(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-08-02
(45)【発行日】2023-08-10
(54)【発明の名称】認証された装置から装置への通信のための動的ドメイン鍵交換
(51)【国際特許分類】
H04L 9/32 20060101AFI20230803BHJP
H04L 9/08 20060101ALI20230803BHJP
G09C 1/00 20060101ALI20230803BHJP
H04W 4/46 20180101ALI20230803BHJP
H04W 4/44 20180101ALI20230803BHJP
H04W 12/04 20210101ALI20230803BHJP
【FI】
H04L9/32 200B
H04L9/08 B
G09C1/00 640E
H04W4/46
H04W4/44
H04W12/04
【請求項の数】
7
(21)【出願番号】P 2020551351
(86)(22)【出願日】2019-03-19
(65)【公表番号】
(43)【公表日】2021-08-10
(86)【国際出願番号】 US2019022874
(87)【国際公開番号】W WO2019183032
(87)【国際公開日】2019-09-26
【審査請求日】2022-03-11
(31)【優先権主張番号】62/645,263
(32)【優先日】2018-03-20
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/138,030
(32)【優先日】2018-09-21
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/277,177
(32)【優先日】2019-02-15
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】520193183
【氏名又は名称】モカナ コーポレイション
【氏名又は名称原語表記】MOCANA CORPORATION
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】230118913
【弁護士】
【氏名又は名称】杉村 光嗣
(74)【代理人】
【識別番号】100220663
【弁理士】
【氏名又は名称】佐々田 洋一
(72)【発明者】
【氏名】スリニヴァス クマール
(72)【発明者】
【氏名】アトゥル グプタ
(72)【発明者】
【氏名】プラモッド マリビラダル
(72)【発明者】
【氏名】シュレヤ ウチル
【審査官】金沢 史明
(56)【参考文献】
【文献】特表2020-532215(JP,A)
【文献】米国特許出願公開第2018/0006829(US,A1)
【文献】特開2011-233943(JP,A)
【文献】米国特許出願公開第2015/0052352(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
H04L 9/08
G09C 1/00
H04W 4/46
H04W 4/44
H04W 12/04
(57)【特許請求の範囲】
【請求項1】
i)第1の車両および第2の車両におけるドメイン鍵エージェント、無線サプリカント、およびドメイン鍵ストア、ii)ドメイン鍵ブローカーにおけるドメイン鍵サービスお
よび無線オーセンティケータ、iii)リモートドメイン鍵配布センターにおけるドメイ
ン鍵ファクトリーサービス、およびiv)リモート登録サーバーにおける登録サービス、
を使用する、自律ドメインにおける車両間の安全なメッセージ交換のための方法であって
、
前記方法は:
前記第1の車両および第2の車両のそれぞれの前記無線サプリカントにより、前記自律ドメインのサービスセット識別子(SSID)およびチャネルによって、前記自律ドメインの無線ネットワークを走査するステップと;
前記第1の車両および第2の車両のそれぞれの前記ドメイン鍵エージェントにより、前記SSIDごとに、前記ドメイン鍵ストアから、グループ公開鍵、メンバー秘密鍵、およびメンバー証明書を取得するステップと;
前記第1の車両および第2の車両のそれぞれの前記ドメイン鍵エージェントによっ
て、前記ドメイン鍵ブローカーにおける前記無線オーセンティケータを発見するステップ
と;
前記ドメイン鍵ブローカーにおける前記無線オーセンティケータを用いて、前記第1の車両および第2の車両のそれぞれの前記ドメイン鍵エージェントにより、前記第1の車両および前記第2の車両のそれぞれを認証するステップと;
前記ドメイン鍵サービスにより、車両証明書を検証するために前記ドメイン鍵ブローカーにおける前記無線オーセンティケータからの認証要求を認証ポートで聞くステップと;
前記第1の車両および第2の車両のそれぞれの前記ドメイン鍵エージェントにより、前記自律ドメインのドメイン鍵サービスアドレスおよびサービスポートを、前記ドメイン鍵ブローカーにおける前記無線オーセンティケータに問い合わせるステップと;
前記ドメイン鍵サービスにより、前記第1の車両および第2の車両のそれぞれの前記ドメイン鍵エージェントからの、前記グループ公開鍵、前記メンバー秘密鍵、および前記メンバー証明書の登録要求を前記サービスポートで聞くステップと;
前記ドメイン鍵サービスにより、受信された前記登録要求を処理し、前記第1の
車両および第2の車両のそれぞれの車両固有識別子に関連付けられたドメイングループ鍵
およびドメインメンバー秘密鍵を生成するために、グループ公開鍵およびメンバー秘密鍵
の要求を前記ドメイン鍵ファクトリーサービスに送信するステップと;
前記ドメイン鍵サービスにより、前記受信された登録要求を処理し、前記第1の
車両および第2の車両のそれぞれの前記車両固有識別子に関連付けられたメンバー証明書
の登録要求を前記登録サービスに送信するステップと;
前記ドメイン鍵サービスから、前記第1の車両および第2の車両のそれぞれの前記ドメイン鍵エージェントにより、前記登録要求に応答して前記車両固有識別子に関連付けられた前記グループ公開鍵、前記メンバー秘密鍵、および前記メンバー証明書を受信するステップと;
前記第1のおよび第2の登録車両のうちの少なくとも1つの前記ドメイン鍵エ
ージェントにより、前記メンバー秘密鍵を使用して署名されたメッセージを前記ドメインの別の登録車両に送信するステップ;および
前記第1のおよび第2の登録車両のうちの少なくとも1つの前記ドメイン鍵エージェントにより、前記グループ公開鍵を使用して前記ドメイン内の前記別の登録車両から受信された署名メッセージを検証するステップと、を含む方法。
【請求項2】
前記第1の車両の前記無線サプリカントが、Wi-Fiまたはセルラーサプリカントを含む、請求項1に記載の方法。
【請求項3】
前記ドメイン鍵エージェントの前記ドメイン鍵ストアは、SSID、ドメインタイプ、グループ公開鍵、メンバー秘密鍵、メンバー証明書、およびタイムスタンプに関連付けられたレコードのテーブルの少なくとも1つを含む、請求項1に記載の方法。
【請求項4】
i)ドメイン鍵エージェント、無線サプリカント、および車両におけるドメイン鍵ストア、ii)ドメイン鍵ブローカーにおけるドメイン鍵サービスおよび無線オーセンテ
ィケータ、iii)リモートドメイン鍵配布センターにおけるドメイン鍵ファクトリーサ
ービス、およびiv)リモート登録サーバーにおける登録サービスを使用する、複数の自
律ドメインを横断する車両による安全なメッセージ交換のための方法であって、前記方法
は:
前記車両の前記無線サプリカントにより、前記ドメインのサービスセット識別子(SSID)およびチャネルによって前記自律ドメインのうちの少なくとも1つのドメインの無線ネットワークを走査するステップと;
前記車両の前記ドメイン鍵エージェントにより、前記ドメインのSSIDごとに、前記車両の前記ドメイン鍵ストアからグループ公開鍵、メンバー秘密鍵、およびメンバー証明書を取得するステップと;
前記車両の前記ドメイン鍵エージェントにより、前記取得されたメンバー証明書の有効性を検査するステップと;
前記車両の前記ドメイン鍵エージェントにより、前記ドメイン鍵ブローカーの前記無線オーセンティケータを用いて、前記車両の認証を実行するステップと;
前記車両の前記ドメイン鍵エージェントにより、前記ドメイン鍵ブローカーの前記無線オーセンティケータに、前記ドメインのドメイン鍵サービスアドレスおよびサービスポートを問い合わせるステップと;
前記車両の前記ドメイン鍵エージェントにより、前記ドメイン鍵サービスに、前記ドメインのSSIDの前記グループ公開鍵、前記メンバー秘密鍵、および前記メンバー証明書を要求するステップと;
前記車両の前記ドメイン鍵エージェントにより、受信された前記ドメインのSSIDの前記グループ公開鍵、前記メンバー秘密鍵、および前記メンバー証明書を、前記車両の前記ドメイン鍵ストアに格納するステップと;
前記車両の前記ドメイン鍵エージェントにより、前記ドメイン内の前記車両の前記取得されたメンバー秘密鍵を使用して、前記ドメイン内の別の車両へのメッセージに署
名をするステップ;および
前記車両の前記ドメイン鍵エージェントにより、前記ドメインの前記取得されたグループ公開鍵を使用して、前記ドメイン内の別の車両からのメッセージを検証するステップと、を含む方法。
【請求項5】
前記車両の認証が、ノンス、車両固有識別子、車両証明書、および前記メンバー秘密鍵の所有の証明のためのチャレンジ応答方式のうちの少なくとも1つを使用する、請求項4に記載の方法。
【請求項6】
前記ドメイン鍵ブローカーの前記無線オーセンティケータによって、前記受信された車両証明書内の車両公開鍵を使用して暗号化された前記チャレンジが、前記無線オーセ
ンティケータに対する応答を生成するために、前記車両の前記メンバー秘密鍵を使用して復号されなければならない、請求項5に記載の方法。
【請求項7】
前記ドメイン鍵エージェントの前記ドメイン鍵ストアは、SSID、ドメインタイプ、グループ公開鍵、メンバー秘密鍵、メンバー証明書、およびタイムスタンプに関連付けられたレコードのテーブルの少なくとも1つを含む、請求項4に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、グループメンバー間の通信のためのアイデンティティ証明および暗号署名されたメッセージに基づくグループブローカーによる暗号アーティファクトの発行に基づくモノのインターネット(IoT)のための装置間通信の分野に関する。
【背景技術】
【0002】
新たに登場した、モノのインターネット(IoT)および情報交換およびデータサイエンスのための新たな装置間通信は、動的なクロスドメイン認証およびデータ保全性のための暗号化アーティファクトの交換のためのプラットフォームを必要とする。さらに、認証は、プライバシーの匿名性に基づいて、アイデンティティの証明および信頼できるセッションへの秘密の所有の証明に基づいている必要がある。たとえば、個人、装置、アプリケーションまたはサービスなどの実在物のアイデンティティは、今日、ドメインに関連付けられたアイデンティティプロバイダーおよびオーセンティケータを前提としている。マルチドメイン認証は、アイデンティティプロバイダーからサービスプロバイダーに発行されたセキュリティアサーション(または要求)に基づいている。何十億ものIoTに対応する異種システム(例えば、車両、医療装置、製造システム、プロセス制御システム、家電製品、モバイル装置など)では、現在の認証方法は、提供、管理、維持、および運用に困難である。さらに、IoT装置の集中管理は実行可能でない。したがって、IoT装置を認証するための、集中化されていない、分散化された、動的なメカニズムが必要とされている。
【発明の概要】
【0003】
提案された方法は、グループに基づく動的なメンバーシップのための自律ドメインを使用する。公開鍵暗号基盤(PKI)は、許可されたドメインにおける動的な登録のためのグループ公開鍵および複数のメンバー秘密鍵を生成するために活用される。登録期間は、メンバーの属性に基づいてメンバー鍵および許可に発行される証明書によって制限されてもよい。またドメインは、暗号化領域と見なされてもよい。
【0004】
車両上のドメイン鍵エージェントは、現在のドメインのドメイン鍵ブローカーを発見し、ドメインに対して、グループ公開鍵およびメンバー秘密鍵を要求する。不変の車両アイデンティティおよび車両証明書は、プライバシー保護を備える車両認証に使用される。車両証明書は、車両製造業者によって発行され、管理されてもよく、車両公開鍵を含む。さらに、公開鍵は、車両秘密鍵、つまり、1対多グループのPKIとは性質の異なるPKIの1対1(非グループ)の公開鍵と秘密鍵のペアに関連付けられる。車両上のドメイン鍵エージェントは、電子制御ユニット(ECU)、テレマティック制御ユニット(TCU)、オンボード診断(OBD)、セキュアゲートウェイ、車両内インフォテインメント(IVI)等、車両内の構成要素上のアプリケーションのためのプロキシとして機能する。車両上の構成要素は、(車両間通信のために)別の車両上の構成要素と、または(車両から基盤への通信のために)基盤サービスと通信してもよい。メッセージは、メンバー秘密鍵を使用して署名され、ドメインのグループ公開鍵を使用して検証されてもよい。
【0005】
車両がドメインを通過するとき、ドメイン鍵エージェントは、ドメインについて動的に発見されたドメイン鍵ブローカーからドメイン鍵ペアを動的に取得する。ドメイン鍵エージェントは、たとえば鍵、証明書、Wi-Fiサービスセット識別子(SSID)情報などのドメインアーティファクトを車両上のドメイン鍵ストアに格納してもよい。SSIDは、他の一般的なデータポイントの中でも、例として、地理的位置、都市、または郵便番号に基づいてもよい。
【0006】
ドメイン鍵ブローカーは、処理をローカルデータベースに格納し、ブロックチェーンサービスのネットワークピアとして分散型台帳にイベントを発送してもよい。ドメイン鍵ブローカーは、隣接するドメイン鍵ブローカー、証明書ライフサイクル管理のための登録サービス、またはドメイングループおよびメンバー鍵の発行者に関する情報を取得するために、設定されたドメイン鍵ファクトリーサービスと通信してもよい。
【0007】
本開示の例示的な実施形態では、方法は、システム間またはマシン間通信のためのシステム間またはマシン間のピア・ツー・ピア通信の分野に適用されてもよい。
【0008】
ドメイン鍵配布センターのドメイン鍵ファクトリーサービスは、暗号化鍵を生成するために複数の方法を採用し得る。ドメインの単一グループ公開鍵および複数メンバーの秘密鍵で構成される公開鍵暗号基盤(PKI)ベースの非対称鍵ペアは、Intel(登録商標)Enhanced Privacy ID(EPID)などのテクノロジを活用して生成され得る。代替方法は、Request for Comments(RFC)3547および6407(The Internet Society, Network Working Groupによって発行された)に記載されているGroup Domain of Interpretation(GDOI)標準において規定されている暗号化鍵(KEK)およびトラフィック暗号化鍵(TEK)などの対称事前共有秘密の使用を含み得る。
【図面の簡単な説明】
【0009】
本開示は、添付の図面に関連して読むと、以下の詳細な説明から最もよく理解される。一般的な慣行によれば、図面のさまざまな特徴/要素は、一定の縮尺で描かれていない場合がある。共通の参照番号は、同様の特徴/要素を表す。次の図が図面に含まれている:
【0010】
【0011】
本開示の適用可能なさらなる領域は、以下に提供される詳細な説明から明らかになるであろう。例示的な実施形態の詳細な説明は、例示のみを目的としており、したがって、必ずしも本開示の範囲を限定することを意図するものではないことを理解されたい。
【発明を実施するための形態】
【0012】
本開示の例示的な実施形態では、任意の2つの装置(例えば、車両または機械)間の通信のための暗号アーティファクトの確立は、ドメイン内の、装置およびドメイン鍵ブローカーにおけるドメイン鍵エージェントの間で発生する認証フェーズおよび鍵交換フェーズを必要とする。認証フェーズの間、装置は、識別目的の証明書と、関連する秘密の所有の高度な証明とを提供する。鍵交換フェーズの間、ドメインの暗号化鍵とメンバー証明書が生成され、交換され得る。
【0013】
図1および図2を参照すると、ドメイン101内の車両102上のステップ114において、電子制御ユニット(ECU)108、車両インフォテインメント(IVI)118、テレマティック制御ユニット(TCU)109、オンボード診断(OBD)110、セキュアゲートウェイ(111)、またはWi-Fiまたはセルラーサプリカント112などの車両上の構成要素は、たとえば、コントローラエリアネットワーク(CAN)バス、ローカル相互接続ネットワーク(LIN)、フレックスレイ(FR)、またはイーサネットネットワークなどの通信媒体を介して、データ転送を実行し得る。車両上の構成要素は、ドメイン鍵エージェント105をプロキシサービスとして使用して、他の車両上の構成要素からメッセージを交換(送信および/または受信)し得る。ステップ120において、サプリカント112は、Wi-Fiまたはセルラーネットワークを介して、ドメイン101内のドメイン鍵ブローカー103上のドメイン鍵サービス106を用いて認証をする。ステップ117において、ドメイン鍵ブローカー103上のオーセンティケータ116は、例えば車両証明書207および車両固有識別子209などの構成された認証方法に基づいてサプリカント112を認証する。ステップ125において、ドメイン鍵エージェント105は、ドメイン鍵サービス106からPKI鍵ペア(グループ公開鍵204、メンバー秘密鍵206およびメンバー証明書205)を要求してもよい。ステップ130において、ドメイン鍵サービス106は、車両102のためのメンバー秘密鍵206を生成するために、ドメイン鍵配布センター104上のドメイン鍵ファクトリーサービス107と通信してもよい。ステップ140において、ドメイン鍵サービス106は、グループ公開鍵204に関連付けられたメンバー証明書205を生成するために、登録サーバー142上の登録サービス144と通信してもよい。メンバー証明書205は、ドメイン鍵サービス106からの新しいPKI鍵ペアの要求を強制するために、証明書の期限切れ時に、グループ公開鍵204を期限切れにする手段として機能する。
【0014】
提案されたシステムの例示的な実施形態では、ドメイン鍵配布センター104、および登録サーバー142は、複数のドメインにサービスを提供してもよい。
【0015】
図2を参照すると、車両#1である201および車両#Nである221は、それぞれ、関連する車両公開鍵に対して発行された不変車両固有識別子(209、229)、車両秘密鍵(208、228)、および車両証明書(207、227)を所有している。工程231および232において、ドメイン鍵エージェント(203、223)は、ドメイン101のグループ公開鍵(204、224)、メンバー証明書(205、225)およびメンバー秘密鍵(206、226)を取得するために、それぞれドメイン鍵サービス106と通信する。ステップ241において、車両#1(201)のアプリケーションX(202)は、車両#N(221)上のアプリケーションY(222)にメッセージXY(242)を送信する。送信されたメッセージXY(242)は、ドメイン101のメンバー秘密鍵(206)を使用してデジタル署名される。受信されたメッセージXY(242)は、アプリケーションY(222)によってドメイン101のグループ公開鍵(224)を用いて検証される。ステップ251において、車両#N(221)のアプリケーションY(222)は、車両#1(201)上のアプリケーションX(202)にメッセージYX(252)を送信する。送信されたメッセージYX(252)は、ドメイン101のメンバー秘密鍵(226)を使用してデジタル署名される。受信したメッセージYX(252)は、アプリケーションX(202)によってドメイン101のグループ公開鍵(204)を使用して検証される。ドメイン(例えば、ドメイン101)内では、グループ公開鍵204および224は、同一であり、メンバーのプライバシーの保全のために、メッセージの安全な署名および検証を提供する。
【0016】
図3を参照すると、ドメイン302、303および304は、3つの隣接するドメインを表す。車両300は、これらのドメインを横断し、ドメイン固有のグループ公開鍵、メンバー証明書、およびメンバー秘密鍵を要求するために、それぞれのドメイン鍵ブローカー312、313、および314と通信する。車両300は、ローカルドメイン鍵ストア113のテーブル360において構成される、SSID(361)、タイプ363、および優先順位によってステップ350において決定された、現在のドメインに基づいて、グループ公開鍵363、メンバー証明書364、およびメンバー秘密鍵365を使用して通信する。表360のエントリのタイムスタンプ366は、SSID361によって最後に横断されたドメインを決定し得る。
【0017】
図3および図4を参照すると、ネットワークのWi-Fiまたはセルラー信号強度およびSSIDに基づいてドメインを発見し、ドメイン内で認証し、グループ公開鍵、メンバー証明書およびメンバー秘密鍵を動的に要求するワークフローが示されている。ステップ401において、ドメイン101または新たに発見されたドメインのメンバー証明書の有効期限は、認証をトリガーする。ステップ402において、サプリカント112は、ドメイン鍵ブローカー103上のオーセンティケータ116を用いて、認証を開始する。ステップ403において、オーセンティケータ116は、例えば、車両固有識別子および車両秘密鍵の所有の証明を備える車両証明書などの車両102の認証アーティファクトを検証する。ステップ404において、ドメイン鍵エージェント105は、ドメイン鍵ブローカー103のドメイン鍵サービス106からドメイン101に対して、鍵405を要求する。ドメイン鍵エージェント105とドメイン鍵サービス106との間の通信は、SSID361に関連付けられたドメイン101のIoTゲートウェイアドレス、既知のサービスポート、および例えばトランスポート層セキュリティ(TLS)またはDatagram TLS(DTLS)などのトランスポートプロトコル上で発生するように構成され得る。ステップ406において、ドメイン鍵サービス106は、車両102上のドメイン鍵エージェント105に鍵407を発行する。ステップ408において、鍵はドメイン鍵ストア113に格納される。
【0018】
開示されたシステムのさらに別の例示的な実施形態では、ドメインのグループ公開鍵およびメンバー秘密鍵の代わりに、ドメイン鍵ファクトリーサービス107、ドメイン鍵サービス106、およびドメイン鍵エージェント105は、コメント要求(RFC)3547および6407(The Internet Society, Network Working Groupによって発行された)に記載されているGroup Domain of Interpretation(GDOI)標準に規定されているように、例えば、暗号化鍵(KEK)およびドメインのためのトラフィック暗号化鍵(TEK)のような対称事前共有秘密を交換してもよい。
【0019】
図5を参照すると、ドメイン鍵エージェント105のようなドメイン鍵エージェントによる鍵および証明書取得のためのワークフローが示されている。ステップ501において、ドメイン鍵エージェント105は、ドメインのSSIDおよびチャネルによって、ドメインの無線サービスネットワークを発見するための走査を開始し得る。SSIDは、例として、地理的位置、都市、または郵便番号に基づいてもよい。ステップ502において、発見されたSSIDは、ドメインのための無線ネットワークに接続するために使用されてもよい。ステップ503において、ドメイン鍵エージェント105は、登録されたグループ公開鍵、メンバー秘密鍵、およびメンバー証明書を、SSIDによってドメイン鍵ストア113から取得してもよい。ステップ504において、ドメイン鍵エージェント105は、ドメイン鍵ストア113からSSIDの登録データセットを取得した、またはドメイン鍵ブローカー103上のドメイン鍵サービス106から登録データセットを要求するために認証が必要であると判断した。
【0020】
ステップ505において、ドメイン鍵ストアから取得されたメンバー証明書は、有効性ステータス(例えば、期限切れ、取り消された)について検査され得る。ステップ514において、ドメイン鍵エージェント105は、送信メッセージに署名するためにメンバー秘密鍵を使用し、車両102上のアプリケーション108、118、190、110、111によって要求されるように受信メッセージを検証するためにグループ公開鍵を使用してもよい。ステップ507において、ドメイン鍵エージェント105は、受信したナンス、車両固有識別子、車両証明書、および車両秘密鍵の所有の証明のためのチャレンジ―応答方式を使用して、ドメイン鍵ブローカー103の無線オーセンティケータを用いて認証を実行してもよい。一実施形態では、ドメイン鍵ブローカー103上の無線オーセンティケータ116によって受信された車両証明書内の車両公開鍵を使用して暗号化されたチャレンジは、無線オーセンティケータ116への応答を生成するために、車両102上の車両秘密鍵を使用して復号化されなければならない。
【0021】
ステップ508において、車両102は、ドメイン鍵ブローカー103によってドメインに対して認証されてもよい。ステップ509において、ドメイン鍵エージェント105は、ドメイン鍵サービスアドレスおよびサービスポートについて、ドメイン鍵ブローカー103の無線オーセンティケータ113に問い合わせてもよい。ステップ510において、ドメイン鍵エージェント105は、ドメインのためのドメイン鍵ブローカー103との安全な接続を確立し得る。ステップ511において、ドメイン鍵エージェント105は、ドメイン鍵サービスに、ドメインのグループ公開鍵、メンバー秘密鍵、およびメンバー証明書を要求してもよい。ステップ512において、車両102はドメインに登録されてもよい。そして、登録データセットは車両102上のドメイン鍵エージェント105に送信されてもよい。ステップ513において、ドメイン鍵エージェントは、グループ公開鍵、メンバー秘密鍵、およびメンバー証明書をドメイン鍵ストア113に格納してもよい。
【0022】
図6を参照すると、ドメイン鍵サービス106のようなドメイン鍵サービスによる鍵および証明書生成のためのワークフローが示されている。ステップ601において、ドメイン鍵ブローカー103上のドメイン鍵サービス106は、ドメイン鍵エージェント105からの、ドメインに対する、グループ公開鍵、メンバー秘密鍵、およびメンバー証明書の登録要求をサービスポートで聞くことができる。ステップ602、603、および604において、登録要求は、適切な要求ハンドラーにルーティングされ得る。ステップ611において、ドメイングループ公開鍵に対する要求が処理され得る。工程612において、要求は、ドメイングループ公開鍵のために準備され得る。そして工程613において、ドメイングループ公開鍵の要求は、SSIDにより、ドメイン鍵配布センター104上のドメイン鍵ファクトリーサービス107に送信され得る。ステップ614において、ステップ605におけるドメイン鍵エージェントへの集約応答を準備するために、ドメイン鍵ファクトリーサービス107からの応答が提供され得る。
【0023】
ステップ621において、ドメインメンバー秘密鍵の要求が処理され得る。ステップ622において、要求は、ドメインメンバー秘密鍵に対して準備され得る。ステップ623において、ドメインメンバー秘密鍵の要求は、SSIDによって、ドメイン鍵配布センター104上のドメイン鍵ファクトリーサービス107に送信され得る。ステップ624において、ドメイン鍵ファクトリーサービスからの応答は、ステップ605におけるドメイン鍵エージェントへの集約応答を準備するために、提供され得る。
【0024】
ステップ631において、ドメインメンバー証明書の要求は、処理され得る。ステップ632において、ドメインメンバー証明書の要求は、準備される。そして、ステップ633において、ドメインメンバー証明書の要求は、登録サーバー142上の登録サービス144に送信され得る。ステップ634において、登録サービスからの応答は、ステップ605におけるドメイン鍵エージェントへの集約応答を準備するために、提供され得る。ステップ605において、ドメイン鍵サービスは、ドメイングループ公開鍵、ドメインメンバー秘密鍵、およびドメインメンバー証明書を備える応答をドメイン鍵エージェントに送付し得る。
【0025】
図7を参照すると、ドメイン鍵サービス106などのドメイン鍵サービスによる車両証明書を検証するためのワークフローが示されている。ステップ701において、ドメイン鍵ブローカー103上のドメインキーサービスは、認証ポートで、無線オーセンティケータ116からの認証要求を聞くことができる。ステップ702において、無線オーセンティケータ116は、認証要求を送信することができる。ステップ703において、ドメイン鍵サービス106は、車両証明書を検証するための認証要求を受信することができる。ステップ704において、ドメイン鍵サービスは、証明書の有効期限のステータスを検証することがる。ステップ705において、ドメイン鍵サービスは、オンライン証明書のステータスプロトコル(OCSP)レスポンダを使用して、または証明書失効リスト(CRL)を使用して、証明書の失効のステータスを検証することができる。ステップ707において、ドメイン鍵サービスは、車両証明書ステータスを備える応答を無線オーセンティケータ116に送信することができる。
【0026】
図8を参照すると、ドメイン鍵ファクトリーサービス107などのドメイン鍵ファクトリーサービスによるグループ公開鍵およびメンバー秘密鍵生成のためのワークフローが示されている。ステップ801において、ドメイン鍵配布センター104上のドメイン鍵ファクトリーサービス107は、SSIDによるドメイン鍵サービス106からのグループ公開鍵の要求を受信することができる。ステップ802において、要求は、ドメインのグループ公開鍵がすでに存在するかどうかを決定するために処理され得る。そしてステップ803において、ドメイングループ公開鍵が生成され得る。ステップ804において、応答メッセージが準備され得る。そして、ステップ805において、生成されたドメイングループ公開鍵を備える応答は、ドメイン鍵サービス106に送信され得る。
【0027】
ステップ811において、ドメイン鍵配布センター104上のドメイン鍵ファクトリーサービス107は、SSIDおよび車両固有識別子によるドメイン鍵サービス106からのメンバー秘密鍵の要求を受信することができる。ステップ812において、要求は、車両固有識別子のメンバー秘密鍵がすでに存在するかどうかを決定するために処理され得る。そしてステップ813において、ドメインメンバー秘密鍵が生成され得る。ステップ814において、応答メッセージが準備され得る。そして、ステップ815において、生成されたドメインメンバー秘密鍵を備える応答は、ドメイン鍵サービス106に送信され得る。一実施形態では、ステップ814における応答メッセージは、ドメインメンバーの秘密鍵が車両固有識別子に対して、すでに生成されたことを示すエラーメッセージを含み得る。このようなセキュリティ対策は、クローン化された車両固有識別子の悪用を防止することができる。
【0028】
図9は、本開示の実施形態またはその一部がコンピュータ可読コードとして実装され得る例示的なコンピュータシステム900を示している。例えば、ここで開示されたネットワークシステムおよびアーキテクチャ(ドメイン鍵エージェント105、ドメイン鍵ストア113、ドメイン鍵サービス106、ドメイン鍵ファクトリーサービス107、登録サービス144、ドメイン鍵ブローカー103、ドメイン鍵配布センター104など)は、ハードウェア、ソフトウェア、ファームウェア、そこに格納された命令を有する固定コンピュータ可読媒体、またはそれらの組み合わせを用いたコンピュータシステム900に実装することが可能であり、1つ以上のコンピュータシステムまたはその他の情報処理システムに実装することが可能である。ハードウェア、ハードウェア上で実行されるソフトウェア、またはそれらの任意の組み合わせは、本明細書に開示されるアーキテクチャおよびシステムを実装するために使用されるモジュールおよび構成要素を具体化し得る。
【0029】
プログラマブルロジックが使用される場合、そのようなロジックは、市販の処理プラットフォームまたは専用の装置上で実行することができる。当業者は、開示された主題の実施形態が、マルチコア/マルチプロセッサーシステム、ミニコンピュータ、メインフレームコンピュータ、分散機能とリンクされたまたはクラスタ化されたコンピュータ、ならびに実質的に任意の装置に埋め込まれ得る広く普及したまたは小型のコンピュータを含む、様々なコンピュータシステム構成で実施され得ることを理解するであろう。
【0030】
例えば、少なくとも1つのプロセッサー装置およびメモリは、上記の実施形態を実施するために使用され得る。プロセッサー装置は、単一のプロセッサー、複数のプロセッサー、またはそれらの組み合わせであってもよい。プロセッサー装置は、1つ以上のプロセッサー「コア」を有することができる。
【0031】
本開示の様々な実施形態は、この例示的なコンピュータシステム900に関して説明される。この説明を読んだ後、関連技術の当業者には、他のコンピュータシステムおよび/またはコンピュータアーキテクチャを使用して開示を実施する方法が明らかになるであろう。動作は連続的なプロセスとして説明されてもよいが、動作のいくつかは、実際には並列、並列、および/または分散環境において、単一またはマルチプロセッサーマシンによるアクセスのためにローカルまたはリモートに格納されたプログラムコードを用いて実行されてもよい。さらに、いくつかの実施形態では、動作の順序は、開示された主題の趣旨から逸脱することなく再構成されてもよい。
【0032】
プロセッサー装置902は、専用または汎用のプロセッサー装置であってもよい。関連技術の当業者には理解されるように、プロセッサー装置902は、オペレーティング・システム単独のようなマルチコア/マルチプロセッサーシステムにおける単一のプロセッサーであってもよく、またはクラスタまたはサーバー・ファームにおいて動作する計算装置のクラスタ内にあってもよい。プロセッサー装置902は、通信インフラストラクチャ926、例えば、バス、メッセージキュー、ネットワーク、またはマルチコアメッセージパッシングスキームに接続される。
【0033】
コンピュータシステム900はまた、メインメモリ904、例えば、ランダムアクセスメモリ(RAM)またはフラッシュメモリを含み、そして二次メモリ906を含んでもよい。二次メモリ906は、例えば、ハードディスクドライブ908、取り外し可能ストレージドライブ910を含んでもよい。取り外し可能ストレージドライブ910は、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュメモリなどであってもよい。
【0034】
取り外し可能ストレージドライブ912は、周知の方法で、取り外し可能ストレージユニット912との間で、読取りおよび/または書込みを行う。取り外し可能ストレージユニット912は、取り外し可能ストレージドライブ910によって読み取られ、書き込まれるフロッピーディスク、磁気テープ、または光ディスクなどであってもよい。関連技術の当業者によって理解されるように、取り外し可能ストレージユニット912は、コンピュータソフトウェアおよび/またはデータをその中に格納したコンピュータが使用可能な固定記憶媒体を含む。
【0035】
代替的な実装では、二次メモリ906は、コンピュータプログラムまたは他の命令をコンピュータシステム900にロードすることを可能にするための他の同様の手段を含んでもよい。そのような手段は、例えば、取り外し可能ストレージユニット916およびインターフェース914を含んでもよい。そのような手段の例は、プログラムカートリッジおよびカートリッジインタフェース(ビデオゲーム装置において見られるものなど)、取り外し可能メモリチップ(EPROM、またはPROMなど)および関連するソケット、およびソフトウェアおよびデータを取り外し可能なメモリユニット916からコンピュータシステム900に転送することを可能にする他の取り外し可能なメモリユニット916およびインターフェース914を含んでもよい。
【0036】
コンピュータシステム900はまた、通信インターフェース918を含んでもよい。通信インターフェース918は、ソフトウェアおよびデータがコンピュータシステム900および外部装置の間で転送されることを可能にする。通信インターフェース918は、モデム、ネットワークインターフェース(イーサネットカードなど)、通信ポート、PCMCIAスロットおよびカードなどを含んでもよい。通信インターフェース918を介して転送されるソフトウェアおよびデータは、信号の形態であってもよい。信号の形態は、通信インターフェース918によって受信することができる電子、電磁気、光学、または他の信号であってもよい。これらの信号は、通信経路920を介して通信インターフェース918に提供され得る。通信経路920は、信号を伝送し、ワイヤまたはケーブル、光ファイバー、電話回線、携帯電話リンク、RFリンクまたは他の通信チャネルを使用して実装され得る。
【0037】
コンピュータシステム900はまた、コンピュータディスプレイ924およびディスプレイインターフェース922を含んでもよい。実施形態によれば、上述した図1から図8に示されるGUIおよびダッシュボードを表示するために使用されるディスプレイは、コンピュータディスプレイ924であってもよい。また、コンソールインターフェースは、ディスプレイインターフェース922であってもよい。
【0038】
本文書において、「コンピュータプログラム媒体」、「固定コンピュータ可読媒体」、および「コンピュータ使用可能媒体」という用語は、一般に、取り外し可能ストレージユニット912、取り外し可能ストレージユニット916、およびハードディスクドライブ908に取り付けられたハードディスクなどの媒体を指すために使用される。コンピュータプログラム媒体およびコンピュータ使用可能媒体はまた、メインメモリ904および二次メモリ906などのメモリを指し、メモリは、メモリ半導体(例えば、DRAMなど)であり得る。これらのコンピュータプログラム製品は、コンピュータシステム900にソフトウェアを提供するための手段である。
【0039】
コンピュータプログラム(コンピュータ制御ロジックとも呼ばれる)は、メインメモリ904および/または二次メモリ906に格納される。コンピュータプログラムはまた、通信インターフェース918を介して受信されてもよい。そのようなコンピュータプログラムは、実行されると、コンピュータシステム900が本明細書で論じられるように、本開示を実施することを可能にする。具体的には、コンピュータプログラムは、実行されると、プロセッサー装置902が、上記の図1―8のフローチャートによって示される方法におけるステージなどの、本開示のプロセスを実行することを可能にする。したがって、そのようなコンピュータプログラムは、コンピュータシステム900のコントローラを表す。本開示がソフトウェアを使用して実施される場合、ソフトウェアは、コンピュータプログラム製品に格納され、取り外し可能ストレージドライブ912、インターフェース914、およびハードディスクドライブ908、または通信インターフェース918を使用してコンピュータシステム900にロードされ得る。
【0040】
本開示の実施形態は、また、任意のコンピュータ使用可能媒体上に格納されたソフトウェアを備えるコンピュータプログラム製品を対象とし得る。そのようなソフトウェアは、1つ以上のデータ処理装置で実行されると、データ処理装置を本明細書に記載されているように動作させる。本開示の実施形態は、任意の適切なコンピュータの使用可能媒体または読み取り可能媒体を採用する。コンピュータ使用可能媒体の例は、一次記憶装置(例えば、任意のタイプのランダムアクセスメモリなど)、二次記憶装置(例えば、ハードドライブ、フロッピーディスク、CD ROM、ZIPディスク、テープ、磁気記憶装置、および光記憶装置、MEMS、ナノテクノロジー記憶装置など)、および通信媒体(例えば、有線および無線通信ネットワーク、ローカルエリアネットワーク、ワイドエリアネットワーク、イントラネットなど)を含むが、これらに限定されない。
【0041】
発明の概要および要約のセクションではなく、発明を実施するための形態のセクションが、請求項を解釈するために使用されることが意図されていること、を理解されたい。発明の概要および要約のセクションは、本発明者によって企図されるような本開示の1つ以上の例示的な実施形態を記載することができるが、すべてではなく、したがって、本開示および添付の請求項をいかなる形でも限定することを意図するものではない。
【0042】
本開示の実施形態は、特定の機能およびそれらの関係の実施を示す機能的構成要素の助けを借りて上記に説明されてきた。これらの機能的構成要素の境界は、説明の便宜のために本明細書で任意に定義されている。特定された機能およびその関係が適切に実行される限り、代替の境界が定義され得る。
【0043】
特定の実施形態の前記の説明は、当業者の知識を適用することによって、本開示の一般的な概念から逸脱することなく、過度の実験を行うことなく、他人がそのような特定の実施形態を様々な用途に容易に修正および/または適応させることができるように、本開示の一般的な性質を十分に明らかにする。したがって、そのような適応および修正は、本明細書で提示される教示およびガイダンスに基づいて、開示される実施形態の同等の意味および範囲内にあることが意図される。本明細書中の語法または用語は、説明の目的のためのものであり、限定のためのものではない。したがって、本明細書の用語または語法は、教示およびガイダンスに照らして当業者によって解釈されるべきであることを理解されたい。単数の要素への言及は、明示的に明記されていない限り、「1つおよび1つのみ」を意味するのではなく、むしろ「1つ以上」を意味する。さらに、「A、B、またはCの少なくとも1つ」に類似する語句が特許請求の範囲で使用される場合、その語句は、一実施形態においてAのみが存在し得ること、一実施形態においてBのみが存在し得ること、一実施形態においてCのみが存在し得ること、または単一の実施形態において要素A、BおよびCの任意の組み合わせ、たとえば、AおよびB、AおよびC、BおよびC、またはAおよびBおよびC、が存在し得ることを意味すると解釈されることが意図されている。本明細書の請求項要素は、その要素が「のための手段」という語句を使用して明示的に列挙されていない限り、35U.S.C.112(f)の規定の下で解釈されるべきではない。本明細書で使用されるように、用語「comprises(含む)」、「comprising(含む)」、またはその任意の他の変形は、要素のリストを備えるプロセス、方法、物品、または装置が、それらの要素だけを含むのではなく、そのようなプロセス、方法、物品、または装置に明示的にリストされていない、または固有でない他の要素を含むことができるように、非排他的な介在物をカバーすることを意図する。
【0044】
本開示は、特定の実施形態を参照して、本明細書に例示され、および説明されている。しかし、本開示は、示される詳細に限定されることを意図するものではない。むしろ、様々な修正は、本開示から逸脱することなく、請求項の相当の範囲および範囲内で、詳細に行われ得る。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】