ホーム > 特許ランキング > ASSA ABLOY AB
知財求人 - 知財ポータルサイト「IP Force」
特開2024-150635コマンドと応答のペアを用いるインタフェースに対するリレー攻撃検出
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024150635
(43)【公開日】2024-10-23
(54)【発明の名称】コマンドと応答のペアを用いるインタフェースに対するリレー攻撃検出
(51)【国際特許分類】
G06F 21/55 20130101AFI20241016BHJP
H04W 84/10 20090101ALI20241016BHJP
H04W 12/12 20210101ALI20241016BHJP
H04W 12/61 20210101ALI20241016BHJP
H04W 12/06 20210101ALI20241016BHJP
【FI】
G06F21/55
H04W84/10 110
H04W12/12
H04W12/61
H04W12/06
【審査請求】有
【請求項の数】20
【出願形態】OL
(21)【出願番号】P 2024117374
(22)【出願日】2024-07-23
(62)【分割の表示】P 2023512246の分割
【原出願日】2021-06-04
(31)【優先権主張番号】16/998,012
(32)【優先日】2020-08-20
(33)【優先権主張国・地域又は機関】US
(71)【出願人】
【識別番号】501427157
【氏名又は名称】アッサ アブロイ アーベー
【氏名又は名称原語表記】ASSA ABLOY AB
(74)【代理人】
【識別番号】100105957
【弁理士】
【氏名又は名称】恩田 誠
(74)【代理人】
【識別番号】100068755
【弁理士】
【氏名又は名称】恩田 博宣
(74)【代理人】
【識別番号】100142907
【弁理士】
【氏名又は名称】本田 淳
(72)【発明者】
【氏名】カウフマン、マルティン
(57)【要約】
【課題】アクセス制御システムにおいてセキュリティ侵害を防止する好適な読取デバイスを提供する。
【解決手段】アクセス制御システムの読取デバイスは、物理層回路および処理回路を備える。処理回路は、物理層回路に動作可能に接続されており、クレデンシャルデバイスへのコマンドの送信を開始すること、コマンドを前記クレデンシャルデバイスに送信してから、クレデンシャルデバイスからのコマンドに対する応答を受信するまでの時間を決定すること、その時間がリレー攻撃検出閾値時間を超える場合に指示を生成すること、を実行するように構成されている。
【選択図】図1
【解決手段】アクセス制御システムの読取デバイスは、物理層回路および処理回路を備える。処理回路は、物理層回路に動作可能に接続されており、クレデンシャルデバイスへのコマンドの送信を開始すること、コマンドを前記クレデンシャルデバイスに送信してから、クレデンシャルデバイスからのコマンドに対する応答を受信するまでの時間を決定すること、その時間がリレー攻撃検出閾値時間を超える場合に指示を生成すること、を実行するように構成されている。
【選択図】図1
【特許請求の範囲】
【請求項1】
アクセス制御システムのイニシエータデバイスを動作させるための方法であって、
前記イニシエータデバイスから前記アクセス制御システムの応答デバイスに測定コマンドを送信することと、
前記イニシエータデバイスが、前記測定コマンドを送信してから前記測定コマンドに対する応答メッセージを前記応答デバイスから受信するまでの第1の時間を決定することと、
前記応答デバイスによって受信された前記測定コマンドの実行時間を含む前記応答デバイスによって測定された第2の時間を前記応答デバイスから受信することと、
前記第1の時間と前記第2の時間との比較を用いてリレー攻撃を検出することと、を備える方法。
前記イニシエータデバイスから前記アクセス制御システムの応答デバイスに測定コマンドを送信することと、
前記イニシエータデバイスが、前記測定コマンドを送信してから前記測定コマンドに対する応答メッセージを前記応答デバイスから受信するまでの第1の時間を決定することと、
前記応答デバイスによって受信された前記測定コマンドの実行時間を含む前記応答デバイスによって測定された第2の時間を前記応答デバイスから受信することと、
前記第1の時間と前記第2の時間との比較を用いてリレー攻撃を検出することと、を備える方法。
【請求項2】
前記リレー攻撃を検出することは、
前記第1および第2の時間と攻撃検出閾値とを用いて前記リレー攻撃を検出することを含む、請求項1に記載の方法。
前記第1および第2の時間と攻撃検出閾値とを用いて前記リレー攻撃を検出することを含む、請求項1に記載の方法。
【請求項3】
前記イニシエータデバイスが、前記応答デバイスのプラットフォームのタイプに従って前記攻撃検出閾値の値を設定することを備える請求項2に記載の方法。
【請求項4】
前記イニシエータデバイスが、前記応答デバイスのプロトコル層に従って前記攻撃検出閾値の値を設定することを備える請求項2に記載の方法。
【請求項5】
前記イニシエータデバイスが、IEEE802.15.1プロトコル、Bluetooth(登録商標)プロトコル、Bluetooth Low Energy(BLE)プロトコル、または近距離通信(NFC)プロトコルのうちの1つを使用して前記応答メッセージを送信するために、前記応答デバイスのプロトコル層についての時間遅延を含むように前記攻撃検出閾値の値を設定することを備える請求項2に記載の方法。
【請求項6】
前記イニシエータデバイスが、前記リレー攻撃を検出したことに応答して、予め設定されたメッセージをアクセス制御デバイスに送信することを備える請求項1に記載の方法。
【請求項7】
前記イニシエータデバイスが、前記応答デバイスから受信されたアクセスクレデンシャルを認証することを備える請求項1に記載の方法。
【請求項8】
前記イニシエータデバイスが、アクセスクレデンシャルを前記応答デバイスに送信することを備える請求項1に記載の方法。
【請求項9】
前記イニシエータデバイスが、前記応答メッセージ内の応答デバイスによって決定された時間を受信することと、
前記イニシエータデバイスが、前記応答デバイスによって決定された時間を用いて前記リレー攻撃の指示を生成することと、を備える請求項1に記載の方法。
前記イニシエータデバイスが、前記応答デバイスによって決定された時間を用いて前記リレー攻撃の指示を生成することと、を備える請求項1に記載の方法。
【請求項10】
アクセス制御システムのイニシエータデバイスであって、
前記アクセス制御システムの応答デバイスとメッセージを送信および受信するように構成された物理層回路と、
前記物理層回路に動作可能に接続された処理回路であって、
前記応答デバイスへの測定コマンドの送信を開始することと、
前記測定コマンドを送信してから前記測定コマンドに対する応答メッセージを前記応答デバイスから受信するまでの第1の時間を決定することと、
前記応答デバイスによって受信された前記測定コマンドの実行時間を含む前記応答デバイスによって測定された第2の時間を前記応答デバイスから受信することと、
前記第1の時間と前記第2の時間との比較に従ってリレー攻撃の指示を生成することと、を実行するように構成された前記処理回路と、を備えるイニシエータデバイス。
前記アクセス制御システムの応答デバイスとメッセージを送信および受信するように構成された物理層回路と、
前記物理層回路に動作可能に接続された処理回路であって、
前記応答デバイスへの測定コマンドの送信を開始することと、
前記測定コマンドを送信してから前記測定コマンドに対する応答メッセージを前記応答デバイスから受信するまでの第1の時間を決定することと、
前記応答デバイスによって受信された前記測定コマンドの実行時間を含む前記応答デバイスによって測定された第2の時間を前記応答デバイスから受信することと、
前記第1の時間と前記第2の時間との比較に従ってリレー攻撃の指示を生成することと、を実行するように構成された前記処理回路と、を備えるイニシエータデバイス。
【請求項11】
前記処理回路は、前記第1の時間、前記第2の時間、および攻撃検出閾値を用いて前記リレー攻撃を検出するように構成されている、請求項10に記載のイニシエータデバイス。
【請求項12】
前記処理回路は、前記応答デバイスのプラットフォームのタイプに従って前記攻撃検出閾値の値を設定するように構成されている、請求項11に記載のイニシエータデバイス。
【請求項13】
前記処理回路は、前記応答デバイスのプロトコル層に従って前記攻撃検出閾値の値を設定するように構成されている、請求項11に記載のイニシエータデバイス。
【請求項14】
前記物理層回路は、前記応答デバイスへの有線インタフェースに接続される、請求項10に記載のイニシエータデバイス。
【請求項15】
前記イニシエータデバイスは、前記アクセス制御システムのクレデンシャルデバイスである、請求項10に記載のイニシエータデバイス。
【請求項16】
前記イニシエータデバイスは、前記アクセス制御システムの検証デバイスである、請求項10に記載のイニシエータデバイス。
【請求項17】
前記処理回路は、前記応答デバイスからの前記応答メッセージに含まれる認証情報を判定するように構成される、請求項10に記載のイニシエータデバイス。
【請求項18】
前記処理回路は、前記第2の時間が前記攻撃検出閾値の時間を超える場合、アクセス制御デバイスへの予め設定されたメッセージの送信を開始するように構成されている、請求項11に記載のイニシエータデバイス。
【請求項19】
複数の命令を含む非一時的コンピュータ可読記憶媒体であって、前記複数の命令は、アクセス制御システムのイニシエータデバイスの処理回路によって実行されると、前記イニシエータデバイスに複数の動作を実行させ、前記複数の動作は、
前記アクセス制御システムの応答デバイスに測定コマンドを送信することと、
前記測定コマンドを送信してから応答メッセージを前記応答デバイスから受信するまでの第1の時間を決定することと、
前記応答デバイスによって受信された前記測定コマンドの実行時間を含む前記応答デバイスによって測定された第2の時間を前記応答デバイスから受信することと、
前記第1の時間と前記第2の時間との比較に従ってリレー攻撃の指示を生成することと、を含む、非一時的コンピュータ可読記憶媒体。
前記アクセス制御システムの応答デバイスに測定コマンドを送信することと、
前記測定コマンドを送信してから応答メッセージを前記応答デバイスから受信するまでの第1の時間を決定することと、
前記応答デバイスによって受信された前記測定コマンドの実行時間を含む前記応答デバイスによって測定された第2の時間を前記応答デバイスから受信することと、
前記第1の時間と前記第2の時間との比較に従ってリレー攻撃の指示を生成することと、を含む、非一時的コンピュータ可読記憶媒体。
【請求項20】
前記応答デバイスのプラットフォームのタイプに従って攻撃検出閾値時間の値を設定することと、
前記第1および第2の時間と前記攻撃検出閾値時間の値との比較に従ってリレー攻撃の指示を生成することと、を含む複数の動作を前記イニシエータデバイスに実行させる複数の命令を含む請求項19に記載の非一時的コンピュータ可読記憶媒体。
前記第1および第2の時間と前記攻撃検出閾値時間の値との比較に従ってリレー攻撃の指示を生成することと、を含む複数の動作を前記イニシエータデバイスに実行させる複数の命令を含む請求項19に記載の非一時的コンピュータ可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書において例示および説明される複数の実施形態は、概して、アクセス制御システムに関し、アクセス制御システムにおけるセキュリティ侵害を防止することに関する。
【背景技術】
【0002】
アクセス制御システムは、権限付与されたユーザーに対して、セキュリティ保護されたドアなどの制御された入り口を通過する物理的アクセスを許可する。加えて、モバイルオンラインショッピングまたはモバイルバンキング等のアプリケーションのためのリモート識別認証は、現在、一般的に実施されている。リモート認証は、多くの場合、ユーザーの携帯電話と、認証を実行するサーバーとの間で認証情報を交換することを伴う。残念ながら、セキュアな認証を提供するシステムを侵害しようとする試みがしばしば発生する。リレー攻撃は、アクセス制御システムのセキュリティ侵害につながる可能性があるハッキング技法の一種である。
【図面の簡単な説明】
【0003】
【発明を実施するための形態】
【0004】
物理アクセス制御システム(physical access control system : PACS)は、セキュリティ保護されたドアなどの物理的なアクセスポイントを通過する権限付与されたユーザーに対する自動的な物理的アクセスを提供する。シームレスなアクセス制御システムは、カード読取機でアクセスカードを挿入したりまたはかざししたり、個人識別番号(personal identification number : PIN)またはパスワードを入力したりするなど、ユーザーの煩わしい操作を必要とせずに、権限付与されたユーザーに対して制御された入り口(ポータル:portal)を通じた物理的なアクセスを許可する。PACSのアーキテクチャは、(ホテル、住宅、オフィスなどの)用途、(アクセスインタフェーステクノロジ、ドアタイプなどの)テクノロジ、および製造元によって大幅に異なる場合がある。
【0005】
図1は、オフィス用途に有用な基本的なPACS構造を示す。アクセスクレデンシャル(Access Credential)は、その人物の身元を証明するデータオブジェクト、知識の一部(PIN、パスワードなど)、または人物の物理的なファセット(facet)(例えば、顔、指紋など)である。アクセスクレデンシャルがデータオブジェクトである場合、クレデンシャルデバイス104は、アクセスクレデンシャルを格納する。クレデンシャルデバイス104は、スマートカード(smartcard)またはスマートフォンであり得る。クレデンシャルデバイスの他の例は、近接RFIDベース(proximity radio frequency identification based)のカード、アクセス制御カード、クレジットカード、デビットカード、パスポート、識別カード、キーフォブ、近距離無線通信(near field communication : NFC)対応デバイス、携帯電話、携帯情報端末(PDA)、タグ、または仮想クレデンシャルをエミュレートするように構成可能な他のデバイスを含むが、これらに限定されない。
【0006】
クレデンシャルデバイス104は、アクセスクレデンシャルと呼称される場合がある。読取デバイス(Reader device)102または他の検証デバイスは、クレデンシャルデバイスが使用されるときにアクセスクレデンシャルを取得および認証し、アクセスクレデンシャルをアクセスコントローラ106に送信する。アクセスコントローラ106は、アクセスクレデンシャルをアクセス制御リストと比較し、その比較に基づいて、例えばドアの自動ロックを制御することなどによってアクセスを許可または拒否する。
【0007】
アクセスコントローラ106の機能は、読取デバイス102に含まれ得る。これらの読取デバイスは、オフライン読取機またはスタンドアロン読取機と呼称される場合がある。ロック解除メカニズムも含まれている場合、デバイスはスマートドアロック(smart door lock)と呼称され、典型的には住宅用途でより使用されている。スマートドアロックなどのデバイスは、多くの場合、バッテリー駆動であり、消費電力とバッテリー寿命がデバイスの重要なパラメータになる可能性がある。
【0008】
PACSでは、アクセスシーケンスは、存在の証明(Proof of Presence)、意図の検出、認証、および承認の4つの部分からなる。ユーザーがドアに近づき、これらアクセスクレデンシャルまたはクレデンシャルデバイスを提示する。これにより、シーケンスのうちの存在の証明と意図の部分が提供される。読取デバイスはアクセスクレデンシャルの有効性をチェックし(認証部分)、それをアクセスコントローラに(例えば、ローカルエリアネットワークまたはLANを使用して)送信し、アクセスコントローラはアクセスを許可または拒否する(承認部分)。上で説明したように、シームレスなアクセスとは、従来のアクセスシステムと同じレベルのセキュリティを維持しながら、意図を示すための煩わしい動作(例えば、カードの提示、パスワードの入力など)無しで許可されるアクセスである。
【0009】
物理アクセス制御システムは、ハッキングなどの権限付与されていないアクセスの試みを受けやすい。リレー攻撃(リレーアタック: relay attack)は、中間者攻撃(マン・イン・ザ・ミドル攻撃:man-in-the middle attacks)に関連するハッキング技法の一種である。中間者攻撃では、アクセスコントローラ106とクレデンシャルデバイス104との間の通信は、攻撃デバイスによって開始され、攻撃デバイスは、正当な2つのデバイス間でメッセージを中継するだけである。クレデンシャルデバイス104は、制御された物理的な入り口(物理ポータル:physical portal)から遠隔であってもよいが、アクセスコントローラ106は、正当なクレデンシャルデバイス104が存在するかのようにアクセスを許可する。これにより、制御された入り口への攻撃デバイスの保持者がアクセスすることが可能となる。
【0010】
図2は、イニシエータデバイスによって送信され、受信デバイスによって受信されるコマンドを示すタイミング図である。イニシエータデバイスは、物理アクセス制御システムのインタフェース端末(例えば、PACSの読取デバイスまたは他の検証デバイス)であってもよく、受信デバイスは、クレデンシャルデバイスであってもよい。イニシエータデバイスおよび受信デバイスは、物理(PHY)層回路および処理回路を含む。イニシエータデバイスは、受信デバイスにコマンド210を送信する。コマンド210は、イニシエータデバイスと受信デバイスとの間で通信される認証プロトコルに含まれてもよい。
【0011】
コマンド210は、時間TA1の間にイニシエータデバイスによって送信される。受信デバイスは、TCの遅延の後にコマンド210の受信を開始し、コマンド210は、時間TB1の間に受信デバイスによって受信される。時間TCは、通信ギャップ(communication gap)であり、イニシエータデバイスがデータを送信してから受信デバイスがデータを認識するまでの時間である。コマンドメッセージの全ての情報が受信されると、受信デバイスは、時間TB2の間にコマンドを実行する。受信デバイスがコマンドに関連するすべてのデータを受信する時と、受信デバイスのアプリケーションがコマンド210の実行を開始する時との間に、受信機実行ギャップ(receiver execution gap)(TBe1)が存在し得る。受信デバイスのコマンド受信時間は、TB1=TA1+TBe1である。
【0012】
受信デバイスのアプリケーションは、コマンド210の実行を完了すると、時間TB3の間に応答212をイニシエータデバイスに送信する。受信デバイスが受信されたコマンドを実行する時と、受信デバイスのプロトコル層がデータを準備し、応答データの送信を開始する時との間に、第2の受信機実行ギャップ(TBe2)が存在し得る。また、受信デバイスが応答212の送信を開始する時と、イニシエータデバイスが応答の受信を開始する時との間に第2の通信ギャップTCが存在し得る。イニシエータデバイスにとって、コマンドを実行するために受信デバイスによって使用される時間はTA2であり、ここで、TA2=TB2+TBe1+TBe2+2(TC)であると考えられる。
【0013】
第1の通信ギャップと第2の通信ギャップ(例えば、TC1およびTC2)が異なる場合、2(TC)の項は、(TC1+TC2)によって置き換えられる。イニシエータデバイスは、TA3の間にコマンドに対する応答212を受信する。
【0014】
受信デバイスがコマンド210を受信し、コマンドを実行し、応答212を送信する時間は、TB=TB1+TB2+TB3である。
イニシエータデバイスがコマンドの送信を開始してから、イニシエータデバイスがコマンドに対する応答の受信を完了するときまでの合計時間は、TA=TA1+TA2+TA3であり、TA=TB+2(TC)である。
イニシエータデバイスがコマンドの送信を開始してから、イニシエータデバイスがコマンドに対する応答の受信を完了するときまでの合計時間は、TA=TA1+TA2+TA3であり、TA=TB+2(TC)である。
【0015】
リレー攻撃がある場合、コマンドおよび応答が1つまたは複数の攻撃デバイスを通る「0」でない時間が存在する。追加のデバイスによって、コマンドおよび応答の送信および受信において通信ギャップTCが追加される。完全なリレー攻撃では、1つまたは複数の攻撃デバイスは、可能な限り効率的であるだろう。
【0016】
図3は、イニシエータデバイスによって送信され、リレー攻撃において2つの攻撃デバイスによって中継され、次いで受信デバイスによって受信されるコマンド310を示すタイミング図である。攻撃デバイスによって、イニシエータデバイスによるコマンド310の送信および受信デバイスによるコマンド310の受信に通信ギャップTCが追加される。攻撃デバイス間にも通信ギャップTCaが存在する。攻撃デバイス間の通信ギャップTCaは、通信ギャップTCよりも小さくてもよい。攻撃デバイス間の通信は、攻撃デバイスが任意のプロプライエタリ(proprietary)通信プロトコルを使用することができるので、非常に効率的であるかもしれない。通信ギャップTCaは、イニシエータデバイスによるコマンド310の送信および受信デバイスによるコマンド310の受信に付加される。
【0017】
また攻撃デバイスによって、受信デバイスによる応答312の送信およびイニシエータデバイスによる応答312の受信にTCおよびTCaの通信ギャップが付加される。イニシエータデバイスがコマンドの送信を開始してから、イニシエータデバイスがコマンドに対する応答312の受信を完了するまでの合計時間は、TA=TB+4(TC)+2(TCa)である。
【0018】
コマンドを送信し、応答を受信するための通常の時間は、TA=TB+2(TC)である。
通常の通信とリレー攻撃の通信との時間差は、2(TC)+2(TCa)である。通信ギャップがイニシエータから受信機への方向と受信機からイニシエータへの方向との間で異なる場合、時間差は、(TC1+TC2)+(TCa1+TCa2)であり得る。通信時間の差は、リレー攻撃を検出するためにイニシエータデバイスおよび受信デバイスの一方または両方によって使用され得る。図3では、時間が2(TC)+2(TCa)以上の攻撃検出閾値時間増加する場合、リレー攻撃が存在し得る。これらの時間は、完全な攻撃シナリオの例であり、攻撃デバイスによって付加される実際の通信時間は、より長くなる可能性が高い。
通常の通信とリレー攻撃の通信との時間差は、2(TC)+2(TCa)である。通信ギャップがイニシエータから受信機への方向と受信機からイニシエータへの方向との間で異なる場合、時間差は、(TC1+TC2)+(TCa1+TCa2)であり得る。通信時間の差は、リレー攻撃を検出するためにイニシエータデバイスおよび受信デバイスの一方または両方によって使用され得る。図3では、時間が2(TC)+2(TCa)以上の攻撃検出閾値時間増加する場合、リレー攻撃が存在し得る。これらの時間は、完全な攻撃シナリオの例であり、攻撃デバイスによって付加される実際の通信時間は、より長くなる可能性が高い。
【0019】
イニシエータデバイスは、リレー攻撃を検出するために通信時間を測定することができる。実行される測定は、コマンドと応答のペア(command-response pair)を送信することを含むことができる。図2および図3の例に示されるように、コマンドと応答のペアは、イニシエータデバイスから送信されたコマンドと、受信デバイスによるコマンドの実行と、受信デバイスによって送信された応答と、を含む。図2および図3の例に示すように、コマンドと応答のペアの3つの部分のタイミングは、イニシエータデバイスと受信デバイスとで異なる。タイミングが異なるので、コマンドと応答のペアの全体が測定される。イニシエータデバイスからの測定コマンドと応答のペア(measurement command-response pair)が測定され、コマンドと応答のペアの予想されるタイミングを設定するために使用される。受信デバイスからの第2のコマンドと応答のペアが測定され、予想されるタイミングと比較される。第2のコマンドと応答のペアが、予想されるタイミングを予め設定された閾値超える場合、リレー攻撃が存在し得る。
【0020】
図4は、アクセス制御システムを動作させる方法400の一例のフロー図である。405において、測定コマンドが、アクセス制御システムの検証デバイスからクレデンシャルデバイスに送信される。測定コマンドは、検証デバイスの物理層回路を用いて、無線通信プロトコル(たとえば、Bluetooth(登録商標)プロトコル)に従って、クレデンシャルデバイスに無線で送信され得る。クレデンシャルデバイスは、アクセスクレデンシャル情報を記憶するスマートクレデンシャルデバイス(例えば、スマートフォンまたはスマートカード)であり得る。変形例では、検証デバイスとクレデンシャルデバイスとの間のインタフェースは、有線インタフェースであってもよく、測定コマンドは、有線通信プロトコルに従って送信されることができる。
【0021】
検証デバイスは、クレデンシャル情報をアクセスが許可されたクレデンシャル情報と比較する認証専用デバイスであるか、または、検証デバイスは、クレデンシャル情報を評価し、クレデンシャル情報がアクセスについての基準を満たす場合に物理的な入り口(例えば、ドア)を通じたアクセスを提供する認証および制御の組み合わせデバイスでもよい。
【0022】
410において、測定コマンドに対する応答が検証デバイスによって受信され、検証デバイスは、測定コマンドと応答のペアの時間を測定する。測定コマンドと応答のペアの時間は、測定コマンドを送信する時から、検証デバイスがクレデンシャルデバイスから測定コマンドに対する応答を受信する時まで測定されてもよい。
【0023】
415において、検証デバイスの処理回路は、測定コマンドと応答のペアの測定された時間を用いて、攻撃検出閾値時間の値を設定する。いくつかの例では、検証デバイスの処理回路は、攻撃検出閾値時間を決定するために、測定された時間に予め設定された時間を加算する。
【0024】
420において、検証デバイスからの第2のコマンドがクレデンシャルデバイスに送信される。第2のコマンドは、測定コマンドと同じであってもよい。いくつかの例では、コマンドと応答の複数のペアがデバイス間で送信される。いくつかの例では、測定コマンドおよび第2のコマンドは両方とも、相互認証コマンドメッセージ(mutual authentication command messages)である。送信メッセージが再開または反復されない任意の通信メカニズムを使用することができる。メッセージの連鎖(Message chaining)、複数のフレームへの分割、待ち時間の延長(wait time extensions)、または同様のメカニズムを送信メッセージに含めることができる。425において、第2のコマンドに対する応答が検証デバイスによって受信され、検証デバイスの処理回路は、第2のコマンドと応答のペアの時間を計算する。
【0025】
430において、検証デバイスの処理回路は、その時間が攻撃検出閾値時間を超える場合に指示を生成する。その指示は、検証デバイスの警報回路または第2のデバイスの警報回路に送信される信号であり得る。変形形態では、指示は、検証デバイスからアクセス制御デバイスなどの別個のデバイスに送信される予め設定されたメッセージであり得る。第2のコマンドは、反復的に送信されてもよく、第2のコマンドと応答のペアは、リレー攻撃を反復的にチェックするために測定されてもよい。
【0026】
コマンドと応答のペアの他のパラメータを計算し、リレー攻撃を検出するために使用することができる。いくつかの例では、検証デバイスの処理回路は、測定コマンドと応答のペアを送信および受信する通信速度を計算し、測定された通信速度を用いて攻撃検出通信速度閾値の値を設定する。第2のコマンドと応答のペアの通信速度が計算され、その検出閾値速度と比較される。検証デバイスの処理回路は、計算された通信速度および決定された時間の一方または両方を用いて、リレー攻撃の指示を生成する。検証デバイスは、1つまたは複数の攻撃検出閾値をクレデンシャルデバイスに送信することができ、クレデンシャルデバイスまたは検証デバイスのいずれかがその閾値の攻撃を検出することができる。
【0027】
リレー攻撃を検出するための測定は、クレデンシャルデバイスによって実行されてもよい。クレデンシャルデバイスは、測定コマンドと応答のペアのうちの測定コマンドを送信する。検証デバイスの物理層回路は、クレデンシャルデバイスから測定コマンドを受信し、測定コマンドに応答してクレデンシャルデバイスへの応答メッセージの送信を開始する。クレデンシャルデバイスは、測定した時間を検証デバイスに送信してもよい。クレデンシャルデバイスおよび検証デバイスの一方または両方は、後続のコマンドと応答のペアの時間を計算し、計算した時間を用いてリレー攻撃を検出することができる。
【0028】
本明細書において先に説明したように、再開または反復されない任意の通信メカニズムを、メッセージまたはコマンドの送信に使用し、タイミング測定に使用することができる。逆に、再開または反復される通信メカニズムは使用されるべきではない。これは、誤り訂正(例えば、誤り訂正符号化(error correction coding)、つまりECC)を含む。測定に使用されるメッセージが複数のフレームを含む場合、誤り訂正は、マルチフレームメッセージ(multi-frame message)のうちの最初のフレームから省略されるべきである。最初のフレームに対する誤り訂正によって、誤ったリレー検出につながる可能性がある、両方のタイミング測定の間の追加のギャップが追加され得る。他のフレームに対する誤り訂正は、マルチフレームのコマンドと応答のペアを用いて不正確な検出を引き起こさない。
【0029】
タイミング測定値の比較は、コマンドと応答のペアが中継されるかどうかを決定するために使用される。タイミング測定値は、受信デバイスのタイプに基づくものであり得る。受信デバイスのハードウェアプラットフォームの動作により、異なる比較アルゴリズムを使用する場合がある。例えば、コマンドがいくつかのプラットフォームの受信デバイス上で受信されるとき、そのコマンドが直ちに実行されることは保証されない。別の例では、コマンドが受信デバイス上で実行されるとき、その応答が直ちに送信されることが保証されない。
【0030】
本明細書において説明されるシステム、デバイス、および方法は、2つのデバイス間のリレー攻撃を検出するための信頼できる方法を提供する。攻撃検出のための複数のタイミング測定値が決定され、デバイス間で共有され得る。
【0031】
図5は、本明細書において説明および図示されるデバイスアーキテクチャをサポートするための、デバイス500(たとえば、組み込みデバイス)の様々な例示的なコンポーネントの概略ブロック図である。図5のデバイス500は、例えば、クレデンシャルデバイスの所有者の権限、ステータス、権利、および/または特権に対する権利(entitlement to privileges)のクレデンシャル情報を認証する検証または読取デバイスであり得る。基本レベルでは、読取デバイスは、該読取デバイスがクレデンシャルデバイスまたは他の検証デバイスなどの別のデバイスとデータを交換することを可能にするインタフェース(例えば、1つまたは複数のアンテナおよび集積回路(IC)チップ)を含み得る。クレデンシャルデバイスの一例は、クレデンシャルデバイスの所有者が読取デバイスによって保護されたセキュアな領域またはアセットにアクセスすることを可能にするデータが格納されたRFIDスマートカードである。
【0032】
特に図5を参照すると、本明細書において説明および図示されたデバイスアーキテクチャをサポートするためのデバイス500の追加の例は、概して、メモリ502、プロセッサ504、1つまたは複数のアンテナ506、通信ポートまたは通信モジュール508、ネットワークインタフェースデバイス510、ユーザーインタフェース512、および電源514または電源回路のうちの1つまたは複数を含むことができる。
【0033】
メモリ502は、処理回路によるアプリケーションプログラミングまたは命令の実行に関連して使用され、且つメモリ502は、プログラム命令または命令セット516および/またはクレデンシャルデータ、クレデンシャル権限付与データ、またはアクセス制御データまたは命令等の権限付与データ518、ならびに上述のデバイスアーキテクチャをサポートするために必要または所望される任意のデータ、データ構造、および/またはコンピュータ実行可能命令の一時的または長期の記憶のために使用されることができる。例えば、メモリ502は、デバイス500の他のコンポーネントを動作させるため、クレデンシャルまたは権限付与データ518に基づいてアクセス決定を行うため、および/または、例えば図4の方法などの本明細書において説明された任意の機能または動作を実行するために処理回路のプロセッサ504によって使用される実行可能命令516を含むことができる。メモリ502は、デバイス500によってまたはそれに関連して使用されるデータ、プログラムコード、または命令を含み、格納し、通信し、または転送し得る任意の媒体であり得るコンピュータ可読媒体を含むことができる。コンピュータ可読媒体は、例えば、これらに限定されないが、電子、磁気、光学、電磁気、赤外線、または半導体のシステム、装置、またはデバイスであり得る。適切なコンピュータ可読媒体のより具体的な例は、1つまたは複数のワイヤを有する電気接続、またはポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラマブル読み出し専用メモリ(EPROMまたはフラッシュメモリ)、ダイナミックRAM(DRAM)、任意の固体ストレージデバイス、一般的なコンパクトディスク読み出し専用メモリ(CD-ROM)、または他の光学または磁気ストレージデバイスなどの有形の記憶媒体を含むが、これらに限定されない。コンピュータ可読媒体は、これと混同されるべきではないが、コンピュータ可読媒体のすべての物理的、非一時的、または類似の実施形態をカバーすることを意図としたコンピュータ可読記憶媒体を含む。
【0034】
プロセッサ504は、1つまたは複数のコンピュータ処理デバイスまたはリソースに対応することができる。例えば、プロセッサ504は、シリコンとして、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、任意の他のタイプの集積回路(IC)チップ、ICチップの集合などとして提供されることができる。より具体的な例として、プロセッサ504は、マイクロプロセッサ、中央処理装置(CPU)、または内部メモリ520および/またはメモリ502に格納された命令セットを実行するように構成された複数のマイクロプロセッサまたはCPUとして提供され得る。
【0035】
アンテナ506は、1つまたは複数のアンテナに対応することができ、デバイス500と別のデバイスとの間の無線通信を提供するように構成されることができる。1つまたは複数のアンテナ506は、IEEE 802.15.1、Bluetooth、Bluetooth Low Energy(BLE)、近距離無線通信(NFC)、ZigBee(登録商標)、GSM(登録商標)、CDMA、Wi-Fi、RF、UWB等を含むが、これらに限定されない1つまたは複数の無線通信プロトコルおよび動作周波数を使用して動作するために、1つまたは複数の物理(physical : PHY)層524に結合され得る。一例では、アンテナ506は、帯域内動作/通信には超広帯域(ultra-wide band : UWB)を使用し、帯域外(out-of-band : OOB)動作/通信にはBluetooth(例えば、BLE)を使用して動作するために、1つまたは複数の物理層524に結合された1つまたは複数のアンテナを含み得る。しかしながら、IEEE502.15.1、近距離無線通信(near field communications : NFC)、ZigBee、GSM、CDMA、Wi-Fiなどの任意のRFIDまたはパーソナルエリアネットワーク(personal area network : PAN)技術が、代替的または付加的に、本明細書において説明されるOOB動作/通信に使用されてもよい。
【0036】
デバイス500は、通信モジュール508および/またはネットワークインタフェースデバイス510をさらに含み得る。通信モジュール508は、任意の適切な通信プロトコルに従って、デバイス500に対して遠隔またはローカルの1つまたは複数の異なるシステムまたはデバイスと通信するように構成されることができる。ネットワークインタフェースデバイス510は、いくつかの転送プロトコル(例えば、フレームリレー、インターネットプロトコル(IP)、送信制御プロトコル(TCP)、ユーザーデータグラムプロトコル(UDP : user datagram protocol)、ハイパーテキスト転送プロトコル(HTTP)など)のいずれか1つを利用して、通信ネットワークを介して、他のデバイスとの通信を可能にするハードウェアを含む。例示用の通信ネットワークは、ローカルエリアネットワーク(LAN : Local Area Network)、ワイドエリアネットワーク(WAN : Wide Area Network)、パケットデータネットワーク(例えば、インターネット)、携帯電話ネットワーク(例えば、セルラーネットワーク)、POTS(Plain Old Telephone)ネットワーク、無線データネットワーク(例えば、Wi-Fi(登録商標)と呼称されるIEEE802.11規格ファミリー、WiMax(登録商標)と呼称されるIEEE802.16規格ファミリー)、IEEE802.15.4規格ファミリー、及びピアツーピア(P2P)ネットワークなどを含みうる。いくつかの例では、ネットワークインタフェースデバイス510は、イーサネット(登録商標)ポートまたは他の物理ジャック、Wi-Fiカード、ネットワークインタフェースカード(NIC : Network Interface Card)、セルラーインタフェース(例えば、アンテナ、フィルター、および関連する回路)などを含むことができる。いくつかの例において、ネットワークインタフェースデバイス510は、単一入力複数出力(SIMO : Single-Input Multiple-Output)、複数入力複数出力(MIMO : Multiple-Input Multiple-Output)、又は複数入力単一出力(MISO(Multiple Input Single Output)技法の少なくとも1つを使用して無線通信するべく、複数のアンテナを含み得る。いくつかの例示的な実施形態では、アンテナ506、通信モジュール508、及び/又はネットワークインタフェースデバイス510の1つまたは複数、又はそれらのサブコンポーネントは、単一のモジュール又はデバイスとして統合されてもよく、それらが単一のモジュール又はデバイスであるかのように機能又は動作してもよく、又はそれらの間で共有される複数の要素から成ってもよい。
【0037】
ユーザーインタフェース512は、1つまたは複数の入力デバイスおよび/または表示デバイスを含むことができる。ユーザーインタフェース512に含まれ得る適切なユーザー入力デバイスの例は、1つまたは複数のボタン、キーボード、マウス、タッチセンシティブ面(touch-sensitive surface)、スタイラス(stylus)、カメラ、マイクロフォンなどを含むが、これらに限定されない。ユーザーインタフェース512に含まれ得る適切なユーザー出力デバイスの例は、1つまたは複数のLED、LEDパネル、ディスプレイ画面、タッチスクリーン、1つまたは複数のライト、スピーカーなどを含むが、これらに限定されない。ユーザーインタフェース512はまた、タッチセンシティブディスプレイなどのような、組み合わされたユーザー入力及びユーザー出力デバイスを含むことができることを理解されたい。ユーザーインタフェース512は、リレー攻撃または他のセキュリティ侵害等の警報状態を示す別個の警報回路(separate alarm circuit)526を含み得る。警報回路526は、音声信号をスピーカーに供給してもよいし、ライトを作動させてもよいし、ディスプレイデバイスを用いて警報状態を提示してもよい。
【0038】
電源514は、バッテリー、容量性電源(capacitive power source)または同様のタイプの電荷蓄積デバイスなどの任意の適切な内部電源であり得、および/または外部電力をデバイス500の複数のコンポーネントのための適切な電力への変換(例えば、外部から供給されたAC電力のDC電力への変換)に適した1つまたは複数の電力変換回路を含み得る。
【0039】
デバイス500はまた、デバイスの複数のハードウェアコンポーネント間の通信を送信するように動作可能な1つまたは複数のインターリンクまたはバス522を含むことができる。システムバス522は、いくつかのタイプの市販のバス構造またはバスアーキテクチャのいずれかであり得る。
【0040】
追加の開示及び例
例1は、物理層回路と、物理層回路に動作可能に接続された処理回路とを備える(アクセス制御システムの読取デバイスなどの)主題を含む。処理回路は、クレデンシャルデバイスへのコマンドの送信を開始すること、コマンドをクレデンシャルデバイスに送信してから、クレデンシャルデバイスからのコマンドに対する応答を受信するまでの時間を決定すること、その時間がリレー攻撃検出閾値時間を超える場合に指示を生成すること、を実行するように構成されている。
例1は、物理層回路と、物理層回路に動作可能に接続された処理回路とを備える(アクセス制御システムの読取デバイスなどの)主題を含む。処理回路は、クレデンシャルデバイスへのコマンドの送信を開始すること、コマンドをクレデンシャルデバイスに送信してから、クレデンシャルデバイスからのコマンドに対する応答を受信するまでの時間を決定すること、その時間がリレー攻撃検出閾値時間を超える場合に指示を生成すること、を実行するように構成されている。
【0041】
例2において、例1の主題は、コマンドの送信の開始から応答の受信の終了までの時間を決定するように構成された処理回路を任意選択的に含む。
例3において、例1,2の一方または両方の主題は、クレデンシャルデバイスへの測定コマンドの送信を開始すること、測定コマンドと応答のペアの時間を測定することであって、測定コマンドと応答のペアの時間は、測定コマンドを送信してから、クレデンシャルデバイスからの測定コマンドに対する応答を受信するまで測定される、測定コマンドと応答のペアの時間を測定すること、測定コマンドと応答のペアの時間を用いて攻撃検出閾値時間を決定すること、を実行するように構成された処理回路を任意選択的に含む。
例3において、例1,2の一方または両方の主題は、クレデンシャルデバイスへの測定コマンドの送信を開始すること、測定コマンドと応答のペアの時間を測定することであって、測定コマンドと応答のペアの時間は、測定コマンドを送信してから、クレデンシャルデバイスからの測定コマンドに対する応答を受信するまで測定される、測定コマンドと応答のペアの時間を測定すること、測定コマンドと応答のペアの時間を用いて攻撃検出閾値時間を決定すること、を実行するように構成された処理回路を任意選択的に含む。
【0042】
例4において、例3の主題は、両方とも相互認証コマンドメッセージである送信されたコマンドおよび送信された測定コマンドを任意選択的に含む。
例5において、例1~4のうちの1つまたは任意の組み合わせの主題は、コマンドを送信し、応答を受信する通信速度を算出すること、計算された通信速度と決定された時間とを用いて指示を生成すること、を実行するように構成された処理回路を任意選択的に含む。
例5において、例1~4のうちの1つまたは任意の組み合わせの主題は、コマンドを送信し、応答を受信する通信速度を算出すること、計算された通信速度と決定された時間とを用いて指示を生成すること、を実行するように構成された処理回路を任意選択的に含む。
【0043】
例6において、例1~5のうちの1つまたは任意の組み合わせの主題は、クレデンシャルデバイスへのマルチフレームコマンドの送信を開始すること、送信されたマルチフレームメッセージの最初のフレームおよび応答メッセージの最初のフレームに対する誤り訂正を省略すること、マルチフレームコマンドを送信してからマルチフレームコマンドへの応答を受信するまでの時間を決定すること、を実行するように構成された処理回路を任意選択的に含む。
【0044】
例7において、例1~6のうちの1つまたは任意の組み合わせの主題は、クレデンシャルデバイスから測定コマンドを受信するように構成された物理層回路、および測定コマンドに応答してクレデンシャルデバイスへの応答メッセージの送信を開始するように構成された処理回路を任意選択的に含む。
【0045】
例8は、(アクセス制御システムを動作させる方法などの)主題を含むか、またはそのような主題を含むように例1~7のうちの1つまたは任意の組み合わせと任意選択で組み合わせることができ、アクセス制御システムの検証デバイスからクレデンシャルデバイスにコマンドを送信すること、検証デバイスを用いて、コマンドを送信してから、クレデンシャルデバイスからの応答を受信するまでの時間を決定すること、その時間が攻撃検出閾値時間を超える場合に指示を生成すること、を備える。
【0046】
例9において、例8の1つまたは任意の組み合わせの主題は、検証デバイスからクレデンシャルデバイスに測定コマンドを送信すること、測定コマンドと応答のペアの時間を測定することであって、測定コマンドと応答のペアの時間は、測定コマンドを送信してから、クレデンシャルデバイスからの測定コマンドに対する応答を受信するまで測定される、測定コマンドと応答のペアの時間を測定すること、測定コマンドと応答のペアの時間を用いて攻撃検出閾値時間を設定すること、を任意選択的に備える。
【0047】
例10において、例9の主題は、両方とも認証コマンドメッセージである送信されたコマンドおよび送信された測定コマンドを任意選択的に含む。
例11において、例8~10の1つまたは任意の組み合わせの主題は、検証デバイスを用いて、コマンドおよび応答の通信速度を計算すること、計算された通信速度と決定された時間とを用いて指示を生成すること、を任意選択的に含む。
例11において、例8~10の1つまたは任意の組み合わせの主題は、検証デバイスを用いて、コマンドおよび応答の通信速度を計算すること、計算された通信速度と決定された時間とを用いて指示を生成すること、を任意選択的に含む。
【0048】
例12において、例8~11のうちの1つまたは任意の組み合わせの主題は、検証デバイスからクレデンシャルデバイスにマルチフレームコマンドを送信すること、クレデンシャルデバイスまたは検証デバイスを用いて、マルチフレームメッセージの最初のフレームに対する誤り訂正を省略すること、マルチフレームコマンドを送信してから、クレデンシャルデバイスからのマルチフレームコマンドに対する応答を受信するまでの時間を決定すること、を任意選択的に含む。
【0049】
例13において、例8~12のうちの1つまたは任意の組み合わせの主題は、クレデンシャルデバイスから検証デバイスにコマンドを送信すること、クレデンシャルデバイスを用いて、コマンドを送信してから、検証デバイスからの応答を受信するまでの時間を決定すること、その時間が攻撃検出閾値時間を超える場合に指示を生成すること、を任意選択的に含む。
【0050】
例14において、例8~13のうちの1つまたは任意の組み合わせの主題は、読取デバイスである検証デバイス、およびスマートカードであるクレデンシャルデバイスを任意選択的に含む。
【0051】
例15において、例8~14のうちの1つまたは任意の組み合わせの主題は、読取デバイスである検証デバイス、およびスマートフォンであるクレデンシャルデバイスを任意選択的に含む。
【0052】
例16は、複数の命令を含むコンピュータ可読記憶媒体等の主題を含むか、またはそのような主題を含むように例1~15のうちの1つまたは任意の組み合わせと任意選択で組み合わせることができ、複数の命令は、アクセス制御システムの検証デバイスの処理回路によって実行されると、検証デバイスに複数の動作を実行させ、複数の動作は、クレデンシャルデバイスにコマンドを送信すること、コマンドを送信してから、クレデンシャルデバイスからの応答を受信するまでの時間を決定すること、その時間が攻撃検出閾値時間を超える場合に指示を生成すること、を備える。
【0053】
例17において、例16の主題は、測定コマンドをクレデンシャルデバイスに送信すること、測定コマンドと応答のペアの時間を測定することであって、測定コマンドと応答のペアの時間は、測定コマンドを送信してから、クレデンシャルデバイスからの測定コマンドに対する応答を受信するまで測定される、測定コマンドと応答のペアの時間を測定すること、測定コマンドと応答のペアの時間を用いて攻撃検出閾値時間を設定すること、を含む複数の動作を検証デバイスに実行させる複数の命令を任意選択的に含む。
【0054】
例18において、例16および17の一方または両方の主題は、送信されたコマンドと送信された測定コマンドとの両方についての認証コマンドを送信することを検証デバイスに実行させる複数の命令を任意選択的に含む。
【0055】
例19において、例16~18のうちの1つまたは任意の組み合わせの主題は、コマンドおよび応答の通信速度を計算すること、計算された通信速度と決定された時間とを用いて指示を生成すること、を含む複数の動作を検証デバイスに実行させる複数の命令を任意選択的に含む。
【0056】
例20において、例16~19のうちの1つまたは任意の組み合わせの主題は、検証デバイスからクレデンシャルデバイスにマルチフレームコマンドを送信すること、クレデンシャルデバイスまたは検証デバイスを用いて、マルチフレームメッセージの最初のフレームに対する誤り訂正を省略すること、マルチフレームコマンドを送信してから、クレデンシャルデバイスからのマルチフレームコマンドに対する応答を受信するまでの時間を決定すること、を含む複数の動作を検証デバイスに実行させる複数の命令を任意選択的に含む。
【0057】
これらの非限定的な複数の例を、任意の順列または組み合わせで組み合わせることができる。上記の詳細な説明は、詳細な説明の一部を形成する添付図面への参照を含む。図面は、例示を目的として、本発明が実施されうる特定の実施形態を示している。以上の説明は、限定ではなく、例示を目的としたものであると解釈されたい。例えば、上述の例(又は、その1つ又は複数に態様)は、互いに組み合わせて用いられてよい。例えば、当業者が、上記の説明を参照した際に、その他の実施形態を用いてもよい。要約書は、読者が技術的な開示の特性を迅速に特定することを可能にする目的で提供されている。これは、請求項の範囲又は意味を解釈又は限定する目的で用いられていないものと理解されたい。上述の詳細な説明において、各種の特徴は、本開示を合理化するべく1つにグループ化することもできる。これは、特許請求されていない開示された特徴がいずれかの請求項にとって必須であることを意図したものとして解釈してはならない。むしろ、本主題は、特定の開示されている実施形態の一部の特徴に存在しうる。従って、添付の請求項は、これにより、それぞれの請求項が別個の実施形態として独立している状態において、詳細な説明に組み込まれ、このような実施形態は、様々な組合せ又は順列において相互に組み合わせられうるものと想定されている。本範囲は、請求項に付与される均等物の完全な範囲と共に、添付の請求項を参照して判定することを要する。
【図1】
【図2】
【図3】
【図4】
【図5】
