JP6985412B2 - 通信デバイスの評判レベルを管理するための方法 - Google Patents

通信デバイスの評判レベルを管理するための方法 Download PDF

Info

Publication number
JP6985412B2
JP6985412B2 JP2019556897A JP2019556897A JP6985412B2 JP 6985412 B2 JP6985412 B2 JP 6985412B2 JP 2019556897 A JP2019556897 A JP 2019556897A JP 2019556897 A JP2019556897 A JP 2019556897A JP 6985412 B2 JP6985412 B2 JP 6985412B2
Authority
JP
Japan
Prior art keywords
communication device
message
reputation level
information
feedback
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019556897A
Other languages
English (en)
Other versions
JP2020518168A (ja
Inventor
フェレイラ,マルシオ
シュミット,セバスチャン
モニエ,ジェラルド
トゥレソル,リュドビク
ダオ,フレデリク
ブティエ,セドリック
ユゲナン,ダビド
Original Assignee
タレス・ディス・フランス・エス・ア
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by タレス・ディス・フランス・エス・ア filed Critical タレス・ディス・フランス・エス・ア
Publication of JP2020518168A publication Critical patent/JP2020518168A/ja
Application granted granted Critical
Publication of JP6985412B2 publication Critical patent/JP6985412B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、通信デバイスの評判レベルを管理するための方法に関する。本発明は、モノのインターネットおよびビークルツーエブリシング(vehicle−to−everything)(V2X)技術に適用可能である。
国際電気通信連合(ITU)は、ITU−T Y.2060勧告においてモノのインターネット(IoT)を、「既存および開発中の相互運用可能な情報技術および通信技術に基づいて、(物理的および仮想の)モノを互いに接続することによって、高度なサービスを可能にする情報社会のためのグローバルインフラストラクチャ」と定義する。モノのインターネットは、デバイス間の直接の通信を可能にする技術を参照するマシンツーマシン(M2M)通信を含む様々な技術を統合する。さらに、M2M通信は、ビークルツーエブリシング(V2X)通信のコンテキストにおいて、すなわち、或る車両に組み込まれた第1の無線通信デバイスと、第2の車両、インフラストラクチャ、または歩行者などの別の物体上に実装された第2の無線通信デバイスとの間で使用されることが可能である。
IoTデバイスの数は、急速に増大しており、自動車に組み込まれた無線通信デバイスなどのデバイスは、膨大な量のデータを管理しなければならない。自律的車両などのいくつかのシナリオにおいて、重大な決定が、他のデバイスから受信されたデータに基づいて、ほとんど即時に行われなければならない。セキュリティの点で、この情報が信頼できること、例えば、適切な評判レベルを有するデバイスであることが、非常に重要である。
大量のIoTデバイスを有するIoTネットワークにおいて、これらのデバイス間の通信は、大量のデータを含むことがあり得る。IoTデバイスは、受信されたデータの信頼のレベルを評価し、いずれのデータが考慮に入れられなければならないか、およびいずれのデータが破棄されるべきかを決定する必要がある。
IoTデバイスからのすべてのデータを、他のIoTデバイスに向けてルーティングするために受信する集中化された評判システムは、大量のデータ、デバイスおよびレイテンシ制約に起因して、このコンテキスト、ならびにいくつかのIoT相互作用が近接内のみであるのに対して、長距離通信機構において適切でない可能性がある。
ITU−T Y.2060勧告
本発明は、第1の通信デバイスの評判レベルを管理するための方法に関し、前記評判レベルが、前記第1の通信デバイスに組み込まれた第1のセキュアなエンクレーブに格納され、方法は:
− 第2の通信デバイスにより、第1の通信デバイスから情報メッセージを受信するステップと;
− 情報メッセージが、第2の通信デバイスに組み込まれたセンサから獲得されたデータと整合していることを検証するステップと;
− 第2の通信デバイスにより、第1の通信デバイスのセキュアなエンクレーブのために、情報メッセージが整合しているかどうかを示すフィードバックメッセージを生成するステップと;
− フィードバックメッセージを第1の通信デバイス(100、200)に、第1のセキュアなエンクレーブがこのフィードバックメッセージにしたがってその評判レベルを更新するように、送信するステップと
を含む。
或る実施形態によれば、第1の通信デバイスの評判レベルは、第2の通信デバイスによって情報メッセージと一緒に受信され、受信された評判レベルが事前定義された閾値より大きい場合、情報メッセージは、第2の通信デバイスによって信頼できる情報とみなされる。
例として、情報メッセージは、第1のセキュアなエンクレーブによってセキュリティ鍵を使用して生成された署名と一緒に受信され、前記第1のセキュアなエンクレーブが、セキュリティ鍵を格納し、方法は、第2の通信デバイスにより、第1の通信デバイスを前記情報メッセージの発信者として認証するためにセキュリティ署名を検証するステップを含む。
本発明の態様によれば、フィードバックメッセージは、情報メッセージが、第2の通信デバイスに組み込まれたセンサから獲得されたデータと整合している場合、肯定的であり、またはそうでない場合、否定的である、のいずれかである。
例えば、第1の通信デバイスの評判レベルは、肯定的なフィードバックメッセージを受信したとき、増加される。
一実施形態において、第1の通信デバイスの評判レベルは、否定的なフィードバックメッセージを受信したとき、低減される。
また、本発明は、第1の通信デバイスの評判レベルを格納する第1のセキュアなエンクレーブを備える前記第1の通信デバイスにも関し、第1の通信デバイスは:
− 第2の通信デバイスに情報メッセージを送信し;
− 第2の通信デバイスによって生成され、第2の通信デバイスに組み込まれたセンサから獲得された少なくとも1つのローカルデータとの情報メッセージの整合性の、前記第2の通信デバイスによって行われた検証の結果を表すフィードバックメッセージを受信し;
− 第1のセキュアなエンクレーブにより、受信されたフィードバックメッセージにしたがって評判レベルを更新する
ように構成される。
例として、第1の通信デバイスは、その評判レベルが事前定義された閾値より大きい場合に限って、第2の通信デバイスによって考慮に入れられるべき、情報メッセージに関する前記評判レベルと一緒に前記情報メッセージを送信するように構成される。
本発明の或る態様によれば、送信された最新のN個の連続する情報メッセージに対応する、長さNのスライディングウィンドウが、これらN個の情報メッセージに対応するフィードバックメッセージだけが前記第1の通信デバイスの評判レベルを更新するために考慮に入れられるように使用される。
本発明の別の態様によれば、最大限M個のフィードバックメッセージが、所与の情報メッセージに関して考慮に入れられる。
また、本発明は:
− 第1の通信デバイスの評判レベルを格納する第1のセキュアなエンクレーブを備える前記第1の通信デバイスから情報メッセージを受信し;
− 情報メッセージが、第2の通信デバイスに組み込まれたセンサから獲得された少なくとも1つのローカルデータと整合していることを検証し;
− 情報メッセージが整合しているかどうかを示すフィードバックメッセージを生成し、前記フィードバックメッセージを、第1の通信デバイスの第1のセキュアなエンクレーブが評判レベルを更新するように、第1の通信デバイスに送信する
ように構成された第2の通信デバイスにも関する。
本発明の或る態様によれば、第2の通信デバイスは、第1の通信デバイスが第2の通信デバイスを認証することができるように、フィードバックメッセージと一緒に送信されるべきセキュリティ署名を生成するように構成された第2のセキュアなエンクレーブを備える。
また、本発明は、少なくとも、上で説明された、第1の通信デバイスと、上で説明された第2の通信デバイスとを備える通信システムにも関する。
また、本発明は、プログラムがコンピュータによって実行されたとき、コンピュータに上で説明された方法のステップを遂行させる命令を備えるコンピュータプログラム製品にも関する。
本発明のさらなる特徴および利点は、以下の図面と併せて、指針的な、限定的でない例として与えられる、本発明の好ましい一実施形態の詳細な説明を読んだ後、より明確に理解されよう。
それらの評判レベルをそれぞれ監視する能力を有する2つの通信デバイスを概略で示す図である。 第1の通信デバイスの評判レベルが、第2の通信デバイスから受信されたフィードバックのお陰でどのように更新されることが可能であるかを示すシーケンス図の例である。 所与の通信デバイスのセキュアなエンクレーブに保持される評判レベルが、車車間通信のコンテキストにおけるセキュリティを増加させるために、どのように使用されることが可能であるかを示す図である。 不規則に振る舞う通信デバイスから来るフィードバックメッセージがどのように扱われることが可能であるかを示す表である。 リプレイ攻撃に対して防御するために通信デバイスによって使用されることが可能な機構の例を示す図である。 リプレイ攻撃に対して防御するために通信デバイスによって使用されることが可能な機構の例を示す図である。 複数の車両が同一のエンティティによって制御されるときに、評判レベル更新システムの偽造を回避するために第三者が使用される例を提供する図である。
この説明において、セキュアなエンクレーブは、データを格納するように、およびデータの完全性および機密性を保護するように適合され、少なくとも1つのハードウェアおよび/またはソフトウェア構成要素のセットを備えるセキュアな領域を参照する。このセキュアなエンクレーブは、例えば、信頼できる実行環境(TEE)の形態で、またはセキュアな要素としてプロセッサ内に実装されることが可能である。
セキュアな要素は、コンピューティング処理のために、メモリと、マイクロプロセッサと、オペレーティングシステムとを備える小型デバイスである。そのようなセキュアな要素は、異なるタイプの複数のメモリを備えてよい。それらは、それらの要素が収容するデータに対するアクセスを制御すること、および他のマシンによるデータの使用を許可すること、またはしないことができるゆえに、「セキュアな」と呼ばれる。また、セキュアな要素は、暗号構成要素に基づく計算サービスを提供してもよい。一般に、セキュアな要素は、限られた計算リソースを有し、ホストマシンに接続されることが意図される。セキュアな要素は、リムーバブルであっても、ホストデバイスに固定されていてもよい。スマートカードは、ポータブルなセキュアな要素である。
この説明において、IoTデバイスという表現は、通信能力を有し、オプションとして、データキャプチャ、感知、データ格納、感知、および/またはデータ処理の能力を有する機器を参照する。IoTデバイスは、例えば、1つのIoTデバイスから別のIoTデバイスへのデータの伝送、またはUMTS/HSDPA、CDMA/EVDO、LTE、5G、LoRa、もしくは他のネットワークを通じたマシン間のデータの交換を可能にする、マシンタイプ通信(MTC)モジュールとも呼ばれる無線通信モジュールを備える。本発明は、IoTデバイスに、しかしより一般的には、それら自身の評判レベルセキュアに保持する通信デバイスに適用される。例として、通信デバイスは、接続された車両であることが可能である。
本説明において、所与の通信デバイスの評判レベルは、他の通信デバイスとのデータ交換に関して、その通信デバイスが提供する信頼のレベルを表す情報に対応する。例として、事前定義された閾値を下回る評判レベルに関連付けられた第1の通信デバイスによって送信されるデータは、第2の通信デバイスによって信頼できるとみなされず、破棄されること、もしくは無視されることが可能である。
センサは、ハードウェアおよび/またはソフトウェアから構成され、物理的世界から情報をキャプチャし、このキャプチャされた情報を表すデータを提供するように設計された構成要素を参照する。
図1は、それらの評判レベルをそれぞれ監視する能力を有する2つの通信デバイスを概略で示す。
2つの通信デバイス100、110は、非常に単純化された様態で表される。それらはともに、アプリケーション101、111と、セキュアなエンクレーブ102、112とを備える。
各通信デバイスのアプリケーション101、111、およびセキュアなエンクレーブ102、112は、それらが、適切なインターフェース105、115を通じてデータを交換すること130が可能であるように構成される。例として、アプリケーションは、中央処理装置(CPU)内に実装され、セキュアなエンクレーブは、中央処理装置とインターフェースされるセキュアな要素である。しかし、他の構成が、説明される技術を実装するために使用されることが可能であることが、当業者には容易に考慮されよう。例えば、単一のプロセッサが、アプリケーションとセキュアなエンクレーブの両方を実装することが可能である。その場合、セキュアなエンクレーブは、例えば、プロセッサの信頼できる実行環境において実装される。
本発明によれば、各デバイスは、それ自身の評判レベル103、113を、それ自身のセキュアなエンクレーブ102、112のなかに保持する。次に、評判レベルは、例えば、1つの通信デバイスから別の通信デバイスにデータを転送する130時点で、送信される。
さらに、1つまたはいくつかの電子証明書104、114が、各通信デバイス100、110のセキュアなエンクレーブに格納されることが可能である。例えば、電子証明書、およびその関連付けられた秘密鍵が、所与の通信デバイスの製造工程のパーソナライズ化フェーズにプロビジョニングされることが可能である。
通信デバイスの評判レベルは、それらのセキュアなエンクレーブによって格納され、更新される。セキュアなエンクレーブによって処理され、格納されるものは、デバイスのいずれのユーザによってもアクセス可能でない。このことは、通信デバイスがそれ自身の評判レベルを、他の通信デバイスによって提供されるフィードバックメッセージを使用して保持することを、許可されていない第三者、特にデバイスのユーザが、このプロセスに干渉することをまったく可能とせずに、可能にする技術を提供する本発明の1つの目標である。
本発明の重要な態様は、通信デバイス110が別の通信デバイス100から情報メッセージを受信したとき、それが、ローカルデータ、すなわち、通信デバイス110によってローカルで獲得されたデータを使用して情報メッセージの整合性を確認することである。好ましい実施形態によれば、ローカルデータは、通信デバイス110に組み込まれた、もしくはデバイス110とインターフェースされた少なくとも1つのセンサによって提供されるデータ、またはこの少なくとも1つのセンサによって提供されるデータから獲得される測定に対応する。
本発明によれば、整合性検証の結果は、通信デバイス110によって通信デバイス100に送信される、フィードバックを収容するメッセージを生成する基礎として使用される。このフィードバックメッセージは、通信デバイス100によって、それ自身の評判レベルを更新するために、例えば、評判レベルを増加させるために、または低減させるために使用される。フィードバックメッセージは、2つのタイプ:受信された情報メッセージがローカルデータと整合しているときの「肯定的なフィードバック」、または整合性検証が失敗したときの「否定的なフィードバック」であることが可能である。別の実施形態によれば、フィードバックメッセージは、例えば、1が「非常に肯定的な」フィードバック、4が「非常に否定的な」フィードバックに対応する、1から4までのスケールに対応する2つ以上のレベルの整合性を備えることが可能である。
図2は、第1の通信デバイスの評判レベルが、第2の通信デバイスから受信されたフィードバックのお陰でどのように更新されることが可能であるかを示すシーケンス図の例である。
この例において、4つの機能構成要素の間の相互作用について説明される。含まれる機能構成要素は:
− 第1の通信デバイス200のセキュアなエンクレーブ202およびアプリケーション201、ならびに
− 第2の通信デバイス210のセキュアなエンクレーブ212およびアプリケーション211
である。
始めに、第1の通信デバイス200が、情報メッセージが周囲のデバイスに送信されなければならないことを識別する。この例によれば、第1および第2の通信デバイス200、210は、接続された2つの車両であり、第2の通信デバイス210に送信されるべき情報メッセージは、第1の通信デバイス200が急にブレーキをかけたことである。本発明は、他のタイプの通信デバイス、および他のタイプの情報メッセージ、例えば、方向を変更している船または飛行機にも適用可能であることに留意されたい。
次に、アプリケーション201が、セキュアなエンクレーブ202に送信されるべき情報メッセージを送る220。署名が、セキュアなエンクレーブによって、電子証明書の秘密鍵を使用して生成される。次に、送信されるべき情報メッセージが、新たに生成された署名と一緒にアプリケーション201に戻される221。
本発明の一態様によれば、セキュアなエンクレーブに現在格納されている評判レベルは、情報メッセージおよび署名と一緒にアプリケーション210に送られることが可能である。その場合、署名は、情報メッセージおよび評判レベルを入力として取り込んで生成されることが可能である。
次に、アプリケーション201が、情報メッセージ、署名、および、オプションとして、第1の通信デバイス200の評判レベルを第2の通信デバイス210のアプリケーション211に送信する222。また、電子証明書の公開鍵が送信されることも可能である。
この段階で、アプリケーション211が、受信された情報が認証されたソースから来ていることを確認する。その目的で、それは、受信された署名を、その目的で受信されている公開鍵を使用して検証する。
次に、アプリケーションは、受信された情報メッセージのローカルデータとの整合性を検証する223。本発明の或る実施形態によれば、この検証のために使用されるデータは、通信デバイス210に関連付けられた少なくとも1つのセンサから来る。例として、接続された自動車は、一般に1つまたはいくつかのセンサを組み込む。このまたはそれらのセンサは、説明の目的でここに提供される、この非限定的なリスト:ビデオカメラ、衛星ナビゲーション受信機、温度センサ、速度センサ、加速度計、赤外線近接センサ、暗視カメラのなかから選択されることが可能である。
或る例によれば、第2の接続された自動車210によって受信された情報メッセージが、第1の接続された自動車が急にブレーキをかけたことを示す。第2の接続された自動車210は、第1の接続された自動車が実際に強くブレーキをかけたかどうかを評価するために、第1の接続された自動車が現れる、組み込まれたビデオカメラによってキャプチャされた画像を使用することが可能である。
この整合性検証223の結果は、フィードバックメッセージをセキュアに生成することを担当する第2の通信デバイス210のセキュアなエンクレーブ212に送信される224。その目的で、セキュアなエンクレーブ210は、通信デバイスの製造中にプロビジョニングされている電子証明書に関連付けられた秘密鍵を使用することが可能である。
例えば、フィードバックメッセージは、受信された情報メッセージがローカル情報と整合していること、または整合していないことを示すバイナリデータである。このフィードバックメッセージは、セキュアなエンクレーブ212に関連付けられた電子証明書の秘密鍵を使用してフィードバックメッセージ上で生成された電子署名と一緒に送信されること225、226が可能である。
ひとたびフィードバックメッセージが、第1の通信デバイス200のアプリケーション201によって受信されると、それは、次に、セキュアなエンクレーブ202に送信され227、第2の通信デバイス210のセキュアなエンクレーブ212に関連付けられた電子証明書に関連付けられた公開鍵を使用して、認証されることが可能である。ひとたび認証されると、フィードバックメッセージは、セキュアなエンクレーブ202によって第1の通信デバイス200の評判レベルを更新する228ために使用される。
或る例によれば、評判レベルr_lは、異なるN個の値をとることが可能な整数変数である。
フィードバックメッセージが、整合性が肯定的に検証されたことを示す場合、r_lは、以下のとおり更新されることが可能である:
r_l=r_l+IncStep
ここで、IncStepは、r_lを増加させるために使用される正の整数パラメータである。
フィードバックメッセージが、情報メッセージが、第2の通信デバイス210によって獲得されたローカルデータと整合していなかったことを示す場合、r_lは、以下のとおり更新されることが可能である:
r_l=r_l−DecStep
ここで、DecStepは、r_lを低減させるために使用される正の整数パラメータである。
評判レベルは、第1の通信デバイスのいずれのユーザにもアクセス可能でない第1の通信デバイスのセキュアなエンクレーブによって更新される。
同様に、フィードバックメッセージが、第2の通信デバイス210から情報メッセージを受信したときに第1の通信デバイス200のセキュアなエンクレーブ202によって生成される。すると、セキュアなエンクレーブ212が、第2の通信デバイス210の評判レベルを更新することが可能である。
この機構は、各通信デバイスが、それ自身の評判レベルを自律的に保持することを可能にする。セキュアなエンクレーブは、改ざんを回避する必要なセキュリティを提供する。したがって、本発明は、ピアデバイスが、それらのピアから受信されたフィードバックメッセージを考慮に入れて、それら自身の評判レベルを保持することを可能にする。もはや信頼できない通信デバイスは、その評判レベルが低減されることを経験する。有利なこととして、通信デバイスが旧型である、または欠陥があるゆえにそれが悪意のある人によって変更されているゆえに、誤った情報メッセージを生成する通信デバイスは、その評判レベルが大幅に低減されることを経験する。すると、その他の通信デバイスは、それが信頼できないとみなし、これらの情報メッセージを無視することを決定することが可能である。
さらに、否定的なフィードバックを受信する通信デバイスの所有者は、何かがうまくいっていないこと、例えば、そのセンサのうちの1つが正しく動いていないことのアラートによる情報であってよい。その目的で、否定的なフィードバックの理由を示すアラートメッセージが、フィードバックメッセージと一緒に送信されることが可能である。それは、例えば、情報メッセージの整合性を検証する時点で生成される。
図3は、所与の通信デバイスのセキュアなエンクレーブに保持される評判レベルが、車車間通信のコンテキストにおけるセキュリティを増加させるために、どのように使用されることが可能であるかを示す。
この例によれば、2つの通信デバイスが含まれる。第1の通信デバイスは、接続された自動車300であり、第2の通信デバイスは、接続されたトラック301である。この例において、評判レベルは、1と30の間に含まれる整数として定義される。接続自動車300の評判レベルr_l1は、20に設定され、接続されたトラック301の評判レベルr_l2は、30に設定される。
何らかの時点で、接続された自動車が急にブレーキをかける。その結果、接続された自動車300において実装されるアプリケーションが、周囲の通信デバイスにこのイベントについて通知するために情報メッセージを生成する。この例によれば、情報メッセージは、デバイスにおいて保持される評判レベルr_l1と一緒に送信される。
ひとたび受信されると、ついで、接続されたトラック301に組み込まれたアプリケーションが、受信されたものの内容を解析する。特に、それは、送信者の評判レベルを確認する。或る実施形態によれば、受信された評判レベルr_l1は、受信された情報メッセージが接続側トラック301によって考慮されるべきか、または破棄されるべきかを決定する311ために使用される。その目的で使用されることが可能な基準の例が、受信された評判レベルを所定の閾値と比較することである。この閾値が15に設定される場合、および受信されたr_l1値が20に等しいためこの閾値より大きいとき、送信者は、十分に信頼できるとみなされ、したがって、情報メッセージは、接続されたトラックによって考慮にいれることが可能である。
さらに、図2のお陰で説明されるとおり、受信された情報メッセージの整合性が確認されることが可能である。次に、フィードバックメッセージ312が、接続された自動車300がr_l1を更新するように生成され、接続された自動車300に送信されることが可能である。例として、情報メッセージは整合しているというフィードバックメッセージの場合、r_l1値が増加されて21に設定されることが可能である。反対に、フィードバックメッセージが、送信された情報メッセージの整合性が肯定的に確認されることが可能でなかったことを示す場合、r_l1値は低減されて19に設定されることが可能である。
ひとたび情報メッセージの送信者が、その送信された評判レベルに基づいて、十分に信頼できると識別された後、および送信された情報の整合性が成功裏に検証された場合、情報メッセージは、接続されたトラック301によって使用されることが可能である。
受信された情報のタイプに依存して、受信された情報の、第2の通信デバイス301によってローカルに獲得されたデータとの整合性を検証することが、必ずしも可能であるとは限らないことがあり得る。その場合、いくつかの代替が考慮されることが可能である。第1の代替は、送信された情報の整合性が受信者によって確認されることが可能でないことを示すフィードバックメッセージを生成することである。言い換えると、フィードバックは、中立である(肯定的でも、否定的でもない)として解釈される。別の代替は、この情報メッセージに関してフィードバックメッセージを全く送らないことである。
整合性が検証されることが可能でない場合、この場合、接続されたトラック301である、情報メッセージの受信者は、例えば、受信された情報メッセージの整合性が検証されることが可能である場合に使用される閾値より高い事前定義された閾値を使用して、情報メッセージの内容を考慮に入れることを決定することが可能である。
本発明の態様によれば、1つの通信デバイスが、複数の評判レベルに関連付けられることが可能である。その場合、各評判レベルは、サブシステムまたはトピックに関連付けられることが可能である。例えば、所与の接続された自動車に関して、1つの評判レベルが、ブレーキをかけることに関連付けられ、別の評判レベルが、方向の変化に関連付けられる。
図4は、不規則に振る舞う通信デバイスから来るフィードバックメッセージがどのように扱われることが可能であるかを示す表である。
デバイスが、例えば、発展する動作条件に起因して、ときとして正しく、ときとして誤って振舞っているとき、受信されるフィードバックメッセージの内容は、大幅に変化することがあり得る。この通信デバイスの信頼性を表す評判レベルを保持することに関してこのことを考慮に入れるために、フィードバックのカウンタが導入されることが可能である。フィードバックのこのカウンタは、信頼のレベルを計算するために使用される。
図4において、デバイス1は、予期されるフィードバックの100パーセントを受信している、すなわち、各メッセージにつき1つのフィードバックが受信される。その結果、結果、その信頼のレベルは、100パーセントである。
デバイス2は、予期されるフィードバックの75パーセントを受信しており、その結果、その評判の信頼のレベルは、75パーセントに等しい。
図5Aおよび図5Bは、リプレイ攻撃に対して防御するために通信デバイスによって使用されることが可能な機構の例を示す。
この例によれば、カウンタは、情報メッセージが送信されるたびに所与の通信デバイスによってインクリメントされる。好ましくは、カウンタは、通信デバイスのセキュアなエンクレーブによって保持され、インクリメントされる。
次に、長さNのアンチリプレイウインドウが定義される。この検証ウインドウは、N個の連続する情報メッセージに対応する。例えば、カウンタは、情報メッセージが送信されるたびにインクリメントされる。検証ウインドウは、通信デバイスによって送信されたN個の情報メッセージに対応するカウンタのインデックスによって、フィードバックメッセージが予期されるN個の連続するメッセージを識別する。
図5Aおよび図5Bで提供される例によれば、アンチリプレイウインドウの長さは、5に等しい。カウンタ値「154−158」に関連付けられたフィードバックメッセージが、N個の送信された情報メッセージの各々につき1つだけのフィードバックが考慮に入れられるという様態で監視される。代替として、事前定義された最大限M個のフィードバックメッセージが、各送信された情報メッセージに関して考慮に入れられることが可能である。
例として、カウンタのインデックスは、その関連付けられた情報メッセージと一緒に送信される。次に、評判レベルを更新するために必要な情報と、整合性が検証された情報メッセージのインデックスとを有するフィードバックメッセージが提供される。
次に、アンチリプレイ機構が、以下のとおり適用されることが可能である。
インデックス「150」とともに受信されるフィードバックメッセージが受信されたとき、それは、インデックス値がアンチリプレイウインドウの外にあるので、拒否される(考慮に入れられない)。
インデックス「159」とともに受信されるフィードバックメッセージが受信されたとき、それは、インデックス値がアンチリプレイウインドウの外にあるので、拒否される。
インデックス「156」とともに受信されるフィードバックメッセージが受信されたとき、それは、同一のインデックスに関してフィードバックが既に受信されているので、拒否される。
インデックス「154」とともに受信されるフィードバックメッセージが受信された場合、それは、受諾され、通信デバイスの評判レベルに影響を与える。
新たな情報メッセージが送信されたとき、カウンタは、「159」にインクリメントされ、ウインドウは、「155−159」というインデックスが付けられた情報メッセージに対応する。
図6は、複数の車両が同一のエンティティによって制御されるときに、評判レベル更新システムの偽造を回避するために第三者が使用される例を提供する。
本発明のこの実施形態によれば、同一のエンティティによって制御される異なる通信デバイスが、人為的に生成されたフィードバックメッセージによってそれらの評判レベルを操作するのを回避するように設計された機構が提供される。この例によれば、4つのセキュアなエンクレーブ511−514をそれぞれ組み込む4つの通信デバイス501−504が、それらのフィードバックメッセージ520、530、533、536、537を別の通信デバイス500に提供している。通信デバイス500のセキュアなエンクレーブ510は、その評判レベルを保持する責任を負う。
フィードバックメッセージは、その発信者の識別子、例えば、セキュアなエンクレーブ511−514に格納された秘密鍵を使用して生成された署名に関連付けられる。
この例において、外部の信頼できる機関540が、カウンタを保持する一方で、通信デバイスは、カウンタ閾値を格納する。この閾値は、通信デバイス500がその評判レベルを増加させることができる前に、同一の情報メッセージに関して受信される肯定的なフィードバックの数を定義する。
通信デバイス500が、フィードバックメッセージを受信したとき、それは、そのフィードバックメッセージを、所与の情報メッセージに関してカウンタをインクリメントする責任を負う信頼できる機関540に転送する。この例によれば、自動車501は、その発信者の識別子に関連付けられた肯定的なフィードバックメッセージ520を、通信デバイス500に送信し、次に、それは、外部の信頼できる機関540に送信される521。信頼できる機関は、同一の情報メッセージに関して3つの肯定的なフィードバックを既に受信しており、521が、通信デバイス501から受信された第1番目である。その結果、外部の信頼できる機関は、この情報メッセージに関して保持されるカウンタを3から4にインクリメントする。次に、メッセージが、通信デバイス500に返送される522。
同一の機構が、通信デバイス502が、通信デバイス500に、同一の情報メッセージに関する肯定的なフィードバックメッセージ530を提供するときに適用される。それは、外部の信頼できる機関540に送信され531、カウンタが、5にインクリメントされ、次に、その値が、通信デバイス500に送信される532。
この例において、同一の情報メッセージに関して第2の肯定的なフィードバックが、502によって送られる533。第2の肯定的なフィードバックは、外部の信頼できる機関540に送信される534が、その場合、カウンタは、同一の情報メッセージに関して肯定的なフィードバックが502から既に受信されているので、インクリメントされない。次に、5に等しいままであるカウンタ値が、通信デバイス500に送信される535。
また、通信デバイス503も、通信デバイス500に、同一の情報メッセージに関する肯定的なフィードバックメッセージ536を提供する。それは、外部の信頼できる機関540に送信され537、カウンタが、6にインクリメントされ、その値が、通信デバイス500に送られる538。この段階で、500によって格納された閾値に達し、このことが、通信デバイス500の評判レベルの更新をトリガする。
今や、この情報メッセージに関する閾値に達したので、他の通信デバイス504から受信された537他の肯定的なフィードバックは、外部の信頼できる機関540にもはや送信されない。

Claims (14)

  1. 第1の通信デバイス(100、200)の評判レベルを管理するための方法であって、前記評判レベル(103)が、前記第1の通信デバイス(100、200)に組み込まれた第1のセキュアなエンクレーブ(102、202)に格納され、方法は、
    第2の通信デバイス(110、210)により、第1の通信デバイス(100、200)から情報メッセージを受信するステップ(222)と、
    情報メッセージが、第2の通信デバイス(110、210)に組み込まれたセンサから獲得されたデータと整合していることを、第2の通信デバイス(110、210)により検証するステップ(223)と、
    第2の通信デバイス(110、210)により、第1の通信デバイス(100、200)の第1のセキュアなエンクレーブ(102、202)のために、情報メッセージが整合しているかどうかを示すフィードバックメッセージを生成するステップと、
    フィードバックメッセージを第1の通信デバイス(100、200)に、第1のセキュアなエンクレーブがこのフィードバックメッセージにしたがってその評判レベルを更新するように、第2の通信デバイス(110、210)により送信するステップと
    を備える、方法。
  2. 第1の通信デバイス(100、200)の評判レベルが、第2の通信デバイス(110、210)によって情報メッセージと一緒に受信され、受信された評判レベルが事前定義された閾値より大きい場合、情報メッセージが、第2の通信デバイス(110、210)によって信頼できる情報とみなされる、請求項1に記載の方法。
  3. 情報メッセージが、第1のセキュアなエンクレーブ(102、202)によってセキュリティ鍵を使用して生成された署名と一緒に受信され、前記第1のセキュアなエンクレーブ(102、202)が、セキュリティ鍵を格納し、方法が、第2の通信デバイス(110、210)により、第1の通信デバイス(100、200)を前記情報メッセージの発信者として認証するためにセキュリティ署名を検証するステップを含む、請求項1または2に記載の方法。
  4. フィードバックメッセージが、情報メッセージが、第2の通信デバイスに組み込まれたセンサから獲得されたデータと整合している場合、肯定的であり、またはそうでない場合、否定的である、のいずれかである、請求項1から3のいずれか一項に記載の方法。
  5. 第1の通信デバイスの評判レベルが、肯定的なフィードバックメッセージを受信したとき、増加される、請求項4に記載の方法。
  6. 第1の通信デバイスの評判レベルが、否定的なフィードバックメッセージを受信したとき、低減される、請求項4に記載の方法。
  7. 第1の通信デバイス(100、200)の評価レベル(103)を格納する第1のセキュアなエンクレーブ(102、202)を備える、前記第1の通信デバイスであって、
    第2の通信デバイス(110、210)に情報メッセージを送信し、
    第2の通信デバイス(110、210)によって生成され、第2の通信デバイス(110、210)に組み込まれたセンサから獲得されたデータとの情報メッセージの整合性の、前記第2の通信デバイス(110、210)によって行われた検証の結果を表すフィードバックメッセージを受信し、
    第1のセキュアなエンクレーブにより、受信されたフィードバックメッセージにしたがって評判レベル(103)を更新する
    ように構成された、第1の通信デバイス。
  8. その評判レベルが事前定義された閾値より大きい場合に限って、第2の通信デバイス(110、210)によって考慮に入れられるべき、情報メッセージに関する前記評判レベルと一緒に前記情報メッセージを送信するように構成される、請求項7に記載の第1の通信デバイス。
  9. 送信された最新のN個の連続する情報メッセージに対応する、長さNのスライディングウィンドウが、これらN個の情報メッセージに対応するフィードバックメッセージだけが前記第1の通信デバイスの評判レベルを更新するために考慮に入れられるように使用される、請求項7または8に記載の第1の通信デバイス。
  10. 最大限M個のフィードバックメッセージが、所与の情報メッセージに関して考慮に入れられる、請求項9に記載の第1の通信デバイス。
  11. 第2の通信デバイス(110、210)であって、
    第1の通信デバイス(100、200)の評判レベル(103)を格納する第1のセキュアなエンクレーブ(102、202)を備える前記第1の通信デバイス(100、200)から情報メッセージを受信し、
    情報メッセージが、第2の通信デバイス(110、210)に組み込まれたセンサから獲得された少なくとも1つのローカルデータと整合していることを検証し、
    情報メッセージが整合しているかどうかを示すフィードバックメッセージを生成し、前記フィードバックメッセージを、第1の通信デバイス(100、200)の第1のセキュアなエンクレーブ(102、202)が評判レベルを更新するように、第1の通信デバイス(100、200)に送信する
    ように構成された第2の通信デバイス。
  12. 第1の通信デバイス(100、200)が第2の通信デバイス(110、210)を認証することができるように、フィードバックメッセージ(112、212)と一緒に送信されるべきセキュリティ署名を生成するように構成された第2のセキュアなエンクレーブ(112、212)を備える、請求項11に記載の第2の通信デバイス(110、210)。
  13. 少なくとも、請求項7から10のいずれか一項に記載の第1の通信デバイスと、請求項11または12に記載の第2の通信デバイスとを備える、通信システム。
  14. コンピュータプログラムが請求項11または12に記載の第2の通信デバイスによって実行されたとき、コンピュータに、請求項1から6のいずれか一項に記載の方法のステップを遂行させる命令を備える、コンピュータプログラム。
JP2019556897A 2017-04-20 2018-04-11 通信デバイスの評判レベルを管理するための方法 Active JP6985412B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17305455.2 2017-04-20
EP17305455.2A EP3393100A1 (en) 2017-04-20 2017-04-20 A method for managing the reputation level of a communication device
PCT/EP2018/059266 WO2018192818A1 (en) 2017-04-20 2018-04-11 A method for managing the reputation level of a communication device

Publications (2)

Publication Number Publication Date
JP2020518168A JP2020518168A (ja) 2020-06-18
JP6985412B2 true JP6985412B2 (ja) 2021-12-22

Family

ID=59285112

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019556897A Active JP6985412B2 (ja) 2017-04-20 2018-04-11 通信デバイスの評判レベルを管理するための方法

Country Status (5)

Country Link
US (1) US11337071B2 (ja)
EP (2) EP3393100A1 (ja)
JP (1) JP6985412B2 (ja)
KR (1) KR102245426B1 (ja)
WO (1) WO2018192818A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11271755B2 (en) * 2019-03-25 2022-03-08 Micron Technology, Inc. Verifying vehicular identity
JP7531583B2 (ja) * 2020-04-23 2024-08-09 エヌイーシー ラボラトリーズ ヨーロッパ ゲーエムベーハー Pow暗号通貨のためのteeベースマイニングプール
CN117915312B (zh) * 2023-12-06 2024-07-23 暨南大学 一种云辅助车联网中隐私保护的声望更新系统及方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4544956B2 (ja) * 2004-10-06 2010-09-15 株式会社エヌ・ティ・ティ・データ アクセス制御システム、クライアント端末装置、及びプログラム
KR101231534B1 (ko) * 2011-10-17 2013-02-07 현대자동차주식회사 차량간 통신을 이용한 위치보정신호 정확도 개선 방법 및 그 시스템
JP5967822B2 (ja) * 2012-10-12 2016-08-10 ルネサスエレクトロニクス株式会社 車載通信システム及び装置
EP3029971B1 (en) * 2014-12-03 2019-04-03 Hitachi Solutions, Ltd. Method and apparatus for managing verification processing of communication messages in a communication system including a plurality of nodes
JP6485049B2 (ja) * 2015-01-09 2019-03-20 株式会社デンソー 車載機、車載機診断システム
CN105991600B (zh) * 2015-02-25 2019-06-21 阿里巴巴集团控股有限公司 身份认证方法、装置、服务器及终端
US10027717B2 (en) * 2015-06-26 2018-07-17 Mcafee, Llc Peer-to-peer group vigilance
US10318721B2 (en) * 2015-09-30 2019-06-11 Apple Inc. System and method for person reidentification

Also Published As

Publication number Publication date
KR20190127867A (ko) 2019-11-13
US11337071B2 (en) 2022-05-17
WO2018192818A1 (en) 2018-10-25
EP3613184B1 (en) 2021-01-20
EP3613184A1 (en) 2020-02-26
KR102245426B1 (ko) 2021-04-27
US20210120419A1 (en) 2021-04-22
JP2020518168A (ja) 2020-06-18
EP3393100A1 (en) 2018-10-24

Similar Documents

Publication Publication Date Title
US11588649B2 (en) Methods and systems for PKI-based authentication
CN107534658B (zh) 使用公钥机制在服务层的端对端认证
US9774632B2 (en) Management and distribution of security policies in a communication system
EP2852118B1 (en) Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment
US20200120500A1 (en) METHOD AND SYSTEM FOR PAIRING WIRELESS MOBILE DEVICE WITH IoT DEVICE
JP6985412B2 (ja) 通信デバイスの評判レベルを管理するための方法
EP3248360A1 (en) Systems and methods for trusted path secure communication
KR20150141362A (ko) 네트워크 노드 및 네트워크 노드의 동작 방법
Oktian et al. BorderChain: Blockchain-based access control framework for the Internet of Things endpoint
CN106537864A (zh) 一种访问资源的方法及装置
CN112219416A (zh) 用于认证通过蜂窝网络传输的数据的技术
US10263976B2 (en) Method for excluding a participant from a group having authorized communication
KR101900861B1 (ko) 웨어러블 디바이스를 이용한 타원 곡선 전자 서명 알고리즘의 분산 키 관리 시스템 및 방법
CN113261001A (zh) 远程执行设备存储器
US20230129128A1 (en) Secure and documented key access by an application
CN111698299B (zh) Session对象复制方法、装置、分布式微服务架构及介质
CN109150919B (zh) 一种网络防攻击的方法及网络设备
Goel Access Control and Authorization Techniques wrt Client Applications
Fongen Validation of inferior identity credentials
AU2022385088A1 (en) Distributed ledger for internet of things
CN117478744A (zh) 进程通信方法、装置、计算机、存储介质及程序产品
CN113453230A (zh) 终端管理方法和系统以及安全代理
CN115242395A (zh) 数据通信方法、装置、分布式系统及存储介质
CN114244569A (zh) Ssl vpn远程访问方法、系统和计算机设备
CN118018205A (zh) 一种多方实体鉴别方法及相关设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211102

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211125

R150 Certificate of patent or registration of utility model

Ref document number: 6985412

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150