IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > SARONIKOS TRADING AND SERVICES, UNIPESSOAL LDA

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ サロニコス トレーディング アンド サービシス、ウニペッソアル リミターダの特許一覧

特許7141723無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法
<>
  • 特許-無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法 図1
  • 特許-無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法 図2
  • 特許-無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法 図3
  • 特許-無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法 図4
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-09-14
(45)【発行日】2022-09-26
(54)【発明の名称】無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法
(51)【国際特許分類】
   H04L 9/32 20060101AFI20220915BHJP
   G06F 21/44 20130101ALI20220915BHJP
   G09C 1/00 20060101ALI20220915BHJP
   H04L 9/36 20060101ALI20220915BHJP
【FI】
H04L9/32 200A
G06F21/44 350
G09C1/00 640E
H04L9/36
【請求項の数】 14
(21)【出願番号】P 2019532129
(86)(22)【出願日】2016-12-15
(65)【公表番号】
(43)【公表日】2020-01-23
(86)【国際出願番号】 IB2016057686
(87)【国際公開番号】W WO2018109530
(87)【国際公開日】2018-06-21
【審査請求日】2019-08-15
【前置審査】
(73)【特許権者】
【識別番号】515155064
【氏名又は名称】サロニコス トレーディング アンド サービシス、ウニペッソアル リミターダ
【氏名又は名称原語表記】SARONIKOS TRADING AND SERVICES, UNIPESSOAL LDA
(74)【代理人】
【識別番号】100134832
【弁理士】
【氏名又は名称】瀧野 文雄
(74)【代理人】
【識別番号】100165308
【弁理士】
【氏名又は名称】津田 俊明
(74)【代理人】
【識別番号】100115048
【弁理士】
【氏名又は名称】福田 康弘
(72)【発明者】
【氏名】ジェームズ ロバート
【審査官】青木 重徳
(56)【参考文献】
【文献】米国特許出願公開第2009/0256676(US,A1)
【文献】特表2005-514831(JP,A)
【文献】米国特許出願公開第2006/0064587(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/06
H04L 9/32
G09C 1/00
G06F 21/44
(57)【特許請求の範囲】
【請求項1】
基地装置(104)と通信する、アクチュエータを遠隔制御するためのユーザ装置(103)であって、
前記基地装置(104)と通信するための通信手段(117)と、
少なくとも暗号化キーを含むメモリ手段(111)と、
前記メモリ手段(111)および前記通信手段(117)と通信し、チャレンジレスポンス認証メカニズムに従って前記基地装置(104)を認証するように構成された処理手段(109)と、を含み、
前記処理手段(109)は、前記暗号化キーを通じて暗号化され、次いで前記通信手段(117)を介して発信される第1データパケット(200a)によって前記基地装置(104)にチャレンジするように構成され、
前記第1データパケット(200a)は、前記ユーザ装置(103)を識別する少なくとも1つのアイデンティティデータを含み、
前記ユーザ装置(103)は、前記第1データパケット(200a)内の異なる位置で前記少なくとも1つのアイデンティティデータを発信するように構成され、
前記異なる位置は、位置決めパターンに依存し、特に周期的、非周期的またはランダムなパターンに依存する、
ことを特徴とするユーザ装置(103)。
【請求項2】
前記ユーザ装置は、前記第1データパケット内に、ランダムな内容および/若しくはランダムな長さを有する少なくとも1つのデータシーケンスを含むように構成される、ならびに/または、
前記ユーザ装置は、前記少なくとも1つのアイデンティティデータの偽のレプリカを発信するように構成される、ならびに/または、
前記ユーザ装置は、ランダムな内容および/もしくはランダムな長さを有するランダムに生成されたデータシーケンスが前記第1データパケット内に前記基地装置(104)が誤って検出することができる前記少なくとも1つのアイデンティティデータの偽のレプリカを含むかまたは生成するかどうかを検証するように構成されるとともに、発信されている前記ランダムに生成された偽のレプリカを除外するように構成される、ならびに/または、
前記処理手段(109)は、
-前記第1データパケット(200a)に基づいて、期待される第1ダイジェストを生成し、
-前記通信手段(117)を介して、前記第1データパケット(200a)に応答して前記基地装置(104)から生成可能な暗号化された第2データパケットを受信し、
-少なくとも受信した第1ダイジェスト(ダイジェスト_a)とランダムな内容およびランダムな長さを有する少なくとも2つのランダムシーケンスの第2セットとを含む第2データパケット(200b)を得るために、前記暗号化キーによって、暗号化された第2データパケットを復号化し、
ここで前記ランダムシーケンスは、前記第2データパケット(200b)内に、前記ユーザ装置(103)が誤って検出することができる前記受信した第1ダイジェスト(ダイジェスト_a)の少なくとも1つの偽のレプリカを生成するものを除外して生成されたものであり、
-前記第2データパケット(200b)内の前記期待される第1ダイジェストを検索し、
-前記第2データパケット(200b)が前記期待される第1ダイジェストを含む場合に、前記第2データパケット(200b)に応答して第3データパケット(200c)を生成し、
ここで前記第3データパケット(200c)は、前記第2データパケット(200b)に基づいて生成された応答第2ダイジェスト(ダイジェスト_b)と、ランダムな内容およびランダムな長さを有する少なくとも2つのランダムシーケンスの第3セットと、を少なくとも含み、前記ランダムシーケンスは、前記第3データパケット(200c)内に、前記基地装置(104)が誤って検出することができる前記応答第2ダイジェスト(ダイジェスト_b)の少なくとも1つの偽のレプリカを生成するものを除外して生成されたものであり、
-暗号化された第3データパケットを得るために、前記暗号化キーによって前記第3データパケット(200c)を暗号化し、
-前記基地装置(104)が前記暗号化された第3データパケットを受信して前記アイデンティティデータおよび前記応答第2ダイジェスト(ダイジェスト_b)に基づいて前記アクチュエータを作動させる必要があるか否かを判断できるよう、前記通信手段(117)を介して前記暗号化された第3データパケットを発信するようにも構成され、ならびに/または、
前記ユーザ装置は、クロック(107)を含み、
前記処理手段(109)は、前記クロック(107)によって、第1タイムスタンプ(タイムスタンプ_a)および第3タイムスタンプ(タイムスタンプ_c)を生成するようにも構成され、
前記第1データパケット(200a)は、前記アイデンティティデータから第1固定距離に配置された前記第1タイムスタンプ(タイムスタンプ_a)をさらに含み、
前記第3データパケット(200c)は、前記第2ダイジェスト(ダイジェスト_b)から第3固定距離に配置された前記第3タイムスタンプ(タイムスタンプ_c)も含む、ことを特徴とする請求項1に記載のユーザ装置(103)。
【請求項3】
前記第2データパケット(200b)は、第2タイムスタンプ(タイムスタンプ_b)をさらに含み、
前記処理手段(109)は、さらに、
-前記クロック(107)および前記処理手段(109)によって、前記第2データパケット(200b)の到着時刻と前記第2タイムスタンプ(タイムスタンプ_b)との間の差を評価し、
-前記差が数値間隔の範囲外である場合に、前記第3データパケット(200c)の前記発信をやめるよう、構成される
ことを特徴とする請求項1または2に記載のユーザ装置(103)。
【請求項4】
前記アクチュエータを作動させようと試みた結果を出力するための入力/出力手段(115)を備え、
前記処理手段(109)は、さらに、
-前記第3データパケット(200c)に基づいて、期待される第3ダイジェストを生成し、
-前記通信手段(117)を介して、前記基地装置(104)から暗号化された第3データパケットを受信し、
-応答第3ダイジェスト(ダイジェスト_c)とランダムな内容およびランダムな長さを有する2つのランダムシーケンスの第4セットとを含む第4データパケット(200d)を得るために、前記暗号化キーによって、前記暗号化された第4データパケットを復号化し、
ここで前記ランダムシーケンスは、前記第4データパケット(200d)内に、前記ユーザ装置(103)が誤って検出することができる前記応答第3ダイジェスト(ダイジェスト_c)の少なくとも1つの偽のレプリカを生成するものを除外して生成されたものであり、
-入力/出力手段(115)を介して、前記期待される第3ダイジェストと前記応答第3ダイジェスト(ダイジェスト_c)とが同じである場合にのみ前記アクチュエータの動作成功を確認するように、構成される、
ことを特徴とする請求項2または3に記載のユーザ装置(103)。
【請求項5】
通信ネットワーク(102)を介してセキュリティ管理サーバ(101)に接続するための通信インターフェース(105)を備え、
前記処理手段(109)は、さらに、
-前記通信インターフェース(105)によって、ユーザが制御したい前記アクチュエータを制御する許可を得るための要求と、前記ユーザ装置(103)が利用しなければならないアイデンティティデータと、を伝送し、
-前記アクチュエータを制御するために、前記通信インターフェース(105)を介して、セキュアな方法で前記基地装置(104)と通信するための前記少なくとも1つの暗号化キーを受信するように、構成される、
ことを特徴とする請求項1から4のいずれか一項に記載のユーザ装置(103)。
【請求項6】
前記処理手段(109)は、さらに、
-前記通信手段(117)を介して受信した異常なデータパケット(200b、200d)を検出し、
-前記通信インターフェース(105)によって、前記異常なデータパケット(200b、200d)についての情報を伝送するように、構成される、
ことを特徴とする請求項5に記載のユーザ装置(103)。
【請求項7】
前記処理手段(109)は、さらに、前記通信インターフェース(105)によって、前記第4データパケット(200_d)によって搬送された情報を伝送するように構成される、ことを特徴とする請求項4から6のいずれか一項に記載のユーザ装置(103)。
【請求項8】
少なくとも1つのアクチュエータを制御するための基地装置(104)であって、
ユーザ装置(103)と通信するための通信手段(118)と、
前記少なくとも1つのアクチュエータと通信することができる入力/出力手段(116)と、
少なくとも暗号化キーを含むメモリ手段(112)と、
前記メモリ手段(112)、前記入力/出力手段(116)および前記通信手段(118)と通信するとともに、チャレンジレスポンス認証メカニズムに従って前記ユーザ装置(103)を認証するように構成された処理手段(110)と、を備え、
前記処理手段(110)は、
-前記通信手段(118)を介して、暗号化された第1データパケット(200a)を受信し、
-前記暗号化キーによって、前記暗号化された第1データパケット(200a)を復号化し、
-少なくとも前記第1データパケット(200a)に基づいて前記ユーザ装置(103)を認証し、
-前記認証が成功した場合、前記入力/出力手段(116)によって前記少なくとも1つのアクチュエータを作動させるように、構成され、
前記第1データパケット(200a)は、前記ユーザ装置(103)を識別する少なくとも1つのアイデンティティデータを含み、
前記基地装置は、前記第1データパケット(200a)内の異なる位置で前記少なくとも1つのアイデンティティデータを検出するように構成され、
前記異なる位置は、位置決めパターン、特に周期的、非周期的またはランダムなパターンに依存する、
ことを特徴とする基地装置(104)。
【請求項9】
前記基地装置は、前記第1データパケット内の、ランダムな内容および/もしくはランダムな長さを有する少なくとも1つの含まれているデータシーケンスを処理するように構成され、ならびに/または、前記基地装置は、前記少なくとも1つのアイデンティティデータの少なくとも1つの偽のレプリカを認識するように構成され、
そして/あるいは、
前記処理手段(110)は、前記暗号化キーを通じて暗号化され次いで前記通信手段(118)を介して発信される第2データパケット(200b)を介して前記第1データパケット(200a)に応答することによって前記ユーザ装置(103)を認証するよう構成され、
前記第2データパケット(200b)は、
前記処理手段(110)によって計算された、前記第1データパケット(200a)の応答第1ダイジェスト(ダイジェスト_a)と、
ランダムな内容およびランダムな長さを有する少なくとも2つのランダムシーケンスの第2セットと、を少なくとも含み、
ここで前記ランダムシーケンスは、前記発信された第2データパケット(200b)内に、前記ユーザ装置(103)が誤って検出することができる前記応答ダイジェストの少なくとも1つの偽のレプリカを生成するものを除外して生成されたものであり、
そして/あるいは、
前記処理手段(110)は、
-前記第2データパケット(200b)に基づいて、期待される第2ダイジェストを生成すること、
-前記通信手段(118)を介して、前記ユーザ装置(103)から暗号化された第3データパケットを受信すること、
-少なくとも受信した第2ダイジェスト(ダイジェスト_b)と、ランダムな内容およびランダムな長さを有する少なくとも2つのランダムシーケンスの第3セットと、を含む第3データパケット(200c)を得るために、前記暗号化キーによって、前記暗号化された第3データパケットを復号化すること、
ここで前記ランダムシーケンスは、前記第3データパケット(200c)内に、前記基地装置(104)が誤って検出することができる前記第2ダイジェスト(ダイジェスト_b)の少なくとも1つの偽のレプリカを生成するものを除外して生成されたものであり、
-前記第3データパケット(200c)内で、前記期待される第2ダイジェスト(ダイジェスト_b)を検索すること、
-前記第3データパケット(200c)が前記期待される第2ダイジェストを含む場合に、前記ユーザ装置(103)を認証すること、によって前記ユーザ装置(103)を認証するように構成され、
そして/あるいは、
前記処理手段(110)は、
-前記第3データパケット(200c)に基づいて応答第3ダイジェスト(ダイジェスト_c)を生成し、
-少なくとも前記応答第3ダイジェスト(ダイジェスト_c)と、ランダムな内容およびランダムな長さを有する少なくとも2つのランダムシーケンスの第4セットと、を含む第4データパケット(200d)を生成し、
ここで前記ランダムシーケンスは、前記第4データパケット(200d)内に、前記ユーザ装置(103)が誤って検出することができる前記応答第3ダイジェスト(ダイジェスト_c)の少なくとも1つの偽のレプリカを生成するものを除外して生成されたものであり、
-暗号化された第4データパケットを得るために、前記暗号化キーによって前記第4データパケット(200d)を暗号化し、
-前記ユーザ装置(103)が前記暗号化された第4データパケットを受信できるよう前記通信手段(118)を介して前記暗号化された第4データパケットを発信するように、構成される、
ことを特徴とする請求項8に記載の基地装置(104)。
【請求項10】
クロック(108)を備え、
前記処理手段(110)は、さらに、前記クロック(108)によって第2タイムスタンプ(タイムスタンプ_b)と第4タイムスタンプ(タイムスタンプ_d)とを生成するように構成され、
前記第2データパケット(200b)は、前記応答第1ダイジェスト(ダイジェスト_a)から第2固定距離に配置された前記第2タイムスタンプ(タイムスタンプ_b)をさらに含み、
前記第4データパケット(200d)は、前記応答第3ダイジェスト(ダイジェスト_c)から第4固定距離に配置された前記第4タイムスタンプ(タイムスタンプ_d)をさらに含む、
ことを特徴とする請求項8または9に記載の基地装置(104)。
【請求項11】
前記第1データパケット(200a)は、第1タイムスタンプ(タイムスタンプ_a)をさらに含み、
前記処理手段(110)は、さらに、前記クロック(108)および前記処理手段(110)によって、前記第1データパケット(200a)の到着時刻と前記第1タイムスタンプ(タイムスタンプ_a)との間の差を評価するとともに、前記差が数値間隔の範囲外である場合には、前記第2データパケット(200b)の前記発信をやめるように構成され、
そして/あるいは、
前記第3データパケット(200a)は、第3タイムスタンプ(タイムスタンプ_c)をさらに含み、
前記処理手段(110)は、さらに、前記クロック(108)および前記処理手段(110)によって、前記第3データパケット(200c)の到着時刻と前記第3タイムスタンプ(タイムスタンプ_c)との間の差を評価するとともに、前記差が数値間隔の範囲外である場合には、前記少なくとも1つのアクチュエータの前記作動をやめるように構成される、
ことを特徴とする請求項10に記載の基地装置(104)。
【請求項12】
通信ネットワーク(102)を介してセキュリティ管理サーバ(101)に接続するための通信インターフェース(106)を備え、
前記処理手段(110)は、さらに、
-前記アクチュエータの前記制御を可能にするために、前記ユーザ装置(103)を識別するアイデンティティデータと、前記ユーザ装置(104)とセキュアな方法で通信するための前記少なくとも1つの暗号化キーと、を、前記通信インターフェース(106)を介して受信するように構成され、
そして/あるいは、
前記処理手段(110)は、さらに、
-前記通信手段を介して受信した異常なデータパケットを検出するとともに、
-前記通信インターフェース(106)を介して、前記異常なデータパケット(200a、200c)についての情報を伝送するように、構成され、
そして/あるいは、
前記処理手段(110)は、さらに、前記通信インターフェース(106)を介して、前記アクチュエータによって実行された動作についての情報を伝送するように構成される、
ことを特徴とする請求項8から11のいずれか一項に記載の基地装置(104)。
【請求項13】
アクチュエータを遠隔制御するためのシステムであって、
請求項1から7のいずれか一項に記載のユーザ装置(103)と、
請求項8から12のいずれか一項に記載の基地装置(104)と、
少なくともどのユーザ装置が前記アクチュエータを作動させることができるかを定義するセキュリティポリシを適用するためのセキュリティ管理サーバ(101)と、を備え、
前記セキュリティ管理サーバ(101)は、前記ユーザ装置(103)および前記基地装置(104)と通信し、
前記セキュリティ管理サーバ(101)は、
-前記ユーザ装置(103)から前記制御要求を受信し、
-前記アイデンティティデータおよび前記セキュリティポリシに基づいて、前記ユーザ装置(103)が前記アクチュエータを作動させることができるかどうかを判断し、
-前記ユーザ装置(103)が前記アクチュエータを作動させることを許可されている場合には、前記暗号化キーと、前記ユーザ装置(103)を識別する前記アイデンティティデータと、を、前記ユーザ装置(103)および前記基地装置(104)の両方に伝送し、ならびに/または、
-どのユーザ装置が前記少なくとも1つのアクチュエータを作動させることを許可されているかを定義する認証情報を前記基地装置(104)に送信するように、構成され、
前記基地装置(104)は、第1データパケット(200a)内で受信された前記識別データが前記認証情報に含まれている場合に、前記入力/出力手段(116)によって前記少なくとも1つのアクチュエータを作動させるように構成される、
ことを特徴とするシステム。
【請求項14】
データパケット(200a、200b、200c、200d)を交換することを介して2つの装置(103、104)を認証する方法であって、
-前記データパケット(200a、200b、200c、200d)のうちの少なくとも1つを処理手段(109、110)によって生成するデータパケット生成フェーズと、ここで、前記データパケット(200a、200b、200c、200d)のうちの少なくとも1つは少なくとも1つの認証データ(200a2、ダイジェスト_a、ダイジェスト_b、ダイジェスト_c)を含み、前記少なくとも1つの認証データは前記第1データパケット(200a、200b、200c、200d)内の異なる位置に生成され、前記異なる位置は位置決めパターン、特に周期的、非周期的またはランダムなパターンに依存し、
-暗号化されたデータパケットを得るために、前記少なくとも1つのデータパケット(200a、200b、200c、200d)を暗号化キーによって暗号化する暗号化フェーズと、
-発信フェーズと、を有し、
前記発信フェーズにおいて、前記暗号化されたデータパケットが通信手段(117、118)を介して前記装置(103、104)間で交換される、そして/あるいは、前記少なくとも1つのデータパケットが、ランダムな内容および/もしくはランダムな長さを有する少なくとも1つのデータシーケンスならびに/または前記認証データ(200a2、ダイジェスト_a、ダイジェスト_b、ダイジェスト_c)から固定の距離を有する第1タイムスタンプ(タイムスタンプ_a)を含む、
ことを特徴とする方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システムを介してアクチュエータを遠隔制御するためのユーザ装置および基地装置に関する。さらに、本発明は、データパケットを交換することによってこれらの装置を認証するための方法にも関する。
【背景技術】
【0002】
無線キーフォブからの電波によって、多くのゲートやガレージを無線制御でき、また多くの車をロックまたはロック解除することができるとともにイグニションをスタートさせることができる。これらの制御システムでは、キーフォブは、基地装置が知っているデジタルコードを含む信号を発信する。基地装置は、自身の受信範囲内にある無線信号を検出し、キーフォブのデジタルコードを伝送する信号を検出したときに、関連するアクチュエータを作動させるために適切なコマンドを送信する。
【0003】
しかしながら、キーフォブによって無線で発信された信号は傍受することができ、キーフォブを装うための多くのトリックが考えられてきた。攻撃者はキーフォブによって発信された無線信号を記録し、その記録された信号を使用してドアを開けるまたは秘密のコードの復元を試みることができる。
【0004】
ハッキングに対する保護を改善するためにいくつかの対策が構築されているにもかかわらず、基地装置が同期させられる疑似ランダムシーケンスに従って、制御コマンドが発行される毎にデジタルキーのコードが変化する、いわゆる「ローリングコード」を使用するシステムの場合でさえ、無線制御システムには依然として脆弱性がある。
【0005】
ますます多くの人々がデジタルキーを使用していることから、現在のソリューションのマイナス面を克服、特にセキュリティを改善する必要がある。
【発明の概要】
【0006】
本発明は、向上したセキュリティレベルでアクチュエータを遠隔制御するために、ユーザ装置および基地装置によって上記のおよび他の問題を解決することを目的としており、特に、これらの装置は、チャレンジレスポンス認証メカニズムに従ってデータパケットを交換することによって互いを認証する方法を実行するように構成される。
【課題を解決するための手段】
【0007】
本発明の第1の概略的態様によれば、基地装置と通信するとともにアクチュエータを遠隔制御するためのユーザ装置が提案され、これにより、ユーザ装置は、前記ユーザ装置を識別する少なくとも1つのアイデンティティデータを含む第1データパケットによって前記基地装置にチャレンジするように構成される処理手段を含み、前記ユーザ装置は、前記第1データパケット内の異なる位置で前記少なくとも1つのアイデンティティデータを発信するように構成される。さらに、前記ユーザ装置は、位置決めパターン、特に周期的、非周期的またはランダムなパターンに応じて、前記アイデンティティデータを位置決めするように構成される。
【0008】
本発明のさらなる有利な態様によれば、ユーザ装置は、ランダムな内容および/またはランダムな長さを有する少なくとも1つのデータシーケンスを前記第1データパケット内に含めるように構成される。
【0009】
本発明の別の有利な態様によれば、ユーザ装置は、前記少なくとも1つのアイデンティティデータの偽のレプリカを発信するように構成される。
【0010】
さらに、本発明に係るユーザ装置は、ランダムな内容および/もしくはランダムな長さを有するランダムに生成されたデータシーケンスが、前記基地装置が誤って検出することができる前記少なくとも1つのアイデンティティデータの偽のレプリカを前記第1データパケット内に含むかまたは生成するか否かを検証するとともに、発信されている前記ランダムに生成された偽のレプリカを除外するように構成される。
【0011】
繰り返しを避けるため、前述の本発明の有利な態様および技術的特徴が、ユーザ装置、基地装置、システムおよび対応する方法にも適用されることは明らかである。
【0012】
本発明によれば、ユーザ装置および基地装置は、少なくとも以下のフェーズを含む前記認証方法を実行することによって相互認証を実行する。
- パケット生成フェーズであって、データパケットのうちの少なくとも1つが、処理手段(好ましくは各装置に含まれる)によって生成され、認証データ(例えば識別データ、メッセージダイジェストなど)を含み、前記少なくとも1つの認証データは、前記第1データパケット内の異なる位置で生成され、前記異なる位置は、位置決めパターン、特に周期的、非周期的またはランダムなパターンに依存する、フェーズ。代替的な追加の態様として、少なくとも1つのデータパケットは、ランダムな内容および/もしくはランダムな長さを有する少なくとも1つのデータシーケンス、ならびに/または前記認証データから固定の距離を有する第1タイムスタンプ、を含み得る。
- 暗号化フェーズであって、暗号化されたデータパケットを得るために、前記少なくとも1つのデータパケットは、暗号化キー(好ましくは、各装置に含まれるメモリ手段に含まれる)によって暗号化される、フェーズ。
- 発信フェーズであって、前記暗号化されたデータパケットは、前記装置間で通信手段(好ましくは、各装置に含まれる)を介して交換される、フェーズ。
【0013】
このようにして、データの内部構造は、前記認証データが既に知られている場合にのみ認識することができるので、パケットの内容を見えにくくすることが可能である。これにより、従来技術によるソリューションよりも高い保護レベルを享受する遠隔制御アクチュエータを操作することが可能になる。
【0014】
より詳細には、データパケットは、好ましくはデータパケットの先頭と終わりに配置された、ランダムな内容および/またはランダムな長さを有する2つのランダムシーケンスを含み得る。
【0015】
さらに、データパケットは、タイムスタンプを含むこともでき、これは秘密のタイムスタンプ符号化で符号化することができる。
【0016】
システムはセキュリティ管理サーバをさらに含んでもよく、前記セキュリティ管理サーバは、セキュリティリスクを評価し、セキュリティアルゴリズムおよびキーを配布し、そして適切であると判断されたときにセキュリティ要素を無効にするまたは変更するように構成される。言い換えれば、このセキュリティ管理サーバは、どのユーザ装置が特定のアクチュエータを作動させることができるかを定義するセキュリティポリシを適用(enforcing)するように構成される。
【0017】
ユーザが要求(例えばドアのロックを解除する)を入力したとき、ユーザ装置はその要求を達成するための制御セッションを開き、少なくともユーザ装置の(秘密の)識別コード、ならびに上記のようにランダムな内容およびランダムな長さを有する2つのランダムシーケンス、を含む「要求データパケット」を発信する。さらに、データパケットは、これが秘密の識別コード内において暗に示されていない場合、ユーザ要求、およびセキュリティを向上させるためのタイムスタンプを含み得る。次いで、ユーザ装置は、要求データパケットの期待されるダイジェストを秘密のダイジェストアルゴリズムで計算し、秘密の暗号化キーによって秘密の暗号アルゴリズムで暗号化し、暗号化されたデータパケットを無線で発信する。
【0018】
基地装置は、自身のアンテナによってピックアップされた信号を受信し続け、前記秘密のアルゴリズムおよび秘密のキー、好ましくはユーザ装置によって使用される秘密のキーを通じてそれらを復号化する。任意の受信および復号化された信号を使用して、基地装置はユーザ装置の秘密の識別コードを検索し、最初の2つのランダムシーケンスを含むパケットペイロードのなかから当該の識別コードを見つけたとき、事前に定義されたパケットフォーマットに従って、当該のデータパケットに含まれる他の情報要素の検出を試みる。
【0019】
他の有利な特徴が、以下に示されており、添付の特許請求の範囲の対象である。本発明の特徴は、本明細書に添付の特許請求の範囲に具体的に述べられており、こうした特徴は、添付の図面に示される好ましい非排他的な実施形態の以下の説明からより明らかになるであろう。
【図面の簡単な説明】
【0020】
図1】本発明に係る装置を備える遠隔制御システムを示す。
図2】(a)~(d)は、本発明に係る、ユーザ装置と基地装置との間で交換されるデータパケットのペイロードの例示的フォーマットを示す。
図3図1のユーザ装置によって実行される手順のフローチャートを示す。
図4図1の基地装置によって実行される手順のフローチャートを示す。
【発明を実施するための形態】
【0021】
本明細書では、「一実施形態」へのいかなる言及も、本発明の実施に関して記載された特定の構成、構造または特徴が少なくとも1つの実施形態に含まれることを示す。したがって、本明細書の異なる部分に存在し得る、「一実施形態では」というフレーズおよび他の類似のフレーズは、必ずしもすべてが同じ実施形態に関連するわけではない。さらに、任意の特定の構成、構造または特徴は、適切と判断される任意の方法で1つまたは複数の実施形態に組み合わされ得る。したがって、以下の参照は、単純化のためにのみ使用され、保護範囲、またはさまざまな実施形態の拡張を制限するものではない。
【0022】
図1に示す例に描かれるように、本発明は、2つの装置、すなわちユーザ装置103と基地装置104とを含むシステム100に基づいている。両装置は対になっており、互いに秘密のセキュリティパラメータを共有し、前記秘密のセキュリティパラメータは少なくともユーザ装置のアイデンティティ、暗号化アルゴリズム、暗号化キー、タイムスタンプアルゴリズム、およびダイジェストアルゴリズムを含み得る。
【0023】
無線トランシーバ117および118(「通信手段」とも称される)によってそれぞれ、ユーザ装置103および基地装置104は、双方向通信システム、好ましくは無線通信システムを介してチャレンジレスポンス認証メカニズムに従ってデータパケットを交換することができる。このシステムは、Wi-Fi、Bluetooth(登録商標)、近距離無線通信(Near-field communication:NFC)、アドホック無線システムなどの無線システム、または他の種類の無線システムであり得るが、赤外線システム、または超音波を使用するシステム、または双方向通信を提供するのに適した他のタイプの伝送技術を使用するシステムでもあり得る。
【0024】
モバイルインターフェース105および106によってそれぞれ、ユーザ装置103および基地装置104は、セキュリティ問題の管理のためにモバイル通信ネットワーク102を介してセキュリティ管理サーバ101と通信することができる。セキュリティ管理サーバは、ユーザ装置103および基地装置104から動作データを受信し、セキュリティリスクを評価し、セキュリティアルゴリズムおよびパラメータを配布し、適切であると判断した場合(例えば、事前に定義された期間の後、セキュリティ問題が発生した場合など)は、それらを無効にしまたは置き換える。セキュリティ管理サーバは、認証機関によるサービスとして提供されることができるか、またはプライベートサーバとして具現化されることができる。
【0025】
典型的には、ユーザ装置103は、そのメモリにロードされたアドホックアプリケーション、すなわち本発明に係る方法のフェーズを実行する命令セット、を有する、スマートフォン、タブレット、スマートウォッチ、または、別の種類の電子デバイスである。代替的に、ユーザ装置103は、キーフォブまたは他の形態の(埋め込み)デバイスなどの自立型デバイスとして具現化される。
【0026】
基地装置104は、一般的に、それが制御しなければならないアクチュエータの種類に従ってアドホックデバイス内で具現化されるが、それは、いくつかのさまざまなアクチュエータの種類を制御するのに適した汎用コントローラデバイスとして具体化されることもできる。
【0027】
本システムの好ましい実施形態では、ユーザ装置103および基地装置104の両方がそれぞれ以下の部分、すなわち、
- 管理サーバ101と通信するためのモバイルインターフェース105、106と、
- 装置の他の要素のためのタイミング信号を生成し、およびタイムスタンプを生成するためのクロック107、108と、
- データパケットを構築し、デジタルストリームを暗号化および復号化し、デジタルシーケンス内でコードワードを検索し、ならびに本発明に従って実行される手順を管理するための処理手段109、110、すなわち各処理手段109、110はそれぞれ、チャレンジレスポンス認証メカニズムに従って他の装置を認証するように構成される、処理装置と、
- 一般的なデータ、ならびに好ましくはセキュア領域113、114内に秘密のデータおよびアルゴリズム、を保存するためのメモリ手段111、112と、
- ユーザからの入力を受信し、情報(例えば、ユーザのための音声、視覚、またはテキストメッセージ)、および基地装置の場合には、アクチュエータのための制御信号を出力するための入力/出力手段115および116と、
- 信号を発信および受信し、データパケットを搬送するための、好ましくは適切なアンテナを有する無線トランシーバである、通信手段117および118と、を含む。
【0028】
より詳細には、基地装置104のメモリ手段112は、少なくとも暗号化キーと、どのユーザ装置が前記少なくとも1つのアクチュエータを作動させることを許可されているかを定義する認証情報とを含み、一方で、ユーザ装置103のメモリ手段111はさらなる暗号化キーを含む。対称暗号化/復号化アルゴリズムが使用される場合、さらなる暗号化キーは、基地装置104のメモリ手段112に収容されるキーと同じものとすることができ、そうでない場合には、非対称暗号化/復号化アルゴリズムが使用される場合、さらなる暗号化キーは、基地装置104によって使用されるキーとは異なるものとすることができる。
【0029】
自身のそれぞれのトランシーバ117、118によって、ユーザ装置103および基地装置104は、好ましくは4つの種類のデータパケットを発信または受信し、これについて図2を参照しながら説明する。簡潔にするために、パケットヘッダおよびパケットトレーラは、本発明の範囲外であり、当業者が知っている通常の種類とすることができるので、以下では考慮しない。したがって、記載されたパケットおよびそれらのフォーマットへのいかなる参照も、たとえ明示的に記述されていなくても、パックされたペイロードのみに関するものでなければならない。
【0030】
要求データパケット200aのペイロードは、好ましくは、基地装置によって識別されなければならないユーザ装置のアイデンティティ200a2、符号化されたタイムスタンプ_a 200a5、および好ましくはパケットの先頭(ランダムヘッダ200a1)と終わり(ランダムエンド200a6)とに配置される2つのランダムシーケンスの第1セットを含む。それらはランダムな内容およびランダムな長さを有し、当業者によく知られている技術に従って処理手段109によって生成される。本発明の好ましい実施形態では、ランダムヘッダ200a1の長さ(「LHa」とも称される)は、0から最大LaMaxまでの範囲のランダムな数であり、ランダムエンド200a6の長さは、第1の2つのランダムシーケンスの合計の長さが固定値LaMaxになるように、LEa=LaMax-LHaである。要求データパケット200aの他の要素が固定長である場合、要求データパケット200aの合計の長さは固定になる。以下の説明から、データパケットのランダムヘッダおよびランダムエンドの両方が、それぞれ自身の最小と最大との間にそれぞれが制限された独立したランダムな長さを有することができることは明らかであるが、ペイロード内の識別子の位置のランダムさを2つのランダムシーケンスの相補的なランダムさによって保存することができつつ、固定長のデータパケットを使用することで受信がより単純になることを、当業者は理解できる。同様に、第2パケット200bの2つのランダムシーケンスの合計の長さは固定値LbMaxに設定され得、第3のパケット200bの2つのランダムシーケンスの合計の長さは固定値LcMaxに設定され得、第3パケット200dの2つのランダムシーケンスの合計の長さは固定値LdMaxに設定され得る。4つの値LaMax、LbMax、LcMax、およびLdMaxのうちのいくつか、またはそれらすべては同じであり得る。
【0031】
当業者は、本発明の教示から逸脱することなく、パケットの他の位置に(すなわち、要求データパケット200aの必ずしも先頭と最後である必要はない)、前記2つのランダムシーケンスを配置し得ることが証明される。
【0032】
図2は、ユーザ要求を達成するための手順の先頭でユーザ装置103が発信する「要求データパケット」200aの一例示的フォーマットを示している。当該のパケットは、後によりよく説明されるように、必要とされる情報を基地装置に伝達し、その認証のために基地装置にチャレンジするための役割を果たす。
【0033】
ランダムヘッダ200a1およびランダムエンド200a6のランダムさの内容に起因して、要求データパケットにおいて、103がユーザ装置のアイデンティティ200a2に対応する2つ以上のストリングを見つけることができるということが起こりかねず、したがって、ランダムシーケンスに何らかの制約を課さなければならない。本発明の好ましい実施形態では、基地装置が、要求データパケット200aの先頭から始めて識別要素(ユーザ装置のアイデンティティ200a2、または他の場合には、後に説明するように、期待されるダイジェスト)を検索することになることを考慮すると、基地装置104が検索することになる、ユーザ装置のアイデンティティデータ200a2に対応するストリングを含むもの、または含まれる前記識別子までの後続のストリングと組み合わせてそれを生成するもの、を除外しなければならない。他の検索戦略が適用された場合、当業者は、本発明の教示から逸脱することなく、識別子の誤検出を回避する方法を見つけることができるだろう。一般的なルールとして、前記ランダムシーケンスは、それらが存在するデータパケット内で、受信側によって識別子の検索のために使用される方法を考慮に入れて、受信側が誤って検出することができる、送信側の識別子の少なくとも1つの偽のレプリカを生成するものを除外して生成されるべきである。
【0034】
当業者は、基本的な発明思想から逸脱することなく、3つ以上のシーケンスを含むランダムシーケンスのセットを利用することが可能であり、したがって以下では、たとえ明示的に述べられていなくても、任意の「2つのランダムシーケンスのセット」は、上記の特性を有する「少なくとも2つのランダムシーケンスのセット」と見なされなければならないことも理解する。
【0035】
ユーザ装置が異なる種類のユーザ要求(例えば、「ドアのロック」、「ドアのロック解除」、「トランクの開放」、「アラーム解除」など)を管理するように構成される場合、本発明の好ましい実施形態では、要求データパケット200aは、要求された動作を識別するコード200a3を含む。図2では、本発明によればアイデンティティ要素200a2もユーザ要求を含み得ることを示すために、ユーザ装置アイデンティティ200a2とユーザ要求コード200a3との間の境界は破線になっている。その場合、ユーザ装置103は、自身が管理できる各タイプのユーザ要求についてのアイデンティティコード200a2を有することになる。これにより、よりいっそうの複雑さという犠牲によって、システムセキュリティを向上させることになる。実際、基地装置104は、受信したデータパケット内で、ユーザ装置が管理するすべてのアイデンティティコードを(ユーザ装置103を識別するコード200a2だけを検索する代わりに)検索しなければならず、次いで、それに続くユーザ要求コード200a3を検出する。
【0036】
図2は、基地装置104が、要求データパケット200aを検出したときに発信する「応答データパケット」200bの一例示的なペイロードも示している。
【0037】
要求データパケット200aと同様に、それは2つのランダムシーケンスの第2セット、すなわち、それら自身のランダムな内容およびランダムな長さを有するランダムヘッダ200b1およびランダムエンド200b6を含む。それらについては、ランダムヘッダ200a1およびランダムエンド200a6に関してそれぞれ既に述べたことが適用される。応答データパケット200bは、ユーザ装置アイデンティティ200a2に代わるフィールド「ダイジェスト_a」200b2の存在についてのみ、要求データパケット200aと異なる。
【0038】
「ダイジェスト_a」200b2は、ユーザ装置103によって使用される前記秘密の認証アルゴリズムを使用して基地装置104が計算し、ユーザ装置103が基地装置104を認証するために受信し戻すことを期待する、受信されたデータパケットのダイジェストである。「ダイジェスト_a」200b2は、基地装置104によって発信された応答データパケットを識別する役割も果たし、基地装置104の秘密のアイデンティティを送信することを回避し、その結果、システム100に対する攻撃を実行する可能性を減少させる。さらに、応答データパケット200bは、符号化されたタイムスタンプ_aと同様の、符号化されたタイムスタンプ_b 200b5を含む。
【0039】
第2の2つのランダムシーケンスおよびダイジェスト_a 200b2は、応答データパケット200bの要素である。さらに、本発明のいくつかの実施形態では、前記応答データパケット200bは、符号化されたタイムスタンプ_b 200b5および/またはパケットインデックス200b3および/または後続のデータパケットのために使用されるセキュリティセットを識別するための情報フィールド200b4も含み得る。これらの要素は、本明細書の以下においてよりよく説明される。
【0040】
図2は、ユーザ装置103が、応答データパケット200bを検出したときに発信する「確認データパケット」200cの一例示的なペイロードも示している。
【0041】
確認データパケット200cは、ユーザ要求200a3を確認し、基地装置104がユーザ装置103を認証することを可能にするために、ユーザ装置103によって送信される。
【0042】
確認データパケット200cは、以下の要素、すなわち、ランダムな内容およびランダムな長さを有する2つのランダムシーケンスの第3セット、「ダイジェスト_b」、および(任意選択で)符号化されたタイムスタンプ_cを含む。ユーザ装置103は、基地装置104によって、それの発信された応答データパケット200bのダイジェストを計算するために使用されたものと同じ秘密のダイジェストアルゴリズムを使用して、受信した応答データパケット200b上のダイジェスト_bを計算する。ダイジェスト_bは、ユーザ装置103を認証するために基地装置104によって期待され、ユーザ装置103を識別する役割も果たし、したがって秘密のユーザ装置アイデンティティ200a2を2回送信する必要性を回避する。これにより、システム100に対する攻撃を実行する可能性を減少させる。
【0043】
図2は、本発明のいくつかの実施形態において、基地装置104が、確認データパケット200cを検出したときに任意選択的に発信する「確認応答データパケット」200dの一例示的なペイロードも示している。このデータパケットは、ユーザによって要求された動作の完了を確認応答するためのものである。ダイジェスト_cは、基地装置104の識別子としての役割も果たす。
【0044】
図2に示されるデータパケットフォーマットは、ユーザ装置103および基地装置104が相互認証を実行することを可能にすることが証明される。さらに、無線で発信されたデータパケットはいずれも基地装置104のアイデンティティを一切含まず、一方で、要求データパケット200aのみがユーザ装置103のアイデンティティを含む(暗号化されたフォーマットで)。
【0045】
図2および図3を参照しながら、動作状態における本発明に係るシステム100について説明する。
【0046】
以下、図3のフローチャートに示すユーザ装置103によって実行される手順、および図4のフローチャートに示す基地装置104によって実行される手順について説明する。これら2つの手順は交錯し、結果として生じるプロセスはそれらの間を行き来する。
【0047】
簡潔にするために、たとえ明示的に述べられていなくても、すべてのデータパケットは、上で規定された基準およびルールに従って生成された少なくとも2つのランダムシーケンスのセットを含むものと仮定されなければならない。
【0048】
2つの手順のスタート301(図3)および401(図4)の後、それらの組合せから生じるプロセスは以下に列挙される主なフェーズを含む。
【0049】
302 自身のユーザから入力を受信するためのユーザ装置103(図3)のレディ状態。
【0050】
402 信号を受信するための基地装置104(図4)のレディ状態。
【0051】
303 ユーザ入力(図3):ユーザは、典型的にはボタンを押すかタップすることによって、もしくは音声コマンドによって、または他の入力技術によって、動作を要求する。
【0052】
304 第1のパケット生成:ユーザ装置103は、処理手段_U 109によって、以下のステップ、すなわち、
- 上で規定されたルールおよび基準に従って2つのランダムシーケンスの第1セットを生成することと、
- メモリ手段111からユーザアイデンティティ200a2を得ることと、
- 符号化されたタイムスタンプ_a 200a5を得るために、(任意で)クロック_U 107によって示された現在の時刻を得ること、およびそれをタイムスタンプアルゴリズムで符号化することと、
- 必要に応じて、ユーザ要求200a3のコードを得ることと、
- 必要に応じて、パケットインデックス200a4を生成することと、
- 上述のおよび他の可能な要素を含むデータパケット200aをパッキングすることと、によって、基地装置104に対するチャレンジとしての役割も果たす要求データパケット200a(図2)を生成する。
【0053】
次いで、処理手段_U 109およびダイジェストアルゴリズムによって、ユーザ装置103は、当該のパケットの期待されるダイジェスト(ダイジェスト_a)を計算し、それをメモリ手段_U 111に保存する。本発明の好ましい実施形態では、期待されるダイジェスト_aはパケットのペイロード全体に対して計算され、他の実施形態では、計算はパケットの選択された部分に対して、例えば、データパケット(図中、200a)の「ランダムヘッダ」と「ランダムエンド」とを結合することによって得られるシーケンスなどに対して実行され得る。
【0054】
305 「要求データパケット」の発信:ユーザ装置103は、要求データパケット200aを暗号化して自身の無線トランシーバ117(図1)を介してそれを発信し、暗号化は、メモリ手段_U 111に保存されている前記秘密のアルゴリズムおよび前記秘密のキーを使用して、処理手段_U 109によって実行される。
【0055】
306 タイムアウト_aを設定する:ユーザ装置103は、タイムアウト_aが満了したときに応答を待つのをやめるためにタイムアウト_aを設定し、応答が受信される前にタイムアウト_aが満了した場合、プロセスはフェーズ317に進む。
【0056】
403 基地装置による信号の受信(図4):基地装置104は、データパケットを搬送する信号を自身のトランシーバ_C 118によって受信し、受信した信号を、メモリ手段112に保存されている前記暗号化アルゴリズムおよび暗号化キーに従って処理手段_C 110によって復号化する。
【0057】
404 ユーザ装置アイデンティティおよびタイムスタンプ_aの検出:基地装置104は、おそらくは受信したデータパケットが含んでいるユーザ装置アイデンティティ200a2を検索し、探索および検出が成功しなかった場合、プロセスはフェーズ403に戻り、基地装置104は自身のアンテナによってピックアップされる信号を受信し続ける。そうでない場合には、基地装置104は任意選択的に、パケットの他の情報要素を抽出しようと試み、復号化されたデータパケットと共に受信した符号化されたタイムスタンプ_aを処理手段_C 110によって、およびメモリ手段_C 112に保存されているタイムスタンプアルゴリズムに従って、復号化する。次いで、基地装置104は、クロック_C 108によって示された現在の時刻を得、この現在の時刻と受信したタイムスタンプとが整合性があるかどうかをチェックする。整合性の基準の一例は、次の式を満たし、すなわち、
【数1】
であり、DaMinおよびDaMaxはそれぞれ、受信信号に許容される最小遅延および最大遅延である。
【0058】
基地装置104は、自身のクロック108および処理手段_C 110によって、データパケット(200a)の到着時刻と受信したタイムスタンプ_aとの間の差を評価し、前記差が数値間隔の範囲外であるかどうかをチェックする。
【0059】
DaMinは、ユーザ装置のクロック_U 107と基地装置のクロック_C 108との間のずれが起こり得ることを説明するために負の値をとることができる。
【0060】
405 タイムスタンプ_aの整合性についての判断:フェーズ404で計算された差が前記数値間隔の範囲外である場合、プロセスはレディ状態402に戻り、そうでない場合には、受信したパケットをユーザ装置103が発信したと仮定され、プロセスはフェーズ406に進む。
【0061】
406 「応答データパケット」の発信:処理手段110によって、基地装置104は、期待されるダイジェスト_aを計算(フェーズ304を参照)するためにユーザ装置103が使用したものと同じルールおよびアルゴリズムを使用して、受信したデータパケットの応答ダイジェスト_aを計算し、フェーズ304に記載したものと同様の方法で、基地装置104は、基地装置104の識別子としても使用される前記応答ダイジェスト_a 200b2、および上で規定されたルールおよび基準に従って生成された2つのランダムシーケンスの第2セットを含む、ユーザ装置103に対するチャレンジとしての役割も果たす応答データパケット200bを生成する。任意選択的に、応答データパケット200bは、好ましくはタイムスタンプアルゴリズムによって、クロック_C 108によって示された現在の時刻を符号化することによって得られるタイムスタンプ_bも含み得る。
【0062】
次いで、基地装置104は、応答データパケット200bを暗号化して発信し、それの期待されるダイジェスト_bを計算し、メモリ手段_C 112に保存する。
【0063】
407 タイムアウト_bを設定する:基地装置104は、タイムアウト_bが満了したときに確認応答を待つのをやめるためにタイムアウト_bを設定し得、確認データパケット200_cが受信される前にタイムアウト_bが満了した場合、プロセスはフェーズ415に進む。
【0064】
307 ユーザ装置による応答データパケットの受信(図3):ユーザ装置103は、データパケット200bを搬送する信号を自身のトランシーバ117によって受信し、受信した信号を、セキュア領域_C 113に保存されている前記暗号化アルゴリズムおよび暗号化キーに従って処理手段109によって復号化する。
【0065】
308 ダイジェスト_aおよびタイムスタンプ_bの検出:ユーザ装置103は、おそらくは受信したデータパケットが含んでいるダイジェスト_aを検索し、探索が成功しなかった場合、プロセスはフェーズ307に戻り、ユーザ装置103は信号を受信し続ける。そうでない場合には、ユーザ装置103はパケットの他の情報要素を抽出しようと試み、復号化されたデータパケットと共に受信した符号化されたタイムスタンプ_bを処理手段_U 109によって、セキュア領域_C 113に保存されている前記タイムスタンプアルゴリズムに従って復号化する。次いで、フェーズ404と同様に、ユーザ装置103は、自身のクロック107および処理手段_U 109によって、データパケット200bの到着時刻と受信したタイムスタンプ_bとの間の差を評価し、前記差が数値間隔の範囲外であるかどうかをチェックする。
【0066】
システムの装置は異なった処理能力を有し得、反対側の伝送リンクは異なった特性を有し得、異なるデータパケットで異なる許容差が許される可能性があるので、この数値間隔はデータパケット毎に異なり得る。
【0067】
309 タイムスタンプ_bの整合性についての判断:フェーズ308で計算された差が前記数値間隔の範囲外である場合、プロセスはフェーズ307に戻り、そうでない場合には、受信したデータパケットは基地装置104によって発信されていると仮定され、したがって基地装置104を認証し、プロセスはフェーズ310に進む。
【0068】
310 タイムアウト_aをリセットする:基地装置(104)が認証されたとき、ユーザ装置103はタイムアウト_aをリセットする。
【0069】
311 確認データパケットの発信:フェーズ304および406に記載したものと同様の方法で、ユーザ装置103は、基地装置104が期待する、受信したデータパケットの応答ダイジェスト_bを計算し、ユーザアイデンティティ200a2の代わりにユーザ装置103の識別子としても使用される前記応答ダイジェスト_b、自身のクロック_U 107によって示された現在の時刻を符号化することによって得られるタイムスタンプ_c、および上で規定されたルールおよび基準に従った2つのランダムシーケンスの第3セットを含む、確認データパケット200cを生成する。次いで、ユーザ装置103は、要求データパケット200aと共に送信されたユーザ要求が満たされなければならないことを確認するために、確認データパケットを暗号化して発信する。最後に、確認データパケットの期待されるダイジェスト_cを計算し、それをメモリ手段_U 111に保存する。
【0070】
312 タイムアウト_c:ユーザ装置103は、タイムアウト_cが満了したときに確認応答を待つのをやめるためにタイムアウト_cを設定し、確認応答データパケット200_cが受信される前にタイムアウト_cが満了した場合、プロセスはフェーズ317に進む。
【0071】
408 確認データパケットの受信(図4):フェーズ403に記載したものと同様の方法で、基地装置104は、好ましくは、自身のトランシーバ118および処理手段110によって信号をそれぞれ受信および復号化する。
【0072】
409 ダイジェスト_bおよびタイムスタンプ_cの検出:フェーズ404に記載したものと同様の方法で、基地装置104は、おそらくは受信したデータパケットが含んでいるダイジェスト_bを検索する。検索が成功しなかった場合、プロセスはフェーズ408に戻り、そうでない場合には、基地装置104はパケットの他の情報要素を抽出しようと試み、復号化されたデータパケットと共に受信した符号化されたタイムスタンプ_cを復号化する。次いで、基地装置104は、自身のクロック108および処理手段_C 110によって、データパケット200cの到着時刻と受信したタイムスタンプ_cとの間の差を評価し、前記差が数値間隔の範囲外であるかどうかをチェックする。
【0073】
410 タイムスタンプ_cの整合性についての判断:409で計算された差が前記数値間隔の範囲外である場合、プロセスはフェーズ408に戻り、そうでない場合には、受信したデータパケットはユーザ装置103によって発信されていると仮定され、したがってユーザ装置103を認証し、プロセスはフェーズ411に進む。
【0074】
411 タイムアウト_bのリセット:このフェーズでは、ユーザ装置103は認証されたと見なされるので、基地装置104はタイムアウト_bをリセットし、プロセスはフェーズ412へ続く。
【0075】
412 アクチュエータへの出力:基地装置104は、I/O手段_C 116によって、ユーザ要求を満たすために適切な信号を関連するアクチュエータに送信する。
【0076】
413 アクチュエータフィードバック:基地装置104は、好ましくは、ユーザ要求の完了について、関連するアクチュエータからフィードバックを受信する。
【0077】
414 確認応答データパケットの発信:フェーズ406に記載したものと同様の方法で、基地装置104は受信したデータパケットの応答ダイジェスト_cを計算し、基地装置104の識別子としても使用される応答ダイジェスト_c、および上で規定されたルールおよび基準に従った2つのランダムシーケンスの第4セットを含む確認応答データパケット200dを生成する。任意選択的に、確認応答データパケット200dは、基地装置のクロック_C 108によって示された現在の時刻を符号化することによって得られるタイムスタンプ_dも含み得る。次いで、基地装置104は、ユーザ要求の完了についての肯定的または否定的な確認応答を提供するために確認応答データパケットを暗号化して発信する。
【0078】
確認応答データパケット200dの発信は任意選択的である。ただし、特定の区域(例えば、ガレージ、家、事務所など)のセキュリティを確保するために適切に完了されなければならないコマンド(例えば、「ドアを閉める」)の実行に関するフィードバックをユーザが受け取ることは有用であり得る。
【0079】
415 プロセスデータの保存:基地装置104は、攻撃の試みの分析および識別を可能にし、リスクを評価するために、実行されたプロセスに関連するデータを保存する。
【0080】
416 プロセスについての情報:基地装置104は自身の入力/出力手段116(図1)を介してプロセスについての情報を出力する。
【0081】
417 基地装置104のレディ状態。
【0082】
313 ユーザ装置による、確認応答データパケットの受信(図3):フェーズ307に記載したものと同様の方法で、ユーザ装置103は、自身の無線トランシーバ117および処理手段109によって無線信号を受信して復号化する。
【0083】
314 ダイジェスト_cおよびタイムスタンプ_dの検出:フェーズ308に記載したものと同様の方法で、ユーザ装置103は、おそらくは受信したデータパケットが含んでいるダイジェスト_cを検索する。検索が成功しなかった場合、プロセスはフェーズ313に戻り、そうでない場合には、ユーザ装置103はパケットの他の情報要素を抽出しようと試み、復号化されたデータパケットと共に受信した符号化されたタイムスタンプ_dを復号化する。次いで、ユーザ装置103は、任意選択的に、自身のクロック_U 107および処理手段_C 109によって、データパケット200dの到着時刻と受信したタイムスタンプ_dとの間の差を評価し、前記差が数値間隔の範囲外であるかどうかをチェックする。
【0084】
315 タイムスタンプ_dの整合性についての判断:フェーズ314で計算された差が前記数値間隔の範囲外である場合、プロセスはフェーズ313に戻り、そうでない場合には、受信したデータパケットは基地装置104によって発信されていると仮定され、プロセスはフェーズ316に進む。
【0085】
316 タイムアウト_cのリセット:受信したデータパケットが基地装置104によって発信されていると判断した後、ユーザ装置103はタイムアウト_cをリセットする。
【0086】
317 プロセスデータの保存:ユーザ装置103は、攻撃の試みの分析および識別ならびにリスクの評価を可能するために、プロセスに関連するデータを保存する。
【0087】
318 プロセスについての情報:ユーザ装置103は、自身の入力/出力手段115(図1)を介して、プロセスについての情報(例えば、ロギング情報、通知メッセージなど)を出力する。
【0088】
319 ユーザ装置103のレディ状態。
【0089】
このようにして、システム100のセキュリティレベルがさらに向上する結果となる。
【0090】
既に前述したように、装置103、104のそれぞれは、本発明に係る認証方法を実行するように構成される。この方法は以下のフェーズ、すなわち、
- パケット生成フェーズであって、前記データパケット200a~200dのうちの少なくとも1つが、処理手段109、110によって生成され、認証データ(すなわち識別データ200a2および/またはダイジェスト200b2、200c2、200d2)と、ランダムな内容およびランダムな長さを有する少なくとも2つのランダムシーケンスのセットと、を含み、ここで前記ランダムシーケンスは、前記少なくとも1つのデータパケット200a~200d内に、前記装置103、104のうちの少なくとも1つが誤って検出することができる前記認証データの少なくとも1つの偽のレプリカを生成するものを除外して生成されたものである、フェーズと、
- 暗号化フェーズであって、前記少なくとも1つのデータパケット200a~200dは、暗号化されたデータパケットを得るために、暗号化キーによって暗号化される、フェーズと、
- 発信フェーズであって、前記暗号化されたデータパケットは通信手段117、118を介して前記装置103、104間で交換される、フェーズと、を含む。
【0091】
任意選択的なタイムスタンプおよびタイムアウトと組み合わせて、ランダムな長さのランダムシーケンスによって装置識別子の位置をランダム化することで、たとえそれらが「ブルートフォース」または「キャプチャされた信号の再利用」または「中間者」タイプの場合でも、ハッキング/クラッキング攻撃に対するセキュリティを大幅に向上させる。
【0092】
加えて、本発明の好ましい実施形態では、ユーザ装置103および基地装置104は、それぞれモバイルインターフェース105、106によって、モバイル通信ネットワーク102を介して、システム100に含まれるセキュリティ管理サーバ101(図1)と通信することができる。それらは、実行されたプロセスに関する情報およびデータを、それらが定位手段を備えている場合には好ましくは定位データを含んで、セキュリティサーバ101に送信し、また、サーバからセキュリティパラメータの更新を受信し、より詳細には、セキュリティ管理サーバ101は、少なくともどのユーザ装置が特定のアクチュエータを作動させることができるかを定義するセキュリティポリシを適用するように構成される。
【0093】
セキュリティ管理サーバ101は、受信したデータを使用してハッキングリスクを評価し、それらに対処するための適切な措置を講ずる。これにより本発明のシステムのセキュリティが大幅に向上する。
【0094】
特に、ユーザ装置103の処理手段109は、セキュリティ管理サーバ101に、以下の情報、すなわち、
- ユーザがどのアクチュエータを制御したいかを指定する制御要求、および前記ユーザ装置103の現在のアイデンティティデータと、
- ユーザによって要求された動作の結果についての情報と、
- 基地装置104から受信した情報と、
- セキュリティ上の脅威の検出に関連する可能性がある、受信した異常なデータパケットについての情報(例えば、失敗した認証の試みのリストなど)と、のうちの1つまたは複数を伝送するようにも構成され得る。
【0095】
一方、ユーザ装置103の処理手段109は、前記アクチュエータを制御するために、基地装置104とセキュアな方法で通信するための暗号化キーを、前記通信インターフェース105を介して受信するようにも構成され得る。
【0096】
同様に、基地装置104の処理手段110は、アクチュエータの(セキュアな)制御を可能にするために、前記ユーザ装置103を識別するアイデンティティデータおよび前記ユーザ装置103とセキュアな方法で通信するための少なくとも1つの暗号化キーを、前記通信インターフェース106を介してセキュリティ管理サーバ101から受信するようにも構成され得る。
【0097】
一方、基地装置104の処理手段110は、アクチュエータによって実行された動作についての情報、およびセキュリティ上の脅威を検出するために関連する可能性がある、受信した異常なデータパケット200a、200cについての情報を、前記モバイルインターフェース106を介してセキュリティ管理サーバ101に伝送するように構成することもできる。
【0098】
一方、セキュリティ管理サーバ101は、以下の動作、すなわち、
- ユーザ装置103から前記制御要求を受信することと、
- アイデンティティデータおよびセキュリティポリシに基づいて、前記ユーザ装置103が前記アクチュエータを作動させることができるかどうかを判断することと、
- 前記ユーザ装置103が前記アクチュエータを作動させることを許可されている場合に、前記暗号化キーと前記ユーザ装置103を識別する前記アイデンティティデータとを前記ユーザ装置103および基地装置104の両方に伝送することと、を実行するように構成され得る。
【0099】
代替的に、または上述の特徴と組み合わせて、セキュリティ管理サーバ101は、以下の動作、すなわち、
- セキュリティに関連するデータを基地装置104から受信することと、
- どのユーザ装置が前記少なくとも1つのアクチュエータを作動させることを許可されているか定義する認証情報を前記基地装置104に送ることと、を実行するようにも構成してもよく、ここで前記基地装置104は、第1データパケット200a内で受信された識別データが前記認証情報に含まれている場合に、前記入力/出力手段(116)によって前記少なくとも1つのアクチュエータを作動させるように構成される。
【0100】
このようにして、システム100のセキュリティレベルがさらに向上する結果となる。
【0101】
好ましい実施形態の変形形態では、データパケットは、当業者が知っているように、装置が、現在の制御セッションおよび制御セッションのシーケンスに関して、受信したデータパケットの整合性をチェックすることを可能にするためのパケットインデックスを含む。
【0102】
本発明の別の実施形態では、セキュリティ要素(アルゴリズム、キー、パラメータ)は、新しいセッション毎に、またはセッション内でさえも変化し得る。こうした変化の一例がパケットフォーマット200b(図2)において想定されており、情報要素200b4は、次のデータパケットからまたは次の制御セッションから使用されるべきセキュリティセットの識別を搬送する。
【0103】
本発明に係る方法は、携帯デバイス(一般に移動中に持ち運ぶことができる)にインストールすることができるソフトウェアアプリケーションとして実施することができ、その結果、ユーザは自身のポケットまたは財布に入れて運ぶデバイスの数を有利に減らすことができる。
【0104】
本明細書では、可能な変形形態のいくつかに取り組んできたが、他の実施形態も実施し得、いくつかの要素を他の技術的に等価な要素と置き換え得ることが当業者には明らかであろう。したがって、本発明は、本明細書に記載された説明的な例に限定されず、以下の特許請求の範囲に示されるような、基本的な発明の概念から逸脱することなく、同等の部品および要素の多くの修正、改良または置き換えの対象となり得る。
図1
図2
図3
図4
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.