前記第1機器が、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得して、前記L個のセキュリティドメイン情報を表示することであって、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれることと、を含む。
Description
(関連出願への相互参照)
本発明は、情報処理の技術分野に関し、特に、セキュリティ情報の発見方法、セキュリティ情報の配置方法、機器、チップ、コンピュータ可読記憶媒体、コンピュータプログラム製品及びコンピュータプログラムに関する。
本発明は、情報処理の技術分野に関し、特に、セキュリティ情報の発見方法、セキュリティ情報の配置方法、機器、チップ、コンピュータ可読記憶媒体、コンピュータプログラム製品及びコンピュータプログラムに関する。
関連技術では、ユーザの機器がホームネットワークに入って接続した後、ネットワーク内の主制御機器及び他の機器(ホームネットワーク内の被制御機器又はIOT(モノのインターネット:Internet of Things)機器など)を発見することができる。さらに、ユーザの機器は、2つの機器のセキュリティドメインの関連情報を比較することによって、他の機器が主制御機器によって配置されるものであると判断し、ユーザの機器は、ホームネットワークに入るための配置を主制御機器に要求する。このように、新規加入の機器がネットワークのセキュリティドメインを発見しようとする場合、何回の機器とのやり取りが必要であり、同じネットワーク内に複数のセキュリティドメインがある場合、セキュリティドメインを区別することは困難であり、新しい機器のホームネットワークへの加入効率に影響する。
上記の技術的問題を解決するために、本発明の実施例は、セキュリティ情報の発見方法、セキュリティ情報の配置方法、機器、チップ、コンピュータ可読記憶媒体、コンピュータプログラム製品及びコンピュータプログラムを提供する。
第1態様において、セキュリティ情報の発見方法を提供し、前記方法は、
第1機器が、ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信することであって、Mは、1以上の整数であり、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれることと、
前記第1機器が、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信することであって、ここで、Nは、1以上M以下の整数であることと、
前記第1機器が、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得して、前記L個のセキュリティドメイン情報を表示することであって、ここで、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれることと、を含む。
第1機器が、ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信することであって、Mは、1以上の整数であり、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれることと、
前記第1機器が、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信することであって、ここで、Nは、1以上M以下の整数であることと、
前記第1機器が、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得して、前記L個のセキュリティドメイン情報を表示することであって、ここで、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれることと、を含む。
第2態様において、セキュリティ情報の発見方法を提供し、前記方法は、
第2機器が、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信することであって、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれることと、
前記第2機器が、セキュリティドメインリソースの表現を前記第1機器にフィードバックすることであって、前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれることと、を含む。
第2機器が、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信することであって、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれることと、
前記第2機器が、セキュリティドメインリソースの表現を前記第1機器にフィードバックすることであって、前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれることと、を含む。
第3態様において、セキュリティ情報の配置方法を提供し、前記方法は、
第3機器が、セキュリティドメイン情報を生成することであって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含むことと、
前記第3機器が、所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置することと、を含む。
第3機器が、セキュリティドメイン情報を生成することであって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含むことと、
前記第3機器が、所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置することと、を含む。
第4態様において、第1機器を提供し、前記第1機器は、
ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信する第1通信ユニットであって、Mは、1以上の整数であり、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、Nは、1以上M以下の整数である、第1通信ユニットと、
前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得し、前記L個のセキュリティドメイン情報を表示する第1処理ユニットであって、ここで、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる、第1処理ユニットと、を備える。
ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信する第1通信ユニットであって、Mは、1以上の整数であり、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、Nは、1以上M以下の整数である、第1通信ユニットと、
前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得し、前記L個のセキュリティドメイン情報を表示する第1処理ユニットであって、ここで、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる、第1処理ユニットと、を備える。
第5態様において、第2機器を提供し、前記第2機器は、
所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、セキュリティドメインリソースの表現を前記第1機器にフィードバックする第2通信ユニットを備え、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる。
所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、セキュリティドメインリソースの表現を前記第1機器にフィードバックする第2通信ユニットを備え、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる。
第6態様において、第3機器を提供し、前記第3機器は、
セキュリティドメイン情報を生成する第3処理ユニットであって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含む、第3処理ユニットと、
所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する第3通信ユニットと、を備える。
セキュリティドメイン情報を生成する第3処理ユニットであって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含む、第3処理ユニットと、
所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する第3通信ユニットと、を備える。
第7態様において、機器を提供し、前記機器は、プロセッサと、プロセッサで実行可能なコンピュータプログラムを記憶するメモリと、を備え、
ここで、当該メモリはコンピュータプログラムを記憶し、前記プロセッサは、前記メモリに記憶されたコンピュータプログラムを呼び出して、前述の方法のステップを実行する。
ここで、当該メモリはコンピュータプログラムを記憶し、前記プロセッサは、前記メモリに記憶されたコンピュータプログラムを呼び出して、前述の方法のステップを実行する。
第8態様において、チップを提供し、前記チップは、メモリからコンピュータプログラムを呼び出して実行するプロセッサを備え、前記チップが搭載された機器に前述の方法を実行させる。
第9態様において、コンピュータプログラムを記憶したコンピュータ可読記憶媒体を提供し、前記コンピュータプログラムは、コンピュータに前述の方法のステップを実行させる。
第10態様において、コンピュータプログラム命令を含むコンピュータプログラム製品を提供し、前記コンピュータプログラム命令は、コンピュータに前述の方法を実行させる。
第11態様において、コンピュータプログラムを提供し、前記コンピュータプログラムは、コンピュータに前述の方法を実行させる。
上記の技術案を採用することにより、第1機器がネットワークに入るときに、機器は、ブロードキャスト/マルチキャスト要求をサポートして、複数の第2機器によってフィードバックされたセキュリティドメインリソース表現を発見することができ、それにより、第1機器は、ネットワークに入った後、当該ネットワークに存在するセキュリティドメイン情報を便利に発見及び取得することができ、次に、クライアントは、発見されたセキュリティドメインをユーザに呈することができ、これにより、ネットワークに加入し、セキュリティドメインを発見する第1機器の効率を保証することができる。
本発明の実施例の特徴及び技術的内容をより詳細に理解するために、以下では、図面を参照して本発明の実施例の実現について詳細に説明し、これらの図面は、参照用のものに過ぎず、本発明の実施例を限定することを意図するものではない。
以下では、本願実施例における図面を参照して、本願実施例の技術方案を明確且つ完全に説明するが、明らかに、記載される実施例は、本願の実施例の一部のみであり、全部の実施例ではない。本願の実施例に基づいて、創造的な作業なしに当業者によって得られる他のすべての実施例は、本願の保護範囲に含まれるものとする。
本願の実施例における技術方案は、様々な通信システム、例えば、グローバル移動通信(GSM:Global System of Mobile communication)システム、コード分割多重アクセス(CDMA:Code Division Multiple Access)システム、広帯域コード分離多重アクセス(WCDMA:Wideband Code Division Multiple Access)システム、汎用パケット無線サービス(GPRS:General Packet Radio Service)、ロングタームエボリューション(LTE:Long Term Evolution)システム、LTE周波数分割複信(FDD:Frequency Division Duplex)システム、LTE時分割二重化(TDD:Time Division Duplex)、ユニバーサル移動通信システム(UMTS:Universal Mobile Telecommunication System)、ワイマックス(WiMAX:Worldwide Interoperability for Microwave Access)通信システム又は5Gシステムなどに適用することができる。
例示的に、本願実施例が適用される通信システム100は、図1-1に示される通りである。当該通信システム100は、ネットワーク機器110を含み得、ネットワーク機器110は、UE120(又は通信端末機器、端末機器と呼ばれる)と通信する機器であり得る。ネットワーク機器110は、特定の地理的エリアに通信カバレッジを提供することができ、当該カバレッジエリア内に位置するUEと通信することができる。例示的に、当該ネットワーク機器110は、GSMシステム又はCDMAシステムにおけるネットワーク機器(BTS:Base Transceiver Station)、又はWCDMAシステムにおけるネットワーク機器(NB:NodeB)、又はLTEシステムにおける進化型ネットワーク機器(eNB又はeNodeB:Evolutional Node B)、又はクラウド無線アクセスネットワーク(CRAN:Cloud Radio Access Network)における無線コントローラであり得、又は、当該ネットワーク機器は、モバイルスイッチングセンタ、リレーステーション、アクセスポイント、車載機器、ウェアラブル機器、ハブ、スイッチ、ネットワークブリッジ、ルータ、5Gネットワークのネットワーク側の機器、又は将来進化する公衆陸上移動体通信網(PLMN:Public Land Mobile Network)のネットワーク機器などであってもよい。
モノのインターネットの関連技術では、機器は、ネットワークで動作したり、他の機器とやり取りしたりする前に活性化する必要がある。機器を活性化する最初のステップは、機器の所有権を配置することである。正当なユーザは、活性化ツール(OBT)を介して、所有者移転方法(OTMs:Owner Transfer Methods)を使用して機器の所有権を確立する。所有権を確立した後、OBTを使用して機器を配置し、最終的に機器を、正常に動作して他の機器とやり取りすることができるようにする。例えば、図1-2を参照すると、具体的には、以下の動作を含み得る。
(1)活性化ツール(OBT)は、ネットワーク内で配置する必要のある機器を発見する。
(2)配置対象機器は、そのサポートする所有者移転方法を返送する。
(3)OBTは、選択された所有者移転方法に基づいて、配置対象機器と安全な接続を確立する。
(4)OBTは、それ自体のIDを、機器の/oic/sec/doxmのdeviceowneruuid属性に配置し、機器の所有者身分を確立する。
(5)OBTは、対称暗号鍵、非対称暗号鍵、証明書など、配置対象機器のサポートするセキュリティ承認情報(security credential)のタイプを確認する。
(6)OBTは、適切な対称セキュリティ承認情報を選択する。
(7)OBTは、選択した対称セキュリティ承認情報を、機器の/oic/sec/credリソースに配置する。
(8)OBTは、配置対象機器を暗号鍵管理サービス(CMS)に割り当て、CMSは通常OBTの一部とするが、拡張性とモジュール化設計を考慮し、CMSは、サービスとして個別に配置することもできる。
(9)OBTは、それ自体のIDを、機器の/oic/sec/doxmのrowneruuid属性に配置し、/doxmリソースの所有者を設定する。
(10)OBTは、それ自体のID(CMSのID)を、機器の/oic/sec/credのrowneruuid属性に配置し、/oic/sec/credリソースの所有者を設定する。
(11)OBTは、CMSとの安全な接続を確立するために使用される承認情報を、機器の/oic/sec/credリソースに配置する。
(12)OBT/CMSは、機器の状態をサービス配置状態に変更する。
(13)OBT/CMSは、他の機器との安全なLAN接続を確立するために使用される承認情報を、機器の/oic/sec/credリソースに配置する。
(14)OBT/CMSは、機器の状態を正常動作状態に変更する。
ここで、/oic/sec/doxmリソースの構造は次の通りである。
{
"oxms": [ 0, 2, 3 ], //サポートするOTMモード
"oxmsel": 0, //選択されたOTMモード
"sct": 16, //サポートする承認情報のタイプ
"owned": true, //機器の所有者が作成済みであるかを示す
"deviceuuid": "de305d54-75b4-431b-adb2-eb6b9e546014", //機器ID
"devowneruuid": "e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9", //機器所有者ID
"rowneruuid": "e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9" //リソース所有者ID
}
{
"oxms": [ 0, 2, 3 ], //サポートするOTMモード
"oxmsel": 0, //選択されたOTMモード
"sct": 16, //サポートする承認情報のタイプ
"owned": true, //機器の所有者が作成済みであるかを示す
"deviceuuid": "de305d54-75b4-431b-adb2-eb6b9e546014", //機器ID
"devowneruuid": "e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9", //機器所有者ID
"rowneruuid": "e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9" //リソース所有者ID
}
OBTは、ネットワークの所有者であり、ネットワーク内のClient機器とServer機器間が相互接続するように配置することができる。配置後、当該OBTは、被配置機器のownerになる。例えば、図1-3に示されるように、図1-3は、ホームに適用される場面である。
ステップ1において、Momは、Client APPをインストールし、図に示すように、Momの携帯電話にClientアプリケーション(APP)をインストールする。
ステップ2において、Momは、ホーム及びadmin、family、guestなどの様々なユーザの役割を作成する。
ステップ3において、Momは、IoT機器DR-Bulbを発見して配置する。
ステップ4において、Momは、DR-Bulbを制御することができる。
ステップ5において、Dadは、Client APPをインストールし、図に示すように、Dadの携帯電話にClientアプリケーション(APP)をインストールする。
ステップ6において、MomのAPPは、DadのAPPを発見し、DadのAPPに対して配置を実行し、「family」権限を与え、そしてDadもDR-Bulbを制御することができるようになる。
ステップ7において、Momは、DadがDR-Bulbを配置及び管理をすることもできるように、Dadに「admin」権限を与えることもできる。
ステップ8において、LR-Bulbのような1つの新しい機器に対しても、DR-Bulbと同じ方式で配置を実行する。
ステップ9において、1つの新しいClient APPに対して、Dadと同じ方式で、役割及び権限を配置する。
上記のステップ5において、DadがAPPをインストールした後、APPを起動してホームネットワークに接続すると、ネットワーク内のMomのAPPとDR-Bulbを発見することができる。さらに、DadのAPPは、両者のdoxmリソースのdeviceuuid及びdevowneruuidをそれぞれ取得する。比較すると、MomのAPPの場合、doxmリソースのdeviceuuidとdevowneruuidは同じであり、よって、MomのAPPはOBTであり、DR-Bulbの場合、doxmリソースのdeviceuuidとdevowneruuidは異なり、よって、DR-Bulbは、Client機器又はServer機器である。同時に、DR-BulbのdevowneruuidをMomのAPPのdeviceuuidと比較し、両者が同じであり、その場合、DR-Bulbは、MomのAPPによって配置されるものであると見なされる。その後、DadのAPPは、MomのAPPを見つけて、ホームネットワーク加入の配置を要求し、ステップ6に進む。
DadのAPPもOBTとしてホームネットワークに入るように新しい機器として配置されたい場合、MomのAPPは、DadのAPPを従属OBTに配置し、MomのAPPは、メインOBTになる。その後、Dadの配置された機器もホームネットワークに接続し、DR-Bulbと相互接続することができるようになる。1つのセキュリティドメインネットワークでは、メインOBTは1つだけであり、複数の従属OBTがあり得る。
先行技術では、ネットワーク内のセキュリティドメインを発見するには、何回の機器とのやり取りが必要であり、また、同じネットワークに複数のセキュリティドメインがある場合、特に、セキュリティドメインにメインOBT及び従属OBTが含まれている場合、セキュリティドメインを区別することは困難である。
本明細書における「システム」及び「ネットワーク」という用語は、本明細書で常に互換可能に使用されることを理解されたい。本明細書における「及び/又は」という用語は、関連付けられた関係についてのみ説明し、3つの関係が存在し得ることを表示し、例えば、A及び/又はBは、Aが独立で存在する場合、AとBの両方が存在する場合、Bが独立で存在する場合の3つの場合を表示することができる。さらに、本明細書における記号「/」は、通常、関連付けられた対象間の関係が、「又は」という関係にあることを表示する。
本発明の実施例の特徴及び技術的内容をより詳細に理解するために、以下では、図面を参照して本発明の実施例の実現について詳細に説明し、これらの図面は、参照用のものに過ぎず、本発明の実施例を限定することを意図するものではない。
本発明の実施例は、セキュリティ情報の発見方法を提供し、図2に示されるように、前記方法は、以下のステップを含む。
ステップ21において、第1機器は、ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、Mは、1以上の整数であり、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれる。
ステップ22において、前記第1機器は、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信し、ここで、Nは、1以上M以下の整数である。
ステップ23において、前記第1機器は、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得して、前記L個のセキュリティドメイン情報を表示し、ここで、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる。
本発明の実施例は、セキュリティ情報の発見方法を更に提供し、図3に示されるように、以下のステップを含む。
ステップ31において、第2機器は、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれる。
ステップ32において、前記第2機器は、セキュリティドメインリソースを前記第1機器にフィードバックし、前記セキュリティドメインリソースには、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる。
本発明の実施例は、セキュリティ情報の配置方法を提供し、図4に示されるように、以下のステップを含む。
ステップ41において、第3機器は、セキュリティドメイン情報を生成し、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含む。
ステップ42において、前記第3機器は、所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する。
前述の第1機器及び第3機器は、クライアントAppがインストールされた端末機器であり得、例えば、スマートフォンやタブレットコンピュータなどの機器であり得る。第2機器は、モノのインターネット又はホームネットワーク内の任意の被制御機器、又はIoT機器などであり得る。また、第1機器、第3機器及び第2機器はすべて、同じネットワーク環境内の機器であり得ることに留意されたい。
以下では、複数の例を参照して、本実施例によって提供される技術案について説明する。
一例では、
前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID:Identity)、及びセキュリティドメイン名のみを含む。つまり、この例では、セキュリティドメインの発見可能性を制限しないか、又は、同じネットワーク上のIoTの第2機器のすべてが発見可能な機器であることが理解される。
前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID:Identity)、及びセキュリティドメイン名のみを含む。つまり、この例では、セキュリティドメインの発見可能性を制限しないか、又は、同じネットワーク上のIoTの第2機器のすべてが発見可能な機器であることが理解される。
具体的には、図5に示されるように、以下のステップを含み得る。
ステップ51において、第3機器が自己活性化した後、前記第3機器は、セキュリティドメイン情報を生成し、本例では、前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID)及びセキュリティドメイン名を含む。
ここで、前記セキュリティドメイン識別子を生成する方式は、前記第3機器がそれ自体のルートCA証明書に基づいて、1つのHash値を生成し、当該値をセキュリティドメインIDとすることができる。
前記セキュリティドメイン名を生成する方式は、自動生成であり得る。
又は、セキュリティドメイン名を生成する方式は、以下の通りであり得、即ち、前記第3機器は、セキュリティドメインIDを生成した後、1つの提示情報を生成して表示することができ、前記提示情報は、セキュリティドメイン名の設定をユーザに要求するために使用され、第3機器は、ユーザの設定を受け取った後に前記セキュリティドメイン名を取得する。
それによって、第3機器(つまり、前述のOBT)のセキュリティドメイン(secDomain)リソースの表現形式は、以下に示す通りであり得る。
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
本例では、前記第3機器は、お母さんの機器(携帯電話など)であり得、第3機器には、クライアントAppがインストールされ得、第3機器は、当該クライアントAppを介して、配置などの処理を実行することができ、具体的には、以下の通りである。
機器が属するセキュリティドメインを配置及び管理するために、1つのセキュリティドメインリソースを第3機器に追加することができる。
表1に示されるように、セキュリティドメインリソースの表現は、対応するユニフォームリソース識別子(URI:Uniform Resource Identifier)、リソースタイプタイトル、リソースタイプID、インターフェース、及び関連機能の説明を含み得る。
表2に示されるように、当該セキュリティドメインリソースの属性表現は、セキュリティドメインID、セキュリティドメイン名を含み得る。
ステップ52において、第3機器の所在のネットワークには、M個の第2機器、又は制御可能な機器とも呼ばれる機器が存在し、前記第3機器は、前記M個の第2機器(例えば、制御可能な機器又はIoT機器)を活性化及び配置し、ここで、Mは、1以上の整数である。
ここで、前記少なくとも1つの第2機器を活性化及び配置する方式は、図1-2に示される方式に従って行うことができ、ここでは繰り返して説明しない。
ステップ53において、前記第3機器は、セキュリティドメインリソース(secDomainリソース)の表現から、それ自体の配置されたセキュリティドメイン情報を取得し、前記第3機器は、所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する。
ここで、前記第3機器がM個の第2機器を配置する方式として、第3命令を前記第2機器に送信し、セキュリティドメインID及びセキュリティドメイン名を前記M個の第2機器に配置することであり得る。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
これに対応して、前記M個の第2機器のいずれか1つの第2機器は、所在のネットワーク内の第3機器によって送信された第3命令を受信し、ここで、前記第3機器は、セキュリティドメインリソース配置を実行可能な機器であり、前記第3命令には、セキュリティドメイン情報が含まれる。
次に、前記M個の第2機器は、受信した第3命令に基づいて、それ自体のセキュリティドメイン情報を配置して、セキュリティドメインリソースの表現を取得する。
これで、第3機器の所在のネットワークに含まれるM個の制御可能な機器又はM個の第2機器のセキュリティドメイン情報の配置を完了する。
ステップ54において、第1機器は、前記ネットワークに入り、第1機器は、ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、Mは、1以上の整数であり、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれる。
ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージは、セキュリティドメインの発見に使用され、具体的な内容は、RETRIEVE/oic/sec/secDomainであり得る。
ステップ55において、前記M個の第2機器の各第2機器は、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、前記第2機器は、セキュリティドメインリソースの表現を前記第1機器にフィードバックする。
前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID)、セキュリティドメイン名を含む。
ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するために使用される要求が含まれる。
ステップ56において、前記第1機器は、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現(即ち、Resource representations)を受信する。
ここで、本例では、N=Mであり、つまり、本例で設定されたセキュリティドメイン情報は、セキュリティドメインの発見可能性を制限しないため、すべてが発見可能な機器であり、したがって、このステップは具体的には、前記第1機器がM個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信することである。
ステップ57において、前記第1機器は、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得する。本例では、第1機器は、N個の(本例ではM個でもあり得る)第2機器によってフィードバックされたセキュリティリソースの表現に基づいて、少なくとも1つのセキュリティドメイン情報を取得する。Lは、1であり得る。これで、前記第1機器側は、現在のネットワークに含まれるL個のセキュリティドメイン名を表示することができる。
さらに、以下のステップを含み得る。
ステップ58において、前記第1機器は、前記N個の第2機器の端点情報を取得する。
端点情報を取得する具体的な方式は、以下の動作を含み得る。
前記第1機器は、第1命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた端点情報を受信し、ここで、前記第1命令は、前記第2機器の端点情報を取得するために使用され、これに対応して、前記第2機器は、前記第1機器によって送信された第1命令を受信し、端点情報を前記第1機器にフィードバックし、ここで、前記第1命令は、前記第2機器の端点情報を取得するために使用される。
又は、端点情報を取得する方式は、
前記第1機器が、ネットワーク側から前記N個の第2機器の端点情報を取得することを含み得る。
前記第1機器が、ネットワーク側から前記N個の第2機器の端点情報を取得することを含み得る。
ここで、前記第1機器は、第1命令をN個の第2機器にそれぞれ送信して、端点情報を取得することができ、具体的な命令は、RETRIEVE /res?rt=secDomainであり得る。
本例では、前記端点情報には、
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1つが含まれる。
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1つが含まれる。
ステップ59において、前記第1機器は、前記N個の第2機器の端点情報に基づいて、第2命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた機器情報を受信し、ここで、前記第2命令は、前記第2機器の機器情報を取得するために使用される。
これに対応して、前記第2機器は、前記第1機器によって送信された第2命令を受信し、機器情報を前記第1機器にフィードバックする。
ここで、前記第2命令は、RETRIEVE /oic/dであり得る。
さらに、前記機器情報は、少なくとも機器のタイプ、IDなどの機器情報を含み得る。もちろん、より多くの他の内容も含み得、本例では網羅的な列挙をしない。
ステップ510において、前記第1機器は、前記L個のセキュリティドメインに対応するセキュリティドメイン情報に含まれるセキュリティドメイン名、及び各前記セキュリティドメインに対応する第2機器の機器情報を表示する。
つまり、第1機器は、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、N個のセキュリティドメイン情報を取得し、N個のセキュリティドメイン情報から、L個のセキュリティドメイン識別子を抽出し、ここで、L個のセキュリティドメイン識別子はすべて異なる。
前記L個のセキュリティドメイン識別子に対応するセキュリティドメイン名を表示し、また、N個の第2機器によってフィードバックされた機器情報に基づいて、L個のセキュリティドメイン名のうちの各セキュリティドメイン名の下で対応する機器情報を表示する。
さらに、前述のL個のセキュリティドメイン識別子を決定する方式は、以下のステップを含み得る。N個のセキュリティドメイン情報に含まれる1つのセキュリティドメイン識別子を抽出し、当該抽出されたセキュリティドメイン識別子を、残りのセキュリティドメイン識別子と二つずつ比較し、セキュリティドメイン識別子が同じであるかどうかを判断し、残りのセキュリティドメイン識別子とすべて同じである場合、N個のセキュリティドメイン情報によって得られたのは、1つのセキュリティドメイン識別子であると決定し、つまり、所在のネットワークには、1つのセキュリティドメインが存在する。
又は、残りのセキュリティドメインIDと異なる場合、異なるセキュリティドメイン識別子を別のセットに確保し、まず、現在抽出されたセキュリティドメイン識別子を、L個のセキュリティドメイン識別子のうちの1つとし、次に、別のセットにおいて前述の処理を繰り返して実行し、互いに異なるセキュリティドメイン識別子が得られるまで継続する。
前述のステップに基づいて、ユーザは、第1機器の表示インターフェース(スクリーンなど)を介して、L個のセキュリティドメイン名、及び各セキュリティドメイン名に対応する少なくとも1つの機器情報を確認することもできる。
そして、ユーザは、第1機器のインタラクティブインターフェースを介して、加入しようとする目標セキュリティドメインを選択し、それによって、前記第1機器に、選択された目標セキュリティドメインに加入させる。
例えば、ホームネットワークでは、第3機器、つまり、Momの携帯電話APPがOBT(活性化ツール)として機能すると仮定すると、まず、それ自体を活性化して配置し、これには、それ自体を配置するためのセキュリティドメイン情報が含まれ得る。ホームネットワークには、複数のIoT機器が含まれ得、例えば、それぞれDevice1、Device2、及びDevice3と呼ばれる3台の第2機器があり得る。次に、第3機器は、OBTとして3台の機器に対してそれぞれ配置を実行し、セキュリティドメイン情報を設定する。この場合、OBTと、Device1、Device2、及びDevice3とによって、ホームセキュリティドメインネットワークを形成する。
その後、第1機器(Dadの機器、Dadの携帯電話APPなど)は、それ自体にインストールされたクライアントAppを使用することにより、ホームネットワークを発見して入る。当該第1機器は、ネットワークネットワーク内でクライアント(Client)として機能し、それにインストールされたクライアントAppを介して、制御可能な機器(つまり、第2機器)を発見し、制御可能な機器(つまり、第2機器)に対応するセキュリティドメインを見つけることができる。
第3機器がOBTとしてのMomの携帯電話であり、所在のネットワークがホームネットワークであり、所在のネットワークに、それぞれDevice1、Device2、Device3である3つの第2機器が含まれ、第1機器がDadのクライアントAppであることを例として、図6を参照して本実施例について例示的に説明し、具体的な動作ステップは、以下の通りである。
1. OBTは、自己活性化する。
2. OBTは、それ自体のルートCA証明書に基づいて、1つのHash値を生成し、当該値をセキュリティドメインIDとし、その後、1つのセキュリティドメイン名、及びそれが発見可能かどうかを設定するようにユーザに要求し、設定後、OBTのsecDomainリソース形式は、以下の通りである。
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
3. ネットワークには、機器Device1、Device2、及びDevice3があり、OBTは、前述の方法に従って3つの機器をそれぞれ活性化及び配置する。
4. OBTは、secDomainリソース(つまり、セキュリティドメインリソースの表現)から、それ自体の配置されたセキュリティドメイン情報を取得する。
5. OBTは、Device1、Device2、Device3のセキュリティドメイン情報を配置し、以下の第3命令を機器に送信する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
セキュリティドメインのuuid、名前を機器Device1、Device2、Device3に設定する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
}
セキュリティドメインのuuid、名前を機器Device1、Device2、Device3に設定する。
6. DadのクライアントAppは、ネットワークに入り、ブロードキャスト/マルチキャストメッセージRETRIEVE/oic/sec/secDomainを、ネットワーク内の他の機器に送信し、セキュリティドメイン発見を実行する。
7. Device1、Device2、及びDevice3は、要求メッセージを受信した後、secDomainリソース(セキュリティドメインリソースの表現)をDadのクライアントAppに返送する。
8. Dadのクライアントは、Device1、Device2、及びDevice3によって返送されたsecDomainリソース(セキュリティドメインリソースの表現)から、そのセキュリティドメイン情報を取得する。
9.選択的に、Dadのクライアントは、さらに、第1命令をDevice1、Device2、及びDevice3にそれぞれ送信することによって、端点情報としてRETRIEVE /res?rt=secDomainを取得して、機器のIPアドレス及びポート番号を取得する。又は、Dadのクライアントは、ネットワーク層によってDevice1、Device2、及びDevice3の応答メッセージの端点情報を取得する。
10. Dadのクライアントは、取得された端点情報に基づいて、第2命令をDevice1、Device2、及びDevice3にそれぞれ送信して、その機器情報RETRIEVE /oic/dを取得することによって、機器のタイプ、IDなどの機器情報を得る。
11. Dadのクライアントは、取得されたネットワークセキュリティドメイン情報及びセキュリティドメイン内の各機器の機器情報をユーザDadに呈し(図7に示す)、Dadは、機器のインタラクションのニーズに応じて、このDadのクライアントを当該セキュリティドメインに加入することを選択する。
別の例では、前述の例と異なり、本例のセキュリティドメイン情報は、セキュリティドメインの発見可能性を更に含む。
前記セキュリティドメインの発見可能性は、第2機器に対応するセキュリティドメイン情報が他の機器によって発見できるかどうかを表すために使用される。前記セキュリティドメインの発見可能性は、具体的には、1bitの値であり得、例えば、第1の値に設定した場合、発見不可能を表し、つまり、真であり、第2の値に設定する場合、発見可能を表し、つまり、偽である。ここで、第1の値は、1であり得、第2の値は、0であり得、又は逆に、第1の値は、0であり、第2の値は1である。もちろん、他の設定方式でもあり得、前記セキュリティドメインの発見可能性は真又は偽として表せればよく、本例では網羅的な列挙をしない。
つまり、表3に示されるように、1つのセキュリティドメインリソースを機器に追加することができ、それは、機器が属するセキュリティドメインを配置及び管理するために使用される。
当該セキュリティドメインリソースの属性は、表4示されるように表すことができる。
具体的には、図8に示されるように、以下のステップを含み得る。
ステップ81において、第3機器が自己活性化した後、前記第3機器は、セキュリティドメイン情報を生成し、本例では、前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID)、セキュリティドメイン名、及びセキュリティドメインの発見可能性を含む。
ここで、前記セキュリティドメイン識別子を生成する方式は、前記第3機器がそれ自体のルートCA証明書に基づいて、1つのHash値を生成し、当該値をセキュリティドメインIDとすることであり得る。
前記セキュリティドメイン名を生成する方式は、自動生成であり得る。
又は、セキュリティドメイン名を生成する方式は、以下の通りであり得る。前記第3機器は、セキュリティドメインIDを生成した後、1つの提示情報を生成して表示することができ、前記提示情報は、セキュリティドメイン名の設定をユーザに要求するために使用され、第3機器は、ユーザの設定を受け取った後に前記セキュリティドメイン名を得る。
前記セキュリティドメインの発見可能性は、ユーザのニーズに応じて設定することができる。
さらに、第3機器(つまり、前述のOBT)のセキュリティドメインsecDomainリソースの表現形式は、以下に示す通りであり得る。
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
ステップ82において、ステップ52と同じであり、繰り返して説明しない。
ステップ83において、前記第3機器は、セキュリティドメインリソースの表現(secDomainリソース)から、それ自体の配置されたセキュリティドメイン情報を取得し、前記第3機器は、所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する。
ここで、前記第3機器がM個の第2機器を配置する方式は、第3機器が、第3命令を前記第2機器にそれぞれ送信し、セキュリティドメインID及びセキュリティドメイン名を前記M個の第2機器に配置することであり得る。
前述の例におけるステップ53とは異なり、第3機器は、実際の状況に応じて、第2機器のセキュリティドメインの発見可能性を真又は偽に設定することができ、つまり、各第2機器に送信した第3命令の内容は、異なってもよい。例えば、真に設定する場合、以下に示す通りである。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
偽に設定する場合、以下に示す通りである。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = false
}
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
偽に設定する場合、以下に示す通りである。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = false
}
これに対応して、前記M個の第2機器のいずれか1つの第2機器は、所在のネットワーク内の第3機器によって送信された第3命令を受信し、ここで、前記第3機器は、セキュリティドメインリソース配置を実行可能な機器であり、前記第3命令には、セキュリティドメイン情報が含まれる。
次に、前記M個の第2機器は、受信した第3命令に基づいて、それ自体のセキュリティドメイン情報を配置して、セキュリティドメインリソースの表現を取得する。
これで、第3機器の所在のネットワークに含まれるM個の制御可能な機器又はM個の第2機器のセキュリティドメイン情報の配置を完了する。
ステップ84において、前述の例におけるステップ54と同じであり、繰り返して説明しない。
ステップ85において、前記M個の第2機器の各第2機器は、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、
次に、各前記第2機器は、それ自体に保存されたセキュリティドメインリソースの表現におけるセキュリティドメインの発見可能性が真であるかどうかを判断し、
前記セキュリティドメインの発見可能性が真である場合、前記第2機器は、前記セキュリティドメインリソースの表現をフィードバックし、そうでない場合、前記第2機器は、前記セキュリティドメインリソースの表現をフィードバックしない。
次に、各前記第2機器は、それ自体に保存されたセキュリティドメインリソースの表現におけるセキュリティドメインの発見可能性が真であるかどうかを判断し、
前記セキュリティドメインの発見可能性が真である場合、前記第2機器は、前記セキュリティドメインリソースの表現をフィードバックし、そうでない場合、前記第2機器は、前記セキュリティドメインリソースの表現をフィードバックしない。
ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するために使用される要求が含まれる。
ステップ86において、前記第1機器は、前記M個の第2機器内の、セキュリティドメインの発見可能性が真であるN個の第2機器によってフィードバックされた前記セキュリティドメインリソースの表現を受信し、
ここで、本例では、Nは、Mに等しいか、又はNは、M未満であり得る。
ステップ87において、前記第1機器は、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得する。本例では、第1機器は、N個の第2機器によってフィードバックされたセキュリティリソースの表現に基づいて、少なくとも1つのセキュリティドメイン情報を取得する。Lは、1であり得る。これで、前記第1機器側は、現在のネットワークに含まれるL個のセキュリティドメイン名を表示することができる。
さらに、
ステップ88~ステップ810は、前述の例におけるステップ58~ステップ510と同じであり、ここでは繰り返して説明しない。
ステップ88~ステップ810は、前述の例におけるステップ58~ステップ510と同じであり、ここでは繰り返して説明しない。
例えば、ホームネットワークでは、Momの携帯電話APP(つまり、第3機器)がOBTとして機能すると仮定すると、まず、それ自体を活性化して配置する。ネットワークには、それぞれDevice1、Device2、Device3と呼ばれる3台の第2機器があり、OBTは、3台の機器に対してそれぞれ配置を実行し、セキュリティドメイン情報を設定する。この場合、OBTと、Device1、Device2、及びDevice3とによって、ホームセキュリティドメインネットワークを形成する。その後、Dadの携帯電話APP(つまり、第1機器)は、ホームネットワークに入る。Clientとして、Dadの携帯電話APPは、制御可能な機器を発見し、それに対応するセキュリティドメインを見つける。全体的なプロセスは、図9示されるように、具体的には、以下のステップを含む。
1. OBTは、自己活性化する。
2. OBTは、それ自体のルートCA証明書に基づいて、1つのHash値を生成し、当該値をセキュリティドメインIDとし、その後、1つのセキュリティドメイン名、及びそれが発見可能かどうかを設定するようにユーザに要求し、設定後、OBTのsecDomainリソース形式は、以下の通りである。
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
3. ネットワークには、機器Device1、Device2、及びDevice3があり、OBTは、前述の方法に従って3つの機器をそれぞれ活性化及び配置する。
4. OBTは、secDomainリソースから、それ自体の配置されたセキュリティドメイン情報を取得する。
5. OBTは、Device1、Device2、Device3のセキュリティドメイン情報を配置し、以下の命令を機器に送信する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
6. OBTは、Device3のセキュリティドメイン情報を配置し、以下の命令を機器に送信する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = false
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = false
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
7. DadのクライアントAppは、ネットワークに入り、ブロードキャスト/マルチキャストメッセージRETRIEVE /oic/sec/secDomainを、ネットワーク内の他の機器に送信し、セキュリティドメイン発見を実行する。
8. Device1及びDevice2は、要求メッセージを受信した後、「discoverable」の属性値がtrueであると判断し、secDomainリソースをクライアントに返送する。
9. Device3は、要求メッセージを受信した後、「discoverable」の属性値がfalseであると判断し、クライアントの要求に応答しない。
10. Dadのクライアントは、Device1及びDevice2によって返送されたsecDomainリソースから、そのセキュリティドメイン情報を取得する。Device3は、secDomainリソースを返送していないため、DadのクライアントはDevice3のセキュリティドメイン情報を取得することができない。
11. 例示的に、Dadのクライアントは、さらに、第1命令をDevice1及びDevice2にそれぞれ送信して、その端点情報RETRIEVE /res?rt=secDomainを取得して、機器のIPアドレス及びポート番号を取得する。又は、クライアントは、ネットワーク層からDevice1及びDevice2の応答メッセージの端点情報を取得する。
12. クライアントは、取得された端点情報に基づいて、第2命令をDevice1及びDevice2にそれぞれ送信して、その機器情報RETRIEVE /oic/dを取得して、機器のタイプ、IDなどの機器情報を取得する。
13. クライアントは、取得されたネットワークセキュリティドメイン情報及びセキュリティドメインの下の各機器の機器情報をユーザDadに提示し(図10に示す)、Dadは、機器のインタラクションのニーズに応じて、このクライアントを当該セキュリティドメインに加入することを選択する。
最後の例では、前述の例とは異なり、本例では、2つ以上の第3機器が存在する可能性があり、各第3機器はすべて、それ自体のセキュリティドメインを設定することができ、また、異なる第3機器によって設定されるセキュリティドメインは同じであってもよく、異なってもよい。
これに対応して、第3機器のセキュリティドメインが異なる場合、それぞれの接続されるM個の第2機器の一部に対して、対応するセキュリティドメイン情報(ここで、セキュリティドメイン識別子、セキュリティドメイン名、セキュリティドメインの発見可能性を含む)をそれぞれ設定することができる。
第1機器は、所在のネットワークに接続した後、M個の第2機器からM個のセキュリティドメインリソースをそれぞれ取得し、次に、L個のセキュリティドメインを決定して表示し、最終的に、加入しようとするセキュリティドメインを決定することができる。本例では、Lは、2以上であり得る。
以下では、図11を参照して、本例について詳細に説明する。
ステップ1101において、2つ以上の第3機器において、各第3機器は、セキュリティドメイン情報を生成する。
具体的には、各第3機器はすべて、前述のステップ81を実行し、また、異なる第3機器の実行の順序は限定しない。つまり、どの第3機器が最初に実行してもよく、最終的には、それ自体に対応するセキュリティドメイン情報を生成することができ、本例では、前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID)、セキュリティドメイン名、及びセキュリティドメインの発見可能性を含む。
ここでは繰り返して説明しない。
ステップ1102において、次に、各第3機器は、前記M個の第2機器を活性化及び配置し、各第3機器の処理は、ステップ82と同じであり、繰り返して説明しない。
ステップ1103において、2つ以上の第3機器において、各前記第3機器は、セキュリティドメインリソースの表現(secDomainリソース)から、それ自体の配置されたセキュリティドメイン情報を取得し、前記各第3機器は、所在のネットワークに含まれる1つ又は複数の第2機器のセキュリティドメイン情報を配置する。
前述の例におけるステップとは異なり、本ステップにおいて、異なる第3機器によって配置された第2機器は異なり、例えば、最初の第3機器は、第2機器1、2を配置する場合、2番目の第3機器は、第2機器1、2を配置せずに、第2機器3、4、及び5を配置する。網羅的な列挙をしない。さらに、どの第3機器がどの第2機器を配置するかは、事前設定された対応関係がなく、第2機器に最初に接続(又はアクセス)する第3機器が、それに対応する配置機器である。例えば、最初の第3機器が最初に第2機器1に接続して配置を実行し、2番目の第3機器が次に第2機器1に接続した場合、第2機器1に対して再度配置を実行しない(又は実行できない)。
ここで、前記第3機器が各第2機器を配置する方式は、前述のステップ83と同じであり得、繰り返して説明しない。
これに対応して、前記M個の第2機器のいずれか1つの第2機器は、所在のネットワーク内の特定の第3機器によって送信された第3命令を受信し、ここで、前記第3機器は、セキュリティドメインリソース配置を実行可能な機器であり、前記第3命令には、セキュリティドメイン情報が含まれる。次に、前記M個の第2機器は、受信した第3命令に基づいて、それ自体のセキュリティドメイン情報を配置して、セキュリティドメインリソースの表現を取得する。
これで、第3機器の所在のネットワークに含まれるM個の制御可能な機器又はM個の第2機器のセキュリティドメイン情報の配置を完了する。
ステップ1104~ステップ1106において、前述の例におけるステップ84~ステップ86と同じであり、繰り返して説明しない。
ステップ1107において、前記第1機器は、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得する。本例では、第1機器は、N個の第2機器によってフィードバックされたセキュリティリソースの表現に基づいて、少なくとも1つのセキュリティドメイン情報を取得する。Lは、2以上の整数であり得る。これで、前記第1機器側は、現在のネットワークに含まれるL個のセキュリティドメイン名を表示することができる。
さらに、以下のステップを含み得る。
ステップ1108~ステップ1110は、前述の例におけるステップ88~ステップ810と同じであり、ここでは繰り返して説明しない。
その違いとしては、前記第1機器が、前記N個の第2機器の各第2機器によってフィードバックされた前記セキュリティドメインリソースに含まれるセキュリティドメインIDに基づいて、前記第1機器の所在のネットワークに存在するL個のセキュリティドメインを決定することであり得る。
具体的には、前記第1機器は、任意の2つの第2機器によってフィードバックされたセキュリティドメインリソースの表現に含まれるセキュリティドメインIDが同じであるかどうかを判断し、異なる場合、それを異なるセキュリティドメインIDとして保存し、このようにそれぞれ比較することにより、最終的に現在のネットワーク内の互いに異なるL個のセキュリティドメインIDを得、これらのL個のセキュリティドメインIDに対応するセキュリティドメイン名を表示し、各セキュリティドメイン名に対応する1つ又は複数の第2機器の機器情報を表示し、Lは、2以上である。
さらに、ユーザは、現在表示されるL個のセキュリティドメイン名から、加入しようとする目標セキュリティドメインを選択する。
さらに、
本例では、機器が属するセキュリティドメインを配置及び管理するために使用される1つのセキュリティドメインリソースを機器に追加し、当該セキュリティドメインリソースの属性表現は、前述の例における表3、4と同じであり、繰り返して説明しない。
本例では、機器が属するセキュリティドメインを配置及び管理するために使用される1つのセキュリティドメインリソースを機器に追加し、当該セキュリティドメインリソースの属性表現は、前述の例における表3、4と同じであり、繰り返して説明しない。
例えば、ホームネットワークでは、Momの携帯電話APPがOBT1(つまり、1つの第3機器、又はメインOBTと呼ばれる)として機能すると仮定すると、まず、それ自体を活性化して配置する。Sonの携帯電話APPもOBT2(つまり、別の第3機器、又は従属OBTと呼ばれる)として、それ自体を活性化して配置する。ネットワークには、それぞれDevice1とDevice2の2台の第2機器があり、Momの携帯電話APP、Sonの携帯電話APPは、2台の機器に対してそれぞれ配置を実行し、セキュリティドメイン情報を設定する。この場合、Momの携帯電話APP(OBT1)とDevice1、Sonの携帯電話APP(OBT2)とDevice2は、ホーム内の2つの独立したセキュリティドメインネットワークをそれぞれ形成する。
その後、Dadの携帯電話APPは、ホームネットワークに入る。Clientとして、Dadの携帯電話APPは、制御可能な機器を発見し、それに対応するセキュリティドメインを見つける。
以下では、図12を参照して、本例について詳細に説明する。
1. Momの携帯電話APPは、自己活性化し、それ自体のルートCA証明書に基づいて、1つのHash値を生成し、当該値をセキュリティドメインIDとし、その後、1つのセキュリティドメイン名、及びそれが発見可能かどうかを設定するようにユーザに要求し、設定後、Momの携帯電話APPのsecDomainリソース形式は、以下の通りである。
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
2. Sonの携帯電話APPは、自己活性化し、それ自体のルートCA証明書に基づいて、1つのHash値を生成し、当該値をセキュリティドメインIDとし、その後、1つのセキュリティドメイン名、及びそれが発見可能かどうかを設定するようにユーザに要求し、設定後、Sonの携帯電話APPのsecDomainリソース形式は、以下の通りである。
{
“sdid” = 61c74915-6491-12d2-7934-1da81f1ce27d,
“sdn” = my room,
“discoverable” = true
}
{
“sdid” = 61c74915-6491-12d2-7934-1da81f1ce27d,
“sdn” = my room,
“discoverable” = true
}
3. ネットワークには、機器Device1とDevice2があり、Momの携帯電話APPとSonの携帯電話APPは、前述の図1~2の方法に従って2つの機器を活性化及び配置する。
4. Momの携帯電話APPは、secDomainリソースから、それ自体の配置されたセキュリティドメイン情報を取得する。
5. Momの携帯電話APPは、Device1のセキュリティドメイン情報を配置し、以下の第3命令を機器に送信する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
UPDATE /oic/sec/secDomain
{
“sdid” = e61c3e6b-9c54-4b81-8ce5-f9039c1d04d9,
“sdn” = my home,
“discoverable” = true
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
6. Sonの携帯電話APPは、Device2のセキュリティドメイン情報を配置し、以下の第3命令を機器に送信する。
UPDATE /oic/sec/secDomain
{
“sdid” = 61c74915-6491-12d2-7934-1da81f1ce27d,
“sdn” = my room,
“discoverable” = true
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
UPDATE /oic/sec/secDomain
{
“sdid” = 61c74915-6491-12d2-7934-1da81f1ce27d,
“sdn” = my room,
“discoverable” = true
}
セキュリティドメインのuuid、名前、発見可能性を機器に設定する。
7. DadのクライアントAppは、ネットワークに入り、ブロードキャスト/マルチキャストメッセージRETRIEVE /oic/sec/secDomain?discoverable=trueを、ネットワーク内の他の機器に送信し、セキュリティドメイン発見を実行する。
8. Device1及びDevice2は、要求メッセージを受信した後、「discoverable」の属性値がtrueであると判断し、secDomainリソースをクライアントに返送する。
9. Dadのクライアントは、Device1及びDevice2によって返送されたsecDomainリソースから、そのセキュリティドメイン情報を取得する。
10. 例示的に、Dadのクライアントは、さらに、命令をDevice1及びDevice2にそれぞれ送信して、その端点情報RETRIEVE /res?rt=secDomainを取得して、機器のIPアドレス及びポート番号を取得する。又は、クライアントは、ネットワーク層からDevice1及びDevice2の応答メッセージの端点情報を取得する。
11. クライアントは、取得された端点情報に基づいて、命令をDevice1及びDevice2にそれぞれ送信して、その機器情報RETRIEVE /oic/dを取得して、機器のタイプ、IDなどの機器情報を取得する。
12. クライアントは、2つのセキュリティドメインのsdidが一致するかどうか比較し、一致しない場合、それらを2つの異なるセキュリティドメインとして判断する。
13. クライアントは、取得されたネットワークセキュリティドメイン情報及びセキュリティドメインの下の各機器の機器情報をユーザDadに呈し、Dadは、機器のインタラクションのニーズに応じて、このクライアントを1つのセキュリティドメインに加入させることを選択する。図13に示されるように、my home及びmy roomの2つのセキュリティドメイン名及び各セキュリティドメインに含まれる機器を表示する。
このように、上記の技術案を採用することにより、第1機器がネットワークに入るときに、機器は、ブロードキャスト/マルチキャスト要求をサポートして、複数の第2機器によってフィードバックされたセキュリティドメインリソース表示を発見することができ、それにより、第1機器は、ネットワークに入った後、当該ネットワークに存在するセキュリティドメイン情報を便利に発見及び取得することができ、次に、クライアントは、発見されたセキュリティドメインをユーザに呈することができる。
本発明の実施例は、第1機器を提供し、図14に示されるように、前記第1機器は、
ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信する第1通信ユニット1401であって、ここで、Mは、1以上の整数であり、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、Nは、1以上M以下の整数である、第1通信ユニット1401と、
前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得し、前記L個のセキュリティドメイン情報を表示する第1処理ユニット1402であって、ここで、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる、第1処理ユニット1402と、を備える。
ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信する第1通信ユニット1401であって、ここで、Mは、1以上の整数であり、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、Nは、1以上M以下の整数である、第1通信ユニット1401と、
前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得し、前記L個のセキュリティドメイン情報を表示する第1処理ユニット1402であって、ここで、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる、第1処理ユニット1402と、を備える。
本発明の実施例は、第2機器を更に提供し、図15に示されるように、前記第2機器は、
所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、セキュリティドメインリソースを前記第1機器にフィードバックする第2通信ユニット1501を備え、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、前記セキュリティドメインリソースには、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる。
所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、セキュリティドメインリソースを前記第1機器にフィードバックする第2通信ユニット1501を備え、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、前記セキュリティドメインリソースには、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる。
本発明の実施例は、第3機器を提供し、図16に示されるように、前記第3機器は、
セキュリティドメイン情報を生成する第3処理ユニット1601であって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含む、第3処理ユニット1601と、
所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する第3通信ユニット1602と、を備える。
セキュリティドメイン情報を生成する第3処理ユニット1601であって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含む、第3処理ユニット1601と、
所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する第3通信ユニット1602と、を備える。
前述の第1機器及び第3機器は、クライアントAppがインストールされた端末機器であり得、例えば、スマートフォンやタブレットコンピュータなどの機器であり得る。第2機器は、モノのインターネット又はホームネットワーク内の任意の被制御機器、又はIoT機器などであり得る。また、第1機器、第3機器及び第2機器はすべて、同じネットワーク環境内の機器であり得ることに留意されたい。
以下では、複数の例を参照して、本実施例によって提供される技術案について説明する。
一例では、
前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID:Identity)、及びセキュリティドメイン名のみを含む。つまり、本例では、セキュリティドメインの発見可能性を制限しないか、又は、同じネットワーク上のIoT第2機器のすべてが発見可能な機器であることが理解される。
前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID:Identity)、及びセキュリティドメイン名のみを含む。つまり、本例では、セキュリティドメインの発見可能性を制限しないか、又は、同じネットワーク上のIoT第2機器のすべてが発見可能な機器であることが理解される。
具体的には、以下の動作を含み得る。
第3機器の第3処理ユニット1601は、自己活性化した後、セキュリティドメイン情報を生成し、本例では、前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID)、及びセキュリティドメイン名を含む。
前記第3機器の所在のネットワークには、M個の第2機器(制御可能な機器とも呼ばれる)が存在し、前記第3機器の第3通信ユニット1602は、前記M個の第2機器(例えば、制御可能な機器又はIoT機器)を活性化及び配置し、ここで、Mは、1以上の整数である。
前記第3機器の第3処理ユニット1601は、セキュリティドメインリソース(secDomainリソース)の表現から、それ自体の配置されたセキュリティドメイン情報を取得し、前記第3機器の第3通信ユニット1602は、所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する。
これに対応して、前記M個の第2機器のいずれか1つの第2機器の第2通信ユニット1501は、所在のネットワーク内の第3機器によって送信された第3命令を受信し、ここで、前記第3機器は、セキュリティドメインリソース配置を実行可能な機器であり、前記第3命令には、セキュリティドメイン情報が含まれる。
前記第2機器はさらに、受信した第3命令に基づいて、それ自体のセキュリティドメイン情報を配置して、セキュリティドメインリソースの表現を取得する第2処理ユニット1502を備える。
第1機器は、前記ネットワークに入り、第1機器の第1通信ユニット1401は、ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、Mは、1以上の整数であり、ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するために使用される要求が含まれる。
前記M個の第2機器の各第2機器の第2通信ユニット1501は、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、セキュリティドメインリソースの表現を前記第1機器にフィードバックする。
前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる。
前記第1機器の第1通信ユニット1401は、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現(即ち、Resource representations)を受信する。
ここで、本例では、N=Mである。
前記第1機器の第1処理ユニット1402は、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得する。
前記第1機器の第1通信ユニット1401は、前記N個の第2機器の端点情報を取得する。
端点情報を取得する具体的な方式は、以下の動作を含み得る。
前記第1機器の第1通信ユニット1401は、第1命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた端点情報を受信し、ここで、前記第1命令は、前記第2機器の端点情報を取得するために使用され、これに対応して、前記第2機器の第2通信ユニット1501は、前記第1機器によって送信された第1命令を受信し、端点情報を前記第1機器にフィードバックし、ここで、前記第1命令は、前記第2機器の端点情報を取得するために使用される。
又は、端点情報を取得する方式は、
前記第1機器の第1通信ユニット1401がネットワーク側から前記N個の第2機器の端点情報を取得することを含み得る。
前記第1機器の第1通信ユニット1401がネットワーク側から前記N個の第2機器の端点情報を取得することを含み得る。
本例では、前記端点情報には、
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1つが含まれる。
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1つが含まれる。
前記第1機器の第1通信ユニット1401は、前記N個の第2機器の端点情報に基づいて、第2命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた機器情報を受信し、ここで、前記第2命令は、前記第2機器の機器情報を取得するために使用される。
これに対応して、前記第2機器の第2通信ユニット1501は、前記第1機器によって送信された第2命令を受信し、機器情報を前記第1機器にフィードバックする。
さらに、前記機器情報は、少なくとも機器のタイプ、IDなどの機器情報を含み得る。もちろん、より多くの他の内容も含み得、本例では網羅的な列挙をしない。
前記第1機器の第1処理ユニット1402は、前記L個のセキュリティドメインに対応するセキュリティドメイン情報に含まれるセキュリティドメイン名、及び各前記セキュリティドメインに対応する第2機器の機器情報を表示する。
前述のステップに基づいて、ユーザは、第1機器の表示インターフェース(表示画面など)を介して、L個のセキュリティドメイン名、及び各セキュリティドメイン名に対応する少なくとも1つの機器情報を確認することもでき、次に、ユーザは、第1機器のインタラクティブインターフェースを介して、加入しようとする目標セキュリティドメインを選択し、前記第1機器が、選択された目標セキュリティドメインに加入できるようにする。
別の例では、前述の例と異なり、本例のセキュリティドメイン情報は、セキュリティドメインの発見可能性を更に含む。
前記セキュリティドメインの発見可能性は、第2機器に対応するセキュリティドメイン情報が他の機器によって発見できるかどうかを表すために使用される。前記セキュリティドメインの発見可能性は、具体的には、1bitの値であり得、例えば、第1の値に設定する場合、発見不可能を表し、つまり、真であり、第2の値に設定する場合、発見可能を表し、つまり、偽である。ここで、第1の値は、1であり得、第2の値は、0であり得、又は逆に、第1の値は、0であり、第2の値は1である。もちろん、前記セキュリティドメインの発見可能性を真又は偽として表すことができる限り、他の設定方式でもあり得、本例では網羅的な列挙をしない。
具体的には、以下の動作を含み得る。
第3機器が自己活性化した後、前記第3処理ユニットは、セキュリティドメイン情報を生成し、本例では、前記セキュリティドメイン情報は、セキュリティドメイン識別子(ID)、セキュリティドメイン名、及びセキュリティドメインの発見可能性を含む。
前記第3機器は、セキュリティドメインリソースの表現(secDomainリソース)から、それ自体の配置されたセキュリティドメイン情報を取得し、前記第3機器の第3通信ユニットは、所在のネットワークに含まれるM個の第2機器のセキュリティドメイン情報を配置する。
これに対応して、前記M個の第2機器のいずれか1つの第2機器の第2通信ユニットは、所在のネットワーク内の第3機器によって送信された第3命令を受信し、ここで、前記第3機器は、セキュリティドメインリソース配置を実行可能な機器であり、前記第3命令には、セキュリティドメイン情報が含まれる。
次に、前記M個の第2機器の第2処理ユニットは、受信した第3命令に基づいて、それ自体のセキュリティドメイン情報を配置して、セキュリティドメインリソースの表現を取得する。
これで、第3機器の所在のネットワークに含まれるM個の制御可能な機器又はM個の第2機器のセキュリティドメイン情報の配置を完了する。
前記M個の第2機器の各第2機器の第2通信ユニットは、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、
次に、各前記第2機器の第2処理ユニットは、それ自体に保存されたセキュリティドメインリソースの表現におけるセキュリティドメインの発見可能性が真であるかどうかを判断し、
前記セキュリティドメインの発見可能性が真である場合、前記第2機器の第2通信ユニットは、前記セキュリティドメインリソースの表現をフィードバックし、そうでない場合、前記セキュリティドメインリソースの表現をフィードバックしない。
ここで、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するために使用される要求が含まれる。
前記第1機器の第1通信ユニットは、前記M個の第2機器内の、セキュリティドメインの発見可能性が真であるN個の第2機器によってフィードバックされた前記セキュリティドメインリソースの表現を受信し、
ここで、本例では、Nは、Mに等しいか、又はNは、M未満であり得る。
前記第1機器の第1処理ユニットは、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得する。本例では、第1機器は、N個の第2機器によってフィードバックされたセキュリティリソースの表現に基づいて、少なくとも1つのセキュリティドメイン情報を取得する。Lは、1であり得る。これで、前記第1機器側は、現在のネットワークに含まれるL個のセキュリティドメイン名を表示することができる。
残りの処理は、前述の例と同じであり、ここでは繰り返して説明しない。
最後の例では、前述の例とは異なり、本例では、2つ以上の第3機器が存在する可能性があり、各第3機器はすべて、それ自体のセキュリティドメインを設定でき、また、異なる第3機器によって設定されるセキュリティドメインは同じであってもよく、異なってもよい。
これに対応して、セキュリティドメインが異なる第3機器の場合、それらに接続されたM個の第2機器の一部のために、対応するセキュリティドメイン情報(ここで、セキュリティドメイン識別子、セキュリティドメイン名、セキュリティドメインの発見可能性を含む)をそれぞれ設定することができる。
第1機器は、所在のネットワークに接続した後、M個の第2機器からM個のセキュリティドメインリソースをそれぞれ取得し、次に、L個のセキュリティドメインを決定して表示し、最終的に、加入しようとするセキュリティドメインを決定することができる。本例では、Lは、2以上であり得る。
具体的には、2つ以上の第3機器において、各第3機器の第3処理ユニットはすべて、セキュリティドメイン情報を生成する。次に、各第3機器は、第3通信ユニットを介して、M個の第2機器を活性化及び配置する。
2つ以上の第3機器において、各前記第3機器の第3通信ユニットは、セキュリティドメインリソースの表現(secDomainリソース)から、それ自体の配置されたセキュリティドメイン情報を取得し、所在のネットワークに含まれるM個の第2機器のセキュリティドメイン情報を配置する。
これに対応して、前記M個の第2機器のいずれか1つの第2機器の第2通信ユニットは、所在のネットワーク内の特定の第3機器によって送信された第3命令を受信する。
前記第1機器の第1処理ユニットは、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得する。本例では、第1機器は、N個の第2機器によってフィードバックされたセキュリティリソースの表現に基づいて、少なくとも1つのセキュリティドメイン情報を取得する。Lは、2以上の整数であり得る。これで、前記第1機器側は、現在のネットワークに含まれるL個のセキュリティドメイン名を表示することができる。
本例の他の処理は、前述の例と同じであり、繰り返して説明しない。
このように、上記の技術案を採用することにより、第1機器がネットワークに入るときに、機器は、ブロードキャスト/マルチキャスト要求をサポートして、複数の第2機器によってフィードバックされたセキュリティドメインリソース表示を発見することができ、それにより、第1機器は、ネットワークに入った後、当該ネットワークに存在するセキュリティドメイン情報を便利に発見及び取得することができ、次に、クライアントは、発見されたセキュリティドメインをユーザに呈することができる。
図17は、本発明の実施例による通信機器1700の例示的な構造図であり、本実施例における通信機器は、具体的には、前述の実施例における第1機器、第2機器、及び第3機器のうちの1つであり得る。図17に示される通信機器1700は、プロセッサ1710を備え、プロセッサ1710は、メモリからコンピュータプログラムを呼び出して実行することにより、本発明の実施例における方法を実現することができる。
例示的に、図17に示されるように、通信機器1700はさらに、メモリ1720を備えることができ。ここで、プロセッサ1710は、メモリ1720からコンピュータプログラムを呼び出して実行することにより、本発明の実施例における方法を実現することができる。
ここで、メモリ1720は、プロセッサ1710から独立した別個のデバイスであり得るか、又はプロセッサ1710に統合され得る。
例示的に、図17に示されるように、通信機器1700はさらに、トランシーバ1730を備えることができ、プロセッサ1710は、他の機器と通信するように当該トランシーバ1730を制御することができ、具体的には、情報又はデータを他の機器に送信するか、又は他の機器によって送信された情報又はデータを受信することができる。
ここで、トランシーバ1730は、送信機及び受信機を含み得る。トランシーバ1730は、1つ又は複数のアンテナを更に含み得る。
例示的に、当該通信機器1700は、本発明の実施例の各方法における、ネットワーク機器によって実現される対応するプロセスを実行することができ、簡潔にするために、ここでは繰り返して説明しない。
図18は、本発明の実施例によるチップの例示的な構造図である。図18に示されるように、チップ1800は、プロセッサ1810を備え、プロセッサ1810は、メモリからコンピュータプログラムを呼び出して実行することにより、本発明の実施例における方法を実現することができる。
例示的に、図18に示されるように、チップ1800は、メモリ1820を更に含み得る。ここで、プロセッサ1810は、メモリ1820からコンピュータプログラムを呼び出して実行することにより、本発明の実施例における方法を実現することができる。
ここで、メモリ1820は、プロセッサ1810から独立した別個のデバイスであり得るか、又はプロセッサ1810に統合され得る。
例示的に、当該チップ1800は、入力インターフェース1830を更に含み得る。ここで、プロセッサ1810は、他の機器又はチップと通信するように当該入力インターフェース1830を制御することができ、具体的には、他の機器又はチップによって送信された情報又はデータを取得することができる。
例示的に、当該チップ1800は、入力インターフェース1830を更に含み得る。ここで、プロセッサ1810は、他の機器又はチップと通信するように当該出力インターフェース1840を制御することができ、具体的には、情報又はデータを他の機器又はチップに出力することができる。
例示的に、当該チップは、本発明の実施例における第1機器、第2機器、第3機器のうちの1つであってもよく、当該チップは、本発明の実施例の各方法における、端末機器によって実現される対応するプロセスを実行することができ、簡潔にするために、ここでは繰り返して説明しない。
本発明の実施例で言及されるチップは、システムレベルチップ、システムチップ、チップシステム又はシステムオンチップなどと呼ばれることもできることを理解されたい。
本発明の実施例におけるプロセッサは、信号処理機能を備えた集積回路チップであり得ることを理解されたい。実現プロセスにおいて、上記の方法の実施例の各ステップは、プロセッサ内のハードウェア形態の統合論理回路又はソフトウェア形態の命令によって完了できる。上記のプロセッサは、汎用プロセッサ、デジタル信号プロセッサ(DSP:digital signal processor)、特定用途向け集積回路(ASIC:application specific integrated circuit)、フィールドプログラマブルゲートアレイ(FPGA:field programmable gate array)又は他のプログラマブルロジックデバイス、ディスクリートゲート又はトランジスタロジックデバイス、ディスクリートハードウェアコンポ―ネットなどであってもよい。本発明の実施例で開示された各方法、ステップ及び論理ブロック図を実現又は実行することができる。汎用プロセッサは、マイクロプロセッサであってもよく、又は当該プロセッサは、任意の従来のプロセッサなどであってもよい。本発明の実施例による方法のステップは、ハードウェア復号化プロセッサによって完了されるか、又は復号化プロセッサにおけるハードウェア及びソフトウェアモジュールの組み合わせによって完了されることができる。ソフトウェアモジュールは、ランダムアクセスメモリ、フラッシュメモリ、読み取り専用メモリ、プログラマブル読み取り専用メモリ、又は電気的に消去可能なプログラマブルメモリ、レジスタなどの従来の記憶媒体に配置することができる。当該記憶媒体はメモリ内に配置され、プロセッサはメモリ内の情報を読み取り、そのハードウェアと組み合わせて上記の方法のステップを完了する。
本発明の実施例のメモリは、揮発性メモリ又は不揮発性メモリであってもよく、又は揮発性メモリ及び不揮発性メモリの両方を含んでもよいことを理解されたい。ここで、不揮発性メモリは、読み取り専用メモリ(ROM:Read-Only Memory)、プログラマブル読み取り専用メモリ(PROM:Programmable ROM)、消去可能なプログラマブル読み取り専用メモリ(EPROM:Erasable PROM)、電気的に消去可能なプログラマブル読み取り専用メモリ(EEPROM:Electrically EPROM)又はフラッシュメモリであり得る。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(RAM:Random Access Memory)であり得る。例示的であるが限定的ではない例示によれば、多くの形のRAM、例えば、スタティックランダムアクセスメモリ(SRAM:Static RAM)、ダイナミックランダムアクセスメモリ(DRAM:Dynamic RAM)、同期ダイナミックランダムアクセスメモリ(SDRAM:Synchronous DRAM)、ダブルデータレートの同期ダイナミックランダムアクセスメモリ(DDR SDRAM:Double Data Rate SDRAM)、拡張された同期ダイナミックランダムアクセスメモリ(ESDRAM:Enhanced SDRAM)、同期接続ダイナミックランダムアクセスメモリ(SLDRAM:Synchlink DRAM)及びダイレクトメモリバスランダムアクセスメモリ(DR RAM:Direct Rambus RAM)などが利用可能である。本明細書で説明されるシステム及び方法におけるメモリは、これら及び他の任意の適切なタイプのメモリを含むことを意図しているが、これらに限定されないことに留意されたい。
上記のメモリは一例であるが限定的な説明ではないことを理解されたい。例えば、本発明の実施例におけるメモリはさらに、スタティックランダムアクセスメモリ(SRAM:Static RAM)、ダイナミックランダムアクセスメモリ(DRAM:Dynamic RAM)、同期ダイナミックランダムアクセスメモリ(SDRAM:Synchronous DRAM)、ダブルデータレートの同期ダイナミックランダムアクセスメモリ(DDR SDRAM:Double Data Rate SDRAM)、拡張された同期ダイナミックランダムアクセスメモリ(ESDRAM:Enhanced SDRAM)、同期接続ダイナミックランダムアクセスメモリ(SLDRAM:Synchlink DRAM)及びダイレクトメモリバスランダムアクセスメモリ(DR RAM:Direct Rambus RAM)などであり得る。つまり、本発明の実施例におけるメモリは、これら及び他の任意の適切なタイプのメモリを含むことを意図しているが、これらに限定されない。
本発明の実施例は、コンピュータプログラムを記憶したコンピュータ可読記憶媒体を更に提供する。
例示的に、当該コンピュータ可読記憶媒体は、本発明の実施例におけるネットワー機器又は端末機器に適用され得、当該コンピュータプログラムは、コンピュータに、本発明の実施例の各方法における、ネットワーク機器によって実現される対応するプロセスを実行させ、簡潔にするために、ここでは繰り返して説明しない。
例示的に、当該コンピュータ可読記憶媒体は、本発明の実施例におけるネットワー機器又は端末機器に適用され得、当該コンピュータプログラムは、コンピュータに、本発明の実施例の各方法における、ネットワーク機器によって実現される対応するプロセスを実行させ、簡潔にするために、ここでは繰り返して説明しない。
本発明の実施例は、コンピュータプログラム命令を含むコンピュータプログラム製品を更に提供する。
例示的に、当該コンピュータプログラム製品は、本発明の実施例のネットワーク機器又は端末機器に適用され得、当該コンピュータプログラム命令は、コンピュータに、本発明の実施例の各方法における、ネットワーク機器によって実現される対応するプロセスを実行させ、簡潔にするために、ここでは繰り返して説明しない。
本発明の実施例は、コンピュータプログラムを更に提供する。
例示的に、当該コンピュータプログラムは、本発明の実施例におけるコアネットワーク機器又は端末機器に適用され得、当該コンピュータプログラムがコンピュータで実行されるときに、コンピュータに、本発明の実施例の各方法における、ネットワーク機器によって実現される対応するプロセスを実行させ、簡潔にするために、ここでは繰り返して説明しない。
当業者なら、本明細書で開示される実施例を参照しながら説明された各例示のユニット及びアルゴリズムステップが、電子ハードウェア、又はコンピュータソフトウェアと電子ハードウェアの組み合わせによって実現されてもよいことを理解することができる。これらの機能がハードウェアで実行されるかソフトウェアで実行されるかは、特定の適用と技術ソリューションの設計上の制約条件によって異なる。専門技術者は、特定のアプリケーションごとに対して、異なる方法を使用して説明された機能を実現することができるが、このような実現は本発明の範囲を超えると見なされるべきではない。
当業者なら、説明の便宜及び簡潔さのために、上記のシステム、装置及びユニットの具体的な作業プロセスについては、前述の方法の実施例における対応するプロセスを参照できることを明確に理解することができ、ここでは繰り返して説明しない。
本発明に提供されるいくつかの実施例では、開示されたシステム、装置及び方法は、他の方式で実現できることを理解されたい。例えば、以上で説明された装置の実施例は、例示的なものに過ぎず、例えば、前記ユニットの分割は、論理機能の分割に過ぎず、実際の実現では、他の分割方法を採用することができ、例えば、複数のユニット又はコンポーネントを組み合わせたり、別のシステムに統合したり、又は一部の特徴を無視するか実行しないことができる。なお、表示又は議論された相互結合又は直接結合又は通信接続は、いくつかの通信インターフェースを使用して実現することができ、装置又はユニット間の間接的な結合又は通信接続は、電気的、機械的又は他の形態であり得る。
前記個別のパーツとして説明されたユニットは、物理的に分離されている場合とされていない場合があり、ユニットとして表示されるパーツは、物理ユニットである場合とそうでない場合があり、1箇所に配置される場合もあれば、複数のネットワークユニットに分散される場合もある。実際の需要に応じて、その中のユニットの一部又は全部を選択して本実施形態における技術方案の目的を達成することができる。
さらに、本発明の各実施例における各機能ユニットは、1つの処理ユニットに統合されてもよく、又は各ユニットが物理的に別々に存在してもよく、2つ又は2つ以上のユニットが1つのユニットに統合されてもよい。
上記の内容は、本発明の具体的な実施形態に過ぎないが、本発明の保護範囲はこれに限定されず、当業者が本発明に開示された技術的範囲内で容易に想到し得る変更又は置換は、すべて本発明の保護範囲内に含まれるべきである。したがって、本発明の保護範囲は、特許請求の保護範囲に従うものとする。
Claims (39)
- セキュリティ情報の発見方法であって、
第1機器が、ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信することであって、Mは、1以上の整数であり、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれることと、
前記第1機器が、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信することであって、Nは、1以上M以下の整数であることと、
前記第1機器が、前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得して、前記L個のセキュリティドメイン情報を表示することであって、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれることと、を含む、セキュリティ情報の発見方法。 - 前記セキュリティドメイン情報は、
セキュリティドメインの発見可能性を更に含む、
請求項1に記載のセキュリティ情報の発見方法。 - 前記第1機器が、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信することは、
前記第1機器が、前記M個の第2機器内の、セキュリティドメインの発見可能性が真であるN個の第2機器によってフィードバックされた前記セキュリティドメインリソースの表現を受信することを含む、
請求項2に記載のセキュリティ情報の発見方法。 - 前記セキュリティ情報の発見方法は、
前記第1機器が、第1命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた端点情報を受信することであって、前記第1命令は、前記第2機器の端点情報を取得するために使用されること、
又は、
前記第1機器が、ネットワーク側から前記N個の第2機器の端点情報を取得することを更に含む、
請求項1~3のいずれか一項に記載のセキュリティ情報の発見方法。 - 前記端点情報は、
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1を含む、
請求項4に記載のセキュリティ情報の発見方法。 - 前記セキュリティ情報の発見方法は、
前記第1機器が、前記N個の第2機器の端点情報に基づいて、第2命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた機器情報を受信することを更に含み、前記第2命令は、前記第2機器の機器情報を取得するために使用される、
請求項4又は5に記載のセキュリティ情報の発見方法。 - 前記セキュリティ情報の発見方法は、
前記第1機器が、前記N個の第2機器の各第2機器によってフィードバックされた前記セキュリティドメインリソースの表現に含まれるセキュリティドメインIDに基づいて、前記第1機器の所在のネットワークに存在するL個のセキュリティドメインを決定することを更に含む、
請求項6に記載のセキュリティ情報の発見方法。 - 前記L個のセキュリティドメイン情報を表示する場合、前記セキュリティ情報の発見方法は、
前記第1機器が、前記L個のセキュリティドメインに対応するセキュリティドメイン情報に含まれるセキュリティドメイン名、及び各前記セキュリティドメインに対応する第2機器の機器情報を表示することを更に含む、
請求項1~7のいずれか一項に記載のセキュリティ情報の発見方法。 - セキュリティ情報の発見方法であって、
第2機器が、所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信することであって、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれることと、
前記第2機器が、セキュリティドメインリソースの表現を前記第1機器にフィードバックすることであって、前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれることと、を含む、セキュリティ情報の発見方法。 - 前記セキュリティ情報の発見方法は、
前記第2機器が、所在のネットワーク内の第3機器によって送信された第3命令を受信することを更に含み、前記第3機器は、セキュリティドメインリソース配置を実行可能な機器であり、前記第3命令には、セキュリティドメイン情報が含まれる、
請求項10に記載のセキュリティ情報の発見方法。 - 前記セキュリティドメイン情報には、
セキュリティドメインの発見可能性が更に含まれる、
請求項9又は10に記載のセキュリティ情報の発見方法。 - 前記第2機器が、セキュリティドメインリソースを前記第1機器にフィードバックすることは、
前記第2機器が、それ自体に保存されたセキュリティドメインリソースの表現におけるセキュリティドメインの発見可能性が真であるかどうかを判断することと、
前記セキュリティドメインの発見可能性が真である場合、前記第2機器は、前記セキュリティドメインリソースの表現をフィードバックし、そうでない場合、前記第2機器は、前記セキュリティドメインリソースの表現をフィードバックしない。
請求項11に記載のセキュリティ情報の発見方法。 - 前記セキュリティ情報の発見方法は、
前記第2機器が、前記第1機器によって送信された第1命令を受信し、端点情報を前記第1機器にフィードバックすることを更に含み、前記第1命令は、前記第2機器の端点情報を取得するために使用される、
請求項9~12のいずれか一項に記載のセキュリティ情報の発見方法。 - 前記端点情報には、
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1つが含まれる、
請求項13に記載のセキュリティ情報の発見方法。 - 前記セキュリティ情報の発見方法は、
前記第2機器が、前記第1機器によって送信された第2命令を受信し、機器情報を前記第1機器にフィードバックすることを更に含み、前記第2命令は、前記第2機器の機器情報を取得するために使用される、
請求項13又は14に記載のセキュリティ情報の発見方法。 - セキュリティ情報の配置方法であって、
第3機器が、セキュリティドメイン情報を生成することであって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含むことと、
前記第3機器が、所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置することと、を含む、セキュリティ情報の配置方法。 - 前記セキュリティドメイン情報は、セキュリティドメインの発見可能性を更に含む、
請求項16に記載のセキュリティ情報の配置方法。 - 第1機器であって、
ブロードキャストメッセージ又はマルチキャストメッセージを、所在のネットワーク内のM個の第2機器に送信し、N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現を受信する第1通信ユニットであって、Mは、1以上の整数であり、前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、Nは、1以上M以下の整数である、第1通信ユニットと、
前記N個の第2機器によってフィードバックされたセキュリティドメインリソースの表現に基づいて、L個のセキュリティドメイン情報を取得し、前記L個のセキュリティドメイン情報を表示する第1処理ユニットであって、Lは、1以上の整数であり、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる、第1処理ユニットと、を備える、第1機器。 - 前記セキュリティドメイン情報は、
セキュリティドメインの発見可能性を更に含む、
請求項18に記載の第1機器。 - 前記第1通信ユニットは、前記M個の第2機器内の、セキュリティドメインの発見可能性が真であるN個の第2機器によってフィードバックされた前記セキュリティドメインリソースの表現を受信する、
請求項19に記載の第1機器。 - 前記第1通信ユニットは、第1命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた端点情報を受信し、前記第1命令は、前記第2機器の端点情報を取得するために使用され、
又は、
ネットワーク側から前記N個の第2機器の端点情報を取得する、
請求項18~20のいずれか一項に記載の第1機器。 - 前記端点情報は、
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1を含む、
請求項21に記載の第1機器。 - 前記第1通信ユニットは、前記N個の第2機器の端点情報に基づいて、第2命令を前記N個の第2機器に送信し、前記N個の第2機器によってフィードバックされた機器情報を受信し、前記第2命令は、前記第2機器の機器情報を取得するために使用される、
請求項21又は22に記載の第1機器。 - 前記第1処理ユニットは、前記N個の第2機器の各第2機器によってフィードバックされた前記セキュリティドメインリソースの表現に含まれるセキュリティドメインIDに基づいて、前記第1機器の所在のネットワークに存在するL個のセキュリティドメインを決定する、
請求項23に記載の第1機器。 - 前記L個のセキュリティドメイン情報を表示する場合、前記第1処理ユニットは、前記L個のセキュリティドメインに対応するセキュリティドメイン情報に含まれるセキュリティドメイン名、及び各前記セキュリティドメインに対応する第2機器の機器情報を表示する、
請求項18~24のいずれか一項に記載の第1機器。 - 第2機器であって、
所在のネットワーク内の第1機器によって送信されたブロードキャストメッセージ又はマルチキャストメッセージを受信し、セキュリティドメインリソースの表現を前記第1機器にフィードバックする第2通信ユニットを備え、
前記ブロードキャストメッセージ又はマルチキャストメッセージには、セキュリティドメイン発見を実行するための要求が含まれ、前記セキュリティドメインリソースの表現には、セキュリティドメイン情報が含まれ、前記セキュリティドメイン情報には、セキュリティドメイン識別子(ID)、セキュリティドメイン名が含まれる、第2機器。 - 前記第2通信ユニットは、所在のネットワーク内の第3機器によって送信された第3命令を受信し、前記第3機器は、セキュリティドメインリソース配置を実行可能な機器であり、前記第3命令には、セキュリティドメイン情報が含まれる、
請求項26に記載の第2機器。 - 前記セキュリティドメイン情報は、
セキュリティドメインの発見可能性が更に含まれる、
請求項26又は27に記載の第2機器。 - 前記第2機器はさらに、
それ自体に保存されたセキュリティドメインリソースの表現におけるセキュリティドメインの発見可能性が真であるかどうかを判断する第2処理ユニットを備え、
前記第2通信ユニットは、前記セキュリティドメインの発見可能性が真である場合、前記第2機器が前記セキュリティドメインリソースの表現をフィードバックし、そうでない場合、前記第2機器が前記セキュリティドメインリソースの表現をフィードバックしない、
請求項28に記載の第2機器。 - 前記第2通信ユニットは、前記第1機器によって送信された第1命令を受信し、端点情報を前記第1機器にフィードバックし、前記第1命令は、前記第2機器の端点情報を取得するために使用される、
請求項26~29のいずれか一項に記載の第2機器。 - 前記端点情報は、
第2機器のIPアドレス、第2機器のポート番号のうちの少なくとも1を含む、
請求項30に記載の第2機器。 - 前記第2通信ユニットは、前記第1機器によって送信された第2命令を受信し、機器情報を前記第1機器にフィードバックし、前記第2命令は、前記第2機器の機器情報を取得するために使用される、
請求項30又は31に記載の第2機器。 - 第3機器であって、
セキュリティドメイン情報を生成する第3処理ユニットであって、前記セキュリティドメイン情報は、少なくともセキュリティドメイン識別子(ID)及びセキュリティドメイン名を含む、第3処理ユニットと、
所在のネットワークに含まれる少なくとも1つの第2機器に対してセキュリティドメイン情報を配置する第3通信ユニットと、を備える、第3機器。 - 前記セキュリティドメイン情報は、セキュリティドメインの発見可能性を更に含む、
請求項33に記載の第3機器。 - プロセッサで実行可能なコンピュータプログラムを記憶するメモリと、
前記メモリに記憶されたコンピュータプログラムを呼び出して、請求項1~17のいずれか一項に記載の方法を実行するプロセッサと、を備える、機器。 - メモリからコンピュータプログラムを呼び出して、請求項1~17のいずれか一項に記載の方法を実行するプロセッサを備える、チップ。
- プロセッサによって実行されるときに、請求項1~17のいずれか一項に記載の方法を実行するコンピュータプログラムを記憶した、コンピュータ可読記憶媒体。
- プロセッサによって実行されるときに、請求項1~17のいずれか一項に記載の方法を実行するコンピュータプログラム命令を含む、コンピュータプログラム製品。
- 請求項1~17のいずれか一項に記載の方法を実行する、コンピュータプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2020/072866 WO2021142803A1 (zh) | 2020-01-17 | 2020-01-17 | 一种安全信息发现方法、安全信息配置方法及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023514959A true JP2023514959A (ja) | 2023-04-12 |
Family
ID=76863240
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022543396A Pending JP2023514959A (ja) | 2020-01-17 | 2020-01-17 | セキュリティ情報の発見方法、セキュリティ情報の配置方法及び機器 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220353239A1 (ja) |
EP (1) | EP4080843A4 (ja) |
JP (1) | JP2023514959A (ja) |
KR (1) | KR20220126736A (ja) |
CN (2) | CN115866022A (ja) |
WO (1) | WO2021142803A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020258099A1 (zh) * | 2019-06-26 | 2020-12-30 | Oppo广东移动通信有限公司 | 配置物联网设备的方法和物联网设备 |
EP4228299A4 (en) * | 2020-10-09 | 2023-12-27 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | INFORMATION PROCESSING METHOD AND DEVICE AND STORAGE MEDIUM |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739665B (zh) * | 2012-06-25 | 2015-03-11 | 成都卫士通信息产业股份有限公司 | 一种实现网络虚拟安全域的方法 |
CN103152361B (zh) * | 2013-03-26 | 2015-12-02 | 华为技术有限公司 | 访问控制方法及设备、系统 |
CN105577623B (zh) * | 2014-10-17 | 2019-05-10 | 中国电信股份有限公司 | 一种联网终端安全域建立的方法及系统 |
US10021644B2 (en) * | 2014-10-30 | 2018-07-10 | Qualcomm Incorporated | Network discovery |
CN107153565B (zh) * | 2016-03-03 | 2020-06-16 | 华为技术有限公司 | 配置资源的方法及其网络设备 |
US10575273B2 (en) * | 2016-03-31 | 2020-02-25 | Intel Corporation | Registration of devices in secure domain |
CN110113175B (zh) * | 2018-02-01 | 2021-11-09 | 华为技术有限公司 | 网络安全准入方法及家庭网络设备 |
CN109981725B (zh) * | 2019-01-31 | 2022-06-14 | 咪咕文化科技有限公司 | 一种跨安全域的通信方法、服务器和可读存储介质 |
-
2020
- 2020-01-17 KR KR1020227026539A patent/KR20220126736A/ko unknown
- 2020-01-17 EP EP20914630.7A patent/EP4080843A4/en active Pending
- 2020-01-17 WO PCT/CN2020/072866 patent/WO2021142803A1/zh unknown
- 2020-01-17 CN CN202211472013.XA patent/CN115866022A/zh active Pending
- 2020-01-17 CN CN202080093347.9A patent/CN114982199A/zh active Pending
- 2020-01-17 JP JP2022543396A patent/JP2023514959A/ja active Pending
-
2022
- 2022-07-15 US US17/812,914 patent/US20220353239A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20220353239A1 (en) | 2022-11-03 |
EP4080843A1 (en) | 2022-10-26 |
KR20220126736A (ko) | 2022-09-16 |
WO2021142803A1 (zh) | 2021-07-22 |
CN114982199A (zh) | 2022-08-30 |
CN115866022A (zh) | 2023-03-28 |
EP4080843A4 (en) | 2022-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11133985B2 (en) | Systems and methods for intuitive home networking | |
US9363099B2 (en) | UPnP/DLNA with RADA hive | |
CN113055943B (zh) | 接入网络实体、终端及其方法 | |
CN109150568B (zh) | 一种网络管理方法、装置、系统、设备和存储介质 | |
EP3430824B1 (en) | Methods and systems for managing inter-device connectivity | |
KR100681625B1 (ko) | 장치간 동적 네트워킹을 구성하여 리소스 공유를 구현하는 방법 | |
CN108810993B (zh) | 网络切片选择方法、设备、ue、控制面功能实体及介质 | |
US10630551B2 (en) | Method and apparatus for automatic networking of gateway device | |
EP2219412A2 (en) | System and method for automatic wireless connection between a portable terminal and a digital device | |
CN105392181B (zh) | 一种智能设备的联网方法、装置及系统 | |
CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
CN108781174B (zh) | 设备连接方法、装置、电子设备及可读存储介质 | |
EP2908477B1 (en) | Remote access method and device | |
US20220353239A1 (en) | Security information discovery method, security information configuration method, and device | |
WO2017023998A1 (en) | Mechanisms for ad hoc service discovery | |
EP2974128B1 (en) | Localizing a multicast service | |
CN113316147A (zh) | 配网方法、终端设备及可读存储介质 | |
CN104994158B (zh) | 一种通过集中式网关安全控制家电的方法 | |
WO2020177020A1 (zh) | 物联网设备的发现方法、装置及终端设备 | |
CN113678421B (zh) | 安全域的配置、发现和加入方法及装置、电子设备 | |
JP2020088712A (ja) | 通信装置およびその制御方法 | |
WO2024046143A1 (zh) | 一种配置方法、介质和电子设备 | |
CN113678420B (zh) | 一种配置客户端的方法及装置、终端设备 | |
WO2024022182A1 (zh) | 信息查询方法、装置、终端及网络侧设备 | |
CN113661690A (zh) | 一种配置客户端的方法及装置、终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221219 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230929 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20240419 |