JP2023535474A - アソシエーション制御方法及び関連装置 - Google Patents

アソシエーション制御方法及び関連装置 Download PDF

Info

Publication number
JP2023535474A
JP2023535474A JP2023505821A JP2023505821A JP2023535474A JP 2023535474 A JP2023535474 A JP 2023535474A JP 2023505821 A JP2023505821 A JP 2023505821A JP 2023505821 A JP2023505821 A JP 2023505821A JP 2023535474 A JP2023535474 A JP 2023535474A
Authority
JP
Japan
Prior art keywords
node
identity
authentication
association
blacklist
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023505821A
Other languages
English (en)
Inventor
ワン,ヨン
チェン,ジン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2023535474A publication Critical patent/JP2023535474A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/66Trust-dependent, e.g. using trust scores or trust relationships
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)

Abstract

アソシエーション法及び装置が提供され、近距離通信に適用される。この方法は、第2のノードのアイデンティティが信頼されていると決定することと(S303)、第1の認証要求を第2のノードに送信することであって、第1の認証要求は、共有鍵に基づいて生成される第1のアイデンティティ認証情報を含む、ことと(S304)、第2のノードから第1の認証応答を受信することであって、第1の認証応答は、第2のアイデンティティ認証情報を含む、ことと、共有鍵に基づいて第2のアイデンティティ認証情報に対して検証を実行することと(S307)、検証が失敗した場合、第1の認証失敗カウンタを更新することとと(S308)、を含む。これは、ノードが認証されていない攻撃者とのアソシエーションを確立することを防止し、ノードのデータ・セキュリティを保護することができる。

Description

本発明は、通信技術の分野に関連し、特に、近距離通信技術の分野、例えば、コックピット・ドメイン通信に関連する。具体的には、通信セキュリティ管理のためのアソシエーション制御方法及び関連装置が提供される。
情報化の急速な発展に伴い、携帯電話、タブレット端末、その他のポータブル・インテリジェント端末に関わらず、携帯端末は不可欠なパーソナル・インテリジェント・ツールとなっている。情報化によりもたらされる利便性を享受する一方で、人々は、セキュリティの脆弱性やプライバシーの流出といった脅威にも直面している。インテリジェント車両が一例として使用される。車両通信が広く適用されているため、車両通信は車両に対する一連のセキュリティ・リスクももたらす。例えば、既存の近距離通信技術(ワイヤレス・フィデリティWi-Fi、ブルートゥースなど)では、ハッカーは車載情報システムに侵入して、車両情報を取得したり、車両を遠隔操作させることさえあり得る。これは、ユーザのプライバシー及び車両のセキュリティに非常に大きな脅威をもたらす。世界中で数百万台の車両が影響を受ける。別の例として、サービス拒否(Denial of Service、DoS)は、車両通信プロセスにおいて最も一般的で、容易に受信される攻撃行動である。サービス拒否の攻撃者は、ネットワーク・プロトコル実装の欠陥を故意に攻撃するか、又は攻撃されたオブジェクト(例えば、車両の制御センタ)のリソースを乱暴に消費する攻撃的な手段を直接使用し、その結果、攻撃されたオブジェクトは、正常なサービスを提供できず、応答を停止したり、機能停止することさえある。認証フラッド(Auth Flood)攻撃は、DoS攻撃の1タイプである。攻撃者は、アソシエーションされるノードに多数の要求フレームを送信する。ノードが多数の要求フレームを受信し、ノードが負うことができる処理能力を超えるときに、ノードは機能停止し、正常なサービスを提供し続けることができなくなり、これは、別のノードとノードとの間の通信に影響を与える。したがって、通信のセキュリティを保証するために、ノードのアソシエーション制御が非常に重要である。
従来技術では、アソシエーションを要求するノードは、ホワイトリスト又はブラックリスト技術を使用して制限されることがある。具体的には、ノードAの識別子がノードBのホワイトリストにある場合、ノードBはノードAからアソシエーション要求を受け取り、アソシエーションを実行する。これに対応して、ノードCの識別子がノードBのブラックリストにある場合、ノードBは、ノードCからアソシエーション要求を受信しなくてもよいか、又はアソシエーションの実行を拒否してもよい。具体的には、例えば、ブルートゥース通信処理において、ブルートゥース・デバイスがホワイトリストを確立し、その結果、ブルートゥース・デバイスは、特定のブルートゥース・デバイス(すなわち、ホワイトリストにリストされたブルートゥース・デバイス)とのアソシエーションを確立することができる。しかしながら、ホワイトリスト又はブラックリストは、通常、識別子(デバイス・アドレスなど)を使用してフィルタリングを実行する。攻撃者は、攻撃者の識別子を信頼されている識別子に変更することがあり、その結果、認証されていない攻撃者をノードは識別することができない。結果として、ノードは攻撃者とアソシエーションを確立し、ノードのデータ・セキュリティを脅かすことがある。
したがって、認証されていない攻撃者とアソシエーションをノードが確立することをどのように防止するかは、当業者が研究しているホットな問題である。
この出願の実施形態は、認証されていない攻撃者とアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを保護するためのアソシエーション制御方法及び関連装置を開示する。
第1の態様によれば、この出願の実施形態は、アソシエーション制御方法を提供する。方法は、
第1のアソシエーション要求を第2のノードから受信することと、
第2のノードのアイデンティティが信頼されていることを決定し、第1の認証要求を第2のノードに送信することであって、第1の認証要求は、第1のアイデンティティ認証情報を含み、第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて生成され、共有鍵は、第1のノードと第2のノードとの間で共有される第1の秘密値とみなされ得る、ことと、
第2のノードから第1の認証応答を受信することであって、第1の認証応答は、第2のアイデンティティ認証情報を含む、ことと、
共有鍵に基づいて第2のアイデンティティ認証情報に対して検証を実行することと、
第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新することであって、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す、こととを、含む。
この出願のこの実施形態では、第2のノードのアイデンティティが信頼されていると決定された後に、第2のノードのアイデンティティは、第1のノードと第2のノードとの間で共有される共有鍵に基づいてさらに検証される必要がある。このように、攻撃者が、識別子を修正することにより、「アイデンティティが信頼されていると決定する」ステップを避ける場合でも、アイデンティティ認証情報を偽造することが難しいため、攻撃者に対する第1のノードによって実行されるアイデンティ認証は依然として成功することができない。したがって、認証されていない攻撃者とのアソシエーションをノードが確立することが防止され、ノードのデータ・セキュリティが向上する。
さらに、検証が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、(例えば、認証要求を送信する)ノードのアソシエーション要求はもはや処理されなくてもよく、ノードが多数の要求を処理することで動作停止することを防止し、ノードによって提供されるサービスの正常な動作を保証する。
第1の態様の可能な実装では、第2のノードのアイデンティティが信頼されていると決定することは、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを含む。
前述の方法では、ブラックリスト又はホワイトリストに基づいてアソシエーションを要求するノードが制御されてもよく、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これにより、多数の要求の処理による機能停止を防止し、サービスの正常な動作を保証することができる。追加的に、ノードは、アイデンティティ認証を受けないノードとのアソシエーションを確立しないため、ノードが認証されていない攻撃者とのアソシエーションを確立することが防止され、ノードのデータ・セキュリティが向上する。
第1の態様の別の可能な実装では、第2のノードのアイデンティティが信頼されていると決定することは、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを含む。
第1の態様のさらに別の可能な実装では、第1の認証応答は、第2の完全性検査データをさらに含み、第2の完全性検査データは、第1の認証応答に対してメッセージ完全性検査を実行するために使用される。方法は、
第1の認証応答に対するメッセージ完全性検査が成功したと決定することをさらに含む。
第2のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第2のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、ノードによって提供されるサービスの安定した動作を保証する。
第1の態様のさらに別の可能な実装では、第2のノードから第1のアソシエーション要求を受信する前に、方法は、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定することであって、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す、ことをさらに含む。
前述の方法では、第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信され得る。第1のアソシエーション閾値は、ノードによって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、ノードは、アソシエーション要求をもはや受信又は処理しなくてもよく、ノードとノードにアソシエーションされた別のノードとの間の通信に影響を与えず、ノードによって提供されるサービスの安定した動作を保証する。
第1の態様のさらに別の可能な実装では、方法は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション応答を第2のノードに送信することであって、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される、ことをさらに含む。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
第1の態様のさらに別の可能な実装では、方法は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション失敗カウンタをリセットすることをさらに含む。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、ノードによって提供されるサービスの安定した動作を保証することが分かる。
第1の態様のさらに別の可能な実装では、共有鍵に基づいた第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新した後に、方法は、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加することをさらに含む。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第1の態様のさらに別の可能な実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続期間は1週間であってもよく、ブラックリストに追加された1週間後に、ブラックリストから第2のノードの識別子が削除されてもよい。
第1の態様のさらに別の可能な実装では、方法は、
第1のブラックリストに第2のノードの識別子が追加されている持続期間が第1の持続期間を超える場合、第1のブラックリストから第2のノードの識別子を削除することであって、第1の持続期間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する、ことをさらに含む。
前述の実装は、第1のブラックリストの有効期間に関連する要因を説明する。第1のブラックリストの有効期間は、第2のノードが第1のブラックリストに追加された回数に関連してもよい。第2のノードが第1のブラックリストに追加された回数が多いほど、第1のブラックリストにある第2のノードの持続期間が長くなることを示す。さらに、任意選択で、第1のブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードが第1のブラックリストに永久的に追加されてもよい。
追加的に、第1のブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第1のノードは、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。第1の態様のさらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、ノードのリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
第2の態様によれば、この出願の実施形態は、アソシエーション方法をさらに提供する。方法は、
第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を第1のノードに送信することと、
第1の認証要求を第1のノードから受信することであって、第1の認証要求は、第1のアイデンティティ認証情報を含む、ことと、
第2のノードと第1のノードとの間の共有鍵に基づいて第1のアイデンティティ認証情報に対して検証を実行することであって、共有鍵は、第1のノードと第2のノードとの間で共有される秘密の値である、ことと、
第1のアイデンティティ認証情報に対する検証が成功した場合、第1のノードに第1の認証応答を送信することであって、第1の認証応答は、第2のアイデンティティ認証情報を含み、第2のアイデンティティ認証情報は、共有鍵に基づいて生成される、こととを含む。
この出願のこの実施形態では、第1のノードのアイデンティティが信頼されていると決定された後、第1のアソシエーション要求が第1のノードに送信される。次いで、共有鍵を使用して、第1の認証要求における第1のアイデンティティ認証情報に基づいて、第1のノードのアイデンティティ認証情報に対する検証が実行される。検証が成功した後に、第2のアイデンティティ認証情報が第1のノードに送信される。第2のアイデンティティ認証情報は、第1のノードが第2のノードのアイデンティティを検証するために使用されてもよい。アイデンティティが信頼されていると決定された後に、アソシエーションは、両者のアイデンティティ認証が成功した後にのみ実行され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第2のノードによって実行されるアイデンティティ認証を避けることが難しく、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第2の態様の可能な実装では、第1のノードのアイデンティティが信頼されていると決定することは、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを含む。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、ノードは、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第2の態様の別の可能な実装では、第1のノードのアイデンティティが信頼されていると決定することは、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを含む。
第2の態様のさらに別の可能な実装では、第1の認証要求は、第1の完全性検査データをさらに含み、第1の完全性検査データは、第1の認証要求に対してメッセージ完全性検査を実行するために使用される。
方法は、
第1の認証要求に対するメッセージ完全性検査が成功したと決定することをさらに含む。
第1のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第1のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、ノードによって提供されるサービスの安定した動作を保証する。
第2の態様のさらに別の可能な実装では、第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を第1のノードに送信する前に、方法は、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定することであって、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す、ことをさらに含む。
前述の方法では、アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、ノードにアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、ノードは、別のノードにアソシエーションされることができず、ノードとノードにアソシエーションされた別のノードとの間の通信に影響を与えず、ノードによって提供されるサービスの安定した動作を保証する。
第2の態様のさらに別の可能な実装では、方法は、
第1のノードから第1のアソシエーション応答を受信することであって、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される、ことをさらに含む。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、第2のノードは、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを第2のノードに通知してもよい。
第2の態様のさらに別の可能な実装では、方法は、
第2の認証失敗カウンタをリセットすることであって、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す、ことをさらに含む。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、ノードによって提供されるサービスの安定した動作を保証することが分かる。
第2の態様のさらに別の可能な実装では、方法は、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新することであって、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す、ことをさらに含む。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、第1のノードのアイデンティティ検証失敗の数が更新され、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第1のノードによって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第2の態様のさらに別の可能な実装では、第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新した後に、方法は、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定することと、
第1のノードの識別子を第2のブラックリストに追加することと、をさらに含む。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードが認証要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第2の態様のさらに別の可能な実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、第2の持続期間は10日であってもよく、ブラックリストに追加されてから10日後に、ブラックリストから第1のノードの識別子が削除されてもよい。
第2の態様のさらに別の可能な実装では、第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新した後に、方法は、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第1のノードに第2のアソシエーション要求を送信することと、をさらに含む。
アイデンティティ認証情報を検証する処理において、いくつかのパラメータは伝送プロセスにおいて失われるか又は誤って伝送されるため、アイデンティティ認証情報に対する検証も失敗する可能性があることが理解されよう。したがって、第1のノードの検証失敗の数が事前セットされた第2の閾値を超えない場合、アソシエーション要求は、第1のノードに再送されて、ノードとアソシエーションを確立することを要求してもよい。このようにして、システムの頑健性が向上し、ノードによって提供されるサービスの安定した動作が保証される。
第2の態様のさらに別の可能な実装では、第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新した後に、方法は、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、をさらに含む。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
第2の態様のさらに別の可能な実装では、方法は、
第2のブラックリストに第1のノードの識別子が追加されている持続期間が第2の持続期間を超える場合、第2のブラックリストから第1のノードの識別子を削除することであって、第2の持続期間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプのうちの少なくとも1つに関連する、ことをさらに含む。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続期間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第2のノードは、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
第2の態様のさらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
第3の態様によれば、この出願の実施形態は、アソシエーション制御方法をさらに提供する。装置は、
第2のノードから第1のアソシエーション要求を受信するように構成されている通信ユニットと、
第2のノードのアイデンティティが信頼されていると決定し、通信ユニットを使用して、第1の認証要求を第2のノードに送信するように構成されている処理ユニットであって、第1の認証要求は、第1のアイデンティティ認証情報を含み、第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて生成される、処理ユニットと、を含む。
通信ユニットは、第2のノードから第1の認証応答を受信するようにさらに構成されている。第1の認証応答は、第2のアイデンティティ認証情報を含む。
処理ユニットは、共有鍵に基づいて、第2のアイデンティティ認証情報に対して検証を実行するようにさらに構成される。
処理ユニットは、第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新するようにさらに構成されている。第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す。
この出願のこの実施形態では、装置は、第2のノードのアイデンティティが信頼されていると決定した後に、第2のノードと共有される共有鍵に基づいて第2のノードのアイデンティティを検証する。このように、攻撃者が、識別子を修正することにより、アイデンティティが装置から信頼されていると決定するステップを避ける場合でも、アイデンティティ認証情報を偽造することが難しいため、攻撃者に対する装置によって実行されるアイデンティ認証は依然として成功することができない。したがって、認証されていない攻撃者とのアソシエーションを装置が確立することが防止され、ノードのデータ・セキュリティが向上する。
さらに、検証が失敗した場合、装置は、検証失敗の数を更新する。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、装置は、(例えば、認証要求を送信する)ノードのアソシエーション要求をもはや処理しなくてもよく、装置が多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
第3の態様の可能な実装では、処理ユニットは、具体的には、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを行うように構成されている。
装置は、ブラックリスト又はホワイトリストに基づいてアソシエーションを要求するノードを制御し、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これにより、多数の要求の処理による機能停止を防止し、サービスの正常な動作を保証することができる。追加的に、装置は、アイデンティティ認証を受けないノードとのアソシエーションを確立しないため、装置が認証されていない攻撃者とのアソシエーションを確立することが防止され、装置のデータ・セキュリティが向上する。
第3の態様の別の可能な実装では、処理ユニット702は、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
第3の態様のさらに別の可能な実装では、第1の認証応答は、第2の完全性検査データをさらに含み、第2の完全性検査データは、第1の認証応答に対してメッセージ完全性検査を実行するために使用される。
処理ユニットは、具体的には、
第1の認証応答に対するメッセージ完全性検査が成功したと決定するように構成されている。
第2のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第2のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証する。
第3の態様のさらに別の可能な実装では、処理ユニットは、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定するようにさらに構成されており、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第1のアソシエーション閾値が装置に事前セットされていることが分かる。第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信されてもよい。第1の閾値は、装置によって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、装置は、アソシエーション要求をもはや受信又は処理しなくてもよく、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
第3の態様のさらに別の可能な実装では、通信ユニットは、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション応答を第2のノードに送信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
第3の態様のさらに別の可能な実装では、処理ユニットは、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1の認証失敗カウンタをリセットするようにさらに構成されている。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
第3の態様のさらに別の可能な実装では、処理ユニットは、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加するようにさらに構成されている。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
第3の態様のさらに別の可能な実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続期間は1週間であってもよく、ブラックリストに追加された1週間後に、ブラックリストから第2のノードの識別子が削除されてもよい。
第3の態様のさらに別の可能な実装では、処理ユニットは、
第1のブラックリストに第2のノードの識別子が追加されている持続期間が第1の持続期間を超える場合、第1のブラックリストから第2のノードの識別子を削除するようにさらに構成されており、第1の持続期間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第1のブラックリストの有効期間に関連する要因を説明する。第1のブラックリストの有効期間は、第2のノードが第1のブラックリストに追加された回数に関連してもよい。第2のノードが第1のブラックリストに追加された回数が多いほど、第1のブラックリストにある第2のノードの持続期間が長くなることを示す。さらに、任意選択で、第1のブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードが第1のブラックリストに永久的に追加されてもよい。
追加的に、第1のブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第1のノードは、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。デバイス・タイプの数は、この出願では具体的には限定されず、特定のシナリオに基づいて設計されてもよい。
第3の態様のさらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、装置のリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
第4の態様によれば、この出願の実施形態は、アソシエーション装置をさらに提供する。装置は、
第1のノードのアイデンティティが信頼されていると決定し、通信ユニットを使用して、第1のアソシエーション要求を前記第1のノードに送信するように構成されている処理ユニットを含む。
通信ユニットは、第1のノードから第1の認証要求を受信するようにさらに構成されている。第1の認証要求には、第1のアイデンティティ認証情報を含む。
処理ユニットは、第2のノードと第1のノードとの間の共有鍵に基づいて第1のアイデンティティ認証情報に対して検証を実行するようにさらに構成されている。
通信ユニットは、第1のアイデンティティ認証情報に対する検証が成功した場合、第1の認証応答を第1のノードに送信するようにさらに構成されている。第1の認証応答は、第2のアイデンティティ認証情報を含み、第2のアイデンティティ認証情報は、共有鍵に基づいて生成される。
この出願のこの実施形態では、第1のノードのアイデンティティが信頼されていると決定した後に、装置は、第1のアソシエーション要求を第1のノードに送信する。次いで、共有鍵を使用して、第1の認証要求における第1のアイデンティティ認証情報に基づいて、第1のノードのアイデンティティ認証情報に対する検証が実行される。検証が成功した後に、第2のアイデンティティ認証情報が第1のノードに送信される。第2のアイデンティティ認証情報は、第1のノードが装置のアイデンティティを検証するために使用されてもよい。アイデンティティが信頼されていると決定された後に、アソシエーションは、両者のアイデンティティ認証が成功した後にのみ実行され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第2のノードによって実行されるアイデンティティ認証を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
第4の態様の可能な実装では、処理ユニットは、具体的には、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを行うようにさらに構成されている。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、装置は、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第4の態様の別の可能な実装では、処理ユニットは、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うようにさらに構成されている。
第4の態様のさらに別の可能な実装では、第1の認証要求は、第1の完全性検査データをさらに含み、第1の完全性検査データは、第1の認証要求に対してメッセージ完全性検査を実行するために使用される。
処理ユニットは、
第1の認証要求に対するメッセージ完全性検査が成功したと決定するようにさらに構成されている。
第1のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第1のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証する。
第4の態様のさらに別の可能な実装では、処理ユニットは、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定するようにさらに構成されており、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第2のアソシエーション閾値が装置に事前セットされていることが分かる。アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、装置にアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、装置は、別のノードにアソシエーションされることができず、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
第4の態様のさらに別の可能な実装では、通信ユニットは、
第1のノードから第1のアソシエーション応答を受信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、装置は、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを装置に通知してもよい。
第4の態様のさらに別の可能な実装では、処理ユニットは、
第2の認証失敗カウンタをリセットするようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
第4の態様のさらに別の可能な実装では、処理ユニットは、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第1のノードによって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第4の態様のさらに別の可能な実装では、処理ユニットは、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定し、
第1のノードの識別子を第2のブラックリストに追加するようにさらに構成されている。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
第4の態様のさらに別の可能な実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第2の持続期間は10日であってもよく、ブラックリストに追加されてから10日後に、ブラックリストから第1のノードの識別子が削除されてもよい。
第4の態様のさらに別の可能な実装では、処理ユニットは、第2の認証失敗カウンタの値が第2の閾値未満であることを決定するようにさらに構成されている。
通信ユニットは、第1のノードに第2のアソシエーション要求を送信するようにさらに構成されている。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第1のノードによって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
第4の態様のさらに別の可能な実装では、プロセッサは、
第2の認証失敗カウンタの値が第2の閾値より小さいことを決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
第4の態様のさらに別の可能な実装では、プロセッサは、
第2のブラックリストに第1のノードの識別子が追加されている持続期間が第2の持続期間を超える場合、第2のブラックリストから第1のノードの識別子を削除するようにさらに構成されており、第2の持続期間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続期間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第2のノードは、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
第4の態様のさらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
第5の態様によれば、この出願の実施形態は、通信装置をさらに提供する。装置は、少なくとも1つのプロセッサと、通信インターフェースと、を含み、少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、その結果、装置が、第1の態様又は第1の態様の可能な実装のいずれか1つによる方法を実装する。
第5の態様の可能な実施において、少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、
通信インターフェースを介して第2のノードから第1のアソシエーション要求を受信することと、
第2のノードのアイデンティティが信頼されていると決定し、通信インターフェースを介して第1の認証要求を第2のノードに送信することであって、第1の認証要求は、第1のアイデンティティ認証情報を含み、第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて生成され、共有鍵は、第1のノードと第2のノードとの間で共有される第1の秘密値とみなされ得る、ことと、
通信インターフェースを介して第2のノードから第1の認証応答を受信することであって、第1の認証応答は、第2のアイデンティティ認証情報を含む、ことと、
共有鍵に基づいて第2のアイデンティティ認証情報に対して検証を実行することと、
第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新することであって、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す、こととを行う動作を実行するように構成されている。
この出願のこの実施形態では、装置は、第2のノードのアイデンティティが信頼されていると決定した後に、第2のノードと共有される共有鍵に基づいて第2のノードのアイデンティティを検証する。このように、攻撃者が、識別子を修正することにより、アイデンティティが装置から信頼されていると決定するステップを避ける場合でも、アイデンティティ認証情報を偽造することが難しいため、攻撃者に対する装置によって実行されるアイデンティ認証は依然としてことができない。したがって、認証されていない攻撃者とのアソシエーションを装置が確立することが防止され、装置のデータ・セキュリティが向上する。
さらに、検証が失敗した場合、装置は、検証失敗の数を更新する。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、装置は、(例えば、認証要求を送信する)ノードのアソシエーション要求をもはや処理しなくてもよく、装置が多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
第5の態様の別の可能な実装では、プロセッサは、具体的には、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを行うように構成されている。
装置は、ブラックリスト又はホワイトリストに基づいてアソシエーションを要求するノードを制御し、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これにより、多数の要求の処理による機能停止を防止し、サービスの正常な動作を保証することができる。追加的に、装置は、アイデンティティ認証を受けないノードとのアソシエーションを確立しないため、装置が認証されていない攻撃者とのアソシエーションを確立することが防止され、装置のデータ・セキュリティが向上する。
第5の態様のさらに別の可能な実装では、プロセッサは、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
第5の態様のさらに別の可能な実装では、第1の認証応答は、第2の完全性検査データをさらに含み、第2の完全性検査データは、第1の認証応答に対してメッセージ完全性検査を実行するために使用される。
プロセッサは、第1の認証応答に対するメッセージ完全性検査が成功したと決定するようにさらに構成されている。
第2のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第2のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証する。
第5の態様のさらに別の可能な実装では、プロセッサは、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定するようにさらに構成されており、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第1のアソシエーション閾値が装置に事前セットされていることが分かる。第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信されてもよい。第1の閾値は、ノードによって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、装置は、アソシエーション要求をもはや受信又は処理しなくてもよく、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
第5の態様のさらに別の可能な実装では、プロセッサは、
第2のアイデンティティ認証情報に対する検証が成功した場合、通信インターフェースを介して第1のアソシエーション応答を第2のノードに送信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
第5の態様のさらに別の可能な実装では、プロセッサは、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1の認証失敗カウンタをリセットするようにさらに構成されている。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
第5の態様のさらに別の可能な実装では、プロセッサは、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加するようにさらに構成されている。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第5の態様のさらに別の可能な実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続期間は1週間であってもよく、ブラックリストに追加された1週間後に、ブラックリストから第2のノードの識別子が削除されてもよい。
第5の態様のさらに別の可能な実装では、プロセッサは、
第1のブラックリストに第2のノードの識別子が追加されている持続期間が第1の持続期間を超える場合、第1のブラックリストから第2のノードの識別子を削除するようにさらに構成されており、第1の持続期間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、ブラックリストの有効期間に関連する要因を説明する。ブラックリストの有効期間は、第2のノードがブラックリストに追加された回数に関連してもよい。第2のノードがブラックリストに追加された回数が多いほど、ブラックリストにある第2のノードの持続期間が長くなることを示す。さらに、任意選択で、ブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードがブラックリストに永久的に追加されてもよい。
追加的に、ブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、装置は、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
第5の態様のさらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、装置のリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
第6の態様によれば、この出願の実施形態は、通信装置をさらに提供する。装置は、少なくとも1つのプロセッサと、通信インターフェースと、を含み、少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、その結果、装置が、第1の態様又は第1の態様の可能な実装のいずれか1つによる方法を実装する。
第6の態様の可能な実施において、少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、
第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を第1のノードに送信することと、
第1の認証要求を第1のノードから受信することであって、第1の認証要求は、第1のアイデンティティ認証情報を含む、ことと、
第2のノードと第1のノードとの間の共有鍵に基づいて第1のアイデンティティ認証情報に対して検証を実行することであって、共有鍵は、第1のノードと第2のノードとの間で共有される秘密の値である、ことと、
第1のアイデンティティ認証情報に対する検証が成功した場合、第1のノードに第1の認証応答を送信することであって、第1の認証応答は、第2のアイデンティティ認証情報を含み、第2のアイデンティティ認証情報は、共有鍵に基づいて生成される、こととを行う動作を実行するように構成されている。
この出願のこの実施形態では、第1のノードのアイデンティティが信頼されていると決定した後に、装置は、第1のアソシエーション要求を第1のノードに送信する。次いで、共有鍵を使用して、第1の認証要求における第1のアイデンティティ認証情報に基づいて、第1のノードのアイデンティティ認証情報に対する検証が実行される。検証が成功した後に、第2のアイデンティティ認証情報が第1のノードに送信される。第2のアイデンティティ認証情報は、第1のノードが装置のアイデンティティを検証するために使用されてもよい。アイデンティティが信頼されていると決定された後に、アソシエーションは、両者のアイデンティティ認証が成功した後にのみ実行され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の装置によって実行されるアイデンティティ認証を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第6の態様の別の可能な実装では、プロセッサは、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを行うようにさらに構成されている。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、装置は、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第6の態様のさらに別の可能な実装では、プロセッサは、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うようにさらに構成されている。
第6の態様のさらに別の可能な実装では、第1の認証要求は、第1の完全性検査データをさらに含み、第1の完全性検査データは、第1の認証要求に対してメッセージ完全性検査を実行するために使用される。
プロセッサは、第1の認証要求に対するメッセージ完全性検査が成功したと決定するようにさらに構成されている。
第1のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第1のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証する。
第6の態様のさらに別の可能な実装では、プロセッサは、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定するようにさらに構成されており、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第2のアソシエーション閾値が装置に事前セットされていることが分かる。アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、装置にアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、装置は、別のノードにアソシエーションされることができず、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
第6の態様のさらに別の可能な実装では、プロセッサは、
第1のノードから第1のアソシエーション応答を受信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、装置は、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを装置に通知してもよい。
第6の態様のさらに別の可能な実装では、プロセッサは、
第2の認証失敗カウンタをリセットするようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
第6の態様のさらに別の可能な実装では、プロセッサは、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の装置によって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第6の態様のさらに別の可能な実装では、プロセッサは、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定し、
第1のノードの識別子を第2のブラックリストに追加するようにさらに構成されている。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードが認証要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第6の態様のさらに別の可能な実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第2の持続期間は10日であってもよく、ブラックリストに追加されてから10日後に、ブラックリストから第1のノードの識別子が削除されてもよい。
第6の態様のさらに別の可能な実装では、プロセッサは、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
アイデンティティ認証情報を検証する処理において、いくつかのパラメータは伝送プロセスにおいて失われるか又は誤って伝送されるため、アイデンティティ認証情報に対する検証も失敗する可能性があることが理解されよう。したがって、第1のノードの検証失敗の数が事前セットされた第2の閾値を超えない場合、アソシエーション要求は、第1のノードに再送されて、第1のノードとアソシエーションを確立することを要求してもよい。このようにして、システムの頑健性が向上し、装置によって提供されるサービスの安定した動作が保証される。
第6の態様のさらに別の可能な実装では、プロセッサは、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
第6の態様のさらに別の可能な実装では、プロセッサは、
第2のブラックリストに第1のノードの識別子が追加されている持続期間が第2の持続期間を超える場合、第2のブラックリストから第1のノードの識別子を削除するようにさらに構成されており、第2の持続期間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続期間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、装置は、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
第6の態様のさらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
第7の態様によれば、この出願の実施形態は、アソシエーション制御方法をさらに提供する。方法は、
第1のアソシエーション要求を第2のノードから受信することと、
第2のノードのアイデンティティが信頼されていると決定し、第1の認証要求を第2のノードに送信することであって、第1の認証要求は、第1の完全性検査データを含む、ことと、
第2のノードから第1の認証応答を受信することであって、第1の認証応答は、第2の完全性検査データを含む、ことと、
第2の完全性検査データに基づいて、第1の認証応答に対してメッセージ完全性検査を実行することと、
第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1の認証失敗カウンタを更新することであって、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す、ことと、を含む。
この出願のこの実施形態では、第2のノードのアイデンティティが信頼されていると決定された後に、アソシエーションが実行される前に、第2のノードからの認証応答メッセージに対して、メッセージ完全性検査がさらに実行される必要がある。メッセージ完全性検査が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかをその後に決定するために使用されてもよく、その結果、攻撃者が認証処理においてデータ(例えば、アイデンティティ認証情報)を改ざんすることが防止され得る。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第7の態様の可能な実装では、第2のノードのアイデンティティが信頼されていると決定することは、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを含む。
前述の方法では、ブラックリスト又はホワイトリストによってアソシエーションを要求するノードが制御されてもよく、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第7の態様の可能な実装では、第2のノードのアイデンティティが信頼されていると決定することは、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを含む。
第7の態様の別の可能な実装では、第2のノードから第1のアソシエーション要求を受信する前に、方法は、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定することであって、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す、ことをさらに含む。
第1のアソシエーション閾値がノードに事前セットされていることが分かる。第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信されてもよい。第1の閾値は、ノードによって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、ノードは、アソシエーション要求をもはや受信又は処理しなくてもよく、ノードとノードにアソシエーションされた別のノードとの間の通信に影響を与えず、ノードによって提供されるサービスの安定した動作を保証する。
第7の態様のさらに別の可能な実装では、第1の認証応答は、第2のアイデンティティ認証情報をさらに含む。方法は、
第1の認証応答に対する完全性検査が成功した場合、第2のノードと共有される共有鍵に基づいて、第2のアイデンティティ認証情報に対して検証を実行することと、
第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新することであって、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す、こととを含む。
第2のノードのアイデンティティが信頼されていると決定された後、完全性検査が成功した場合、第2のノードと共有される共有鍵に基づいて、第2のノードのアイデンティティに対する検証が実行されることが分かる。検証が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、(例えば、認証要求を送信する)ノードのアソシエーション要求はもはや処理されなくてもよく、ノードが多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
第7の態様のさらに別の可能な実装では、方法は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション応答を第2のノードに送信することであって、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される、ことをさらに含む。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
第7の態様のさらに別の可能な実装では、方法は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1の認証失敗カウンタをリセットすることをさらに含む。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、ノードによって提供されるサービスの安定した動作を保証することが分かる。
第7の態様のさらに別の可能な実装では、方法は、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加することをさらに含む。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第7の態様のさらに別の可能な実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続期間は1週間であってもよく、ブラックリストに追加された1週間後に、ブラックリストから第2のノードの識別子が削除されてもよい。
第7の態様のさらに別の可能な実装では、方法は、
第1のブラックリストに第2のノードの識別子が追加されている持続期間が第1の持続期間を超える場合、第1のブラックリストから第2のノードの識別子を削除することであって、第1の持続期間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する、ことをさらに含む。
前述の実装は、第1のブラックリストの有効期間に関連する要因を説明する。第1のブラックリストの有効期間は、第2のノードが第1のブラックリストに追加された回数に関連してもよい。第2のノードが第1のブラックリストに追加された回数が多いほど、第1のブラックリストにある第2のノードの持続期間が長くなることを示す。さらに、任意選択で、ブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードがブラックリストに永久的に追加されてもよい。
追加的に、第1のブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第1のノードは、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。第7の態様のさらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、ノードのリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
第8の態様によれば、この出願の実施形態は、アソシエーション方法をさらに提供する。方法は、
第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を第1のノードに送信することと、
第1の認証要求を前記第1のノードから受信することであって、前記第1の認証要求は、第1の完全性検査データを含む、ことと、
第1の完全性検査データに基づいて、第1の認証要求に対してメッセージ完全性検査を実行することと、
通信ユニット1202は、第1の認証要求に対するメッセージ完全性検査が成功した場合、第1の認証応答を第1のノードに送信することと、第1の認証応答は、第2の完全性検査データを含む、ことと、を含む。
この出願のこの実施形態では、第2のノードのアイデンティティが信頼されていると決定された後に、通信が実行される前に、認証(例えば、アイデンティティ認証情報を使用した検証)が第1のノードに対してさらに実行される必要がある。攻撃者が認証処理においてデータを改ざんすることを防止するために、第1の認証要求に対してメッセージ完全性検査が最初に実行される必要がある。第1のノードとのアソシエーションは、メッセージ完全性検査が成功したときにのみ許可され、その結果、攻撃者がメッセージ・コンテンツを改ざんすることが防止され得る。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第8の態様の可能な実装では、第1のノードのアイデンティティが信頼されていると決定することは、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを含む。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、ノードは、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第8の態様の可能な実装では、第1のノードのアイデンティティが信頼されていると決定することは、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを含む。
第8の態様の別の可能な実装では、第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を第1のノードに送信する前に、方法は、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定することであって、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す、ことをさらに含む。
第2のアソシエーション閾値がノードに事前セットされていることが分かる。アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、ノードにアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、ノードは、別のノードにアソシエーションされることができず、ノードとノードにアソシエーションされた別のノードとの間の通信に影響を与えず、ノードによって提供されるサービスの安定した動作を保証する。
第8の態様のさらに別の可能な実装では、方法は、
第1のノードから第1のアソシエーション応答を受信することであって、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される、ことをさらに含む。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、第2のノードは、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを第2のノードに通知してもよい。
第8の態様のさらに別の可能な実装では、方法は、
第2の認証失敗カウンタをリセットすることであって、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す、ことをさらに含む。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、ノードによって提供されるサービスの安定した動作を保証することが分かる。
第8の態様のさらに別の可能な実装では、方法は、
第1の認証応答に対するメッセージ完全性検査が失敗した場合、第2の認証失敗カウンタを更新することであって、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す、ことをさらに含む。
通常、第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1の認証応答メッセージがもはや完全でないか、攻撃者によって修正されていることを示す。したがって、第1のノードのアイデンティティ検証失敗の数が更新され、検証失敗の数は、第1のノードのアイデンティティが信頼されているかどうかをその後に決定するために使用されてもよい。
第8の態様のさらに別の可能な実装では、第1の認証要求メッセージはは、第1のアイデンティティ認証情報をさらに含む。第1の認証応答に対するメッセージ完全性検査が成功した場合、第1の認証応答を送信することは、
第1の認証応答に対するメッセージ完全性検査が成功した場合、第1のノードと共有される共有鍵に基づいて、第1のアイデンティティ認証情報に対して検証を実行することと、
第1のアイデンティティ認証情報に対する検証が成功した場合、第1の認証応答を第1のノードに送信することと、を含む。
第1のノードのアイデンティティが信頼されていると決定された後、完全性検査が成功した場合、第1のノードと共有される共有鍵に基づいて、第1のノードのアイデンティティに対する検証が実行されることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者に対するアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第8の態様のさらに別の可能な実装では、方法は、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新することであって、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す、ことをさらに含む。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、第1のノードのアイデンティティ検証失敗の数が更新され、検証失敗の数は、ノードのアイデンティティ確認が信頼されているかどうかをその後に決定するために使用されてもよく、その結果、複数回検証されなかったノードが、信頼されているともはや決定されなくてもよいことが分かる。信頼されていると決定されないノードに対しては、アソシエーション要求がノードにもはや送信されなくてもよく、ノードによって提供されるサービスの正常な動作を保証する。
第8の態様のさらに別の可能な実装では、方法は、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定することと、
第1のノードの識別子を第2のブラックリストに追加することと、をさらに含む。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードが認証要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第8の態様のさらに別の可能な実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第2の持続期間は10日であってもよく、ブラックリストに追加されてから10日後に、ブラックリストから第1のノードの識別子が削除されてもよい。
第8の態様のさらに別の可能な実装では、第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新した後に、方法は、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第1のノードに第2のアソシエーション要求を送信することと、をさらに含む。
アイデンティティ認証情報を検証する処理において、いくつかのパラメータは伝送プロセスにおいて失われるか又は誤って伝送されるため、アイデンティティ認証情報に対する検証も失敗する可能性があることが理解されよう。したがって、第1のノードの検証失敗の数が事前セットされた第2の閾値を超えない場合、アソシエーション要求は、第1のノードに再送されて、ノードとアソシエーションを確立することを要求してもよい。このようにして、システムの頑健性が向上し、ノードによって提供されるサービスの安定した動作が保証される。
第8の態様のさらに別の可能な実装では、第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新した後に、方法は、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、をさらに含む。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
第8の態様のさらに別の可能な実装では、方法は、
第2のブラックリストに第1のノードの識別子が追加されている持続期間が第2の持続期間を超える場合、第2のブラックリストから第1のノードの識別子を削除することであって、第2の持続期間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプのうちの少なくとも1つに関連する、ことをさらに含む。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続期間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第2のノードは、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。第8の態様のさらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
第9の態様によれば、この出願の実施形態は、アソシエーション制御方法をさらに提供する。装置は、
第2のノードから第1のアソシエーション要求を受信するように構成されている通信ユニットと、
第2のノードのアイデンティティが信頼されていると決定し、通信ユニットを使用して、第1の認証要求を第2のノードに送信するように構成されている処理ユニットであって、第1の認証要求は、第1の完全性検査データを含む、処理ユニットと、を含む。
通信ユニットは、第2のノードから第1の認証応答を受信するようにさらに構成されており、第1の認証応答は、第2の完全性検査データを含む。
処理ユニットは、第2の完全性検査データに基づいて、第1の認証応答に対してメッセージ完全性検査を実行するようにさらに構成されている。
処理ユニットは、第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1の認証失敗カウンタを更新するようにさらに構成されている。第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す。
この出願のこの実施形態では、第2のノードのアイデンティティが信頼されていると決定した後に、装置は、アソシエーションが実行される前に、第2のノードからの認証応答メッセージに対してメッセージ完全性検査を実行することがさらに必要である。メッセージ完全性検査が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかをその後に決定するために使用されてもよく、その結果、攻撃者が認証処理においてデータ(例えば、アイデンティティ認証情報)を改ざんすることが防止され得る。これは、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第9の態様の可能な実装では、処理ユニットは、具体的には、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを行うように構成されている。
装置は、ブラックリスト又はホワイトリストを使用して、アソシエーションを要求するノードを制御し、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第9の態様の可能な実装では、処理ユニットは、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
第9の態様の別の可能な実装では、処理ユニットは、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定するようにさらに構成されており、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第1のアソシエーション閾値が装置に事前セットされていることが分かる。第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信されてもよい。第1の閾値は、装置によって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、装置は、アソシエーション要求をもはや受信又は処理しなくてもよく、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
第9の態様のさらに別の可能な実装では、処理ユニットは、
第1の認証応答に対する完全性検査が成功した場合、第2のノードと共有される共有鍵に基づいて、第2のアイデンティティ認証情報に対して検証を実行することと、
第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新することであって、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す、こととを行うようにさらに構成されている。
装置は、第2のノードのアイデンティティが信頼されていると決定した後に、完全性検査が成功した場合、第2のノードと共有される共有鍵に基づいて、第2のノードのアイデンティティに対して検証を実行することが分かる。検証が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、(例えば、認証要求を送信する)ノードのアソシエーション要求はもはや処理されなくてもよく、ノードが多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
第9の態様のさらに別の可能な実装では、通信ユニットは、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション応答を第2のノードに送信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
第9の態様のさらに別の可能な実装では、処理ユニットは、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1の認証失敗カウンタをリセットするようにさらに構成されている。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
第9の態様のさらに別の可能な実装では、処理ユニットは、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加するようにさらに構成されている。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
第9の態様のさらに別の可能な実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続期間は1週間であってもよく、ブラックリストに追加された1週間後に、ブラックリストから第2のノードの識別子が削除されてもよい。
第9の態様のさらに別の可能な実装では、処理ユニットは、
第1のブラックリストに第2のノードの識別子が追加されている持続期間が第1の持続期間を超える場合、第1のブラックリストから第2のノードの識別子を削除するようにさらに構成されており、第1の持続期間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第1のブラックリストの有効期間に関連する要因を説明する。第1のブラックリストの有効期間は、第2のノードが第1のブラックリストに追加された回数に関連してもよい。第2のノードが第1のブラックリストに追加された回数が多いほど、第1のブラックリストにある第2のノードの持続期間が長くなることを示す。さらに、任意選択で、第1のブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードが第1のブラックリストに永久的に追加されてもよい。
追加的に、第1のブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第1のノードは、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
第9の態様のさらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、装置のリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
第10の態様によれば、この出願の実施形態は、アソシエーション装置をさらに提供する。装置は、
第1のノードのアイデンティティが信頼されていると決定し、通信ユニットを使用して、第1のアソシエーション要求を前記第1のノードに送信するように構成されている処理ユニットを含む。
通信ユニットは、第1のノードから第1の認証要求を受信するようにさらに構成されている。第1の認証要求は、第1のアイデンティティ認証情報及び第1の完全性検査データを含む。
処理ユニットは、第1の完全性検査データに基づいて、第1の認証要求に対してメッセージ完全性検査を実行するようにさらに構成されている。
通信ユニットは、第1の認証要求に対するメッセージ完全性検査が成功した場合、第1の認証応答を第1のノードに送信するようにさらに構成されており、第1の認証応答は、第2の完全性検査データを含む。
この出願のこの実施形態では、第2のノードのアイデンティティが信頼されていると決定した後、装置は、通信が実行される前に、第1のノードに対する認証(例えば、アイデンティティ認証情報を使用した検証)を実行することがさらに必要である。攻撃者が認証処理においてデータを改ざんすることを防止するために、第1の認証要求に対してメッセージ完全性検査が最初に実行される必要がある。第1のノードとのアソシエーションは、メッセージ完全性検査が成功したときにのみ許可され、その結果、攻撃者がメッセージ・コンテンツを改ざんすることが防止され得る。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第10の態様の可能な実装では、処理ユニットは、具体的には、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを行うようにさらに構成されている。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、装置は、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
第10の態様の可能な実装では、処理ユニットは、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
第9の態様のさらに別の可能な実装では、処理ユニットは、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定するようにさらに構成されており、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第2のアソシエーション閾値が装置に事前セットされていることが分かる。アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、装置にアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、装置は、別のノードにアソシエーションされることができず、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
第10の態様のさらに別の可能な実装では、通信ユニットは、
第1のノードから第1のアソシエーション応答を受信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、装置は、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを装置に通知してもよい。
第10の態様のさらに別の可能な実装では、処理ユニットは、
第2の認証失敗カウンタをリセットするようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
第10の態様のさらに別の可能な実装では、処理ユニットは、
第1の認証応答に対するメッセージ完全性検査が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
通常、第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1の認証応答メッセージがもはや完全でないか、攻撃者によって修正されていることを示す。したがって、第1のノードの検証失敗の数が更新され、検証失敗の数は、第1のノードのアイデンティティが信頼されているかどうかをその後に決定するために使用されてもよい。
第10の態様のさらに別の可能な実装では、第1の認証要求メッセージはは、第1のアイデンティティ認証情報をさらに含む。処理ユニットは、第1の認証応答に対するメッセージ完全性検査が成功した場合、第1のノードと共有される共有鍵に基づいて、第1のアイデンティティ認証情報に対して検証を実行するようにさらに構成されている。
通信ユニットは、第1のアイデンティティ認証情報に対する検証が成功した場合、第1の認証応答を第1のノードに送信するようにさらに構成されている。
第1のノードのアイデンティティが信頼されていると決定された後、完全性検査が成功した場合、第1のノードと共有される共有鍵に基づいて、第1のノードのアイデンティティに対する検証が実行されることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の装置によって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
第10の態様のさらに別の可能な実装では、処理ユニットは、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティ確認が信頼されているかどうかをその後に決定するために使用されてもよく、その結果、複数回検証されなかったノードが、信頼されているともはや決定されなくてもよいことが分かる。信頼されていると決定されないノードに対しては、アソシエーション要求がノードにもはや送信されなくてもよく、ノードによって提供されるサービスの正常な動作を保証する。第10の態様のさらに別の可能な実装では、処理ユニットは、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定し、
第1のノードの識別子を第2のブラックリストに追加するようにさらに構成されている。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードが認証要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
第10の態様のさらに別の可能な実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第2の持続期間は10日であってもよく、ブラックリストに追加されてから10日後に、ブラックリストから第1のノードの識別子が削除されてもよい。
第10の態様のさらに別の可能な実装では、処理ユニットは、第2の認証失敗カウンタの値が第2の閾値未満であることを決定するようにさらに構成されている。
通信ユニットは、第1のノードに第2のアソシエーション要求を送信するようにさらに構成されている。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第1のノードによって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
第10の態様のさらに別の可能な実装では、処理ユニットは、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
第10の態様のさらに別の可能な実装では、処理ユニットは、
第2のブラックリストに第1のノードの識別子が追加されている持続期間が第2の持続期間を超える場合、第2のブラックリストから第1のノードの識別子を削除するようにさらに構成されており、第2の持続期間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプに関連する。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続期間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第2のノードは、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。第10の態様のさらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
第11の態様によれば、この出願の実施形態は、通信装置をさらに提供する。通信装置は、少なくとも1つのプロセッサと、通信インターフェースと、を含み、少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、その結果、装置が、第7の態様又は第7の態様の可能な実装のいずれか1つによる方法を実装する。
第12の態様によれば、この出願の実施形態は、通信装置をさらに提供する。装置は、少なくとも1つのプロセッサと、通信インターフェースと、を含み、少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、その結果、装置が、第8の態様又は第8の態様の可能な実装のいずれか1つによる方法を実装する。
第13の態様によれば、この出願の実施形態は、通信システムをさらに提供する。通信システムは、第1のノード及び第2のノードを含む。第1のノードは、第3の態様若しくは第3の態様の可能な実装のうちのいずれか1つ、又は第5の態様若しくは第5の態様の可能な実装のうちのいずれか1つに記載の装置である。第2のノードは、第4の態様若しくは第4の態様の可能な実装のうちのいずれか1つ、又は第6の態様若しくは第6の態様の可能な実装のうちのいずれか1つに記載の装置である。
第14の態様によれば、この出願の実施形態は、通信システムをさらに提供する。通信システムは、第1のノード及び第2のノードを含む。第1のノードは、第9の態様若しくは第9の態様の可能な実装、又は第11の態様のうちのいずれか1つに記載の装置である。第1のノードは、第10の態様若しくは第10の態様の可能な実装、又は第12の態様のうちのいずれか1つに記載の装置である。
第15の態様によれば、この出願の一実施形態は、コンピュータ可読記憶媒体を開示する。コンピュータ可読記憶媒体は、コンピュータ・プログラムを記憶する。コンピュータ・プログラムが1つ以上のプロセッサ上で動作するときに、第1の態様若しくは第1の態様の可能な実装のいずれか1つによる方法、第2の態様若しくは第2の態様の可能な実装のいずれか1つによる方法、第7の態様若しくは第7の態様の可能な実装のいずれか1つによる方法、又は第8の態様若しくは第8の態様の可能な実装のいずれか1つによる方法が実行される。
第16の態様によれば、この出願の一実施形態は、チップ・システムを開示する。チップ・システムは、少なくとも1つのプロセッサ、メモリ、及びインターフェース回路を含む。インターフェース回路は、少なくとも1つのプロセッサに情報の入力/出力を提供するように構成されており、メモリは、コンピュータ・プログラムを記憶し、コンピュータ・プログラムが1つ以上のプロセッサ上で動作するときに、第1の態様若しくは第1の態様の可能な実装のいずれか1つによる方法、第2の態様若しくは第2の態様の可能な実装のいずれか1つによる方法、第7の態様若しくは第7の態様の可能な実装のいずれか1つによる方法、又は第8の態様若しくは第8の態様の可能な実装のいずれか1つによる方法が実行される。
第17の態様によれば、この出願の一実施形態は、車両を開示する。車両は、第1のノード(例えば、車両コックピット・ドメイン・コントローラCDC)を含む。第1のノードは、第3の態様若しくは第3の態様の可能な実装のうちのいずれか1つ、又は第5の態様若しくは第5の態様の可能な実装のうちのいずれか1つに記載の装置である。さらに、車両は、第2のノード(例えば、カメラ、スクリーン、マイクロホン、スピーカ、レーダ、電子キー、受動入力受動スタート・システム・コントローラなどのモジュールのうちの少なくとも1つ)を含む。第2のノードは、第4の態様若しくは第4の態様の可能な実装のうちのいずれか1つ、又は第6の態様若しくは第6の態様の可能な実装のうちのいずれか1つに記載の装置である。
第18の態様によれば、この出願の一実施形態は、車両を開示する。車両は、第1のノード(例えば、車両コックピット・ドメイン・コントローラCDC)を含む。第1のノードは、第9の態様若しくは第9の態様の可能な実装、又は第11の態様のうちのいずれか1つに記載の装置である。さらに、車両は、第2のノード(例えば、カメラ、スクリーン、マイクロホン、スピーカ、レーダ、電子キー、受動入力受動スタート・システム・コントローラなどのモジュールのうちの少なくとも1つ)を含む。第1のノードは、第10の態様若しくは第10の態様の可能な実装、又は第12の態様のうちのいずれか1つに記載の装置である。
以下、この出願の実施形態で使用される添付の図面を記載する。
この出願の一実施形態による、通信システムのアーキテクチャの概略図である。
この出願の一実施形態による、アソシエーション制御方法のアプリケーション・シナリオの概略図である。
この出願の一実施形態による、アソシエーション制御方法の概略フローチャートである。
この出願の一実施形態によるブラックリスト及びホワイトリストの概略図である。
この出願の一実施形態による別のアソシエーション制御方法の概略フローチャートである。 この出願の一実施形態による別のアソシエーション制御方法の概略フローチャートである。 この出願の一実施形態による別のアソシエーション制御方法の概略フローチャートである。
この出願の一実施形態による、さらに別のアソシエーション制御方法の概略フローチャートである。 この出願の一実施形態による、さらに別のアソシエーション制御方法の概略フローチャートである。 この出願の一実施形態による、さらに別のアソシエーション制御方法の概略フローチャートである。
この出願の一実施形態による、さらに別のアソシエーション制御装置の構造の概略図である。
この出願の一実施形態による、さらに別のアソシエーション装置の構造の概略図である。
この出願の一実施形態による、通信装置の構造の概略図である。
この出願の一実施形態による、他の通信装置の構造の概略図である。
この出願の一実施形態による、アソシエーション制御装置の構造の概略図である。
この出願の一実施形態による、別のアソシエーション装置の構造の概略図である。
この出願の一実施形態による、さらに別の通信装置の構造の概略図である。
この出願の一実施形態による、さらに別の通信装置の構造の概略図である。
以下、この出願の実施態様における添付図面を参照して、この出願の実施形態を記載する。本出願において、「例」、「例えば」などの語は、例、例示又は説明を与えることを表すために使用されることに留意されたい。この出願において「例」又は「例えば」を使用して記載される実施形態又は設計解決策は、他の実施形態又は設計解決策よりも好ましいか、又はより有利であると解釈されないものとする。「例」、「例えば」のような語の使用は、関連概念を特定の方式で提示することを意図している。
以下、最初に理解を容易にするためにこの出願の関連技術及び技術用語を簡単に記載する。
1.ノード(node)
ノードは、データの受信及び送信能力を有する電子デバイスである。例えば、ノードは、車両コックピット・ドメイン(Cockpit Domain)デバイス、又は車両コックピット・ドメイン・デバイス内のモジュール(例えば、コックピット・ドメイン・コントローラ、(cockpit domain controller、CDC)、カメラ、スクリーン、マイクロホン、サウンダ、電子キー、受動エントリ受動スタート・システム・コントローラなどのモジュールのうちの1つ以上)であってもよい。特定の実装プロセスでは、ノードは、ルータ、中継器、ブリッジ、スイッチなどのデータ・トランジット・デバイスであってもよいし、様々なタイプのユーザ機器(user equipment、UE)、携帯電話(mobile phone)、タブレット・コンピュータ(pad)、デスクトップ・コンピュータ、ヘッドセット、スピーカなどの端末デバイスであってもよいし、自走(self-driving)デバイス、輸送安全(transportation safety)デバイス、仮想現実(virtual reality、VR)端末デバイス、拡張現実(augmented reality、AR)端末デバイス、機械タイプ通信(machine type communication、MTC)デバイス、工業制御(industrial control)デバイス、遠隔医療(remote medical)デバイス、スマートグリッド(smart grid)デバイス、スマートシティ(smart city)デバイスなどの機械インテリジェントを含んでもよいし、ウェアラブル・デバイス(スマートウォッチ、スマート・バンド、歩数計など)などを含んでもよい。いくつかの技術的シナリオでは、同様のデータ受信及び送信能力を有するデバイスの名前は「ノード」でなくてもよい。しかしながら、説明を容易にするために、データ受信及び送信能力を有する電子デバイスは、この出願の実施形態においてまとめてノードと呼ばれる。
2.共有鍵(shared key、SK)
通信プロセスでは、データは、通信ノード間で伝送される。データを秘密に保持する必要がある場合、鍵を使用してデータが暗号化される必要がある。共有鍵は、両方の通信パーティのノードに記憶された同じ秘密値である。共有鍵は、両方の通信パーティのノードにおいて事前定義又は事前設定されていてもよいし、同じ鍵取得方法を使用して両方の通信パーティによって生成されてもよいし、信頼されているデバイス(KDCなど)によって第1のノード及び第2のノードに送信されてもよい。
例えば、車両のコックピット・ドメイン・コントローラ(cockpit domain controller、CDC)及び車両搭載レーダ・デバイスは、互いに通信できる2つのノードである。CDC及び車両搭載レーダを展開するときに、自動車工場の作業員は、CDCと車両搭載レーダの間に共有鍵を事前設定している。共有鍵を使用して、車両のCDCと車両搭載レーダとの間の通信のセキュリティが保証され得る。
例えば、車両のコックピット・ドメイン・コントローラ(cockpit domain controller、CDC)及び車両の所有者の携帯電話は、互いに通信できる2つのノードである。車両所有者が携帯電話を使用して車両のCDCにアソシエーションされる必要があるときに、車両所有者は、鍵取得方法を使用して共有鍵を取得してもよい。例えば、鍵は、鍵合意アルゴリズムを使用して、携帯電話と車両のCDCとの間で鍵合意アルゴリズム・パラメータを交換することによって生成される。その後、携帯電話が再び車両のCDCにアソシエーションされることを要求するときに、共有鍵が、2つのノードのアイデンティティを検証するために使用されてもよい。
3.鍵導出
鍵導出は、1つの秘密値から1つ以上の秘密値を導出するプロセスである。鍵を導出するために使用されるアルゴリズムは、鍵導出関数(key derivation function、KDF)と呼ばれ、鍵導出アルゴリズムとも呼ばれる。例えば、秘密値Keyから導出された新しい秘密値DKは、DK=KDF(Key)のように表されてもよい。
共通鍵導出アルゴリズムは、パスワードベースの鍵導出機関数(password-based key derivation function、PBKDF)、スクリプト(scrypt)アルゴリズムなどを含む。PBKDFアルゴリズムはさらに、第一世代PBKDF1及び第二世代PBKDF2を含む。任意選択で、いくつかのKDFアルゴリズムの場合、鍵導出プロセスにおいて、入力された秘密値に対してハッシュ変更を実行するためにハッシュアルゴリズムが使用される。したがって、KDF関数において、アルゴリズム識別子は、使用されるべき特定のハッシュアルゴリズムを示すために、入力としてさらに受信されてもよい。
追加的に、この出願の実施形態において言及される「認証」、「検査」及び「検証」は、検査が正確であるかどうか、又は合理的であるかどうかを意味し得ることに留意されたい。この出願の実施形態では、「アソシエーション」は、第1のノードが第2のノードへの接続を確立するプロセスを示す。特定の技術的シナリオでは、「アソシエーション」は、代替的に「アクセス」と記載されることがある。
以下に、この出願の実施形態におけるシステム・アーキテクチャ及びサービス・シナリオを記載する。この出願に記載のシステム・アーキテクチャ及びサービス・シナリオは、この出願の技術的解決策をより明確に記載することを意図しており、この出願に提供される技術的解決策に対する制限を構成しないことに留意されたい。当業者は、システム・アーキテクチャの進化及び新しいサービス・シナリオの出現に伴い、この出願に提供される技術的解決策が同様の技術的課題にも適用可能であると知っていてもよい。
図1は、この出願の一実施形態による、通信システムのアーキテクチャの概略図である。通信システムは、第1のノード101及び第2のノード102を含む。第2のノード202は、第1のノード101とアソシエーションされることを要求してもよい。アソシエーションが成功した後に、第1のノード101は、データ・リンクを介して第2のノード102と通信してもよい。任意選択で、第1のノード101と第2のノード102との間の通信に使用されるデータ・リンクは、様々なタイプの接続媒体、例えば、無線フィデリティ(wireless fidelity、Wi-Fi)技術、ブルートゥース、ジグビー(zigbee)技術、別の無線リンク(例えば、ユニバーサル無線近距離伝送技術)などを含んでもよい。別の例として、データ・リンクは、ファイバ・リンクのような有線リンクである。
任意選択で、第1のノード101は、通信イニシエータであってもよく、プライマリ・ノード又はアクセス・ポイント(access point、AP)と呼ばれることがある。これに対応して、第2のノード102は、通信受信機であり、セカンダリ・ノードと呼ばれることがある。
第1のノード101及び第2のノード102は、同じタイプのデバイスであってもよいし、異なるタイプのデバイスであってもよい。図2は、この出願の一実施形態による、アソシエーション制御方法のアプリケーション・シナリオの概略図である。コックピット・ドメイン・コントローラ(コックピット・ドメイン・コントローラ、CDC)201は、スマート・コックピット・デバイス内の制御センタであり、第1のノード101とみなされてもよい。スマートフォン202は、データの送信及び受信能力を有するデバイスであり、第2のノード102とみなされてもよい。CDC201は、ブルートゥースを介して別のブルートゥース・デバイスとアソシエーションされてもよい。スマートフォン202は、ブルートゥース機能をサポートするため、CDC201にアソシエーションされることを要求してもよい。
既存の通信プロセスでは、ノードは攻撃者からの攻撃に対して脆弱である。例えば、攻撃者は、第2のノードのアイデンティティを偽造し、第1のノードにアソシエーションされることを要求することがある。攻撃者が第1のノードにアソシエーションされることに成功した場合、第1のノードのデータ・セキュリティが脅かされる。特に、車両通信プロセスでは、CDC201が攻撃者のアソシエーションを受信する場合、車両データが容易に漏洩し、攻撃者によって攻撃されることさえあり、運転の安全性を危うくする。別の例では、攻撃者は、ノードに多数の要求フレームを送信する。ノードが多数の要求フレームを受信し、ノードが負うことができる処理能力を超えるときに、ノードは機能停止し、正常なサービスを提供し続けることができなくなり、これは、別のノードとノードとの間の通信に影響を与える。この問題を解決するために、この出願の実施形態は、以下のアソシエーション制御方法を提供する。
図3は、この出願の一実施形態による、アソシエーション制御方法の概略フローチャートである。アソシエーション制御方法は、図1に示す通信システムに基づいて実装されてもよい。方法は、少なくとも以下のステップを含む。
ステップS301:第2のノードは、第1のノードのアイデンティティが信頼されていると決定する。
具体的には、第2ノードは、少なくとも以下の3つの方法を使用して、第1ノードのアイデンティティが信頼されることを決定してもよい。
方法1:ブラックリスト及び/又はホワイトリストを使用して、第1のノードのアイデンティティが信頼されていると決定する。
図4は、この出願の一実施形態によるブラックリスト及びホワイトリストの概略図である。ブラックリスト401及びホワイトリスト402は、複数のノードの識別子を記憶する。ノードの識別子は、識別情報(identification、ID)、メディア・アクセス制御(media access control、MAC)アドレス、ドメイン名、ドメイン・アドレス、又はノードの別のユーザ定義識別子であってもよい。例えば、ブラックリスト401にある識別子「00-00-00-AA-AA-AA」はノードの識別子である。任意選択で、ブラックリストは、ノードの識別子の追加時刻、満了時刻、ブラックリストに追加された時間などのうちの1つ以上をさらに含んでもよい。これに対応して、ホワイトリストは、ノードの識別子の追加時刻、満了時刻、キー設定タイプなどのうちの1つ以上を含んでもよい。説明を容易にするために、この出願の実施形態では、第2のノードにおけるブラックリストは、第2のブラックリストと呼ばれ、第2のノードにおけるホワイトリストは、第2のホワイトリストと呼ばれる。ノードの識別子は、第2のホワイトリスト及び第2のブラックリストの両方にあることはできないことが理解されよう。
第2のノードは、第1のノードの識別子が第2のホワイトリストにあるか、第2のブラックリストにあるかを決定することによって、第1のノードのアイデンティティが信頼されているかどうかを決定してもよい。具体的には、以下の3つの実装があってもよい。
実装1:第1のノードの識別子が第2のホワイトリストにあると第2のノードが決定する場合、第1のノードのアイデンティティが信頼されていることを示してもよい。
実装2:第1のノードの識別子が第2のブラックリストにないと第2のノードが決定する場合、第1のノードのアイデンティティが信頼されていることを示してもよい。
任意選択で、第2のノードは、入力情報を取得することによって第1のノードの識別子を取得するか、又は第1のノードによってブロードキャストされたメッセージを受信することによって第1のノードの識別子を取得してもよい。例えば、第1のノードはメッセージをブロードキャストしてもよく、ブロードキャスト・メッセージは第1のノードの識別子を含んでもよい。第2のノードは、ブロードキャスト・メッセージを受信した後に、第1のノードの識別子、第2のブラックリスト又は第2のホワイトリストに基づいて、第1のノードのアイデンティティが信頼されているかどうかを決定してもよい。任意選択で、第2のノードは、1つ以上の他のノードの識別子と鍵設定タイプとの間の対応を記憶し、鍵設定タイプは、事前設定タイプ及びパスワード生成タイプであってもよい。事前設定タイプは、第1のノードと第2のノードとの間の共有鍵が事前設定又は事前定義されていることを示す。例えば、車両を組み立てるときに、ホスト工場の作業者が、CDCとマイクロホンとの間の共有鍵を事前設定する。パスワード生成タイプは、「パスワード・アクセス・タイプ」とも呼ばれ、アソシエーションがパスワード・アクセス方式で確立されたときに、第1のノードと第2のノードとの間の共有鍵がパスワードに基づいて生成された共有鍵であることを示す。さらに、異なる鍵設定タイプのノードは、アイデンティティが信頼されていることを決定する異なる方式を有してもよい。具体的には、以下の2つの実装がさらに含まれる。
実装3:鍵設定タイプが事前設定である第1のノードの場合、第1のノードの識別子が第2のホワイトリストにあると決定される場合、ノードのアイデンティティが信頼されていることを示す。任意選択で、第1のノードの識別子が第2のブラックリストにある場合、第1のノードのアイデンティティが信頼されていないことを示す。例えば、表1は、この出願の実施形態によるノード識別子と鍵設定タイプとの間の可能な対応を示す。識別子が「66-66-66-FF-FF-FF」であるノードA1がアソシエーションを要求する場合、ノードA1の鍵設定タイプが事前設定タイプであり、ノードA1の識別子がホワイトリスト402にあることがホワイトリスト402を参照することによって分かるため、ノードA1のアイデンティティが信頼されていると決定され得る。
Figure 2023535474000002
実装4:鍵設定タイプがパスワード生成である第1のノードの場合、第1のノードの識別子が第2ブラックリストにないと確認される場合、第1のノードのアイデンティティが信頼されていることを示す。例えば、図1を参照のこと。識別子が「77-77-77-GG-GG-GG」であるノードA2がアソシエーションを要求する場合、ノードA2の鍵設定タイプがパスワード生成タイプであり、ノードA2の識別子がブラックリスト401にないことが図4を参照することによって分かるため、ノードA2のアイデンティティが信頼されていると決定され得る。
方法2:第2の確認応答表示情報を取得することにより、第1のノードのアイデンティティが信頼されていると決定する。
第2のノードは、第2の確認応答表示情報を取得する。第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されていることを示す。第2の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、以下のような実装がある。
実装5:第2のノードは、第2のプロンプト情報を出力して、第2のノードが第1のノードにアソシエーションされることを要求する必要があることをユーザにリマインドする。第2のノードは、ユーザの確認応答動作を受信し、第2の確認応答表示情報を取得した後に、第1のノードのアイデンティティが信頼されていると決定してもよい。さらに、任意選択で、第2のプロンプト情報を出力した後に第2のノードがユーザの拒否動作を受信した場合、第2のノードは、第1のノードのアイデンティティが信頼されていないと決定してもよい。
方法3:ブラックリスト及び/又はホワイトリスト及び確認応答表示情報を使用して、第1のノードのアイデンティティが信頼されていると決定する。
ブラックリスト及びホワイトリストを使用して、第1のノードのアイデンティティが信頼されているかどうかを決定することができないときに、第2のノードは、確認応答表示情報を使用して、第1のノードのアイデンティティが信頼されていると決定してもよい。具体的には、第1のノードの識別子が第2のブラックリストにないとき、又は第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないときに、第2の確認応答表示情報が取得される。第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されていることを示す。任意選択で、特定の実装プロセスでは、異なる鍵設定タイプが、異なる処理にさらに対応してもよい。例えば、以下のような実装がある。
実装6:鍵設定タイプがパスワード生成である第1のノードの場合、第1のノードの識別子が第2のブラックリスト又は第2のホワイトリストにない場合、第2の確認応答表示情報が取得される。確認応答表示情報は、第1のノードのアイデンティティが信頼されていることを示す。任意選択で、第2の確認応答表示情報が取得されない場合、第2のノードのアイデンティティが信頼されていないと決定されてもよい。
任意選択で、第2のノードは、第2のアソシエーション閾値を事前定義又は設定してもよい。第2のアソシエーション閾値は、現在アソシエーションされているノードの数を示すために使用される。第2のノードは、第1のノードのアイデンティティが信頼されていると決定する前又は後に、第2のノードのアソシエーション数を決定してもよいし、周期的又は非周期的に第2のノードのアソシエーション数を決定してもよい。すなわち、方法は、第2のノードに現在アソシエーションされているノードの数が第2のアソシエーション閾値以下(又は未満)であるかどうかを決定することか、又は第2のノードに現在アソシエーションされているノードの数が第2のアソシエーション閾値より大きい(又はそれ以上)であるかどうかを決定することを含む。現在アソシエーションされているノードの数が第2のアソシエーション閾値より大きい(又はそれ以上)場合、第2のノードは、第1のノードにアソシエーション要求を送信しなくてもよいし、又はその後、第1のノードとのアソシエーションをキャンセルして、第2のノードと別のノードとの間の通信に影響を与えず、第2のノードによって提供されるサービスの安定した動作を保証する。
ステップS302:第2のノードは、第1のアソシエーション要求を第1のノードに送信する。
具体的には、第2のノードは、第1のアソシエーション要求メッセージを、無線リンク(例えば、Wi-Fi、ブルートゥース、ジグビー、又は他の近距離無線リンクのうちの1つ)又は有線リンク(例えば、光ファイバ)を介して第1のノードに送信してもよい。
これに対応して、第1のノードは、第2のノードから第1のアソシエーション要求を受信する。任意選択で、第1のノードは、第1のアソシエーション閾値を事前定義又は設定してもよい。第1のアソシエーション閾値は、現在アソシエーションされているノードの数を示すために使用される。第1のノードは、第2のノードから第1のアソシエーション要求メッセージを受信する前又は後に第1のノードに現在アソシエーションされているノードの数を決定してもよいし、周期的又は非周期的に第1のノードに現在アソシエーションされているノードの数を決定してもよい。すなわち、方法は、第1のノードに現在アソシエーションされているノードの数が第1のアソシエーション閾値以下(又は未満)であるかどうかを決定することか、又は第1のノードに現在アソシエーションされているノードの数が第1のアソシエーション閾値より大きい(又はそれ以上)であるかどうかを決定することを含んでもよい。第1のアソシエーション閾値は、第1のノードによって提供され得るサービスの支持容量を制限してもよい。第1のノードにアソシエーションされているノードの数が第1のアソシエーション閾値より大きい(又はそれ以上)場合、第1のノードはもはやアソシエーション要求を受信又は処理しなくてもよく、したがって、第1のアソシエーション要求を受信又は処理せず、第1のノードと別のアソシエーションされているノードとの間の通信に影響を与えず、第1のノードによって提供されるサービスの安定した動作を保証する。
任意選択で、第1のアソシエーション要求メッセージは、第2のノードのアイデンティティ、第2のノードによって取得される(又は生成される)フレッシュ・パラメータなどのうちの少なくとも1つを含んでもよい。フレッシュ・パラメータは、ナンス(number once、NONCE)、カウンタ(counter)、シーケンス番号(number)などのうちの少なくとも1つを含んでもよい。説明を容易にするために、第1のアソシエーション要求メッセージ内のフレッシュ・パラメータが、第1のフレッシュ・パラメータと呼ばれる。
ステップS303:第1のノードは、第2のノードのアイデンティティが信頼されていると決定する。
具体的には、第1のノードは、第2のノードのアイデンティティが少なくとも以下の3つの方式で信頼されていると決定してもよい。
方法1:ブラックリスト及び/又はホワイトリストを使用して、第2のノードのアイデンティティが信頼されていると決定する。
説明を容易にするために、この出願の実施形態では、第1のノードにおけるブラックリストは、第1のブラックリストと呼ばれ、第1のノードにおけるホワイトリストは、第1のホワイトリストと呼ばれる。第1のノードにおいて、ノードの識別子は、第1のホワイトリスト及び第1のブラックリストの両方にあることはできないことが理解されよう。
第1のノードは、第2のノードの識別子が第1のホワイトリストにあるか、第1のブラックリストにあるかを決定することによって、第2のノードのアイデンティティが信頼されているかどうかを決定してもよい。具体的には、以下の2つのケースがあってもよい。
ケース1:第2のノードの識別子が第1のホワイトリストにあると第1のノードが決定する場合、第2のノードのアイデンティティが信頼されていることを示してもよい。
ケース2:第2のノードの識別子が第1のブラックリストにないと第1のノードが決定する場合、第2のノードのアイデンティティが信頼されていることを示してもよい。任意選択で、第2のノードの識別子が第1のブラックリストにある場合、第2のノードのアイデンティティが信頼されていないことを示してもよく、第1のノードは第1のアソシエーション要求を破棄するか、又は要求を無視してその後のステップをスキップしてもよい。
任意選択で、第1のアソシエーション要求メッセージは、第2のノードの識別子を含み、第1のノードは、第1のアソシエーション要求メッセージを受信することによって、第2のノードの識別子を取得してもよい。
任意選択で、第1のノードは、1つ以上の他のノードの識別子と鍵設定タイプとの間の対応を記憶し、鍵設定タイプは、事前設定タイプ及びパスワード生成タイプであってもよい。事前設定タイプは、第1のノードと第2のノードとの間の共有鍵が事前設定又は事前定義されていることを示す。例えば、車両を組み立てるときに、ホスト工場の作業者が、CDCとマイクロホンとの間の共有鍵を事前設定する。パスワード生成タイプは、アソシエーションがパスワード・アクセス方式で確立された後に、第1のノードと第2のノードとの間の共有鍵がパスワードに基づいて生成された共有鍵であることを示す。さらに、異なる鍵設定タイプのノードは、アイデンティティが信頼されていることを決定する異なる方式を有してもよい。特定の実装の間、以下の2つのケースがあってもよい。
ケース3:鍵設定タイプが事前設定である第2のノードの場合、第2のノードの識別子が第1のホワイトリストにあると決定される場合、第2のノードのアイデンティティが信頼されていることを示す。
事例4:鍵設定タイプがパスワード生成である第2のノードの場合、第2のノードの識別子が第1のブラックリストにないと決定される場合、ノードのアイデンティティが信頼されていることを示す。任意選択で、ノードの識別子が第1のブラックリストにある場合、第2のノードのアイデンティティが信頼されておらず、第1のノードは第1のアソシエーション要求を破棄するか、又は要求を無視してその後のステップをスキップしてもよい。
方式2:第1の確認応答表示情報を取得することにより、第2のノードのアイデンティティが信頼されていると決定する。
第1のノードは、第1の確認応答表示情報を取得する。第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されていることを示す。具体的には、第1の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、以下のようなケースがある。
ケース5:第1のノードは、第1のプロンプト情報を出力して、第2のノードがアソシエーションされる必要があることユーザにリマインドする。第1のノードは、ユーザの確認応答動作を受信し、第1の確認応答表示情報を取得した後に、第2のノードのアイデンティティが信頼されていると決定してもよい。さらに、任意選択で、第1のプロンプト情報を出力した後に第1のノードがユーザの拒否動作を受信する場合、第1のノードは、第2のノードのアイデンティティが信頼されていないと決定してもよく、第1のノードは、第1のアソシエーション要求を破棄するか、又は要求を無視して、その後のステップをスキップしてもよい。
方式3:ブラックリスト及び/又はホワイトリスト及び確認応答表示情報を使用して、第2のノードのアイデンティティが信頼されていると決定する。
ブラックリスト及びホワイトリストを使用して、第2のノードのアイデンティティが信頼されているかどうかを決定することができないときに、第1のノードは、確認応答表示情報を使用して、第2のノードのアイデンティティが信頼されていると決定してもよい。具体的には、第2のノードの識別子が第1のブラックリストにないとき、又は第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないときに、第2の確認応答表示情報が取得される。第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されていることを示す。任意選択で、特定の実装プロセスにおいて、異なる鍵設定タイプが、異なる処理にさらに対応してもよい。例えば、以下のようなケースがある。
ケース6:鍵設定タイプがパスワード生成である第2のノードの場合、第2のノードの識別子が第1のブラックリスト又は第1のホワイトリストにない場合、第1の確認応答表示情報が取得される。確認応答表示情報は、第2のノードのアイデンティティが信頼されていることを示す。任意選択で、第1の確認応答表示情報が取得されない場合、第2のノードのアイデンティティが信頼されていないと決定されてもよく、第1のノードは第1のアソシエーション要求を破棄するか、又は要求を無視してその後のステップをスキップしてもよい。
ステップS304:第1のノードは、第1の認証要求を第2のノードに送信する。
具体的には、第1の認証要求は、第1のアイデンティティ認証情報を含んでもよい。第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて、第1のノードによって生成される。共有鍵は、第1のノードと第2のノードの間の事前共有鍵PSKであってもよい。
例えば、第1のノードは、KDFを使用して、事前共有鍵PSKに基づいて、第1のアイデンティティ認証情報AUTHaを生成してもよい。例えば、AUTHa=KDF(PSK)である。
任意選択で、第1のアソシエーション要求が第1のフレッシュ・パラメータを含むときに、第1のアイデンティティ認証情報は、共有鍵及び第1のフレッシュ・パラメータに基づいて第1のノードによって生成されてもよい。例えば、第1のノードは、KDFを使用して、事前共有鍵PSK及び第1のフレッシュ・パラメータNONCEeに基づいて、第1のアイデンティティ認証情報AUTHaを生成する。例えば、AUTHa = KDF(PSK,NONCEe)である。
任意選択で、実際の処理の間、第1のアイデンティティ認証情報を生成するために第1のノードによって使用されるパラメータは、他の情報をさらに含んでもよい。例えば、生成された第1のアイデンティティ認証情報AUTHaは、AUTHa=KDF(PSK,第1のアソシエーション要求)を満たしてもよい。
任意選択で、第1の認証要求は、第2のフレッシュ・パラメータをさらに含む。第2のフレッシュ・パラメータは、第2のノードによって取得(又は生成)される乱数、ナンス(number once、NONCE)、カウンタ(counter)、シーケンス番号(number)などのうちの少なくとも1つであってもよい。さらに、任意選択で、第1の認証要求が第2のフレッシュ・パラメータを含むときに、第1のノードによって生成される第1のアイデンティティ認証情報AUTHaは、AUTHa=KDF(PSK,NONCEa,第1のアソシエーション要求)をさらに満たしてもよく、NONCEaは、第1の認証要求の第2のフレッシュ・パラメータである。
任意選択で、第1の認証要求は、第1の完全性検査データなどを含んでもよい。第1の完全性検査データは、対称鍵及び完全性保護アルゴリズムに従って生成される検査データであり、第2のノードが第1の認証要求に対してメッセージ完全性検査を実行するために使用される。特定の実装の間、検査データは、メッセージ認証コード(message authentiation code、MAC)とも呼ばれてもよい。
ステップS305:第2のノードは、第2のノードと第1のノードとの間の共有鍵に基づいて第1のアイデンティティ認証情報に対して検証を実行する。
具体的には、第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて、第1のノードによって生成される。したがって、第2のノードも共有鍵を持ち、共有鍵に基づいて、第1のアイデンティティ認証情報が正しいかどうかを検証してもよい。
任意選択の解決策では、プロトコル仕様に従って、第1のノードが第1のアイデンティティ認証情報を生成するために特定のパラメータを使用する場合、第2のノードも検査情報を生成するために同じパラメータを使用するべきである。検査情報が第1のアイデンティティ認証情報と同じである場合、検証が成功したとみなされる。例えば、第1のアイデンティティ認証情報は、KDFを使用して生成される。したがって、第2のノードは、KDFを使用して、検査情報を生成してもよく、これは、検査値check1とも呼ばれる。第2のノードは、検査情報を使用して、第1のアイデンティティ認証情報が正しいかどうかを検証する。以下、説明のために一例を使用する。
例えば、第1のアイデンティティ認証情報AUTHaがKDF(PSK,NONCEe)である場合、第2のノードは、KDFを使用してPSK及び第1のフレッシュ・パラメータNONCEeに基づいて、検査値check1=KDF(PSK、NONCEe)を取得する。検査値check1がAUTHaと同じである場合、検証が成功する。
任意選択で、第1のアイデンティティ認証情報を、第2のノードと第1のノードとの間の共有鍵に基づいて検証する前又は後に、第2のノードは、第1の認証要求に対してメッセージ完全性検査を実行して、第1の認証要求の内容が攻撃者によって改ざんされることを防止する。具体的には、第1の認証要求は、第1の完全性検査データを含み、第2のノードは、第1の完全性検査データに基づいて第1の認証要求に対してメッセージ完全性検査を実行してもよい。
任意選択で、第1の認証要求に対して実行されたメッセージ完全性検査が失敗した場合、第2のノードは、第1のノードの完全性検査失敗の数を更新してもよい。完全性検査失敗の数は、その後、第1のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。さらに、任意選択で、第2のノードが第1のノードの完全性検査失敗の数を更新する以下の2つのケースがあってもよい。
ケース1:第2のノードは、第1のノードの検証失敗の数を示すために第2の認証失敗カウンタを使用する。第1のノードに対する検証は、メッセージの完全性検査及びアイデンティティ認証を含み得る。したがって、第1の認証要求に対するメッセージ完全性検査が失敗したか、又は第2のノードに対するアイデンティティ認証が失敗した場合、第2のノードは、第2の認証失敗カウンタを1増加させてもよい。第2の認証失敗カウンタは、その後、第1のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
ケース2:第2のノードは、第1のノードの完全性検査失敗の数を示すために第2の完全性検査カウンタを使用する。第1の認証要求に対するメッセージ完全性検査が失敗した場合、第2のノードは、第2の完全性検査カウンタを1増加させてもよい。第2の完全性検査カウンタは、その後、第1のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
ステップS306:第2のノードによって実行される第1のアイデンティティ認証情報に対する検証が成功した場合、第2のノードは、第1の認証応答を第1のノードに送信する。
具体的には、第1の認証応答は、第2のアイデンティティ認証情報を含んでもよい。第2のアイデンティティ認証情報は、第2のノードと第1のノードとの間の共有鍵に基づいて、第2のノードによって生成される。共有鍵は、第1のノードと第2のノードの間の事前共有鍵PSKであってもよい。
例えば、第2のノードは、KDFを使用して、事前共有鍵PSKに基づいて、第2のアイデンティティ認証情報AUTHeを生成してもよい。例えば、AUTHe=KDF(PSK)である。
任意選択で、第1の認証要求が第2のフレッシュ・パラメータを含むときに、第2のアイデンティティ認証情報は、共有鍵及び第2のフレッシュ・パラメータに基づいて第2のノードによって生成されてもよい。例えば、第2のノードは、KDFを使用して、事前共有鍵PSK及び第2のフレッシュ・パラメータNONCEaに基づいて、第2のアイデンティティ認証情報AUTHeを生成する。例えば、AUTHe=KDF(PSK,NONCEa)である。
任意選択で、実際の処理の間、第2のアイデンティティ認証情報を生成するために第2のノードによって使用されるパラメータは、他の情報をさらに含んでもよい。例えば、生成された第2のアイデンティティ認証情報AUTHeは、AUTHe=KDF(PSK,第1の認証要求)を満たしてもよい。
任意選択で、第1のアソシエーション要求が第1のフレッシュ・パラメータをさらに含み得るときに、第2のノードによって生成される第2のアイデンティティ認証情報AUTHeは、AUTHe=KDF(PSK,NONCEe,第1の認証要求)をさらに満たしてもよく、NONCEeは、第1のアソシエーション要求の第1のフレッシュ・パラメータである。
任意選択で、第1のアソシエーション要求は、第2の完全性検査データなどをさらに含んでもよい。第2の完全性検査データは、対称鍵及び完全性保護アルゴリズムに従って生成される検査データであり、第1のノードが第1のアソシエーション要求に対してメッセージ完全性検査を実行するために使用される。特定の実装の間、検査データは、メッセージ認証コード(message authentication code、MAC)とも呼ばれてもよい。
ステップS307:第1のノードは、共有鍵に基づいて第2のアイデンティティ認証情報に対して検証を実行する。
具体的には、第2のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて、生成される。したがって、第1のノードも共有鍵を持ち、共有鍵に基づいて、第2のアイデンティティ認証情報が正しいかどうかを検証してもよい。
任意選択の解決策では、プロトコル仕様に従って、第2のノードが第2のアイデンティティ認証情報を生成するために特定のパラメータを使用する場合、第1のノードも検査情報を生成するために同じパラメータを使用するべきである。検査情報が第1のアイデンティティ認証情報と同じである場合、検証が成功したとみなされる。例えば、第2のアイデンティティ認証情報は、KDFを使用して生成される。したがって、第1のノードは、KDFを使用して、検査情報を生成してもよく、これは、検査値check2とも呼ばれる。次いで、第1のノードは、検査情報を使用して、第2のアイデンティティ認証情報が正しいかどうかを検証する。以下、説明のために一例を使用する。
例えば、第2のアイデンティティ認証情報AUTHeがKDF(PSK,NONCEa)である場合、第1のノードは、KDFを使用してPSK及び第2のフレッシュ・パラメータNONCEaに基づいて、検査値check2=KDF(PSK,NONCEa)を取得する。検査値check2がAUTHeと同じである場合、検証が成功する。検査値check2がAUTHeと異なる場合、検証が失敗する。
任意選択で、共有鍵に基づいて第2のアイデンティティ認証情報を検証する前又は後に、第1のノードは、第1の認証応答に対してメッセージ完全性検査を実行して、第1の認証応答のコンテンツが攻撃者によって改ざんされることを防止する。具体的には、第1の認証応答は、第2の完全性検査データを含み、その結果、第1のノードは、第2の完全性検査データに基づいて第1の認証応答に対してメッセージ完全性検査を実行してもよい。
任意選択で、第1の認証応答に対して実行されたメッセージ完全性検査が失敗した場合、第1のノードは、第2のノードの完全性検査失敗の数を更新してもよい。完全性検査の失敗の数は、その後、第2のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。さらに、任意選択で、第1のノードが第2のノードの完全性検査失敗の数を更新する以下の2つのケースがあってもよい。
ケース1:第1のノードは、第2のノードの検証失敗の数を示すために第1の認証失敗カウンタを使用する。第2のノードに対する検証は、メッセージの完全性検査及びアイデンティティ認証を含む。したがって、第1の認証応答に対するメッセージ完全性検査が失敗したか、又は第2のノードに対するアイデンティティ認証が失敗した場合、第1のノードは、第1の認証失敗カウンタを1増加させてもよい。第1の認証失敗カウンタは、その後、第2のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
ケース2:第1のノードは、第2のノードの完全性検査失敗の数を示すために第1の完全性検査カウンタを使用する。第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1のノードは、第1の完全性検査カウンタを1増加させてもよい。第1の完全性検査カウンタは、その後、第2のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
ステップS308:第1のノードによって実行される第2のアイデンティティ認証情報に対する検証が失敗した場合、第1のノードは、第1の認証失敗カウンタを更新する。
具体的には、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す。例えば、第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタは1増加されてもよく、検証失敗の数は、その後、第2のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
任意選択で、この出願のこの実施形態のアソシエーション制御方法は、図5A、図5B、及び図5Cに示すステップS501をさらに含んでもよい。ステップS501は、具体的には、以下のようである。
ステップS501:第1の認証失敗カウンタの値が第1の閾値を超える場合、第1のノードは、第2のノードの識別子を第1のブラックリストに追加する。
具体的には、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示すために使用され、第1の閾値を超える値は、第1の閾値以上であってもよい。第1の認証失敗カウンタの値が第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示す。したがって、第2のノードはアソシエーション要求を頻繁に送信する攻撃者であることがあり、第2のノードの識別子が第1のブラックリストに追加される。第2のノードの識別子が第1のブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。ノードの識別子は、第1のブラックリスト及び第1のホワイトリストの両方にあることはできないことが理解されよう。したがって、第2のノードの識別子が第1のブラックリストに追加されるときに、第2のノードの識別子が第1のホワイトリストにある場合、第1のホワイトリストから第1のノードの識別子が削除される必要がある。
任意選択で、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。例えば、ブラックリストの第1の持続期間は20日であってもよく、第1のブラックリストに追加されてから20日後に、ブラックリストから第2のノードの識別子が削除されてもよい。
任意選択で、第1のブラックリストに第2のノードの識別子が追加されている持続期間が第1の持続期間を超える場合、第1のブラックリストから第2のノードの識別子が削除される。第1の持続期間は、第2のノードの識別子が第1のブラックリストに追加された回数と第2のノードのデバイス・タイプに関連する。具体的には、第1のブラックリストの有効期間は、第2のノードが第1のブラックリストに追加された回数に関連してもよい。第2のノードが第1のブラックリストに追加された回数が多いほど、第1のブラックリストにある第2のノードの持続期間が長くなることを示す。さらに、任意選択で、第1のブラックリストに第2のノードが追加された回数が特定の値を超えた(例えば、10回を超えた)後に、第2のノードが第1のブラックリストに永久的に追加されてもよく、削除することができない。追加的に、第1のブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第1のノードは、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
この出願では、特定のデバイス・タイプの数は制限されないことに留意されたい。実際の要件に基づいて、複数のタイプのデバイスが定義されてもよく、対応するブラックリスト及びブラックリストの有効期間がセットされてもよい。具体的には、第1のブラックリストは、代替的には、複数のグループのブラックリストを含んでもよく、これらのグループは、それぞれ、より具体的で洗練されたデバイス管理を実行するために使用される。
任意選択で、この出願のこの実施形態のアソシエーション制御方法は、図5A、図5B、及び図5Cに示すステップS502をさらに含んでもよい。ステップS502は、具体的には、以下のようである。
ステップS502:第1のアイデンティティ認証情報に対する検証が成功した場合、第1のノードは、第1のアソシエーション応答を第2のノードに送信する。
具体的には、第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードは、第1のアソシエーション応答を第2のノードに送信してもよい。第1のアソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
任意選択で、この出願のこの実施形態のアソシエーション制御方法は、図5A、図5B、及び図5Cに示すステップS503、又はステップ503及びステップ504をさらに含んでもよい。ステップ503及びステップ504は、具体的には、以下のようである。
ステップS503:第1のアイデンティティ認証情報に対する検証が失敗した場合、第1のノードは、第2の認証失敗カウンタを更新する。
具体的には、第2認証失敗カウンタは、第1のノードの検証失敗の数を示す。第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタの値を1増加させてもよい。第2の認証失敗カウンタは、その後、第1のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
ステップS504:第2の認証失敗カウンタの値が第2の閾値を超える場合、第2のノードは、第1のノードの識別子を第2のブラックリストに追加する。
具体的には、第1のノードの検証失敗の数が事前セットされた第2の閾値を超える場合、第1のノードが複数回検証されなかったことを示す。したがって、第1のノードは、認証要求を頻繁に送信する攻撃者であることがあり、第1のノードの識別子が第2のブラックリストに追加される。第1のノードの識別子が第2のブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを第2のノードが確立することを防止し、第2のノードのデータ・セキュリティを向上させる。第1のノードの識別子は、第2のブラックリスト及び第2のホワイトリストの両方にあることはできないことが理解されよう。したがって、第1のノードの識別子が第2のブラックリストに追加されるときに、第1のノードの識別子が第2のホワイトリストにある場合、第1のホワイトリストから第1のノードの識別子が削除される必要がある。
任意選択で、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。第2の持続期間は、ブラックリストの有効期間とみなされてもよい。例えば、第2のブラックリストの第2の持続期間は10日であってもよく、第2のブラックリストに追加されてから10日後に、第2のブラックリストから第1のノードの識別子が削除されてもよい。
任意選択で、第2の持続期間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプのうちの少なくとも1つに関連する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。ノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続期間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードの識別子が追加された回数が特定の値を超えた(例えば、15回を超えた)後に、第1のノードが第1のブラックリストに永久的に追加されてもよく、削除することができない。追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第2のノードは、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
任意選択で、第2のノードは、第2の認証失敗カウンタの値が第2の閾値未満であると決定する場合、第2のアソシエーション要求を第1のノードに送信してもよい。具体的には、アイデンティティ認証情報を検証する処理において、いくつかのパラメータは伝送プロセスにおいて失われるか又は誤って伝送されるため、アイデンティティ認証情報の検証も失敗する可能性がある。したがって、第1のノードの検証失敗の数が事前セットされた第2の閾値を超えない場合、アソシエーション要求は、第1のノードに再送されて、第1のノードとアソシエーションを確立することを要求してもよい。このようにして、システムの頑健性が向上し、ノードによって提供されるサービスの安定した動作が保証される。
任意選択で、第2のノードは、第2のアソシエーション要求を送信する前に、第3の確認応答表示情報を取得してもよい。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、第2のノードは、プロンプト情報を出力して、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。第2のノードは、ユーザ確認応答動作を受信し、第3確認応答表示情報を取得した後に、第1のノードに第2アソシエーション要求を送信する。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
図3又は図5A、図5B、及び図5Cに示す実施形態では、第2のノードのアイデンティティが信頼されていると決定された後に、第2のノードのアイデンティティは、第2のノードと共有されている共有鍵に基づいて検証される。このように、攻撃者が、識別子を修正することにより、「アイデンティティが信頼されていると決定する」ステップを避ける場合でも、アイデンティティ認証情報を偽造することが難しいため、攻撃者に対する第1のノードによって実行されるアイデンティ認証は依然として成功することができない。したがって、認証されていない攻撃者とのアソシエーションをノードが確立することが防止され、ノードのデータ・セキュリティが向上する。
さらに、検証が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、(例えば、認証要求を送信する)ノードのアソシエーション要求はもはや処理されなくてもよく、ノードが多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
図6A、図6B、及び図6Cは、この出願の一実施形態によるアソシエーション制御方法の概略フローチャートである。アソシエーション制御方法は、図1に示すアーキテクチャに基づいて実装されてもよい。本方法は、以下のステップを含むが、これらに限定されない。
ステップS601:第2のノードは、第1のノードのアイデンティティが信頼されていると決定する。
詳細については、S301の関連説明を参照のこと。
ステップS602:第2のノードは、第1のアソシエーション要求を第1のノードに送信する。
詳細については、S302の関連説明を参照のこと。
ステップS603:第1のノードは、第2のノードのアイデンティティが信頼されていると決定する。
詳細については、S303の関連説明を参照のこと。
ステップS604:第1のノードは、第1の認証要求を第2のノードに送信する。
具体的には、第1の認証要求は、第1の完全性検査データなどを含む。第1の完全性検査データは、鍵及び完全性保護アルゴリズムに従って生成される検査データであり、第2のノードが第1認証要求に対してメッセージ完全性検査を実行するために使用される。特定の実装の間、検査データは、メッセージ認証コード(message authentication code、MAC)とも呼ばれてもよい。
例えば、第1の完全性検査データMAC1は、共有鍵K1と、第1の認証要求のMAC1ではないデータの一部又は全部data1を使用して、暗号ベースのメッセージ認証コード(Cipher-based Message Authentication Code、CMAC)アルゴリズムに従って、取得されてもよい。例えば、MAC1=CMAC(K1,data1)である。
任意選択で、第1の認証要求は、第1のアイデンティティ認証情報を含んでもよい。第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて、第1のノードによって生成される。共有鍵は、第1のノードと第2のノードの間の事前共有鍵であってもよい。例えば、第1のノードは、KDFを使用して、事前共有鍵PSKに基づいて、第1のアイデンティティ認証情報AUTHaを生成してもよい。すなわち、AUTHa=KDF(PSK)である。
任意選択で、第1のアソシエーション要求が第1のフレッシュ・パラメータを含むときに、第1のアイデンティティ認証情報は、共有鍵及び第1のフレッシュ・パラメータに基づいて第1のノードによって生成されてもよい。例えば、第1のノードは、KDFを使用して、事前共有鍵PSK及び第1のフレッシュ・パラメータNONCEeに基づいて、第1のアイデンティティ認証情報AUTHaを生成する。例えば、AUTHa = KDF(PSK,NONCEe)である。さらに、任意選択で、実際の処理の間、第1のアイデンティティ認証情報を生成するために第1のノードによって使用されるパラメータは、他の情報をさらに含んでもよい。例えば、生成された第1のアイデンティティ認証情報AUTHaは、AUTHa=KDF(PSK,第1のアソシエーション要求)を満たしてもよい。さらに、任意選択で、第1の認証要求が第2のフレッシュ・パラメータを含むときに、第1のノードによって生成される第1のアイデンティティ認証情報AUTHaは、AUTHa=KDF(PSK,NONCEa,第1のアソシエーション要求)をさらに満たしてもよく、NONCEaは、第1の認証要求の第2のフレッシュ・パラメータである。
ステップS605:第2のノードは、第1の認証要求に対してメッセージ完全性検査を実行する。
具体的には、第1の認証要求は、第1の完全性検査データを含み、第2のノードは、第1の完全性検査データに基づいて第1の認証要求に対してメッセージ完全性検査を実行して、第1の認証要求の内容が攻撃者によって改ざんされることを防止してもよい。
可能な解決策では、第1のノードは特定の方法で第1の完全性検査データを生成するので、第2のノードも同じ方式で検査値を生成する。生成された検査値が第1の完全性検査データと同じである場合、メッセージ完全性検査が成功する。例えば、第1の完全性検査データMAC1が、共有鍵K1と、第1の認証要求のMAC1ではないデータの一部又は全部data1を使用して、CMACアルゴリズムに従って第1のノードによって取得される場合、第2のノードは、同じ方式で検査値check3を生成する。すなわち、check3=CMAC(K1,data1)である。check3がMAC1と同じである場合、第1の認証要求のdata1が改ざんされていないことを示し、第1の認証要求に対する完全性検査が成功する。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS606をさらに含み、これは、具体的には、以下のようである。
ステップS606:第1の認証要求に対するメッセージ完全性検査が失敗した場合、第2のノードは、第2の認証失敗カウンタを更新する。
具体的には、第2のノードは、第1のノードの検証失敗の数を示すために第2の認証失敗カウンタを使用してもよい。したがって、第1の認証要求に対するメッセージ完全性検査が失敗した場合、第2のノードは、第2の認証失敗カウンタの値を1増加させてもよい。第2の認証失敗カウンタは、その後、第1のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS607をさらに含み、これは、具体的には、以下のようである。
ステップS607:第2の認証失敗カウンタの値が第2の閾値を超える場合、第2のノードは、第1のノードの識別子を第2のブラックリストに追加する。
具体的には、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示し、第2の閾値を超える値は、第2の閾値以上であってもよい。第1の認証要求に対するメッセージ完全性検査失敗の数が第2の閾値を超える場合、第1のノードからのメッセージが攻撃者によって複数回改ざんされた可能性があるか、又は元々正しくないデータである可能性があると示してもよい。したがって、第1のノードの識別子は、第2のブラックリストに追加されて、認証されていない攻撃者とのアソシエーションを第2のノードが確立することを防止し、第2のノードのデータ・セキュリティを向上させる。
任意選択で、第2のノードは、第2の認証失敗カウンタの値が第2の閾値以下であると決定する場合、第2のアソシエーション要求を第1のノードに送信してもよい。さらに、任意選択で、第2のノードは、第2のアソシエーション要求を送信する前に、第3の確認応答表示情報を取得してもよい。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、第2のノードは、プロンプト情報を出力して、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。第2のノードは、ユーザ確認応答動作を受信し、第3確認応答表示情報を取得した後に、第1のノードに第2アソシエーション要求を送信する。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS608をさらに含み、これは、具体的には、以下のようである。
ステップS608:第2のノードは、第2のノードと第1のノードとの間の共有鍵に基づいて第1のアイデンティティ認証情報に対して検証を実行する。
詳細については、S305の関連説明を参照のこと。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS609をさらに含み、これは、具体的には、以下のようである。
ステップS609:第1のアイデンティティ認証情報に対する検証が失敗した場合、第1のノードは、第2の認証失敗カウンタを更新する。
具体的には、第2認証失敗カウンタは、第1のノードの検証失敗の数を示す。第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタの値を1増加させてもよい。第2の認証失敗カウンタは、その後、第1のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS610をさらに含み、これは、具体的には、以下のようである。
ステップS610:第2の認証失敗カウンタの値が第2の閾値を超える場合、第2のノードは、第1のノードの識別子を第2のブラックリストに追加する。
具体的には、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示し、第2の閾値を超える値は、第2の閾値以上であってもよい。第2の認証失敗カウンタの値が第2の閾値を超える場合、第1のノードが複数回検証されなかったことを示す。したがって、第1のノードは、認証要求を頻繁に送信する攻撃者であることがあり、第1のノードの識別子が第2のブラックリストに追加される。第1のノードの識別子が第2のブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを第2のノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
任意選択で、第2のノードは、第2の認証失敗カウンタの値が第2の閾値未満であると決定する場合、第2のアソシエーション要求を第1のノードに送信してもよい。さらに、任意選択で、第2のノードは、第2のアソシエーション要求を送信する前に、第3の確認応答表示情報を取得してもよい。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、第2のノードは、第3のプロンプト情報を出力して、第1のノードに対するアイデンティティ認証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。第2のノードは、ユーザ確認応答動作を受信し、第3確認応答表示情報を取得した後に、第1のノードに第2アソシエーション要求を送信する。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
任意選択的に、特定の実装プロセスでは、第2のノードは、最初に、S608の動作又はS608~S610の動作を実行し、次いで、S605の動作又はS605~S607の動作を実行してもよい。言い換えれば、第2のノードは、最初に、共有鍵に基づいて第1のアイデンティティ認証情報に対する検証を実行し、次いで、第1の認証要求に対してメッセージ完全性検査を実行してもよい。
ステップS611:第2のノードは、第1の認証応答を第1のノードに送信する。
具体的には、第1の認証応答は、第2の完全性検査データなどをさらに含んでもよい。第2の完全性検査データは、対称鍵及び完全性保護アルゴリズムに従って生成される検査データであり、第1のノードが第1のアソシエーション要求に対してメッセージ完全性検査を実行するために使用される。特定の実装の間、検査データは、メッセージ認証コード(message authentication code、MAC)とも呼ばれてもよい。例えば、第2の完全性検査データMAC2は、共有鍵K1と、第1の認証応答のMAC2ではないデータの一部又は全部data2を使用して、CMACアルゴリズムに従って取得されてもよい。例えば、MAC=CMACK(K1,data2)である。
任意選択で、第1の認証要求に対するメッセージ完全性検査が成功した場合、第2のノードは、第1の認証応答を第1のノードに送信する。さらに、任意選択で、第1の認証要求に対するメッセージ完全性検査が成功し、第2のノードによって実行される第1のアイデンティティ認証情報に対する検証が成功した場合、第1の認証応答が第1のノードに送信される。
任意選択で、第1の認証応答は、第2のアイデンティティ認証情報を含んでもよい。第2のアイデンティティ認証情報は、第2のノードと第1のノードとの間の共有鍵に基づいて、第2のノードによって生成される。共有鍵は、第1のノードと第2のノードの間の事前共有鍵PSKであってもよい。例えば、第2のノードは、KDFを使用して、事前共有鍵PSKに基づいて、第2のアイデンティティ認証情報AUTHeを生成してもよい。例えば、AUTHe=KDF(PSK)である。
任意選択で、第1の認証要求が第2のフレッシュ・パラメータを含むときに、第2のアイデンティティ認証情報は、共有鍵及び第2のフレッシュ・パラメータに基づいて第2のノードによって生成されてもよい。例えば、第2のノードは、KDFを使用して、事前共有鍵PSK及び第2のフレッシュ・パラメータNONCEaに基づいて、第2のアイデンティティ認証情報AUTHeを生成する。例えば、AUTHe=KDF(PSK,NONCEa)である。さらに、任意選択で、実際の処理の間、第2のアイデンティティ認証情報を生成するために第2のノードによって使用されるパラメータは、他の情報をさらに含んでもよい。例えば、生成された第2のアイデンティティ認証情報AUTHeは、AUTHe=KDF(PSK,第2のアソシエーション要求)を満たしてもよい。さらに、任意選択で、第1のアソシエーション要求が第1のフレッシュ・パラメータをさらに含み得るときに、第2のノードによって生成される第2のアイデンティティ認証情報AUTHeは、AUTHe=KDF(PSK,NONCEe,第1の認証要求)をさらに満たしてもよく、NONCEeは、第1のアソシエーション要求の第1のフレッシュ・パラメータである。
ステップS612:第1のノードは、第1の認証応答に対してメッセージ完全性検査を実行する。
具体的には、第1の認証応答は、第2の完全性検査データを含み、第1のノードは、第2の完全性検査データに基づいて第1の認証応答に対してメッセージ完全性検査を実行して、第1の認証応答の内容が攻撃者によって改ざんされることを防止してもよい。
可能な解決策では、第2のノードは特定の方法で第2の完全性検査データを生成するので、第1のノードも同じ方式で検査値を生成する。生成された検査値が第2の完全性検査データと同じである場合、メッセージ完全性検査が成功する。例えば、第2の完全性検査データMAC2が、共有鍵K1と、第1の認証応答のMAC2ではないデータの一部又は全部data2を使用して、CMACアルゴリズムに従って第2のノードによって取得される場合、第2のノードは、同じ方式で検査値check4を生成する。すなわち、check4=CMAC(K1,data2)である。check4がMAC2と同じである場合、第1の認証応答のdata2が改ざんされていないことを示し、第1の認証応答に対する完全性検査が成功する。
ステップS613:第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1のノードは、第1の認証失敗カウンタを更新する。
具体的には、第1のノードは、第2のノードの検証失敗の数を示すために、第1の認証失敗カウンタを使用してもよい。したがって、第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1のノードは、第1の認証失敗カウンタの値を1増加させてもよい。第1の認証失敗カウンタは、その後、第2のノードのアイデンティティが信頼されているかどうかを決定するために使用されてもよい。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS614をさらに含み、これは、具体的には、以下のようである。
ステップS614:第1の認証失敗カウンタの値が第1の閾値を超える場合、第1のノードは、第2のノードの識別子を第1のブラックリストに追加する。
具体的には、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示し、第1の閾値を超える値は、第1の閾値以上であってもよい。第1の認証失敗カウンタの値が第1の閾値を超える場合、第2のノードからのメッセージが攻撃者によって複数回改ざん可能性があるか、又は元々正しくないデータである可能性があることを示してもよい。したがって、第2のノードの識別子が第1のブラックリストに追加されて、認証されていない攻撃者とのアソシエーションを第1のノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS615をさらに含み、これは、具体的には、以下のようである。
ステップS615:第1のノードは、共有鍵に基づいて第2のアイデンティティ認証情報に対して検証を実行する。
詳細については、S307の関連説明を参照のこと。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS616又はステップS616及びステップS617をさらに含む。ステップS616及びS617は、具体的には、以下のようである。
ステップS616:第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1のノードは、第1の認証失敗カウンタを更新する。
詳細については、S308の関連説明を参照のこと。
ステップS617:第1の認証失敗カウンタの値が第1の閾値を超える場合、第1のノードは、第2のノードの識別子を第1のブラックリストに追加する。
詳細については、S501の関連説明を参照のこと。
任意選択的に、特定の実装プロセスでは、第1のノードは、最初に、S615の動作又はS615~S617の動作を実行し、次いで、S612の動作又はS612及びS613の動作を実行してもよい。言い換えれば、第1のノードは、最初に、共有鍵に基づいて第2のアイデンティティ認証情報に対する検証を実行し、次いで、第1の認証応答に対してメッセージ完全性検査を実行してもよい。
任意選択で、図6A、図6B、及び図6Cに示すアソシエーション制御方法は、ステップS618をさらに含み、これは、具体的には、以下のようである。
ステップS618:第1のノードは、第1のアソシエーション応答を第2のノードに送信する。
具体的には、第1のアソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
任意選択で、第1の認証応答に対するメッセージ完全性検査が成功した場合、第1のノードは、第1のアソシエーション応答を第2のノードに送信する。さらに、任意選択で、第1の認証応答に対するメッセージ完全性検査が成功し、第1のノードによって実行される第1のアイデンティティ認証情報に対する検証が成功した場合、第1のノードは、第1のアソシエーション応答を第2のノードに送信する。
図6A、図6B、及び図6Cに示す実施形態では、第2のノードのアイデンティティが信頼されていると決定された後に、アソシエーションが実行される前に、第2のノードからの認証応答メッセージに対して、メッセージ完全性検査がさらに実行される必要がある。メッセージ完全性検査が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかをその後に決定するために使用されてもよく、その結果、攻撃者が認証処理においてデータを改ざんすることが防止され得る。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
以上、この出願の実施形態の方法を詳細に記載している。以下、この出願の実施形態の装置を提供する。
図7は、この出願の一実施形態による、アソシエーション制御装置70の構造の概略図である。装置70は、ノードであってもよいし、ノード内のチップ又は集積回路のようなコンポーネントであってもよい。装置70は、通信ユニット701及び処理ユニット702を含んでもよい。ユニットの説明は以下のようである。
通信ユニット701は、第2のノードから第1のアソシエーション要求を受信するように構成されている。
処理ユニット702は、第2のノードのアイデンティティが信頼されていると決定し、通信ユニット701を使用して、第1の認証要求を第2のノードに送信するように構成されている。第1の認証要求は、第1のアイデンティティ認証情報を含み、第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて生成される。
通信ユニット701は、第2のノードから第1の認証応答を受信するようにさらに構成されている。第1の認証応答は、第2のアイデンティティ認証情報を含む。
処理ユニット702は、共有鍵に基づいて第2のアイデンティティ認証情報に対して検証を実行するようにさらに構成されている。
処理ユニット702は、第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新するようにさらに構成されている。第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す。
この出願のこの実施形態では、装置70は、第2のノードのアイデンティティが信頼されていると決定した後に、第2のノードと共有される共有鍵に基づいて第2のノードのアイデンティティを検証する。このように、攻撃者が、識別子を修正することにより、アイデンティティが装置70から信頼されていると決定するステップを避ける場合でも、アイデンティティ認証情報を偽造することが難しいため、攻撃者に対する装置によって実行されるアイデンティ認証は依然として成功することができない。したがって、認証されていない攻撃者とのアソシエーションを装置が確立することが防止され、ノードのデータ・セキュリティが向上する。
さらに、検証が失敗した場合、装置70は、検証失敗の数を更新する。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、装置70は、(例えば、認証要求を送信する)ノードのアソシエーション要求をもはや処理しなくてもよく、装置70が多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
前述の複数のユニットの分割は、機能に基づく論理分割にすぎず、装置70の特定の構造に対する限定として使用されないと留意されたい。特定の実装では、いくつかの機能モジュールは、より小さな機能モジュールに細分化されてもよいし、いくつかの機能モジュールは、1つの機能モジュールに組み合わされてもよい。しかしながら、これらの機能モジュールが細分化されているか、組み合わされているかにかかわらず、アソシエーション制御処理において装置70によって実行される手順は、ほぼ同じである。例えば、通信ユニット701は、代替的には、受信ユニット及び送信ユニットに変換されてもよい。受信ユニットは、通信ユニット701のメッセージ受信機能を実装するように構成されており、送信ユニットは、通信ユニット701のメッセージ送信機能を実装するように構成されている。通常、各ユニットは、ユニットのプログラム・コード(又はプログラム命令)に対応する。ユニットに対応するプログラム・コードがプロセッサ上で動作するときに、ユニットは、対応する手順を実行して、対応する機能を実装することが可能となる。
いくつかの実装では、処理モジュール702は、具体的には、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを行うように構成されている。
装置70は、ブラックリスト又はホワイトリストに基づいてアソシエーションを要求するノードを制御し、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これにより、多数の要求の処理による機能停止を防止し、サービスの正常な動作を保証することができる。追加的に、装置は、アイデンティティ認証を受けないノードとのアソシエーションを確立しないため、装置70が認証されていない攻撃者とのアソシエーションを確立することが防止され、装置70のデータ・セキュリティが向上する。
いくつかの実装では、処理ユニットは、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
さらに別の可能な実装では、第1の認証応答は、第2の完全性検査データをさらに含み、第2の完全性検査データは、第1の認証応答に対してメッセージ完全性検査を実行するために使用される。
前記処理ユニット702は、具体的には、
第1の認証応答に対するメッセージ完全性検査が成功したと決定するように構成されている。
第2のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第2のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、処理ユニット702は、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定するようにさらに構成されており、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第1のアソシエーション閾値が装置に事前セットされていることが分かる。第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信されてもよい。第1の閾値は、装置によって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、装置は、アソシエーション要求をもはや受信又は処理しなくてもよく、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、通信ユニット701は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション応答を第2のノードに送信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
さらに別の可能な実装では、処理ユニット702は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション失敗カウンタをリセットするようにさらに構成されている。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
さらに別の可能な実装では、処理ユニット702は、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加するようにさらに構成されている。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証を受けていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
さらに別の実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続時間は1週間であってもよく、ブラックリストに追加された1週間後に、第2のノードの識別子がブラックリストから削除されてもよい。
さらに別の可能な実装では、処理ユニット702は、
第1のブラックリストに第2のノードの識別子が追加されている持続時間が第1の持続時間を超える場合、第1のブラックリストから第2のノードの識別子を削除することであって、第1の持続時間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第1のブラックリストの有効期間に関連する要因を説明する。第1のブラックリストの有効期間は、第2のノードが第1のブラックリストに追加された回数に関連してもよい。第2のノードが第1のブラックリストに追加された回数が多いほど、第1のブラックリストにある第2のノードの持続時間が長くなることを示す。さらに、任意選択で、第1のブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードが第1のブラックリストに永久的に追加されてもよい。
追加的に、第1のブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第1のノードは、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。デバイス・タイプの数は、この出願では具体的には限定されず、特定のシナリオに基づいて設計されてもよい。
さらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、装置のリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
各ユニットの実装については、図3又は図5A、図5B、及び図5Cに示す実施形態の対応する説明を参照することに留意されたい。装置70は、図3又は図5A、図5B、及び図5Cに示す実施形態の第1のノードであってもよい。
図8は、この出願の一実施形態によるアソシエーション装置80の構造の概略図である。装置80は、ノードであってもよいし、ノード内のチップ又は集積回路のようなコンポーネントであってもよい。装置80は、処理ユニット801及び通信ユニット802を含んでもよい。ユニットの説明は以下のようである。
処理ユニット801は、第1のノードのアイデンティティが信頼されていると決定し、通信ユニット802を使用して、第1のアソシエーション要求を前記第1のノードに送信するように構成されている。
通信ユニット802は、第1のノードから第1の認証要求を受信するようにさらに構成されている。第1の認証要求には、第1のアイデンティティ認証情報を含む。
処理ユニット801は、第2のノードと第1のノードの間の共有鍵に基づいて第1のアイデンティティ認証情報に対して検証を実行するようにさらに構成されている。
通信ユニット802は、第1のアイデンティティ認証情報に対する検証が成功した場合、第1の認証応答を第1のノードに送信するようにさらに構成されている。第1の認証応答は、第2のアイデンティティ認証情報を含み、第2のアイデンティティ認証情報は、共有鍵に基づいて生成される。
この出願のこの実施形態では、第1のノードのアイデンティティが信頼されていると決定した後に、装置は、第1のアソシエーション要求を第1のノードに送信する。次いで、共有鍵を使用して、第1の認証要求における第1のアイデンティティ認証情報に基づいて、第1のノードのアイデンティティ認証情報に対する検証が実行される。検証が成功した後に、第2のアイデンティティ認証情報が第1のノードに送信される。第2のアイデンティティ認証情報は、第1のノードが装置のアイデンティティを検証するために使用されてもよい。アイデンティティが信頼されていると決定された後に、アソシエーションは、両者のアイデンティティ認証が成功した後にのみ実行され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第2のノードによって実行されるアイデンティティ認証を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
前述の複数のユニットの分割は、機能に基づく論理分割にすぎず、装置80の特定の構造に対する限定として使用されないと留意されたい。特定の実装では、いくつかの機能モジュールは、より小さな機能モジュールに細分化されてもよいし、いくつかの機能モジュールは、1つの機能モジュールに組み合わされてもよい。しかしながら、これらの機能モジュールが細分化されているか、組み合わされているかにかかわらず、アソシエーション制御処理において装置80によって実行される手順は、ほぼ同じである。例えば、通信ユニット802は、代替的には、受信ユニット及び送信ユニットに変換されてもよい。受信ユニットは、通信ユニット802のメッセージ受信機能を実装するように構成されており、送信ユニットは、通信ユニット802のメッセージ送信機能を実装するように構成されている。通常、各ユニットは、ユニットのプログラム・コード(又はプログラム命令)に対応する。ユニットに対応するプログラム・コードがプロセッサ上で動作するときに、ユニットは、対応する手順を実行して、対応する機能を実装することが可能となる。
いくつかの実装では、処理モジュール801は、具体的には、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを行うように構成されている。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、装置は、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
いくつかの実装では、処理モジュール801は、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
さらに別の可能な実装では、第1の認証要求は、第1の完全性検査データをさらに含み、第1の完全性検査データは、第1の認証要求に対してメッセージ完全性検査を実行するために使用される。
処理ユニット801は、
第1の認証要求に対するメッセージ完全性検査が成功したと決定するようにさらに構成されている。
第1のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第1のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、処理ユニット801は、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定するようにさらに構成されており、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第2のアソシエーション閾値が装置に事前セットされていることが分かる。アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、装置にアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、装置は、別のノードにアソシエーションされることができず、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、通信ユニット802は、
第1のノードから第1のアソシエーション応答を受信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、装置は、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを装置に通知してもよい。
さらに別の可能な実装では、処理ユニット801は、
第2の認証失敗カウンタをリセットするようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
さらに別の可能な実装では、処理ユニット801は、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第1のノードによって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
さらに別の可能な実装では、処理ユニット801は、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定し、
前記第1のノードの前記識別子を前記第2のブラックリストに追加するようにさらに構成されている。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証を受けていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
さらに別の実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第2の持続時間は10日であってもよく、ブラックリストに追加されてから10日後に、第1のノードの識別子がブラックリストから削除されてもよい。
さらに別の可能な実装では、処理ユニット801は、第2の認証失敗カウンタの値が第2の閾値未満であることを決定するようにさらに構成されている。
通信ユニット802は、第1のノードに第2のアソシエーション要求を送信するようにさらに構成されている。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第1のノードによって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
さらに別の可能な実装では、プロセッサは、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
さらに別の可能な実装では、プロセッサは、
第2のブラックリストに第1のノードの識別子が追加されている持続時間が第2の持続時間を超える場合、第2のブラックリストから第1のノードの識別子を削除するようにさらに構成されており、第2の持続時間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続時間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第2のノードは、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。さらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
各ユニットの実装については、図3又は図5A、図5B、及び図5Cに示す実施形態の対応する説明を参照することに留意されたい。装置80は、図3又は図5A、図5B、及び図5Cに示す実施形態の第2のノードであってもよい。
図9は、この出願の一実施形態による通信装置の構造の概略図である。通信装置90は、ノードであってもよいし、ノード内のチップ又は集積回路のようなコンポーネントであってもよい。装置90は、少なくとも1つのメモリ901及び少なくとも1つのプロセッサ902を含んでもよい。任意選択で、装置は、バス903をさらに含んでもよい。任意選択で、装置は、通信インターフェース904をさらに含んでもよい。メモリ901、プロセッサ902、及び通信インターフェース904は、バス903を介して接続される。
メモリ901は記憶空間を提供するように構成され、記憶空間はオペレーティング・システム及びコンピュータ・プログラムのようなデータを記憶してもよい。メモリ901は、ランダム・アクセス・メモリ(random access memory、RAM)、読み出し専用メモリ(read-only memory、ROM)、消去可能なプログラマブル読み出し専用メモリ(erasable programmable read-only memory、EPROM)、又はコンパクト・ディスク読み出し専用メモリ(compact disc read-only memory、CD-ROM)のうちの1つ又はそれらの組み合わせであってもよい。
プロセッサ902は、算術演算及び/又は論理演算を実行するモジュールであり、具体的には、中央処理ユニット(central processing unit、CPU)、グラフィック処理ユニット(graphics processing unit、GPU)、マイクロプロセッサ・ユニット(microprocessor unit、MPU)、特定用途向け集積回路(Application-Specific Integrated Circuit、ASIC)、フィールド・プログラマブル・ゲート・アレイ(Field Programmable Gate Array、FPGA)、及び複雑なプログラマブル論理デバイス(Complex programmable logic device、CPLD)などの処理モジュールのうちの1つ又はそれらの組み合わせであってもよい。
通信インターフェース904は、外部から送信されたデータを受信し、及び/又は外部へデータを送信するように構成されており、イーサネット・ケーブルのような有線リンクのインターフェースであってもよいし、無線リンク(Wi-Fi、Bluetooth、ユニバーサル無線伝送など)インターフェースであってもよい。任意選択で、通信インターフェース1104は、インターフェースに結合された送信機(例えば、無線周波数送信機又はアンテナ)、受信機などを含んでもよい。
装置90内のプロセッサ902は、メモリ901に記憶されたコンピュータ・プログラムを読み出して、前述のアソシエーション制御方法、例えば、図3又は図5A、図5B、及び図5Cに記載のアソシエーション制御方法を実行するように構成されている。
例えば、装置90内のプロセッサ902は、メモリ901に記憶されたコンピュータ・プログラムを読み出して、
通信インターフェース904を介して第2のノードから第1のアソシエーション要求を受信することと、
第2のノードのアイデンティティが信頼されていると決定し、通信インターフェース904を介して第1の認証要求を第2のノードに送信することであって、第1の認証要求は、第1のアイデンティティ認証情報を含み、第1のアイデンティティ認証情報は、第1のノードと第2のノードとの間の共有鍵に基づいて生成され、共有鍵は、第1のノードと第2のノードとの間で共有される第1の秘密値とみなされ得る、ことと、
通信インターフェース904を介して第2のノードから第1の認証応答を受信することであって、第1の認証応答は、第2のアイデンティティ認証情報を含む、ことと、
共有鍵に基づいて第2のアイデンティティ認証情報に対して検証を実行することと、
第2のアイデンティティ認証情報に対する前記検証が失敗した場合、第1の認証失敗カウンタを更新することであって、前記第1の認証失敗カウンタは、前記第2のノードの検証失敗の数を示す、こととを行う動作を実行するように構成されている。
この出願のこの実施形態では、装置90は、第2のノードのアイデンティティが信頼されていると決定した後に、第2のノードと共有される共有鍵に基づいて第2のノードのアイデンティティを検証する。このように、攻撃者が、識別子を修正することにより、アイデンティティが装置90から信頼されていると決定するステップを避ける場合でも、アイデンティティ認証情報を偽造することが難しいため、攻撃者に対する装置90によって実行されるアイデンティ認証は依然として成功することができない。したがって、認証されていない攻撃者とのアソシエーションを装置90が確立することが防止され、装置90のデータ・セキュリティが向上する。
さらに、検証が失敗した場合、装置90は、検証失敗の数を更新する。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、装置90は、(例えば、認証要求を送信する)ノードのアソシエーション要求をもはや処理しなくてもよく、装置90が多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
いくつかの実装では、処理モジュール902は、具体的には、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを行うように構成されている。
装置90は、ブラックリスト又はホワイトリストに基づいてアソシエーションを要求するノードを制御し、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これにより、多数の要求の処理による機能停止を防止し、サービスの正常な動作を保証することができる。追加的に、装置は、アイデンティティ認証を受けないノードとのアソシエーションを確立しないため、装置90が認証されていない攻撃者とのアソシエーションを確立することが防止され、装置90のデータ・セキュリティが向上する。
いくつかの実装では、プロセッサ902は、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
さらに別の可能な実装では、第1の認証応答は、第2の完全性検査データをさらに含み、第2の完全性検査データは、第1の認証応答に対してメッセージ完全性検査を実行するために使用される。
プロセッサ902は、第1の認証応答に対するメッセージ完全性検査が成功したと決定するようにさらに構成されている。
第2のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第2のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置90によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、プロセッサ902は、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定するようにさらに構成されており、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第1のアソシエーション閾値が装置90に事前セットされていることが分かる。第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信されてもよい。第1の閾値は、ノードによって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、装置90は、アソシエーション要求をもはや受信又は処理しなくてもよく、装置90と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置90によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、プロセッサ902は、
第2のアイデンティティ認証情報に対する検証が成功した場合、通信インターフェース904を介して第1のアソシエーション応答を第2のノードに送信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置90に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
さらに別の可能な実装では、プロセッサ902は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション失敗カウンタをリセットするようにさらに構成されている。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、装置90によって提供されるサービスの安定した動作を保証することが分かる。
さらに別の可能な実装では、プロセッサ902は、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加するようにさらに構成されている。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、装置90が認証を受けていない攻撃者とのアソシエーションを確立することを防止し、装置90のデータ・セキュリティを向上させる。
さらに別の実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続時間は1週間であってもよく、ブラックリストに追加された1週間後に、第2のノードの識別子がブラックリストから削除されてもよい。
さらに別の可能な実装では、プロセッサ902は、
第1のブラックリストに第2のノードの識別子が追加されている持続時間が第1の持続時間を超える場合、第1のブラックリストから第2のノードの識別子を削除することであって、第1の持続時間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、ブラックリストの有効期間に関連する要因を説明する。ブラックリストの有効期間は、第2のノードがブラックリストに追加された回数に関連してもよい。第2のノードがブラックリストに追加された回数が多いほど、ブラックリストにある第2のノードの持続時間が長くなることを示す。さらに、任意選択で、ブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードがブラックリストに永久的に追加されてもよい。
追加的に、ブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、装置90は、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
さらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、装置90のリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
各ユニットの特定の実装については、図3又は図5A、図5B、及び図5Cに示す実施形態の対応する説明を参照することに留意されたい。通信装置90は、図3又は図5A、図5B、及び図5Cに示す実施形態の第1のノードであってもよい。
図10は、この出願の一実施形態による通信装置100の構造の概略図である。通信装置100は、ノードであってもよいし、ノード内のチップ又は集積回路のようなコンポーネントであってもよい。装置100は、少なくとも1つのメモリ1001及び少なくとも1つのプロセッサ1002を含んでもよい。任意選択で、装置は、バス1003をさらに含んでもよい。任意選択で、装置は、通信インターフェース1004をさらに含んでもよい。メモリ1001、プロセッサ1002、及び通信インターフェース1004は、バス1003を介して接続される。
メモリ1001は記憶空間を提供するように構成され、記憶空間はオペレーティング・システム及びコンピュータ・プログラムのようなデータを記憶してもよい。メモリ1001は、RAM、ROM、EPROM、CD-ROMなどのうちの1つ又はそれらの組み合わせであってもよい。
プロセッサ1002は、算術演算及び/又は論理演算を実行するモジュールであり、具体的には、CPU、GPU、MPU、ASIC、FPGA、及びCPLDなどの処理モジュールのうちの1つ又はそれらの組み合わせであってもよい。
通信インターフェース1004は、外部から送信されたデータを受信し、及び/又は外部へデータを送信するように構成されており、イーサネット・ケーブルのような有線リンクのインターフェースであってもよいし、無線リンク(Wi-Fi、Bluetoothなど)インターフェースであってもよい。任意選択で、通信インターフェース1104は、インターフェースに結合された送信機(例えば、無線周波数送信機又はアンテナ)、受信機などを含んでもよい。
装置100内のプロセッサ1002は、メモリ1001に記憶されたコンピュータ・プログラムを読み出して、前述のアソシエーション制御方法、例えば、図3又は図5A、図5B、及び図5Cに記載のアソシエーション制御方法を実行するように構成されている。
例えば、装置100内のプロセッサ1002は、メモリ1001に記憶されたコンピュータ・プログラムを読み出して、
第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を前記第1のノードに送信することと、
第1の認証要求を第1のノードから受信することであって、第1の認証要求は、第1のアイデンティティ認証情報を含む、ことと、
第2のノードと第1のノードとの間の共有鍵に基づいて第1のアイデンティティ認証情報に対して検証を実行することであって、共有鍵は、第1のノードと第2のノードとの間で共有される秘密の値である、ことと、
第1のアイデンティティ認証情報に対する検証が成功した場合、第1のノードに第1の認証応答を送信することであって、第1の認証応答は、第2のアイデンティティ認証情報を含み、第2のアイデンティティ認証情報は、共有鍵に基づいて生成される、こととを行う動作を実行するように構成されている。
この出願のこの実施形態では、第1のノードのアイデンティティが信頼されていると決定した後に、装置100は、第1のアソシエーション要求を第1のノードに送信する。次いで、共有鍵を使用して、第1の認証要求における第1のアイデンティティ認証情報に基づいて、第1のノードのアイデンティティ認証情報に対する検証が実行される。検証が成功した後に、第2のアイデンティティ認証情報が第1のノードに送信される。第2のアイデンティティ認証情報は、第1のノードが装置100のアイデンティティを検証するために使用されてもよい。アイデンティティが信頼されていると決定された後に、アソシエーションは、両者のアイデンティティ認証が成功した後にのみ実行され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の装置100によって実行されるアイデンティティ認証を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置100が確立することを防止し、装置100のデータ・セキュリティを向上させる。
いくつかの実装では、処理モジュール1002は、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを行うようにさらに構成されている。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、装置100は、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションを装置100が確立することを防止し、装置100のデータ・セキュリティを向上させる。
別の可能な実装では、処理モジュール1002は、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うようにさらに構成されている。
さらに別の可能な実装では、第1の認証要求は、第1の完全性検査データをさらに含み、第1の完全性検査データは、第1の認証要求に対してメッセージ完全性検査を実行するために使用される。
プロセッサは、第1の認証要求に対するメッセージ完全性検査が成功したと決定するようにさらに構成されている。
第1のノードのアイデンティが信頼されていると決定された後に、アイデンティティ認証に加えて、アイデンティティ認証情報を搬送するメッセージに対して完全性検査が実行される必要があり、第1の認証応答が攻撃者によって改ざんされることを防止することが分かる。これは、第2のノードのアイデンティティ認証情報に対する検証に影響を与えることを回避し、装置100によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、プロセッサ1002は、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定するようにさらに構成されており、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第2のアソシエーション閾値が装置100に事前セットされていることが分かる。アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、装置100にアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、装置100は、別のノードにアソシエーションされることができず、装置100と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置100によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、プロセッサ1002は、
第1のノードから第1のアソシエーション応答を受信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、装置100は、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第1のノードが第2のノードとのアソシエーションを確立することを示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを装置100に通知してもよい。
さらに別の可能な実装では、プロセッサ1002は、
第2の認証失敗カウンタをリセットするようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、装置100によって提供されるサービスの安定した動作を保証することが分かる。
さらに別の可能な実装では、プロセッサ1002は、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置100は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の装置100によって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置100が確立することを防止し、装置100のデータ・セキュリティを向上させる。
さらに別の可能な実装では、プロセッサ1002は、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定し、
第1のノードの識別子を第2のブラックリストに追加するようにさらに構成されている。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、装置100が認証を受けていない攻撃者とのアソシエーションを確立することを防止し、装置100のデータ・セキュリティを向上させる。
さらに別の実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第2の持続時間は10日であってもよく、ブラックリストに追加されてから10日後に、第1のノードの識別子がブラックリストから削除されてもよい。
さらに別の可能な実装では、プロセッサ1002は、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
アイデンティティ認証情報を検証する処理において、いくつかのパラメータは伝送プロセスにおいて失われるか又は誤って伝送されるため、アイデンティティ認証情報に対する検証も失敗する可能性があることが理解されよう。したがって、第1のノードの検証失敗の数が事前セットされた第2の閾値を超えない場合、アソシエーション要求は、第1のノードに再送されて、第1のノードとアソシエーションを確立することを要求してもよい。このようにして、システムの頑健性が向上し、装置100によって提供されるサービスの安定した動作が保証される。さらに別の可能な実装では、プロセッサ1002は、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
さらに別の可能な実装では、プロセッサ1002は、
第2のブラックリストに第1のノードの識別子が追加されている持続時間が第2の持続時間を超える場合、第2のブラックリストから第1のノードの識別子を削除するようにさらに構成されており、第2の持続時間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続時間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、装置100は、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。
さらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
各モジュールの特定の実装については、図3又は図5A、図5B、及び図5Cに示す実施形態の対応する説明を参照することに留意されたい。通信装置100は、図3又は図5A、図5B、及び図5Cに示す実施形態の第2のノードであってもよい。
図11は、この出願の一実施形態による、アソシエーション制御装置110の構造の概略図である。装置110は、ノードであってもよいし、ノード内のチップ又は集積回路のようなコンポーネントであってもよい。装置110は、通信ユニット1101及び処理ユニット1102を含んでもよい。ユニットの説明は以下のようである。
通信ユニット1101は、第2のノードから第1のアソシエーション要求を受信するように構成されている。
処理ユニット1102は、第2のノードのアイデンティティが信頼されていると決定し、通信ユニット1101を使用して、第1の認証要求を第2のノードに送信するように構成されており、第1の認証要求は、第1の完全性検査データを含む。
通信ユニット1101は、第2のノードから第1の認証応答を受信するようにさらに構成されており、第1の認証応答は、第2の完全性検査データを含む。
処理ユニット1102は、第2の完全性検査データに基づいて、第1の認証応答に対してメッセージ完全性検査を実行するようにさらに構成されている。
処理ユニット1102は、第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1の認証失敗カウンタを更新するようにさらに構成されている。第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す。
この出願のこの実施形態では、第2のノードのアイデンティティが信頼されていると決定した後に、装置は、アソシエーションが実行される前に、第2のノードからの認証応答メッセージに対してメッセージ完全性検査を実行することがさらに必要である。メッセージ完全性検査が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかをその後に決定するために使用されてもよく、その結果、攻撃者が認証処理においてデータ(例えば、アイデンティティ認証情報)を改ざんすることが防止され得る。これは、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
いくつかの実装では、処理モジュール1102は、具体的には、
第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第2のノードの識別子が第1のブラックリストにないことを決定することか、
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティティが信頼されており、かつ第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを行うように構成されている。
装置は、ブラックリスト又はホワイトリストを使用して、アソシエーションを要求するノードを制御し、その結果、アイデンティ認証が信頼されていない第2のノードに対して実行される必要がない。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
いくつかの実装では、処理モジュール1102は、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第2のノードの識別子が第1のホワイトリストにあることを決定することか、又は
第2のノードの識別子が第1のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第2のノードの識別子が第1のホワイトリストにない場合、第1の確認応答表示情報を取得することであって、第1の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
さらに別の可能な実装では、処理ユニット1102は、
第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定するようにさらに構成されており、第1のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第1のアソシエーション閾値が装置に事前セットされていることが分かる。第2のノードからのアソシエーション要求は、アソシエーションされたノードが事前セットされた第1のアソシエーション閾値以下であるときにのみ受信されてもよい。第1の閾値は、装置によって提供され得るサービスの支持容量を制限してもよい。第1のアソシエーション閾値を超えるときに、装置は、アソシエーション要求をもはや受信又は処理しなくてもよく、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、処理ユニット1102は、
第1の認証応答に対する完全性検査が成功した場合、第2のノードと共有される共有鍵に基づいて、第2のアイデンティティ認証情報に対して検証を実行することと、
第2のアイデンティティ認証情報に対する検証が失敗した場合、第1の認証失敗カウンタを更新することであって、第1の認証失敗カウンタは、第2のノードの検証失敗の数を示す、こととを行うようにさらに構成されている。
装置は、第2のノードのアイデンティティが信頼されていると決定した後に、完全性検査が成功した場合、第2のノードと共有される共有鍵に基づいて、第2のノードのアイデンティティに対して検証を実行することが分かる。検証が失敗した場合、検証失敗の数が更新される。検証失敗の数は、第2のノードのアイデンティティが信頼されているかどうかを後で決定するために使用されてもよく、その結果、複数回検証されなかったノードは、信頼されているともはや決定されなくてもよい。信頼されていると決定されないノードに対しては、(例えば、認証要求を送信する)ノードの認証要求はもはや処理されなくてもよく、ノードが多数の要求を処理することで動作停止することを防止し、サービスの正常な動作を保証する。
さらに別の可能な実装では、通信ユニット1101は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション応答を第2のノードに送信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第2のノードのアイデンティティが信頼されていることがされた決定された後に、アイデンティティ認証が成功した場合、第1のアソシエーション応答が第2のノードに送信されてもよいことが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、通信が実行され得ることを第2のノードに通知するために使用されてもよい。
さらに別の可能な実装では、処理ユニット1102は、
第2のアイデンティティ認証情報に対する検証が成功した場合、第1のアソシエーション失敗カウンタをリセットするようにさらに構成されている。
第2のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第2のノードの検証失敗の数がリセットされる必要があり、第2のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
さらに別の可能な実装では、処理ユニット1102は、
第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、第2のノードの識別子を第1のブラックリストに追加するようにさらに構成されている。
第2のノードの検証失敗の数が事前セットされた第1の閾値を超える場合、第2のノードが複数回検証されなかったことを示し、第2のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第2のノードの識別子がブラックリストに追加される。第2のノードの識別子がブラックリストに追加された後に、第2のノードのアイデンティティは、信頼されていると決定されず、認証を受けていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
さらに別の実装では、第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である。
第1のブラックリストにおける事前定義又は事前設定された第1の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第1の持続時間は1週間であってもよく、ブラックリストに追加された1週間後に、第2のノードの識別子がブラックリストから削除されてもよい。
さらに別の可能な実装では、処理ユニット1102は、
第1のブラックリストに第2のノードの識別子が追加されている持続時間が第1の持続時間を超える場合、第1のブラックリストから第2のノードの識別子を削除することであって、第1の持続時間は、第2のノードの識別子が第1のブラックリストに追加された回数又は第2のノードのタイプのうちの少なくとも1つに関連する。
前述の実装は、第1のブラックリストの有効期間に関連する要因を説明する。第1のブラックリストの有効期間は、第2のノードが第1のブラックリストに追加された回数に関連してもよい。第2のノードが第1のブラックリストに追加された回数が多いほど、第1のブラックリストにある第2のノードの持続時間が長くなることを示す。さらに、任意選択で、第1のブラックリストに第2のノードが追加された回数が閾値を超えた後に、第2のノードが第1のブラックリストに永久的に追加されてもよい。
追加的に、第1のブラックリストの有効期間は、第2のノードのデバイス・タイプに関連してもよい。具体的には、第2のノードがあらかじめ第2のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて異なるブラックリスト有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第2のノードがマイクロホン、サウンダなどに属する場合、第2のノードは、低リスク・デバイスとみなされてもよい。第2のノードが携帯電話、コンピュータなどに属する場合、第2のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第1のノードは、第2のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。さらに別の可能な実装では、第2のノードのアイデンティティが信頼されていない場合、第1の認証要求を第2のノードに送信するステップは実行されない。
第2のノードのアイデンティティが信頼されていない場合、その後のアイデンティ認証ステップは実行されず、装置のリソースを浪費することを回避し、別のノードとの正常なアソシエーションに影響を与えることを回避することが分かる。
前述の複数のユニットの分割は、機能に基づく論理分割にすぎず、装置110の特定の構造に対する限定として使用されないと留意されたい。特定の実装では、いくつかの機能モジュールは、より小さな機能モジュールに細分化されてもよいし、いくつかの機能モジュールは、1つの機能モジュールに組み合わされてもよい。しかしながら、これらの機能モジュールが細分化されているか、組み合わされているかにかかわらず、アソシエーション制御処理において装置110によって実行される手順は、ほぼ同じである。例えば、通信ユニットは、代替的には、受信ユニット及び送信ユニットに変換されてもよい。受信ユニットは、通信ユニットのメッセージ受信機能を実装するように構成されており、送信ユニットは、通信ユニットのメッセージ送信機能を実装するように構成されている。通常、各ユニットは、ユニットのプログラム・コード(又はプログラム命令)に対応する。ユニットに対応するプログラム・コードがプロセッサ上で動作するときに、ユニットは、対応する手順を実行して、対応する機能を実装することが可能となる。
各ユニットの実装については、図6A、図6B、及び図6Cに示す実施形態の対応する説明を参照することに留意されたい。装置110は、図6A、図6B及び図6Cに示す実施形態の第1のノードであってもよい。
図12は、この出願の一実施形態による、アソシエーション制御装置120の構造の概略図である。装置120は、ノードであってもよいし、ノード内のチップ又は集積回路のようなコンポーネントであってもよい。装置120は、処理ユニット1201及び通信ユニット1202を含んでもよい。ユニットの説明は以下のようである。
処理ユニット1201は、第1のノードのアイデンティティが信頼されていると決定し、通信ユニット1202を使用して、第1のアソシエーション要求を前記第1のノードに送信するように構成されている。
通信ユニット1202は、第1のノードから第1の認証要求を受信するようにさらに構成されている。第1の認証要求は、第1のアイデンティティ認証情報及び第1の完全性検査データを含む。
処理ユニット1201は、第1の完全性検査データに基づいて、第1の認証要求に対してメッセージ完全性検査を実行するようにさらに構成されている。
通信ユニット1202は、第1の認証要求に対するメッセージ完全性検査が成功した場合、第1の認証応答を第1のノードに送信するようにさらに構成されており、第1の認証応答は、第2の完全性検査データを含む。
この出願のこの実施形態では、第2のノードのアイデンティティが信頼されていると決定した後、装置は、通信が実行される前に、第1のノードに対する認証(例えば、アイデンティティ認証情報を使用した検証)を実行することがさらに必要である。攻撃者が認証処理においてデータを改ざんすることを防止するために、第1の認証要求に対してメッセージ完全性検査が最初に実行される必要がある。第1のノードとのアソシエーションは、メッセージ完全性検査が成功したときにのみ許可され、その結果、攻撃者がメッセージ・コンテンツを改ざんすることが防止され得る。これは、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
いくつかの実装では、処理モジュール1201は、具体的には、
第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードの識別子が第2のブラックリストにないことを決定することか、
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第1のノードのアイデンティティが信頼されており、かつ第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを行うようにさらに構成されている。
前述の方法では、アソシエーションされたノードは、ブラックリスト又はホワイトリストを使用して、制御されてもよく、装置は、信頼されていない第1のノードにアソシエーション要求を送信しないように制御されてもよい。これは、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、装置のデータ・セキュリティを向上させる。
いくつかの実装では、処理モジュール1201は、具体的には、
第1のノードと第2のノードとの間の共有鍵のタイプが事前設定されたタイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、
第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプである場合、第1のノードの識別子が第2のホワイトリストにあることを決定することか、又は
第1のノードの識別子が第2のブラックリストになく、第1のノードと第2のノードとの間の共有鍵のタイプがパスワード生成タイプであり、第1のノードの識別子が第2のホワイトリストにない場合、第2の確認応答表示情報を取得することであって、第2の確認応答表示情報は、第2のノードのアイデンティが信頼されていることを示す、ことを行うように構成されている。
さらに別の可能な実装では、処理ユニット1201は、
第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定するようにさらに構成されており、第2のアソシエーション数は、現在アソシエーションされているノードの数を示す。
第2のアソシエーション閾値が装置に事前セットされていることが分かる。アソシエーション要求は、アソシエーションされたノードが事前セットされた第2のアソシエーション閾値以下であるときにのみ第1のノードに送信されてもよい。第2の閾値は、装置にアソシエーションされ得るノードの数を制限してもよい。第2のアソシエーション閾値を超えるときに、装置は、別のノードにアソシエーションされることができず、装置と装置にアソシエーションされた別のノードとの間の通信に影響を与えず、装置によって提供されるサービスの安定した動作を保証する。
さらに別の可能な実装では、通信ユニット1202は、
第1のノードから第1のアソシエーション応答を受信するようにさらに構成されており、第1のアソシエーション応答は、第1のノードが第2のノードとアソシエーションを確立することを示すために使用される。
第1のノードのアイデンティティが信頼されていると決定された後、第2のノード上で第1のノードによって実行されたアイデンティティ認証が成功した場合、装置は、第1のノードから第1のアソシエーション応答を受信することが分かる。アソシエーション応答は、第2のノードとのアソシエーションを確立することを装置に示すために使用される。さらに、第1の応答メッセージは、アソシエーションが成功し、その後の通信が実行され得ることを装置に通知してもよい。
さらに別の可能な実装では、処理ユニット1201は、
第2の認証失敗カウンタをリセットするようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティが信頼されていると決定された後に、アイデンティティ認証が成功した場合、第1のノードの検証失敗の数がリセットされる必要があり、第1のノードのアイデンティのその後の決定に影響を与えることを回避し、装置によって提供されるサービスの安定した動作を保証することが分かる。
さらに別の可能な実装では、処理ユニット1201は、
第1の認証応答に対するメッセージ完全性検査が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
通常、第1の認証応答に対するメッセージ完全性検査が失敗した場合、第1の認証応答メッセージがもはや完全でないか、攻撃者によって修正されていることを示す。したがって、第1のノードの検証失敗の数が更新され、検証失敗の数は、第1のノードのアイデンティティが信頼されているかどうかをその後に決定するために使用されてもよい。
さらに別の可能な実装では、第1の認証要求メッセージは、第1のアイデンティティ認証情報をさらに含む。処理ユニット1201は、第1の認証応答に対するメッセージ完全性検査が成功した場合、第1のノードと共有される共有鍵に基づいて、第1のアイデンティティ認証情報に対して検証を実行するようにさらに構成されている。
通信ユニット1202は、第1のアイデンティティ認証情報に対する検証が成功した場合、第1の認証応答を第1のノードに送信するようにさらに構成されている。
第1のノードのアイデンティティが信頼されていると決定された後、完全性検査が成功した場合、第1のノードと共有される共有鍵に基づいて、第1のノードのアイデンティティに対する検証が実行されることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の装置によって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションをノードが確立することを防止し、ノードのデータ・セキュリティを向上させる。
さらに別の可能な実装では、処理ユニット1201は、
第1のアイデンティティ認証情報に対する検証が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、第2の認証失敗カウンタは、第1のノードの検証失敗の数を示す。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティ確認が信頼されているかどうかをその後に決定するために使用されてもよく、その結果、複数回検証されないノードが、信頼されているともはや決定されなくてもよいことが分かる。信頼されていると決定されないノードに対しては、アソシエーション要求がノードにもはや送信されなくてもよく、ノードによって提供されるサービスの正常な動作を保証する。さらに別の可能な実装では、処理ユニット1201は、
第2の認証失敗カウンタの値が第2の閾値以上であることを決定し、
第1のノードの識別子を第2のブラックリストに追加するようにさらに構成されている。
第1のノードの検証失敗の数が事前設定された第1の閾値を超える場合、第1のノードが複数回検証されなかったことを示し、第1のノードがアソシエーション要求を頻繁に送信する攻撃者であり得ることが分かる。したがって、第1のノードの識別子がブラックリストに追加される。第1のノードの識別子がブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証を受けていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
さらに別の実装では、第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である。
第2のブラックリストにおける事前定義又は事前設定された第2の持続期間が、ブラックリストの有効期間とみなされ得ることが分かる。例えば、ブラックリストの第2の持続時間は10日であってもよく、ブラックリストに追加されてから10日後に、第1のノードの識別子がブラックリストから削除されてもよい。
さらに別の可能な実装では、処理ユニット1201は、第2の認証失敗カウンタの値が第2の閾値未満であることを決定するようにさらに構成されている。
通信ユニットは、第1のノードに第2のアソシエーション要求を送信するようにさらに構成されている。
第1のノードのアイデンティティ認証情報に対する検証が失敗した場合、装置は、第1のノードのアイデンティティ検証失敗の数を更新し、検証失敗の数は、ノードのアイデンティティが信頼されているかどうかをその後に決定するために使用され得ることが分かる。したがって、攻撃者が識別子のようなアイデンティを修正することによって、攻撃者の第1のノードによって実行されるアソシエーション制御を避けることが難しく、認証されていない攻撃者とのアソシエーションを装置が確立することを防止し、ノードのデータ・セキュリティを向上させる。
さらに別の可能な実装では、処理ユニット1201は、
第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
第3の確認応答表示情報を取得することと、
第1のノードに第2のアソシエーション要求を送信することと、を行うようにさらに構成されている。
第2のアソシエーション要求が再送される前に、確認応答表示情報が取得される必要があることが分かる。第3の確認応答表示情報は、ユーザによって入力された確認応答動作に基づいて取得される表示情報であってもよく、確認応答動作は、出力されたプロンプト情報の確認応答であってもよい。例えば、プロンプト情報が出力されて、検証が失敗し、アソシエーション要求が再度開始される必要があることをユーザにリマインドしてもよい。ユーザ確認応答動作が受信され、第3の確認応答表示情報が取得された後に、第2のアソシエーション要求が第1のノードに送信される。このようにして、ユーザは、再度アソシエーションが必要である第1のノードのアイデンティティを検証し、その結果、信頼されていないノードとのアソシエーションが回避され、通信セキュリティが保証される。
さらに別の可能な実装では、処理ユニット1201は、
第2のブラックリストに第1のノードの識別子が追加されている持続時間が第2の持続時間を超える場合、第2のブラックリストから第1のノードの識別子を削除するようにさらに構成されており、第2の持続時間は、第1のノードの識別子が第2のブラックリストに追加された回数又は第1のノードのタイプに関連する。
前述の実装は、第2のブラックリストの有効期間に関連する要因を説明する。第2のブラックリストの有効期間は、第1のノードがブラックリストに追加された回数に関連してもよい。第1のノードが第2のブラックリストに追加された回数が多いほど、第2のブラックリストにある第1のノードの持続時間が長くなることを示す。さらに、任意選択で、第2のブラックリストに第1のノードが追加された回数が閾値を超えた後に、第1のノードが第2のブラックリストに永久的に追加されてもよい。
追加的に、第2のブラックリストの有効期間は、第1のノードのデバイス・タイプに関連してもよい。具体的には、第1のノードがあらかじめ第1のノードのデバイス・タイプを取得してもよく、異なるデバイス・タイプに基づいて第2ブラックリストの異なる有効期間が決定される。例えば、デバイス・タイプは、高リスク・デバイス又は低リスク・デバイスを含んでもよい。第1のノードがスマート・コックピット・ドメイン・コントローラCDC、バーチャル・リアリティ・デバイスARなどに属する場合、第1のノードは、低リスク・デバイスとみなされてもよい。第1のノードがサーバ、コンピュータなどに属する場合、第1のノードは、高リスクデバイスとみなされてもよい。高リスク・デバイスのブラックリスト有効期間は、低リスク・デバイスのブラックリスト有効期間よりも長い。さらに、第2のノードは、第1のノードに対応するブラックリスト有効期間をさらに事前定義してもよい。詳細は、ここでは再度説明されない。さらに別の可能な実装では、第1のノードのアイデンティティが信頼されていない場合、第1のアソシエーション要求を第1のノードに送信するステップは実行されない。
第1のノードのアイデンティティが信頼されていない場合、アイデンティティ認証要求は第1のノードにもはや送信されず、ノードのリソースを浪費することを回避することが分かる。
前述の複数のユニットの分割は、機能に基づく論理分割にすぎず、装置120の特定の構造に対する限定として使用されないと留意されたい。特定の実装では、いくつかの機能モジュールは、より小さな機能モジュールに細分化されてもよいし、いくつかの機能モジュールは、1つの機能モジュールに組み合わされてもよい。しかしながら、これらの機能モジュールが細分化されているか、組み合わされているかにかかわらず、アソシエーション制御処理において装置120によって実行される手順は、ほぼ同じである。例えば、通信ユニットは、代替的には、受信ユニット及び送信ユニットに変換されてもよい。受信ユニットは、通信ユニットのメッセージ受信機能を実装するように構成されており、送信ユニットは、通信ユニットのメッセージ送信機能を実装するように構成されている。通常、各ユニットは、ユニットのプログラム・コード(又はプログラム命令)に対応する。ユニットに対応するプログラム・コードがプロセッサ上で動作するときに、ユニットは、対応する手順を実行して、対応する機能を実装することが可能となる。
各ユニットの実装については、図6A、図6B、及び図6Cに示す実施形態の対応する説明を参照することに留意されたい。装置120は、図6A、図6B及び図6Cに示す実施形態の第2のノードであってもよい。
図13は、この出願の一実施形態による通信装置130の構造の概略図である。装置130は、ノードであってもよいし、ノード内のチップ又は集積回路のようなコンポーネントであってもよい。通信装置130は、少なくとも1つのメモリ1301及び少なくとも1つのプロセッサ1302を含んでもよい。任意選択で、装置は、バス1303をさらに含む。任意選択で、装置は、通信インターフェース1304をさらに含んでもよい。メモリ1301、プロセッサ1302、及び通信インターフェース1304は、バス1303を介して接続される。
メモリ1301は記憶空間を提供するように構成され、記憶空間はオペレーティング・システム及びコンピュータ・プログラムのようなデータを記憶してもよい。メモリ1301は、RAM、ROM、EPROM、CD-ROMなどのうちの1つ又はそれらの組み合わせであってもよい。
プロセッサ1302は、算術演算及び/又は論理演算を実行するモジュールであり、具体的には、CPU、GPU、MPU、ASIC、FPGA、及びCPLDなどの処理モジュールのうちの1つ又はそれらの組み合わせであってもよい。
通信インターフェース1304は、外部から送信されたデータを受信し、及び/又は外部へデータを送信するように構成されており、イーサネット・ケーブルのような有線リンクのインターフェースであってもよいし、無線リンク(Wi-Fi、Bluetoothなど)インターフェースであってもよい。任意選択で、通信インターフェース1304は、インターフェースに結合された送信機(例えば、無線周波数送信機又はアンテナ)、受信機などを含んでもよい。
通信装置130内のプロセッサ1302は、メモリ1301に記憶されたコンピュータ・プログラムを読み出して、前述のアソシエーション制御方法、例えば、図6A、図6B、及び図6Cに記載のアソシエーション制御方法を実行するように構成されている。具体的な実装については、図6A、図6B、及び図6Cに示す実施形態の対応する説明を参照のこと。通信装置130は、図6A、図6B及び図6Cに示す実施形態の第1のノードであってもよい。
図14は、この出願の一実施形態による通信装置140の構造の概略図である。通信装置140は、少なくとも1つのメモリ1401及び少なくとも1つのプロセッサ1402を含んでもよい。任意選択で、装置は、バス1403をさらに含む。任意選択で、装置は、通信インターフェース1404をさらに含んでもよい。メモリ1401、プロセッサ1402、及び通信インターフェース1404は、バス1403を介して接続される。
メモリ1401は記憶空間を提供するように構成され、記憶空間はオペレーティング・システム及びコンピュータ・プログラムのようなデータを記憶してもよい。メモリ1401は、RAM、ROM、EPROM、CD-ROMなどのうちの1つ又はそれらの組み合わせであってもよい。
プロセッサ1402は、算術演算及び/又は論理演算を実行するモジュールであり、具体的には、CPU、GPU、MPU、ASIC、FPGA、及びCPLDなどの処理モジュールのうちの1つ又はそれらの組み合わせであってもよい。
通信インターフェース1404は、外部から送信されたデータを受信し、及び/又は外部へデータを送信するように構成されており、イーサネット・ケーブルのような有線リンクのインターフェースであってもよいし、無線リンク(Wi-Fi、Bluetoothなど)インターフェースであってもよい。任意選択で、通信インターフェース1304は、インターフェースに結合された送信機(例えば、無線周波数送信機又はアンテナ)、受信機などを含んでもよい。
通信装置140内のプロセッサ1402は、メモリ1401に記憶されたコンピュータ・プログラムを読み出して、前述のアソシエーション制御方法、例えば、図6A、図6B、及び図6Cに記載のアソシエーション制御方法を実行するように構成されている。具体的な実装については、図6A、図6B、及び図6Cに示す実施形態の対応する説明を参照のこと。通信装置140は、図6A、図6B及び図6Cに示す実施形態の第2のノードであってもよい。
この出願の一実施形態は、コンピュータ可読記憶媒体をさらに提供する。コンピュータ可読記憶媒体は、コンピュータ・プログラムを記憶する。コンピュータ・プログラムが1つ以上のプロセッサ上で動作するときに、図3、図5A、図5B、及び図5C、又は図6A、図6B、及び図6Cに示す任意の実施形態の方法が実行される。
この出願の一実施形態は、チップ・システムをさらに提供する。チップ・システムは、少なくとも1つのプロセッサ、メモリ、及びインターフェース回路を含む。インターフェース回路は、少なくとも1つのプロセッサに対する情報入出力を提供するように構成されており、少なくとも1つのメモリは、コンピュータ・プログラムを記憶し、コンピュータ・プログラムが1つ以上のプロセッサ上で動作するときに、図3、図5A、図5B、及び図5C、又は図6A、図6B、及び図6Cに示す任意の実施形態の方法が実行される。
この出願の一実施形態は、スマート・コックピット製品をさらに提供する。スマート・コックピット製品は、第1のノード(例えば、車両コックピット・ドメイン・コントローラCDC)を含む。第1のノードは、図3、図5A、図5B、及び図5C、又は図6A、図6B、及び図6Cに示す任意の実施形態の第1のノードである。さらに、スマート・コックピット製品は、第2のノード(例えば、カメラ、スクリーン、マイクロホン、スピーカ、レーダ、電子キー、受動入力受動スタート・システム・コントローラなどのモジュールのうちの少なくとも1つ)を含む。第2のノードは、図3、図5A、図5B、及び図5C、又は図6A、図6B、及び図6Cに示す任意の実施形態の第2のノードである。
この出願の一実施形態は、車両をさらに提供する。車両は、第1のノード(例えば、車両コックピット・ドメイン・コントローラCDC)を含む。さらに、車両は、第2のノード(例えば、カメラ、スクリーン、マイクロホン、スピーカ、レーダ、電子キー、受動入力受動スタート・システム・コントローラなどのモジュールのうちの少なくとも1つ)を含む。第1のノードは、図3、図5A、図5B、及び図5C、又は図6A、図6B、及び図6Cに示す実施形態の第1のノードであり、第2のノードは、図3、図5A、図5B、及び図5C、又は図6A、図6B、及び図6Cに示す実施形態の第2のノードである。
この出願の一実施形態は、コンピュータ・プログラム製品をさらに提供する。コンピュータ・プログラム製品が1つ以上のプロセッサ上で動作するときに、図3、図5A、図5B、及び図5C、又は図6A、図6B、及び図6Cに示す任意の実施形態におけるアソシエーション制御方法が実行されてもよい。代替的には、車両は、無人機、ロボット、又は輸送車両のようなインテリジェント端末で置き換えてもよい。
前述の実施形態の全部又は一部は、ソフトウェア、ハードウェア、ファームウェア、又はそれらの任意の組み合わせを使用して実装されてもよい。ソフトウェアが前述の実施形態を実装するために使用されるときに、実施形態の全部又は一部は、コンピュータ・プログラム製品の形態で実装されてもよい。コンピュータ・プログラム製品は、1つ以上のコンピュータ命令を含む。コンピュータ・プログラム命令がロードされ、コンピュータ上で実行されるときに、この出願の実施形態による手順又は機能の全部又は部分的に実装される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータ・ネットワーク、又は他のプログラム可能な装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよいし、コンピュータ可読記憶媒体を使用して伝送されてもよい。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、又は1つ以上の使用可能な媒体を一体化するサーバ若しくはデータ・センタなどのデータ記憶デバイスであってもよい。使用可能な媒体は、磁気媒体(例えば、フロッピー・ディスク、ハード・ディスク、又は磁気テープ)、光媒体(例えば、DVD)、又は半導体媒体(例えば、ソリッド・ステート・ドライブ(solid-state drive、SSD))などであってもよい。
順序調整、組み合わせ、又は削除は、実際の要件に基づいて、この出願の方法の実施形態のステップで実行されてもよい。
この出願の装置の実施形態のモジュールは、実際の要件に基づいて組み合わされ、分割され、又は削除されてもよい。
前述の説明は、この出願の単なる特定の実装であるが、この出願の保護範囲は、この出願に限定されない。この出願に開示された技術的範囲内で、当業者によって容易に理解することができる変形又は置換は、この出願の保護範囲に含まれるものとする。
任意選択で、この出願のこの実施形態のアソシエーション制御方法は、図5A、図5B、及び図5Cに示すステップS503、又はステップ503及びステップ504をさらに含んでもよい。ステップ503及びステップ504は、具体的には、以下のようである。
具体的には、第1のノードの検証失敗の数が事前セットされた第2の閾値を超える場合、第1のノードが複数回検証されなかったことを示す。したがって、第1のノードは、認証要求を頻繁に送信する攻撃者であることがあり、第1のノードの識別子が第2のブラックリストに追加される。第1のノードの識別子が第2のブラックリストに追加された後に、第1のノードのアイデンティティは、信頼されていると決定されず、認証されていない攻撃者とのアソシエーションを第2のノードが確立することを防止し、第2のノードのデータ・セキュリティを向上させる。第1のノードの識別子は、第2のブラックリスト及び第2のホワイトリストの両方にあることはできないことが理解されよう。したがって、第1のノードの識別子が第2のブラックリストに追加されるときに、第1のノードの識別子が第2のホワイトリストにある場合、第のホワイトリストから第1のノードの識別子が削除される必要がある。

Claims (44)

  1. アソシエーション制御方法であって、
    第1のアソシエーション要求を第2のノードから受信することと、
    前記第2のノードのアイデンティティが信頼されていると決定し、第1の認証要求を前記第2のノードに送信することであって、前記第1の認証要求は、第1のアイデンティティ認証情報を含み、前記第1のアイデンティティ認証情報は、第1のノードと前記第2のノードとの間の共有鍵に基づいて生成される、ことと、
    前記第2のノードから第1の認証応答を受信することであって、前記第1の認証応答は、第2のアイデンティティ認証情報を含む、ことと、
    前記共有鍵に基づいて前記第2のアイデンティティ認証情報に対して検証を実行することと、
    前記第2のアイデンティティ認証情報に対する前記検証が失敗した場合、第1の認証失敗カウンタを更新することであって、前記第1の認証失敗カウンタは、前記第2のノードの検証失敗の数を示す、ことと、を含む、方法。
  2. 前記第2のノードのアイデンティティが信頼されていると決定することは、
    前記第2のノードの識別子が第1のホワイトリストにあることを決定することか、
    前記第2のノードの識別子が第1のブラックリストにないことを決定することか、
    第1の確認応答表示情報を取得することであって、前記第1の確認応答表示情報は、前記第2のノードの前記アイデンティティが信頼されており、かつ前記第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
    第1の確認応答表示情報を取得することであって、前記第1の確認応答表示情報は、前記第2のノードの前記アイデンティティが信頼されており、かつ前記第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを含む、請求項1に記載の方法。
  3. 前記第1の認証応答は、第2の完全性検査データをさらに含み、前記第2の完全性検査データは、前記第1の認証応答に対してメッセージ完全性検査を実行するために使用され、前記方法は、
    前記第1の認証応答に対する前記メッセージ完全性検査が成功したと決定することをさらに含む、請求項1又は2に記載の方法。
  4. 前記方法は、第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定することであって、前記第1のアソシエーション数は、現在アソシエーションされているノードの数を示す、ことをさらに含む、請求項1~3のいずれか一項に記載の方法。
  5. 前記方法は、前記第2のアイデンティティ認証情報に対する前記検証が成功した場合、第1のアソシエーション応答を前記第2のノードに送信することであって、前記第1のアソシエーション応答は、前記第1のノードが前記第2のノードとアソシエーションを確立することを示すために使用される、ことをさらに含む、請求項1~4のいずれか一項に記載の方法。
  6. 前記方法は、前記第2のアイデンティティ認証情報に対する前記検証が成功した場合、第1のアソシエーション失敗カウンタをリセットすることをさらに含む、請求項1~5のいずれか一項に記載の方法。
  7. 前記共有鍵に基づいた前記第2のアイデンティティ認証情報に対する前記検証が失敗した場合、第1の認証失敗カウンタを更新した後に、前記方法は、
    前記第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、前記第2のノードの前記識別子を前記第1のブラックリストに追加することをさらに含む、請求項1~4のいずれか一項に記載の方法。
  8. 前記第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である、請求項7に記載の方法。
  9. アソシエーション方法であって、
    第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を前記第1のノードに送信することと、
    第1の認証要求を前記第1のノードから受信することであって、前記第1の認証要求は、第1のアイデンティティ認証情報を含む、ことと、
    第2のノードと前記第1のノードの間の共有鍵に基づいて前記第1のアイデンティティ認証情報に対して検証を実行することと、
    前記第1のアイデンティティ認証情報に対する前記検証が成功した場合、前記第1のノードに第1の認証応答を送信することであって、前記第1の認証応答は、第2のアイデンティティ認証情報を含み、前記第2のアイデンティティ認証情報は、前記共有鍵に基づいて生成される、ことと、を含む、方法。
  10. 第1のノードのアイデンティティが信頼されていると決定することは、
    前記第1のノードの識別子が第2のホワイトリストにあることを決定することか、
    前記第1のノードの識別子が第2のブラックリストにないことを決定することか、
    第2の確認応答表示情報を取得することであって、前記第2の確認応答表示情報は、前記第1のノードの前記アイデンティティが信頼されており、かつ前記第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
    第2の確認応答表示情報を取得することであって、前記第2の確認応答表示情報は、前記第1のノードの前記アイデンティティが信頼されており、かつ前記第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを含む、請求項9に記載の方法。
  11. 前記第1の認証要求は、第1の完全性検査データをさらに含み、前記第1の完全性検査データは、前記第1の認証要求に対してメッセージ完全性検査を実行するために使用され、前記方法は、
    前記第1の認証要求に対する前記メッセージ完全性検査が成功したと決定することをさらに含む、請求項9又は10に記載の方法。
  12. 前記第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を前記第1のノードに送信する前に、前記方法は、
    第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定することであって、前記第2のアソシエーション数は、現在アソシエーションされているノードの数を示す、ことをさらに含む、請求項9~11のいずれか一項に記載の方法。
  13. 前記方法は、前記第1のノードから第1のアソシエーション応答を受信することであって、前記第1のアソシエーション応答は、前記第1のノードが前記第2のノードとアソシエーションを確立することを示すために使用される、ことをさらに含む、請求項9~12のいずれか一項に記載の方法。
  14. 前記方法は、第2の認証失敗カウンタをリセットすることであって、前記第2の認証失敗カウンタは、前記第1のノードの検証失敗の数を示す、ことをさらに含む、請求項9~13のいずれか一項に記載の方法。
  15. 前記方法は、前記第1のアイデンティティ認証情報に対する前記検証が失敗した場合、第2の認証失敗カウンタを更新することであって、前記第2の認証失敗カウンタは、前記第1のノードの検証失敗の数を示す、ことをさらに含む、請求項9~11のいずれか一項に記載の方法。
  16. 前記第1のアイデンティティ認証情報に対する前記検証が失敗した場合、第2の認証失敗カウンタを更新した後に、前記方法は、
    前記第2の認証失敗カウンタの値が第2の閾値以上であることを決定することと、
    前記第1のノードの前記識別子を前記第2のブラックリストに追加することと、をさらに含む、請求項15に記載の方法。
  17. 前記第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である、請求項16に記載の方法。
  18. 前記第1のアイデンティティ認証情報に対する前記検証が失敗した場合、第2の認証失敗カウンタを更新した後に、前記方法は、
    前記第2の認証失敗カウンタの値が第2の閾値未満であると決定することと、
    前記第1のノードに第2のアソシエーション要求を送信することと、をさらに含む、請求項15に記載の方法。
  19. アソシエーション制御装置であって、
    第2のノードから第1のアソシエーション要求を受信するように構成されている通信ユニットと、
    前記第2のノードのアイデンティティが信頼されていると決定し、前記通信ユニットを使用して、第1の認証要求を前記第2のノードに送信するように構成されている処理ユニットであって、前記第1の認証要求は、第1のアイデンティティ認証情報を含み、前記第1のアイデンティティ認証情報は、第1のノードと前記第2のノードとの間の共有鍵に基づいて生成される、処理ユニットと、を含み、
    前記通信ユニットは、前記第2のノードから第1の認証応答を受信するようにさらに構成されており、前記第1の認証応答は、第2のアイデンティティ認証情報を含み、
    前記処理ユニットは、前記共有鍵に基づいて前記第2のアイデンティティ認証情報に対して検証を実行するようにさらに構成されており、
    前記処理ユニットは、前記第2のアイデンティティ認証情報に対する前記検証が失敗した場合、第1の認証失敗カウンタを更新するようにさらに構成されており、前記第1の認証失敗カウンタは、前記第2のノードの検証失敗の数を示す、装置。
  20. 前記処理ユニットは、具体的には、
    前記第2のノードの識別子が第1のホワイトリストにあることを決定することか、
    前記第2のノードの識別子が第1のブラックリストにないことを決定することか、
    第1の確認応答表示情報を取得することであって、前記第1の確認応答表示情報は、前記第2のノードの前記アイデンティティが信頼されており、かつ前記第2のノードの識別子が第1のブラックリストにないことを示す、ことか、又は
    第1の確認応答表示情報を取得することであって、前記第1の確認応答表示情報は、前記第2のノードの前記アイデンティティが信頼されており、かつ前記第2のノードの識別子が第1のブラックリストにも第1のホワイトリストにもないことを示す、ことを行うように構成されている、請求項19に記載の装置。
  21. 前記第1の認証応答は、第2の完全性検査データをさらに含み、前記第2の完全性検査データは、前記第1の認証応答に対してメッセージ完全性検査を実行するために使用され、
    前記処理ユニットは、具体的には、
    前記第1の認証応答に対する前記メッセージ完全性検査が成功したと決定するように構成されている、請求項19又は20に記載の装置。
  22. 前記処理ユニットは、第1のアソシエーション数が事前セットされた第1のアソシエーション閾値以下であることを決定するようにさらに構成されており、前記第1のアソシエーション数は、現在アソシエーションされているノードの数を示す、請求項19~21のいずれか一項に記載の装置。
  23. 前記通信ユニットは、前記第2のアイデンティティ認証情報に対する前記検証が成功した場合、第1のアソシエーション応答を前記第2のノードに送信するようにさらに構成されており、前記第1のアソシエーション応答は、前記第1のノードが前記第2のノードとアソシエーションを確立することを示すために使用される、請求項19~22のいずれか一項に記載の装置。
  24. 前記処理ユニットは、前記第2のアイデンティティ認証情報に対する前記検証が成功した場合、第1のアソシエーション失敗カウンタをリセットするようにさらに構成されている、請求項19~23のいずれか一項に記載の装置。
  25. 前記処理ユニットは、前記第1の認証失敗カウンタの値が第1の閾値以上であることを決定し、前記第2のノードの前記識別子を前記第1のブラックリストに追加するようにさらに構成されている、請求項19~22のいずれか一項に記載の装置。
  26. 前記第1のブラックリストの有効期間は、事前定義又は事前設定された第1の持続期間である、請求項25に記載の方法。
  27. アソシエーション制御装置であって、
    第1のノードのアイデンティティが信頼されていると決定し、通信ユニットを使用して、第1のアソシエーション要求を前記第1のノードに送信するように構成されている処理ユニットと、
    前記第1のノードから第1の認証要求を受信するようにさらに構成されている前記通信ユニットと、を含み、前記第1の認証要求は、第1のアイデンティティ認証情報を含み、
    前記処理ユニットは、第2のノードと前記第1のノードの間の共有鍵に基づいて前記第1のアイデンティティ認証情報に対して検証を実行するようにさらに構成されており、
    前記通信ユニットは、前記第1のアイデンティティ認証情報に対する前記検証が成功した場合、前記第1のノードに第1の認証応答を送信するようにさらに構成されており、前記第1の認証応答は、第2のアイデンティティ認証情報を含み、前記第2のアイデンティティ認証情報は、前記共有鍵に基づいて生成される、装置。
  28. 前記処理ユニットは、具体的には、
    前記第1のノードの識別子が第2のホワイトリストにあることを決定することか、
    前記第1のノードの識別子が第2のブラックリストにないことを決定することか、
    第2の確認応答表示情報を取得することであって、前記第2の確認応答表示情報は、前記第1のノードの前記アイデンティティが信頼されており、かつ前記第1のノードの識別子が第2のブラックリストにないことを示す、ことか、又は
    第2の確認応答表示情報を取得することであって、前記第2の確認応答表示情報は、前記第1のノードの前記アイデンティティが信頼されており、かつ前記第1のノードの識別子が第2のブラックリストにも第2のホワイトリストにもないことを示す、ことを行うように構成されている、請求項27に記載の装置。
  29. 前記第1の認証要求は、第1の完全性検査データをさらに含み、前記第1の完全性検査データは、前記第1の認証要求に対してメッセージ完全性検査を実行するために使用され、
    前記処理ユニットは、前記第1の認証要求に対する前記メッセージ完全性検査が成功したと決定するようにさらに構成されている、請求項27又は28に記載の装置。
  30. 前記処理ユニットは、第2のアソシエーション数が事前セットされた第2のアソシエーション閾値以下であることを決定するようにさらに構成されており、前記第2のアソシエーション数は、現在アソシエーションされているノードの数を示す、請求項27~29のいずれか一項に記載の装置。
  31. 前記通信ユニットは、前記第1のノードから第1のアソシエーション応答を受信するようにさらに構成されており、前記第1のアソシエーション応答は、前記第1のノードが前記第2のノードとアソシエーションを確立することを示すために使用される、請求項27~30のいずれか一項に記載の装置。
  32. 前記処理ユニットは、第2の認証失敗カウンタをリセットするようにさらに構成されており、前記第2の認証失敗カウンタは、前記第1のノードの検証失敗の数を示す、ことをさらに含む、請求項27~31のいずれか一項に記載の装置。
  33. 前記処理ユニットは、前記第1のアイデンティティ認証情報に対する前記検証が失敗した場合、第2の認証失敗カウンタを更新するようにさらに構成されており、前記第2の認証失敗カウンタは、前記第1のノードの検証失敗の数を示す、ことをさらに含む、請求項27~29のいずれか一項に記載の装置。
  34. 前記処理ユニットは、前記第2の認証失敗カウンタの値が第2の閾値以上であることを決定し、前記第1のノードの前記識別子を前記第2のブラックリストに追加するようにさらに構成されている、請求項33に記載の装置。
  35. 前記第2のブラックリストの有効期間は、事前定義又は事前設定された第2の持続期間である、請求項34に記載の装置。
  36. 前記処理ユニットは、前記第2の認証失敗カウンタの値が第2の閾値未満であることを決定するようにさらに構成されており、
    前記通信ユニットは、前記第1のノードに第2のアソシエーション要求を送信するようにさらに構成されている、請求項33に記載の装置。
  37. アソシエーション制御方法であって、
    第1のアソシエーション要求を第2のノードから受信することと、
    前記第2のノードのアイデンティティが信頼されていると決定し、第1の認証要求を前記第2のノードに送信することであって、前記第1の認証要求は、第1の完全性検査データを含む、ことと、
    前記第2のノードから第1の認証応答を受信することであって、前記第1の認証応答は、第2の完全性検査データを含む、ことと、
    前記第2の完全性検査データに基づいて、前記第1の認証応答に対してメッセージ完全性検査を実行することと、
    前記第1の認証応答に対する前記メッセージ完全性検査が失敗した場合、第1の認証失敗カウンタを更新することであって、前記第1の認証失敗カウンタは、前記第2のノードの検証失敗の数を示す、ことと、を含む、方法。
  38. アソシエーション方法であって、
    第1のノードのアイデンティティが信頼されていると決定し、第1のアソシエーション要求を前記第1のノードに送信することと、
    第1の認証要求を前記第1のノードから受信することであって、前記第1の認証要求は、第1の完全性検査データを含む、ことと、
    前記第1の完全性検査データに基づいて、前記第1の認証要求に対してメッセージ完全性検査を実行することと、
    前記第1の認証要求に対する前記メッセージ完全性検査が成功した場合、第1の認証応答を前記第1のノードに送信することと、を含む、方法。
  39. アソシエーション制御装置であって、
    第2のノードから第1のアソシエーション要求を受信するように構成されている通信ユニットと、
    前記第2のノードのアイデンティティが信頼されていると決定し、前記通信ユニットを使用して、第1の認証要求を前記第2のノードに送信するように構成されている処理ユニットであって、前記第1の認証要求は、第1の完全性検査データを含む、処理ユニットと、を含み、
    前記通信ユニットは、前記第2のノードから第1の認証応答を受信するようにさらに構成されており、前記第1の認証応答は、第2の完全性検査データを含み、
    前記処理ユニットは、前記第2の完全性検査データに基づいて、前記第1の認証応答に対してメッセージ完全性検査を実行するようにさらに構成されており、
    前記処理ユニットは、前記第1の認証応答に対する前記メッセージ完全性検査が失敗した場合、第1の認証失敗カウンタを更新するようにさらに構成されており、前記第1の認証失敗カウンタは、前記第2のノードの検証失敗の数を示す、装置。
  40. アソシエーション制御装置であって、
    第1のノードのアイデンティティが信頼されていると決定し、通信ユニットを使用して、第1のアソシエーション要求を前記第1のノードに送信するように構成されている処理ユニットと、
    前記第1のノードから第1の認証要求を受信するようにさらに構成されている前記通信ユニットと、を含み、前記第1の認証要求は、第1の完全性検査データを含み、
    前記処理ユニットは、前記第1の完全性検査データに基づいて、前記第1の認証要求に対してメッセージ完全性検査を実行するようにさらに構成されており、
    前記通信ユニットは、前記第1の認証要求に対する前記メッセージ完全性検査が成功した場合、第1の認証応答を前記第1のノードに送信するようにさらに構成されている、装置。
  41. 通信装置であって、前記装置は、少なくとも1つのプロセッサと、通信インターフェースと、を含み、前記少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、その結果、前記装置が、請求項1~8のいずれか一項に記載の方法又は請求項9~18のいずれか一項に記載の方法を実装するように構成されている、通信装置。
  42. 通信装置であって、前記装置は、少なくとも1つのプロセッサと、通信インターフェースと、を含み、前記少なくとも1つのプロセッサは、少なくとも1つのメモリに記憶されたコンピュータ・プログラムを呼び出し、前記装置が、請求項37又は38に記載の方法を実装するように構成されている、通信装置。
  43. 通信システムであって、
    請求項19~26のいずれか一項に記載の装置を含む第1のノードと、
    請求項27~36のいずれか一項に記載の装置を含む第2のノードと、を含む、通信システム。
  44. コンピュータ可読記憶媒体であって、前記コンピュータ可読記憶媒体は、コンピュータ・プログラムを記憶し、前記コンピュータ・プログラムが1つ以上のプロセッサ上で動作するときに、請求項1~8及び37のいずれか一項に記載の方法、又は請求項9~18及び38のいずれか一項に記載の方法が実行される、コンピュータ可読記憶媒体。
JP2023505821A 2020-07-30 2020-07-30 アソシエーション制御方法及び関連装置 Pending JP2023535474A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/106006 WO2022021256A1 (zh) 2020-07-30 2020-07-30 一种关联控制方法及相关装置

Publications (1)

Publication Number Publication Date
JP2023535474A true JP2023535474A (ja) 2023-08-17

Family

ID=80037381

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023505821A Pending JP2023535474A (ja) 2020-07-30 2020-07-30 アソシエーション制御方法及び関連装置

Country Status (6)

Country Link
US (1) US20230239693A1 (ja)
EP (1) EP4184854A4 (ja)
JP (1) JP2023535474A (ja)
KR (1) KR20230038571A (ja)
CN (1) CN116235467A (ja)
WO (1) WO2022021256A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018221954A1 (de) * 2018-12-17 2020-06-18 Robert Bosch Gmbh Recheneinrichtung und Verfahren zum Betreiben einer Recheneinrichtung
CN116094848B (zh) * 2023-04-11 2023-06-27 中国工商银行股份有限公司 访问控制方法、装置、计算机设备和存储介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007021094A1 (en) * 2005-08-19 2007-02-22 Samsung Electronics Co., Ltd. Method for performing multiple pre-shared key based authentication at once and system for executing the method
CN101192920B (zh) * 2006-11-21 2015-04-29 华为技术有限公司 一种应答请求的方法和设备
CN101193068B (zh) * 2006-11-21 2011-11-16 华为技术有限公司 一种应答请求的方法和设备
US9674892B1 (en) * 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
US9628297B2 (en) * 2009-04-23 2017-04-18 International Business Machines Corporation Communication authentication using multiple communication media
US8560848B2 (en) * 2009-09-02 2013-10-15 Marvell World Trade Ltd. Galois/counter mode encryption in a wireless network
CN103138923B (zh) * 2011-11-24 2016-06-22 中国移动通信集团公司 一种节点间认证方法、装置及系统
CN104579658B (zh) * 2013-10-15 2019-07-05 深圳市腾讯计算机系统有限公司 一种身份验证方法和装置
CN103825733A (zh) * 2014-02-28 2014-05-28 华为技术有限公司 基于组合公钥密码体制的通信方法、装置及系统
CN105991605A (zh) * 2015-02-27 2016-10-05 中兴通讯股份有限公司 Wifi连接验证方法、wifi热点设备及终端
CN105069348B (zh) * 2015-07-27 2018-10-23 深圳市云图电装系统有限公司 控制终端与被控终端的关联方法和装置
CN105553964B (zh) * 2015-12-10 2019-09-17 小米科技有限责任公司 控制蓝牙设备的方法及装置
US10129228B1 (en) * 2016-03-30 2018-11-13 Amazon Technologies, Inc. Authenticated communication between devices
CN107872421B (zh) * 2016-09-23 2021-04-20 中国电信股份有限公司 节点认证方法和系统以及相关设备
EP3337119B1 (en) * 2016-12-13 2019-09-11 Nxp B.V. Updating and distributing secret keys in a distributed network
CN108011805A (zh) * 2016-12-29 2018-05-08 北京车和家信息技术有限责任公司 消息过滤的方法、装置、中间服务器及车联网系统
US10554689B2 (en) * 2017-04-28 2020-02-04 Cisco Technology, Inc. Secure communication session resumption in a service function chain
CN117544931A (zh) * 2019-08-09 2024-02-09 华为技术有限公司 信息共享方法、终端设备、存储介质及计算机程序产品

Also Published As

Publication number Publication date
KR20230038571A (ko) 2023-03-20
EP4184854A4 (en) 2023-09-13
EP4184854A1 (en) 2023-05-24
WO2022021256A1 (zh) 2022-02-03
CN116235467A (zh) 2023-06-06
US20230239693A1 (en) 2023-07-27

Similar Documents

Publication Publication Date Title
US11637696B2 (en) End-to-end communication security
US11432150B2 (en) Method and apparatus for authenticating network access of terminal
EP3308519B1 (en) System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource
US10470102B2 (en) MAC address-bound WLAN password
US20230239693A1 (en) Association control method and related apparatus
KR20080053177A (ko) 이동통신시스템에서의 인증키 생성 방법 및 갱신 방법
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
US20230327857A1 (en) Communication Method and Apparatus
US20220417015A1 (en) Key update method and related apparatus
US10122755B2 (en) Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node
US20230208625A1 (en) Communication method and related apparatus
CN105828330A (zh) 一种接入方法及装置
US11223954B2 (en) Network authentication method, device, and system
EP3163839A1 (en) Detecting malicious applications
TWI641271B (zh) 一種存取認證方法、ue和存取設備
WO2019205895A1 (zh) 寻呼方法、网络设备及终端
US9860266B2 (en) Preventing messaging attacks
US20230099065A1 (en) Key obtaining method and related apparatus
CN112333146B (zh) 变电智能网关arp安全防御方法及变电智能网关
CN117692902B (zh) 一种基于嵌入式家庭网关的智能家居的交互方法及系统
CN110061833B (zh) 一种身份位置的绑定更新方法及装置
CN116530119A (zh) 保护无线网络中序列号的方法、设备和系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230306

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230306

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240521