JP6851480B2 - 特に自動車環境における少なくとも1つのサービスを提供するための方法および装置 - Google Patents
特に自動車環境における少なくとも1つのサービスを提供するための方法および装置 Download PDFInfo
- Publication number
- JP6851480B2 JP6851480B2 JP2019528710A JP2019528710A JP6851480B2 JP 6851480 B2 JP6851480 B2 JP 6851480B2 JP 2019528710 A JP2019528710 A JP 2019528710A JP 2019528710 A JP2019528710 A JP 2019528710A JP 6851480 B2 JP6851480 B2 JP 6851480B2
- Authority
- JP
- Japan
- Prior art keywords
- network access
- communication connection
- network
- configuration
- access device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 46
- 238000004891 communication Methods 0.000 claims description 159
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 5
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 20
- 108091006146 Channels Proteins 0.000 description 14
- 230000027455 binding Effects 0.000 description 8
- 238000009739 binding Methods 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000009795 derivation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 101100260765 Schizosaccharomyces pombe (strain 972 / ATCC 24843) tls1 gene Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000011157 data evaluation Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
・IEEE802.1x標準規格は、IEEE802規格のネットワークにおける認証および権限付与のための方法を提供している。認証サーバ(たとえばいわゆるRADIUSサーバまたはDIAMETERサーバ)を利用する方法により、この状況では不特定のユーザにもローカルにネットワークアクセスが可能となる。IEEE802.1xをベースにした解決方法では、使用されている通信プロトコルレベル(たとえばOSIモデルまたはTCP/IPプロトコルスタック)のレイヤー2(レベル2)上のクライアントが、インフラストラクチャコンポーネント(典型的にはRadiusサーバ)に対する認証を実現し、このインフラストラクチャコンポーネントは認証が成功した後、ユーザに対するネットワークアクセスポイントへのアクセスをイネーブルする(ウィキペディア参照、https://de.wikipedia.org/wiki/IEEE 802.1X)。
・PANA(Protocolfor Carrying Authentication for Network Access)は、IPベースのプロトコル(レイヤー3)であり、これはネットワークアクセスに対するユーザの認証を可能とする(https://en.wikipedia.org/wiki/ protocol forcarrying Authentication for Network Accessも参照)。
・SOCKSは,インターネットプロトコルであって、クライアント−サーバのアプリケーションが、プロトコルに依存せず、透過的にプロキシサーバのサービスを使用することを可能とする(https://de.wikipedia.org /wiki/ SOCKSを参照)。ここでSOCKS自体には、通信接続用にそれ自身の保護が設けられておらず、ただしTLS(Transport Layer Security、IETF RFC 5246, https://tools.ietf.org/html/rfc5246を参照)のような既存のプロトコルによって保護することができる。
・さらに、IETF RFC5246には、TLSセッション再開を行うことが記載され、ここで一方ではクローズされたセッションにおけるセッションを、クローズ後の所定の時間までに再開することができる。他方、これにより通信パートナー間のさらなるTLSセッションを多重化することができる。この多重化では、元のセッションへのバインディングが実現される。
・RFC 5929(https://tools.ietf.org/html/rfc5929を参照)には,TLSチャネルのチャネルバインディングが記載されている。ここで既存のTLSチャネルのさらなるチャネルへの暗号化バインディングが行われる。このチャネルバインディングは、上記のセッションの再開が利用されるかどうかとは無関係に、各々の回線に対して固有のものである。チャネルバインディングタイプとしてtls-unique値をサポートするTLS実装は、アプリケーションプログラム用のインタフェースを準備しなければならず、このインタフェースは、TLS回線用のチャネルバインディングを受け取る。
・1つ以上の取得装置と、
・1つ以上のネットワークアクセス装置であって、それぞれ1つ以上の取得装置が関連付け可能なネットワークアクセス装置と、を備え、
以下の、
・上記のネットワーク構成に利用できる、上記の取得装置の1つと上記のネットワークアクセス装置の1つとの間の既存の少なくとも1つの第1の通信接続用の通信プロトコルレベルのトランスポートレベル以上での暗号化保護を準備するステップであって、当該第1の通信接続が、上記の取得装置によって取得されたデータを監視するため、および/または上記の取得装置によって取得されたデータを参照して上記のネットワーク構成内のさらなる装置を制御するために、使用されるステップと、
・上記の取得装置と上記のネットワークアクセス装置との間の、上記のトランスポートレベルの下側で暗号化保護される少なくとも1つのさらなる第2の通信接続用のネットワークアクセスのコンフィギュレーションデータを生成および/または決定するステップと、
・上記の生成および/または決定されたネットワークアクセスのコンフィギュレーションデータを、上記の第1の通信接続用に準備された暗号化保護を使用しつつ、上記のネットワークアクセス装置に提供するステップと、
・提供されたこのネットワークアクセスのコンフィギュレーションデータを利用して、上記の少なくとも1つのさらなる第2の通信接続用に、上記のネットワークアクセス装置における少なくとも1つの所定のネットワークアクセスを確立するステップと、
・上記の取得装置と上記のネットワークアクセス装置における確立された上記のさらなるネットワークアクセスとの間の上記の少なくとも1つのさらなる第2の通信接続を、上記の生成および/または決定されたネットワークアクセスのコンフィギュレーションデータを利用して、構築するステップであって、上記の少なくともさらなる第2の通信接続を介して、1つ以上のサービスが提供されるか、あるいは提供可能であるステップと、
を含む。
・上記のネットワーク構成に利用できる、上記の取得装置と上記のネットワーク構成に配設されたネットワークアクセス装置との間の既存の少なくとも1つの第1の通信接続用の上記の通信プロトコルレベルの上記のトランスポートレベル以上での暗号化保護を準備する手段であって、この第1の通信接続が、上記の取得装置によって取得されたデータを監視するため、および/または上記の取得装置によって取得されたデータを参照して上記のネットワーク構成内のさらなる装置を制御するために、使用可能である手段と、
・上記の取得装置と上記のネットワークアクセス装置との間の、上記のトランスポートレベルの下側で暗号化保護される、少なくとも1つのさらなる第2の通信接続用のネットワークアクセスのコンフィギュレーションデータを生成および/または決定する手段と、
・上記の生成および/または決定されたネットワークアクセスのコンフィギュレーションデータを、上記の第1の通信接続用に準備された暗号化保護を使用しつつ、上記のネットワークアクセス装置に提供する手段と、
・上記の取得装置と上記のネットワークアクセス装置における確立されたさらなるネットワークアクセスとの間の上記の少なくともさらなる第2の通信接続を、上記の生成および/または決定されたネットワークアクセスのコンフィギュレーションデータを利用して、構築するための手段であって、ここで上記のさらなる第2の通信接続を介して、1つ以上のサービスを提供することができる手段と、
を備える。
・生成および/または決定されたネットワークアクセスのコンフィギュレーションデータを、少なくとも1つのさらなる第2の通信接続の構築用に利用するための手段であって、当該コンフィギュレーションデータは、少なくとも1つの第1の通信接続用に準備された上記の暗号化保護を使用しつつ、上記のネットワーク構成に利用可能な上記の通信プロトコルレベルの上記のトランスポートレベル以上に提供されており、ここで当該少なくとも1つの第1の通信接続が、上記の取得装置によって取得されたデータを監視するため、および/または上記の取得装置により取得されたデータを参照して上記のネットワーク構成内の1つのさらなる装置を制御するために、使用可能である手段と、
・提供された上記のネットワークアクセスのコンフィギュレーションデータを用いて、少なくとも1つのさらなるネットワークアクセスを確立する手段と、
・提供された上記のネットワークアクセスのコンフィギュレーションデータを用いて、上記の取得装置と確立された上記のさらなるネットワークアクセスとの間に上記のさらなる第2の通信接続を構築する手段であって、ここで当該第2の通信接続を介して、1つ以上のサービスを提供することができる手段と、
を備える。
本発明のさらなる利点、詳細、および変形例が、図面を参照して以下の実施例の説明で示される。
・TLSにおけるクライアント側の認証(たとえばクライアント証明書またはTLSPSKを用いるいわゆる事前共有キー)を用いる方法。
・既存のTLS回線を介したアプリケーションプロトコルを用いる方法(たとえばHTTPダイジェスト、JWTセキュリティトークン、XMLセキュリティ)。
・ユーザによってサーバで、さらなるインタフェースを介して直接行う、すなわち上記のTLS回線から独立して行う方法(本願の例では、これはRFIDによるイネーブルであってよく、あるいは、クライアントをサーバに結び付ける直接の支払い動作(Bezahlaktion)であってよい。)。
・(保護されていない、第1のネットワークアクセスを介した)クライアントとサーバとの間のTLS通信接続を構築するステップ(図1の1)および2)を参照)。
・保護されたネットワークアクセス(レイヤー3の下、好ましくはレイヤー2:IEEE 802.11 WLAN、Ethernet MACsec、Layer2-Tunnelingを有するIPsec)用の動的なネットワークアクセスコンフィギュレーションデータを生成あるいは形成および/または決定あるいは設定するステップ。この際少なくとも1つのパラメータ(PSKキー、ネットワーク名(SSID))が、ランダムあるいは疑似ランダムで生成されてよい(図1の3)も参照)。
・生成された上記のネットワークアクセスコンフィギュレーションデータに対応して、上記のサーバによって第2の一時的な第2のネットワークアクセスをコンフィギュレーション/確立するステップ。
・上記のTLS回線を使用しつつ、上記の動的なネットワークアクセスコンフィギュレーションデータを上記のネットワークアクセス装置に提供するステップ。(上記のTLS回線を介したネットワークアクセスコンフィギュレーションデータの明示的な伝送、あるいは上記のTLS回線に依存する上記のネットワークアクセスコンフィギュレーションデータの決定。)
・上記の動的なネットワークアクセスコンフィギュレーションデータに対応して、保護された第2のネットワークアクセスを、上記のクライアントによって構築するステップ(図の5)を参照)。
一時的なSSID=サービス名|クライアント識別子
とすることであり、ここでこのクライアント識別子は、たとえば上記のMACアドレスであってよい。このサービス名は公知の名称であってよく、そしてこのSSIDは上記の公開のWLANに対応してよい。この一時的なSSIDを有する上記の第2のWLANはアクセス保護されている(WEP,WPA、WPA2等)。このために必要なデータは、このクライアントに直接、あるいはたとえば別のプロトコルメッセージを介し、上記の(安全な)第1の通信接続を介して伝達されてよい。クライアントおよびサーバは、この第1の通信接続に構築された保護関連付けを、これから上記の第2の通信接続用のアクセスデータを導出するために、使用してよい。このためたとえばTLS用には、tls_uniqueの値を用いてこの第2の通信接続への暗号化バインディングを構築するために、RFC5929からの既知の導出が利用可能である。こうしてクライアントおよびサーバは、“tls_unique”から上記の一時的なSSIDを有するWLAN用のアクセスパスワード“pw_temp_SSID”を導出する。導出関数としては、たとえばSHA256のようなハッシュ関数を利用してよい。
pw_temp_SSID =h(tls_unique|クライアント識別子|サービス名)
この導出においては、さらなるパラメータが加わってよい(ここではたとえばこのクライアント識別子およびサービス名)。このクライアントは、この一時的なSSIDを有するWLANを用いてのみ、WPA2(またはこれに類するもの)を介し、このサーバを介して安全に接続されかつ保護されて、上記のサービス提供者のサーバと通信することができる(外部のサービス提供者とのエンドツーエンド通信は、通常は別に安全確保される。)。このサーバは、この一時的なWLANへ受け入れられる回線の数を制限してよい。
Claims (26)
- ネットワーク構成内で少なくとも1つのサービスを提供するための方法であって、
前記ネットワーク構成は、
・1つ以上の取得装置(EV)と、
・1つ以上のネットワークアクセス装置(EVSE)であって、1つ以上の取得装置(EV)とそれぞれ接続可能なネットワークアクセス装置(EVSE)と、
を備え、
以下のステップ、
・前記ネットワーク構成に利用できる、前記取得装置(EV)の1つと前記ネットワークアクセス装置(EVSE)の1つとの間の既存の少なくとも1つの第1の通信接続用の通信プロトコルレベルのトランスポートレベル以上での暗号化保護を準備するステップであって、前記第1の通信接続が、前記取得装置によって取得されたデータを監視するために、および/または、前記取得装置によって取得されたデータを参照して前記ネットワーク構成内の1つのさらなる装置を制御するために、使用されるステップと、
・前記取得装置と前記ネットワークアクセス装置との間の、前記トランスポートレベルの下側で暗号化保護される少なくとも1つのさらなる第2の通信接続用のネットワークアクセスのコンフィギュレーションデータを生成および決定の少なくとも一方をするステップと、
・前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータを、前記第1の通信接続用に準備された暗号化保護を使用しつつ、前記ネットワークアクセス装置に提供するステップと、
・提供された前記ネットワークアクセスのコンフィギュレーションデータを利用して、前記少なくとも1つのさらなる第2の通信接続用に、前記ネットワークアクセス装置における少なくとも1つの所定のネットワークアクセスを確立するステップと、
・前記取得装置(EV)と前記ネットワークアクセス装置(EVSE)における確立された前記さらなるネットワークアクセスとの間の前記少なくとも1つのさらなる第2の通信接続を、前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータを利用して、構築するステップであって、前記さらなる第2の通信接続を介して前記取得装置に、1つ以上のサービスが提供されるか、または提供することができるステップと、
を備えることを特徴とする方法。 - 請求項1に記載の方法において、
前記第1の通信接続用の前記暗号化保護が、TLS暗号化またはDTLS暗号化を用いて実現されることを特徴とする方法。 - 請求項1または2に記載の方法において、
前記第2の通信接続は、前記第1の通信接続にバインドされていることを特徴とする方法。 - 請求項1乃至3のいずれか1項に記載の方法において、
前記第1の通信接続が終了した時に、前記第2の通信接続も終了することを特徴とする方法。 - 請求項1乃至4のいずれか1項に記載の方法において、
前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータは、前記コンフィギュレーションデータが、暗号化保護された前記第1の通信接続を用いて伝送されるか、または暗号化保護された前記第1の通信接続のコンテキストから導出されることによって提供されることを特徴とする方法。 - 請求項1乃至5のいずれか1項に記載の方法において、
前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータは、公開または秘匿されたネットワーク名およびアクセスキーの少なくとも一方を含むことを特徴とする方法。 - 請求項1乃至6のいずれか1項に記載の方法において、
確立された前記さらなるネットワークアクセスは、時間的に制限されており、前記第1の通信接続が終了した時点以降は利用できないことを特徴とする方法。 - 請求項1乃至7のいずれか1項に記載の方法において、
1つ以上のネットワークアクセス装置が、前記ネットワークアクセス装置からネットワークサービスサーバ(tz1)への通信接続を許可し(4))、これにより前記ネットワークサービスサーバから、1つ以上の前記サービスが提供されることを特徴とする方法。 - 請求項8に記載の方法において、
前記ネットワークサービスサーバへの通信接続用に、前記ネットワークアクセス装置におけるポートが有効化され、前記ポートは、前記第2の通信接続に対して、前記取得装置のために使用されることを特徴とする方法。 - 請求項9に記載の方法において、
前記ポートは、前記第1の通信接続に従属して有効化されることを特徴とする方法。 - 請求項9または10に記載の方法において、
有効化される前記ポートは、事前にコンフィギュレーションされているか、または動的に前記ネットワークアクセスのコンフィギュレーションデータから決定されることを特徴とする方法。 - ネットワーク構成内でサービスを受け取るために適した取得装置(EV)であって、
・前記ネットワーク構成に利用できる、前記取得装置(EV)と前記ネットワーク構成に配設されたネットワークアクセス装置(EVSE)との間の既存の少なくとも1つの第1の通信接続用の通信プロトコルレベルのトランスポートレベル以上での暗号化保護を準備する手段であって、前記第1の通信接続が、前記取得装置によって取得されたデータを監視するために、および/または、前記取得装置によって取得されたデータを参照して前記ネットワーク構成内の1つのさらなる装置を制御するために、使用可能である手段と、
・前記取得装置と前記ネットワークアクセス装置との間の、前記トランスポートレベルの下側で暗号化保護される、少なくとも1つのさらなる第2の通信接続用のネットワークアクセスのコンフィギュレーションデータを生成および決定の少なくとも一方をする手段と、
・前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータを、前記第1の通信接続用に準備された暗号化保護を使用しつつ、前記ネットワークアクセス装置に提供する手段と、
・前記取得装置と前記ネットワークアクセス装置における確立された1つのさらなるネットワークアクセスとの間の前記少なくともさらなる第2の通信接続を、前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータを利用して、構築するための手段であって、前記さらなる第2の通信接続を介して、1つ以上のサービスを提供することができる手段と、
を備えることを特徴とする取得装置(EV)。 - 請求項12に記載の取得装置において、
前記第1の通信接続用の前記暗号化保護が、TLS暗号化またはDTLS暗号化を用いて実現可能であることを特徴とする取得装置。 - ネットワーク構成内の1つの取得装置(EV)に対するサービスを提供するために適したネットワークアクセス装置(EVSE)であって、
・生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータを、少なくとも1つの第2の通信接続の構築用に利用するための手段であって、当該コンフィギュレーションデータは、少なくとも1つの第1の通信接続用に準備された暗号化保護を使用しつつ、上記のネットワーク構成に利用可能な通信プロトコルレベルのトランスポートレベル以上に提供されており、当該少なくとも1つの第1の通信接続が、前記取得装置によって取得されたデータの監視するために、および/または、前記取得装置によって取得されたデータを参照して前記ネットワーク構成内の1つのさらなる装置を制御するために、使用可能である手段と、
・提供された前記ネットワークアクセスのコンフィギュレーションデータを用いて、少なくとも1つのさらなるネットワークアクセスを確立する手段と、
・提供された前記ネットワークアクセスのコンフィギュレーションデータを用いて、前記取得装置と確立された前記さらなるネットワークアクセスとの間に前記さらなる第2の通信接続を構築する手段であって、当該第2の通信接続を介して、1つ以上のサービスを提供することができる手段と、
を備えることを特徴とするネットワークアクセス装置(EVSE)。 - 請求項14に記載のネットワークアクセス装置において、
確立された前記さらなるネットワークアクセスは時間的に制限されており、前記第1の通信接続が終了した時点以降は提供されないことを特徴とするネットワークアクセス装置。 - 請求項15に記載のネットワークアクセス装置において、
前記ネットワークアクセス装置が、前記ネットワークアクセス装置からネットワークサービスサーバへの通信接続を許可し、これにより前記ネットワークサービスサーバから、1つ以上の前記サービスが提供されることを特徴とするネットワークアクセス装置。 - 請求項16に記載のネットワークアクセス装置において、
前記ネットワークサービスサーバへの通信接続用に、前記ネットワークアクセス装置におけるポートが有効化され、前記ポートは、前記第2の通信接続に対して、前記取得装置のために使用されることを特徴とするネットワークアクセス装置。 - 請求項17に記載のネットワークアクセス装置において、
前記ポートは、前記第1の通信接続に従属して有効化可能であることを特徴とするネットワークアクセス装置。 - 請求項17または18に記載のネットワークアクセス装置において、
有効化される前記ポートは、事前にコンフィギュレーションされているか、または動的に前記ネットワークアクセスのコンフィギュレーションデータから決定可能であることを特徴とするネットワークアクセス装置。 - 請求項14乃至19のいずれか1項に記載のネットワークアクセス装置において、
前記第1の通信接続用の前記暗号化保護が、TLS暗号化またはDTLS暗号化を用いて実現可能であることを特徴とするネットワークアクセス装置。 - 請求項12または13に記載の少なくとも1つの取得装置と請求項14乃至20のいずれか1項に記載の少なくとも1つのネットワークアクセス装置とを備えるネットワーク構成(EV,EVSE,tz1)であって、
前記ネットワークアクセス装置には、前記取得装置が関連付け可能であり、
前記取得装置および前記ネットワークアクセス装置は、請求項1乃至11のいずれか1項に記載の方法を実行するように構成されている、
ことを特徴とするネットワーク構成。 - 請求項21に記載のネットワーク構成において、
前記第2の通信接続は、前記第1の通信接続にバインドされていることを特徴とするネットワーク構成。 - 請求項21または22に記載のネットワーク構成において、
前記第2の通信接続の終了は、前記第1の通信接続の終了に依存していることを特徴とするネットワーク構成。 - 請求項21乃至23のいずれか1項に記載のネットワーク構成において、
前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータは、公開または秘匿されたネットワーク名およびアクセスキーの少なくとも一方を含むことを特徴とするネットワーク構成。 - 請求項21乃至24のいずれか1項に記載のネットワーク構成において、
前記生成および決定の少なくとも一方がなされたネットワークアクセスのコンフィギュレーションデータは、前記コンフィギュレーションデータが、暗号化保護された前記第1の通信接続を用いて伝送されるか、または暗号化保護された前記第1の通信接続のコンテキストから、導出可能であることを特徴とするネットワーク構成。 - 少なくとも1つのコンピュータプログラムを有するコンピュータプログラムであって、
請求項1乃至11のいずれか1項に記載の方法を実行するための手段を備え、前記少なくとも1つのコンピュータプログラムが上述のネットワーク構成内に分散されて実行されることを特徴とするコンピュータプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016223633.4 | 2016-11-29 | ||
DE102016223633.4A DE102016223633A1 (de) | 2016-11-29 | 2016-11-29 | Verfahren und Einrichtungen zum Bereitstellen von mindestens einem Dienst, insbesondere im Automotive-Umfeld |
PCT/EP2017/075587 WO2018099639A1 (de) | 2016-11-29 | 2017-10-09 | Verfahren und einrichtungen zum bereitstellen von mindestens einem dienst, insbesondere im automotive-umfeld |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019537382A JP2019537382A (ja) | 2019-12-19 |
JP6851480B2 true JP6851480B2 (ja) | 2021-03-31 |
Family
ID=60201506
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019528710A Active JP6851480B2 (ja) | 2016-11-29 | 2017-10-09 | 特に自動車環境における少なくとも1つのサービスを提供するための方法および装置 |
Country Status (6)
Country | Link |
---|---|
US (2) | US11658943B2 (ja) |
EP (1) | EP3526949B1 (ja) |
JP (1) | JP6851480B2 (ja) |
CN (1) | CN109997342B (ja) |
DE (1) | DE102016223633A1 (ja) |
WO (1) | WO2018099639A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10142959A1 (de) * | 2001-09-03 | 2003-04-03 | Siemens Ag | Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht |
US7555783B2 (en) * | 2005-01-21 | 2009-06-30 | Cisco Technology, Inc. | Wireless network credential provisioning |
DE102007030775B3 (de) | 2007-07-03 | 2009-02-19 | Siemens Ag | Verfahren zum Filtern von Netzwerkdiensten und Netzwerkdiensteinhalten |
US8604750B2 (en) | 2010-02-23 | 2013-12-10 | Optimization Technologies, Inc. | Electric vehicle charging stations with touch screen user interface |
DE102010026689A1 (de) * | 2010-07-09 | 2012-01-12 | Siemens Aktiengesellschaft | Verfahren und Steuereinheit zum Laden eines Fahrzeugakkumulators |
JP5842362B2 (ja) * | 2011-03-31 | 2016-01-13 | 富士通株式会社 | プログラム、情報通信機器および連携方法 |
US9021278B2 (en) | 2011-08-10 | 2015-04-28 | Qualcomm Incorporated | Network association of communication devices based on attenuation information |
JP2013222991A (ja) * | 2012-04-12 | 2013-10-28 | Ricoh Co Ltd | 無線通信システム、無線通信方法及び無線端末装置 |
JP2014024458A (ja) | 2012-07-27 | 2014-02-06 | Auto Network Gijutsu Kenkyusho:Kk | 給電装置及び携帯通信機探索システム |
US9749134B2 (en) * | 2013-06-20 | 2017-08-29 | Qualcomm Incorporated | Wireless configuration using passive near field communication |
US9647883B2 (en) * | 2014-03-21 | 2017-05-09 | Nicria, Inc. | Multiple levels of logical routers |
JP6350073B2 (ja) | 2014-07-29 | 2018-07-04 | セイコーエプソン株式会社 | デバイス制御装置、デバイス制御方法、及び、デバイス制御プログラム |
GB2530040B (en) * | 2014-09-09 | 2021-01-20 | Arm Ip Ltd | Communication mechanism for data processing devices |
CN105101059A (zh) * | 2015-07-14 | 2015-11-25 | 百度在线网络技术(北京)有限公司 | 应用终端的配置方法及装置 |
-
2016
- 2016-11-29 DE DE102016223633.4A patent/DE102016223633A1/de not_active Withdrawn
-
2017
- 2017-10-09 CN CN201780073955.1A patent/CN109997342B/zh active Active
- 2017-10-09 JP JP2019528710A patent/JP6851480B2/ja active Active
- 2017-10-09 WO PCT/EP2017/075587 patent/WO2018099639A1/de unknown
- 2017-10-09 EP EP17791951.1A patent/EP3526949B1/de active Active
- 2017-10-09 US US16/463,039 patent/US11658943B2/en active Active
-
2022
- 2022-07-27 US US17/874,435 patent/US11838280B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11838280B2 (en) | 2023-12-05 |
CN109997342A (zh) | 2019-07-09 |
JP2019537382A (ja) | 2019-12-19 |
EP3526949A1 (de) | 2019-08-21 |
CN109997342B (zh) | 2022-01-14 |
US20200067943A1 (en) | 2020-02-27 |
US11658943B2 (en) | 2023-05-23 |
DE102016223633A1 (de) | 2018-05-30 |
WO2018099639A1 (de) | 2018-06-07 |
US20220368680A1 (en) | 2022-11-17 |
EP3526949B1 (de) | 2021-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230070104A1 (en) | Secure connections establishment | |
KR101437026B1 (ko) | 무선 액세스 포인트를 위한 해제 가능한 보안 시스템 및 방법 | |
CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
US12022010B2 (en) | Reduced bandwidth handshake communication | |
US8639936B2 (en) | Methods and entities using IPSec ESP to support security functionality for UDP-based traffic | |
CN103155512B (zh) | 用于对服务提供安全访问的系统和方法 | |
EP1760945A2 (en) | Wireless LAN security system and method | |
JP2016082597A (ja) | セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法 | |
EP2909988B1 (en) | Unidirectional deep packet inspection | |
GB2518254A (en) | Communicating with a machine to machine device | |
US20190238536A1 (en) | Techniques for resuming a secure communication session | |
CA2929173A1 (en) | Key configuration method, system, and apparatus | |
WO2015058378A1 (zh) | 用户设备之间进行安全通信的方法及装置 | |
US8887256B2 (en) | Establishing virtual private network session using roaming credentials | |
CN112205018B (zh) | 监控网络中的加密连接的方法、设备 | |
US11838280B2 (en) | Method and devices for providing at least one service, in particular in the automotive environment | |
EP3340530B1 (en) | Transport layer security (tls) based method to generate and use a unique persistent node identity, and corresponding client and server | |
EP4044553A1 (en) | Method and device to provide a security level for communication | |
KR102071707B1 (ko) | 소프트웨어 정의 네트워킹을 활용한 mac 프로토콜 기반의 종단간 보안 통신 방법과 이를 위한 통신 컨트롤러 및 컴퓨터 프로그램 | |
CN114760093A (zh) | 通信方法及装置 | |
JP2019029847A (ja) | 通信システム及び通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190716 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190716 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200630 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200714 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200907 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210209 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210309 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6851480 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |