TOP > 国内特許検索 > 無線通信システム及び無線通信方法 > 明細書

明細書 :無線通信システム及び無線通信方法

発行国 日本国特許庁(JP)
公報種別 特許公報(B2)
特許番号 特許第4701434号 (P4701434)
登録日 平成23年3月18日(2011.3.18)
発行日 平成23年6月15日(2011.6.15)
発明の名称または考案の名称 無線通信システム及び無線通信方法
国際特許分類 H04L   9/32        (2006.01)
H04W  12/04        (2009.01)
FI H04L 9/00 673B
H04L 9/00 673C
H04Q 7/00 182
請求項の数または発明の数 16
全頁数 30
出願番号 特願2007-535571 (P2007-535571)
出願日 平成18年9月15日(2006.9.15)
国際出願番号 PCT/JP2006/318433
国際公開番号 WO2007/032499
国際公開日 平成19年3月22日(2007.3.22)
優先権出願番号 2005271144
優先日 平成17年9月16日(2005.9.16)
優先権主張国 日本国(JP)
審査請求日 平成20年3月6日(2008.3.6)
特許権者または実用新案権者 【識別番号】301022471
【氏名又は名称】独立行政法人情報通信研究機構
発明者または考案者 【氏名】井上 大介
【氏名】黒田 正博
【氏名】石津 健太郎
個別代理人の代理人 【識別番号】100130111、【弁理士】、【氏名又は名称】新保 斉
審査官 【審査官】石田 信行
参考文献・文献 特開2006-311373(JP,A)
特開2006-287282(JP,A)
特開2000-115161(JP,A)
特開2000-92572(JP,A)
特開平10-191447(JP,A)
特開平7-203535(JP,A)
調査した分野 H04L 9/32
H04W 12/04
特許請求の範囲 【請求項1】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムであって、
該アクセスポイントには少なくとも、
該無線通信端末に固有の現在及び次の識別番号を記憶する識別番号記憶部と、
該無線通信端末との間で共有するハッシュ鍵を記憶する鍵記憶部と、
乱数を発生させる乱数発生処理部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、該無線通信端末との通信及び、各処理部への制御処理を行う制御通信処理部と
を備えて、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で現在の識別番号及びハッシュ鍵、第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させると共に、
該制御通信処理部が当該無線通信端末に該第1及び第2の乱数を含む初期化指示信号を送信し、該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する一方、
該無線通信端末には少なくとも、
該アクセスポイントとの通信を行う通信部と、
自己に固有の現在及び次の識別番号を記憶する自番号記憶部と、
該アクセスポイントとの間で共有するハッシュ鍵を記憶する鍵記憶部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、
を備えて、
通信部が該アクセスポイントから該初期化指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、該第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する
ことを特徴とする無線通信システム。
【請求項2】
前記アクセスポイントの制御通信処理部が、
少なくとも1回以上、前記初期化指示信号を受信した後に、前記無線通信端末に対して所定の周期で更新指示信号を送信する構成であって、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で次の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させると共に、
該制御通信処理部が当該無線通信端末に該第3の乱数を含む更新指示信号を送信し、該識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を該第4の識別番号に更新する一方、
該無線通信端末の通信部が、
該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された次の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を第4の識別番号に更新する
請求項1に記載の無線通信システム。
【請求項3】
前記無線通信端末が、単位時間当たりの通信量を測定してサービス不能攻撃を検出する攻撃検出処理部を備え、攻撃検出時に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記通信部が、アクセスポイントに対して攻撃検出信号を送信し、次いで、アクセスポイントの制御通信処理部が該攻撃検出信号を受信すると、前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記ハッシュ関数演算処理部で更新後の現在の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させ、該制御通信処理部が当該無線通信端末に該第3の乱数を含む乱数通知信号を送信し、次の識別番号を該第4の識別番号に更新し、
次いで無線通信端末の通信部が該乱数通知信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された更新後の現在の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した次の識別番号を第4の識別番号に更新する請求項1又は2に記載の無線通信システム。
【請求項4】
前記無線通信端末の通信部が、
前記アクセスポイントからの初期化指示信号又は更新指示信号を受信すると、該アクセスポイントに向けて確認信号を送信すると共に、
前記アクセスポイントの制御通信処理部が、
該確認信号を受信したことを契機に前記識別番号記憶部に記憶した現在の識別番号及び次の識別番号を更新する
請求項1ないし3のいずれかに記載の無線通信システム。
【請求項5】
前記アクセスポイントにおいて、
前記識別番号記憶部が、前記更新前の現在の識別番号と、更新後の現在の識別番号と、更新後の次の識別番号とを同時に記憶可能な構成であって、
前記制御通信処理部が、
前記確認信号を受信する前に当該無線通信端末から各識別番号のいずれかからの通信を受信するとそれを検知する検知部と、
検知の結果が更新前の現在の識別番号である場合には再度更新指示信号を送信する一方、検知の結果が更新後の次の識別番号である場合には該識別番号記憶部に記憶した更新前の現在の識別番号を更新後の次の識別番号に更新する識別番号同期制御部と
からなることを特徴とする
請求項4に記載の無線通信システム。
【請求項6】
前記アクセスポイントが、
制御通信処理部における信号の送信時から計時を開始するタイマ部を備えると共に、
前記制御通信処理部に存在確認信号送信部を備える一方、
前記無線通信端末の通信部が、
該存在確認信号を受信すると存在確認応答を送信する存在確認応答部を備える構成において、
更新指示信号の送信から所定の時間が経過したことをタイマ部が検知しても前記確認信号が受信できない場合に、該存在確認信号送信部が前記無線通信端末の次の識別番号に向けて存在確認信号を送信し、
このとき制御通信処理部は、所定の時間が経過したことをタイマ部が検知しても存在確認応答が受信できない場合には再度更新指示信号を送信する一方、存在確認応答を受信した場合には前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新する
請求項5に記載の無線通信システム。
【請求項7】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムであって、
該アクセスポイントには少なくとも、
該無線通信端末に固有の識別番号を記憶する識別番号記憶部と、
該無線通信端末との間で共有するハッシュ鍵を記憶する鍵記憶部と、
乱数を発生させる乱数発生処理部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、該無線通信端末との通信及び、各処理部への制御処理を行う制御通信処理部と
を備えて、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させると共に、該制御通信処理部が当該無線通信端末に乱数を含む更新指示信号を少なくとも所定の周期で送信し、該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する一方、
該無線通信端末には少なくとも、
該アクセスポイントとの通信を行う通信部と、
自己に固有の識別番号を記憶する自番号記憶部と、
該アクセスポイントとの間で共有するハッシュ鍵を記憶する鍵記憶部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、
を備えて、
通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する
ことを特徴とする無線通信システム。
【請求項8】
前記無線通信端末の識別番号が、MAC(Media Access Control)アドレスである請求項1ないし7のいずれかに記載の無線通信システム。
【請求項9】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムにおける通信方法であって、
アクセスポイント及び無線通信端末が予めハッシュ鍵を共有して各々の鍵記憶部に記憶しておき、
アクセスポイントの制御通信処理部の制御に従い、いずれかの無線通信端末について、アクセスポイントのハッシュ関数演算処理部が現在の識別番号及びハッシュ鍵、第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させるアクセスポイント側識別番号発生ステップ、
該制御通信処理部が当該無線通信端末に該第1及び第2の乱数を含む初期化指示信号を送信する初期化指示ステップ、
該アクセスポイント側識別番号発生ステップの後のいずれかの時点において該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定するアクセスポイント側識別番号初期化ステップ、
無線通信端末の通信部が該アクセスポイントから該初期化指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、該第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させる端末側識別番号発生ステップ、
該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する端末側識別番号初期化ステップ
を有することを特徴とする無線通信方法。
【請求項10】
前記アクセスポイントの制御通信処理部が、
少なくとも1回以上、前記初期化指示信号を受信した後に、前記無線通信端末に対して所定の周期で更新指示信号を送信する構成であって、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で次の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させるアクセスポイント側識別番号定期発生ステップ、
該制御通信処理部が当該無線通信端末に該第3の乱数を含む更新指示信号を送信する更新指示ステップ、
該アクセスポイント側識別番号定期発生ステップの後のいずれかの時点において該識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を該第4の識別番号に更新するアクセスポイント側識別番号定期更新ステップ、
該無線通信端末の通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された次の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させる端末側識別番号定期発生ステップ、
該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を第4の識別番号に更新する端末側識別番号定期更新ステップ
を有することを特徴とする請求項9に記載の無線通信方法。
【請求項11】
前記無線通信方法の端末側識別番号初期化ステップの後のいずれかの契機において、
前記無線通信端末の攻撃検出処理部が、単位時間当たりの通信量を測定してサービス不能攻撃を検出するサービス不能攻撃検出ステップ、攻撃検出時に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記通信部が、アクセスポイントに対して攻撃検出信号を送信する端末側識別番号緊急更新ステップ、アクセスポイントの制御通信処理部が該攻撃検出信号を受信すると、前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記ハッシュ関数演算処理部で更新後の現在の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させ、該制御通信処理部が当該無線通信端末に該第3の乱数を含む乱数通知信号を送信し、次の識別番号を該第4の識別番号に更新するアクセスポイント側識別番号緊急更新ステップ、
無線通信端末の通信部が該乱数通知信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された更新後の現在の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した次の識別番号を第4の識別番号に更新する端末側次識別番号緊急更新ステップ
を有することを特徴とする請求項9又は10に記載の無線通信方法。
【請求項12】
前記無線通信方法において、初期化指示ステップ又は更新指示ステップに続き、
前記無線通信端末の通信部がアクセスポイントに向けて確認信号を送信する確認信号送信ステップ、
アクセスポイントの制御通信処理部が、該確認信号を受信する確認信号受信ステップを経て
前記アクセスポイント側識別番号初期化ステップ又は前記アクセスポイント側識別番号定期更新ステップ
を実行する
請求項9ないし11のいずれかに記載の無線通信方法。
【請求項13】
前記確認信号送信ステップと確認信号受信ステップとの間において、
アクセスポイントの識別番号記憶部に無線通信端末の前記更新前の現在の識別番号と、更新後の現在の識別番号と、更新後の次の識別番号とを同時に記憶し、制御通信処理部に設けた検知部が当該無線通信端末から各識別番号のいずれかからの通信の有無を検知する検知ステップ、
検知の結果が更新前の現在の識別番号である場合には前記更新指示ステップに戻る一方、
検知の結果が更新後の次の識別番号である場合には前記アクセスポイント側識別番号緊急更新ステップ以降を実行する
請求項12に記載の無線通信方法。
【請求項14】
前記更新指示ステップから所定の時間が経過したことをアクセスポイントのタイマ部が検知しても前記確認信号受信ステップに到らない場合に、
アクセスポイントの制御通信処理部に設けた存在確認信号送信部が前記無線通信端末の次の識別番号に向けて存在確認信号を送信する存在確認ステップ、
該存在確認信号に対して無線通信端末からの存在確認応答が所定時間内に受信できない場合には前記更新指示ステップに戻る一方、
存在確認応答を受信した場合には前記アクセスポイント側識別番号定期更新ステップを実行する
請求項13に記載の無線通信方法。
【請求項15】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムにおける通信方法であって、
アクセスポイント及び無線通信端末が予めハッシュ鍵を共有して各々の鍵記憶部に記憶しておき、
アクセスポイントの制御通信処理部の制御に従い、いずれかの無線通信端末について、アクセスポイントのハッシュ関数演算処理部が現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させるアクセスポイント側識別番号発生ステップ、
該制御通信処理部が当該無線通信端末に乱数を含む更新指示信号を少なくとも所定の周期で送信する更新指示ステップ、
無線通信端末の通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させる端末側識別番号発生ステップ、
無線通信端末の自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する端末側識別番号更新ステップ、
該更新指示ステップの後のいずれかの時点においてアクセスポイントの識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新するアクセスポイント側識別番号更新ステップ
を有することを特徴とする無線通信方法。
【請求項16】
前記無線通信端末の識別番号が、MAC(Media Access Control)アドレスである請求項9ないし15のいずれかに記載の無線通信方法。
発明の詳細な説明 【技術分野】
【0001】
本発明は無線通信システム及び無線通信方法に関し、特に無線通信システムにおける無線通信端末に対する追跡とサービス不能攻撃の防御方法に係る技術である。
【背景技術】
【0002】
近年、第3世代(3G)移動体通信や、IEEE802.11規格の無線LAN、IEEE802.16規格の無線MANなどが注目されている。これらのサービスによって音声や映像、さらに電子商取引などがモバイル環境で利用できるようになる。
同時に、無線通信ネットワークにおけるセキュリティ問題が深刻化している。こうした脅威からネットワークを保護するために、暗号化技術や認証技術が必要とされ、開発が進められている。
【0003】
例えば、非特許文献1に開示されるような第3世代移動体通信システムの標準化プロジェクトにおけるセキュリティ機構や、非特許文献2に開示されるようなIEEE802.1X規格におけるセキュリティ機構、非特許文献3に開示されるような無線LANに向けた802.11i規格におけるセキュリティ機構が知られている。
【0004】

【非特許文献1】3rd Generation Partnership Project, "3G Security; Security architecture (Release 6)," 3GPP TS 33.102, V6.3.0, 2004年
【非特許文献2】LAN MAN Standards Committee of the IEEE Computer Society, "IEEE Standard for Local and Metropolitan Area Networks - Port-Based Network Access Control," IEEE Standard 802.1X, 2001年
【非特許文献3】LAN MAN Standards Committee of the IEEE Computer Society, "IEEE 802.11 Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications - Amendment 6: Medium Access Control (MAC) Security Enhancements," IEEE Standard 802.11i, 2004年
【0005】
しかし、従来の技術では上述したように暗号化及び認証技術については改善が進んできたが、無線通信端末の追跡やサービス不能攻撃(Denial of Service attack、以下ではDoS攻撃と呼ぶ)に対する防御方法については課題として残されている。
【0006】
特許文献3は、無線通信システムにおける方法と異なるが、移動体の登録情報を信頼されるクライアントに対してのみ開示可能にするための技術である。本技術はプライバシを保護した登録クライアントの情報管理システムを提供することを目的として、情報管理対象となる登録クライアントの登録情報を、時間の経過とともに変化する秘密識別子として登録する。
秘密識別子は、その生成情報としての識別子と、基準時刻と更新時間間隔に対するハッシュ値として算出され、信頼クライアントにのみ生成情報を通知する。本構成により移動体等の登録クライアントの登録情報を特定の検索クライアント(信頼クライアント)に対してのみ開示可能な構成を開示する。
【0007】

【特許文献3】特開2002-268950号公報
【0008】
該構成において、秘密識別子の生成情報は、少なくとも各装置またはユーザに対応付けられた識別子と、基準時刻と、更新時間とを示す値と乱数とを含むデータであり、秘密識別子は、生成情報に対して一方向性ハッシュ関数を適用して算出される値である。
【0009】
本技術は地理位置情報管理システムにおけるものであって、登録クライアントの識別子からの検索と、位置情報の指定による逆引き検索が可能な構成においても、両検索を併用した登録クライアントの追跡が困難になり、登録クライアント情報の漏洩が防止される。
このように、従来技術では秘密識別子を時間的に変化させて追跡を困難とするような技術は提供されている。
【0010】
しかし、本技術では識別子の他に秘密識別子を用いなければならないため、一般的な無線通信システムに適用することはできない。また端末に対する攻撃という観点から創出された技術であるためにサービス不能攻撃に対応することができない。
端末追跡を回避し、サービス不能攻撃に対応した無線通信システムにおける防御方法を提供するためには、無線通信端末の識別番号には秘密識別子を用いることはできず、またサービス不能攻撃に対して能動的な対策を有する方法でなければならない。
【0011】
このような方法の1つとして、本件発明者らによって非特許文献4に開示されるようにMACアドレスそのものを攻撃時や定期的に更新する技術が知られている。本技術では、アクセスポイントがいずれかの無線通信端末について、現在のMACアドレスと共有しているハッシュ鍵、乱数を用いてハッシュ関数演算し、次のMACアドレスを発生させる。そして、攻撃時には無線通信端末からアクセスポイントに更新の要求を行うことで、アクセスポイントが乱数を通知し、無線通信端末側及びアクセスポイント側でMACアドレスを同期させる。
【0012】
本技術は、識別番号を標的として行われる端末追跡やDoS攻撃に対し、通信システムに大きな変更を加えることなく効果的に回避しうる技術として、従来にはない効果を有するものであった。
しかし、この方法によると、乱数を新しく受信してMACアドレスを更新するまでの間は攻撃にさらされることになり、強力な攻撃の場合には著しく通信が滞る恐れがある。
従って、より高速にMACアドレスを更新することができる技術が求められている。
【0013】

【非特許文献4】D.Inoue, R.Nomura, M.Kuroda "Transient MAC Address Scheme for Untraceability and DoS Attack Resiliency on Wireless Network" Proc. 4th annual Wireless Telecommunications Symposium,2005.
【発明の開示】
【発明が解決しようとする課題】
【0014】
本発明は、上記従来技術の有する問題点に鑑みて創出されたものであり、識別番号を標的として行われる端末追跡やDoS攻撃に対し、一般的な無線通信システムに大きな変更を加えることなく効果的に回避しうる技術を提供することを目的とする。
【課題を解決するための手段】
【0015】
本発明は、上記の課題を解決するために、次のような無線通信システムを提供する。すなわち、端末追跡やDoS攻撃から防御するためにMAC(Media Access Control)アドレス等の無線端末の識別番号を動的に変化させることで、識別番号を標的とした攻撃を回避する。その際、識別番号をアクセスポイントと同期を保ち通信の継続性を維持する。
【0016】
本発明の請求項1に記載の発明は、単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムであり、次のような構成を有する。
アクセスポイントには少なくとも、該無線通信端末に固有の現在及び次の識別番号を記憶する識別番号記憶部と、該無線通信端末との間で共有するハッシュ鍵を記憶する鍵記憶部と、乱数を発生させる乱数発生処理部と、鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、該無線通信端末との通信及び、各処理部への制御処理を行う制御通信処理部とを備える。
【0017】
そしてアクセスポイントは、制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で現在の識別番号及びハッシュ鍵、第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させる。
さらに、制御通信処理部が当該無線通信端末に該第1及び第2の乱数を含む初期化指示信号を送信し、該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する。
【0018】
無線通信端末には少なくとも、アクセスポイントとの通信を行う通信部と、自己に固有の現在及び次の識別番号を記憶する自番号記憶部と、アクセスポイントとの間で共有するハッシュ鍵を記憶する鍵記憶部と、鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部とを備える。
そして、通信部が該アクセスポイントから該初期化指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、該第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する。
【0019】
本発明の請求項2の技術は、定期的に識別番号を更新する技術に係る。上記のアクセスポイントの制御通信処理部が、少なくとも1回以上、前記初期化指示信号を受信した後に、前記無線通信端末に対して所定の周期で更新指示信号を送信する構成を提供する。
制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で次の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させると共に、該制御通信処理部が当該無線通信端末に該第3の乱数を含む更新指示信号を送信し、該識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を該第4の識別番号に更新する。
【0020】
一方、無線通信端末の通信部が、アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された次の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を第4の識別番号に更新する。
【0021】
本発明の請求項3の技術は、攻撃を受けた緊急時に識別番号を更新する技術に係る。
本構成によれば、無線通信端末が、単位時間当たりの通信量を測定してサービス不能攻撃を検出する攻撃検出処理部を備え、攻撃検出時に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記通信部が、アクセスポイントに対して攻撃検出信号を送信する。
【0022】
次いで、アクセスポイントの制御通信処理部が該攻撃検出信号を受信すると、前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記ハッシュ関数演算処理部で更新後の現在の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させ、該制御通信処理部が当該無線通信端末に該第3の乱数を含む乱数通知信号を送信し、次の識別番号を該第4の識別番号に更新する。
【0023】
次いで無線通信端末の通信部が該乱数通知信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された更新後の現在の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した次の識別番号を第4の識別番号に更新する。
【0024】
本発明の請求項4に係る技術は、無線通信端末の通信部が、アクセスポイントからの初期化指示信号又は更新指示信号を受信すると、該アクセスポイントに向けて確認信号を送信する構成である。
そして、前記アクセスポイントの制御通信処理部が、確認信号を受信したことを契機に前記識別番号記憶部に記憶した現在の識別番号及び次の識別番号を更新することを特徴とする。
【0025】
請求項5の発明は、前記アクセスポイントにおいて、識別番号記憶部が、前記更新前の現在の識別番号と、更新後の現在の識別番号と、更新後の次の識別番号とを同時に記憶可能な構成を用いる。
制御通信処理部が、確認信号を受信する前に当該無線通信端末から各識別番号のいずれかからの通信を受信するとそれを検知する検知部と、検知の結果が更新前の現在の識別番号である場合には再度更新指示信号を送信する一方、検知の結果が更新後の次の識別番号である場合には該識別番号記憶部に記憶した更新前の現在の識別番号を更新後の次の識別番号に更新する識別番号同期制御部とからなることを特徴とする。
【0026】
請求項6に記載の発明は前記アクセスポイントが、制御通信処理部における信号の送信時から計時を開始するタイマ部を備えると共に、前記制御通信処理部に存在確認信号送信部を備える一方、無線通信端末の通信部が、該存在確認信号を受信すると存在確認応答を送信する存在確認応答部を備える。
本構成において、更新指示信号の送信から所定の時間が経過したことをタイマ部が検知しても前記確認信号が受信できない場合に、該存在確認信号送信部が前記無線通信端末の次の識別番号に向けて存在確認信号を送信する。
このとき制御通信処理部は、所定の時間が経過したことをタイマ部が検知しても存在確認応答が受信できない場合には再度更新指示信号を送信する一方、存在確認応答を受信した場合には前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新する。
【0027】
請求項7に記載の発明は、上記と同様の構成からなる無線通信システムであって、アクセスポイントには少なくとも、無線通信端末に固有の識別番号を記憶する識別番号記憶部と、無線通信端末との間で共有するハッシュ鍵を記憶する鍵記憶部と、乱数を発生させる乱数発生処理部と、鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、無線通信端末との通信及び、各処理部への制御処理を行う制御通信処理部とを備える。
そして、制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させると共に、該制御通信処理部が当該無線通信端末に乱数を含む更新指示信号を少なくとも所定の周期で送信し、該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する。
【0028】
一方、該無線通信端末には少なくとも、アクセスポイントとの通信を行う通信部と、自己に固有の識別番号を記憶する自番号記憶部と、アクセスポイントとの間で共有するハッシュ鍵を記憶する鍵記憶部と、鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部とを備える。
そして、通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する。
【0029】
請求項8に記載の発明は、前記無線通信端末の識別番号が、MAC(Media Access Control)アドレスであることを特徴とする。
【0030】
請求項9に記載の発明は、単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムにおける通信方法を提供するものである。
該方法において、アクセスポイント及び無線通信端末が予めハッシュ鍵を共有して各々の鍵記憶部に記憶しておき、アクセスポイントの制御通信処理部の制御に従い、いずれかの無線通信端末について、アクセスポイントのハッシュ関数演算処理部が現在の識別番号及びハッシュ鍵、第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させるアクセスポイント側識別番号発生ステップを有する。
【0031】
アクセスポイント側識別番号初期化ステップの前後又は同時に、該制御通信処理部が当該無線通信端末に該第1及び第2の乱数を含む初期化指示信号を送信する初期化指示ステップを有する。
該アクセスポイント側識別番号発生ステップの後のいずれかの時点において該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定するアクセスポイント側識別番号初期化ステップを有する。
次いで無線通信端末の通信部が該アクセスポイントから該初期化指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、該第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させる端末側識別番号発生ステップ、該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する端末側識別番号初期化ステップを有する。
【0032】
請求項10に記載の発明は、アクセスポイントの制御通信処理部が、少なくとも1回以上、前記初期化指示信号を受信した後に、前記無線通信端末に対して所定の周期で更新指示信号を送信する構成であって、該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で次の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させるアクセスポイント側識別番号定期発生ステップ、制御通信処理部が当該無線通信端末に該第3の乱数を含む更新指示信号を送信する更新指示ステップを有する。
【0033】
また、アクセスポイント側識別番号定期発生ステップの後のいずれかの時点において該識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を該第4の識別番号に更新するアクセスポイント側識別番号定期更新ステップを有する。
さらに、無線通信端末の通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された次の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させる端末側識別番号定期発生ステップ、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を第4の識別番号に更新する端末側識別番号定期更新ステップを有することを特徴とする。
【0034】
請求項11に記載の発明は、緊急時に識別番号を更新する際の無線通信方法である。すなわち、無線通信方法の端末側識別番号初期化ステップの後のいずれかの契機において、前記無線通信端末の攻撃検出処理部が、単位時間当たりの通信量を測定してサービス不能攻撃を検出するサービス不能攻撃検出ステップ、攻撃検出時に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記通信部が、アクセスポイントに対して攻撃検出信号を送信する端末側識別番号緊急更新ステップ、アクセスポイントの制御通信処理部が該攻撃検出信号を受信すると、前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記ハッシュ関数演算処理部で更新後の現在の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させ、該制御通信処理部が当該無線通信端末に該第3の乱数を含む乱数通知信号を送信し、次の識別番号を該第4の識別番号に更新するアクセスポイント側識別番号緊急更新ステップを有する。
【0035】
さらに、無線通信端末の通信部が該乱数通知信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された更新後の現在の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した次の識別番号を第4の識別番号に更新する端末側次識別番号緊急更新ステップを有することを特徴とする。
【0036】
請求項12に記載の発明は、前記の無線通信方法において、初期化指示ステップ又は更新指示ステップに続き、無線通信端末の通信部がアクセスポイントに向けて確認信号を送信する確認信号送信ステップ、アクセスポイントの制御通信処理部が、該確認信号を受信する確認信号受信ステップを経て、前記アクセスポイント側識別番号初期化ステップ又は前記アクセスポイント側識別番号定期更新ステップを実行する構成を提供する。
【0037】
請求項13に記載の発明は、確認信号送信ステップと確認信号受信ステップとの間において、アクセスポイントの識別番号記憶部に無線通信端末の前記更新前の現在の識別番号と、更新後の現在の識別番号と、更新後の次の識別番号とを同時に記憶し、制御通信処理部に設けた検知部が当該無線通信端末から各識別番号のいずれかからの通信の有無を検知する検知ステップ、検知の結果が更新前の現在の識別番号である場合には前記更新指示ステップに戻る一方、検知の結果が更新後の次の識別番号である場合には前記アクセスポイント側識別番号緊急更新ステップ以降を実行することを特徴とする無線通信方法である。
【0038】
請求項14に記載の発明は、上記の更新指示ステップから所定の時間が経過したことをアクセスポイントのタイマ部が検知しても前記確認信号受信ステップに到らない場合に、アクセスポイントの制御通信処理部に設けた存在確認信号送信部が前記無線通信端末の次の識別番号に向けて存在確認信号を送信する存在確認ステップ、該存在確認信号に対して無線通信端末からの存在確認応答が所定時間内に受信できない場合には前記更新指示ステップに戻る。
一方、存在確認応答を受信した場合には前記アクセスポイント側識別番号定期更新ステップを実行する。
【0039】
請求項15に記載の発明は、単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムにおける通信方法である。アクセスポイント及び無線通信端末が予めハッシュ鍵を共有して各々の鍵記憶部に記憶しておき、次の各ステップを処理する。
(1)アクセスポイントの制御通信処理部の制御に従い、いずれかの無線通信端末について、アクセスポイントのハッシュ関数演算処理部が現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させるアクセスポイント側識別番号発生ステップ、
(2)該制御通信処理部が当該無線通信端末に乱数を含む更新指示信号を少なくとも所定の周期で送信する更新指示ステップ、
(3)無線通信端末の通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させる端末側識別番号発生ステップ、
(4)無線通信端末の自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する端末側識別番号更新ステップ、
(5)該更新指示ステップの後のいずれかの時点においてアクセスポイントの識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新するアクセスポイント側識別番号更新ステップ。
【0040】
請求項16に記載の発明は、無線通信端末の識別番号が、MAC(Media Access Control)アドレスである通信方法を提供するものである。
【発明の効果】
【0041】
本発明は、アクセスポイントと無線通信端末において次に更新する識別番号を保持しているため、無線通信端末において攻撃を検知すると即座に識別番号を変更し、攻撃を逃れることが出来るようになる。
識別番号を定期的に変更することで端末追跡は困難になる。また無線通信端末がDoS攻撃を検知した際に緊急で識別番号を変更することができるので、DoS攻撃の被害が軽減できる。
特に、更新を行う前の識別番号、行った後の識別番号に加え、その次の識別番号をアクセスポイントに保持することで、更新時におけるアクセスポイントと無線通信端末との間の通信に障害が生じても、効率的に再同期を行うことができる。
【発明を実施するための最良の形態】
【0042】
以下、本発明の実施形態を、図面に示す実施例を基に説明する。なお、実施形態は下記に限定されるものではない。
図1は本発明に係る無線通信システムの全体構成図、図2はアクセスポイントの構成図、図3は無線通信端末の構成図である。
図1に示すように、本無線通信システム(1)は少なくとも1基のアクセスポイント(10)と、それと通信可能な単数又は複数の無線通信端末(20)・・から構成される。
【0043】
通信の過程でアクセスポイント(10)と無線通信端末(20)等とは周知のように無線通信端末の識別番号であるMACアドレス(2)により端末の識別を行っており、アクセスポイント側ではメモリ等の記憶部に各端末のMACアドレスを記憶する。
MACアドレスはLANなどで使用される伝送制御技術であるMAC(Media Access Control)で用いられる。MACはフレーム(データの送受信単位)の送受信方法やフレームの形式、誤り検出方法などを規定している。
【0044】
原則としてMACアドレスはグローバルなネットワークにおいても固有な識別番号として振られており、ネットワークインターフェースカード(NIC)に対して48ビットが定義されている。前半24ビットがIEEEで管理されたベンダー固有の識別番号で、後半24ビットが各NICの連番である。
しかし、非特許文献5に記述されている通り、これらをソフトウェアからの制御によって自由に変更することは容易である。
【0045】
<nplcit num="5"> <text>William A. Arbaugh, Narendar Shankar, Y.C. Justin Wan and Kan Zhang, "Your 802.11 Wireless Network has No Clothes," IEEE Wireless Communications, Volume 9, Issue 6, pp.44-51, 2002年</text></nplcit>
【0046】
この方法でMACアドレスを変更した場合、グローバルな固有性は確保出来ず、仮に同一のローカルエリアにおいて同一のMACアドレスが存在した場合にはコンフリクトの原因となる。しかし、あるローカルエリアにおいて同一のMACアドレスがなければ、必ずしもグローバルなネットワークにおいて固有性が確保できなくとも、コンフリクト等の障害は発生しない。
【0047】
このようなローカルエリアにおいての識別番号の固有性を確保するためには、各無線通信端末が独自に自己のMACアドレスを変更することはできない。従って、アクセスポイントが各無線通信端末のMACアドレスを変更する主導権を握る必要があり、本願はそのためのアクセスポイントにおける処理、無線通信端末における処理、特に両者の識別番号の同期方法を創出した技術である。
【0048】
本実施例では3つの鍵を用いて通信を行うことを前提とする。すなわち、鍵として、フレーム本体を暗号化するための暗号化鍵と、フレームと共に送信されるメッセージ認証子を算出するための認証鍵と、さらに本願でMACアドレスの更新時に計算に用いるハッシュ鍵であるTMAC鍵である。
これらの鍵を共有する方法は、周知の技術を用いることができる。また同様に通信するフレームの暗号化及び認証についても公知の技術を用いることができ、本願のMACアドレス変更技術と併用して使うことが望ましい。
【0049】
本願のアクセスポイントは公知の無線LANアクセスポイントなど、無線通信端末と通信を行う諸機構を備えるが、さらに次のような特徴を備える。
すなわち、アクセスポイント(10)には演算手段(11)と、メモリ手段(12)と、実際の通信を司るアンテナを付属したネットワークカード(13)を備えている。
【0050】
そして、演算手段(11)には乱数発生処理部(111)、ハッシュ関数演算処理部(112)、制御通信処理部(113)の諸機能を有している。制御通信処理部(113)は本発明によるMACアドレス変更に係る制御処理や、後述する指示信号の送信・確認信号の受信などの通信処理を司る他、特に検知部(114)及び識別番号同期制御部(115)を備えている。
【0051】
さらにメモリ手段(12)には通信する無線通信端末の識別番号(MACアドレス)を記憶している識別番号記憶部(121)と、通信で用いる上記の暗号化鍵、認証鍵、TMAC鍵とを記憶する鍵記憶部(122)とを有している。言うまでもなく、これらは1個のメモリ上に記憶されていてよい。
【0052】
次に、図3に示すように無線端末装置(20)には上記のネットワークカード(13)と対応して通信を行うアンテナを付属したネットワークカード(21)と、演算手段(22)、メモリ手段(23)を備える。
演算手段にはネットワークカード(21)を制御し通信を司る通信部(221)と、ハッシュ関数演算処理部(222)、攻撃検出処理部(223)の諸機能を有している。
【0053】
さらにメモリ手段(23)には自己の識別番号(MACアドレス)を記憶している自番号記憶部(231)と、通信で用いる上記の暗号化鍵、認証鍵、TMAC鍵とを記憶する鍵記憶部(232)とを有している。上記同様、これらは1個のメモリ上に記憶されていてよい。
【0054】
以上の構成において、本発明に係るアクセスポイント(10)及び無線通信端末(20)とは、最初にMACアドレスを設定する際の初期化制御、定期的にMACアドレスを更新する際の定期更新制御、攻撃を受けた時にMACアドレスを更新する際の緊急更新制御の3種類の制御信号通信を基本とする。
これらの通信はアクセスポイント(10)における制御通信処理部(113)と、無線通信端末(20)における通信部(221)との間で行う。
【0055】
初期化制御について説述する。初期化制御は、無線通信端末(20)とアクセスポイント(10)において1つのMACアドレスを保持しており、通信が行えている状態であって、これから本願発明による技術を導入するための最初の工程である。
図4は初期化制御の流れ図である。まず乱数発生処理部(111)が2種類の乱数(第1乱数)Rand0と(第2乱数)Rand1を発生させる(S1)。ここで2つの乱数は現在の当該無線端末のMACアドレス1個に対応して2個発生させる。
【0056】
次にハッシュ関数演算処理部(112)が、現在のMACアドレスTMAC0と、発生した乱数Rand0,Rand1を用いて次の数1に示されるハッシュ関数を用いて第2及び第3の新しいMACアドレスTMAC1とTMAC2を算出(S2)する。数式に明らかなように、TMAC2はTMAC1の算出結果を用いて算出される。一方向ハッシュ関数については公知であり、演算方法も既存の方法を用いることができる。
【0057】
(数1)
TMAC1 = h(Ktmac, TMAC0 || Rand0)
TMAC2 = h(Ktmac, TMAC1 || Rand1)
上記の式においてh()はハッシュ関数、Ktmacはアクセスポイントと無線通信端末で共有しているTMAC鍵である。
【0058】
算出されたMACアドレスについて、ハッシュ関数演算処理部においてローカルエリア内に重複したMACアドレスが存在しないか、重複確認(S3)を行う。このとき、識別番号記憶部(121)には後述するように各無線通信端末について更新前の現在の鍵(上記の例ではTMAC0)と、更新後の現在の鍵(上記の例ではTMAC1)、更新後の次の鍵(上記の例ではTMAC2)の3つの識別番号を記憶しておくことができるのでそのような構成の場合には新旧の識別番号と重複していないかを確認する。
【0059】
もし重複したMACアドレスが存在した場合には、乱数発生ステップ(S1)に戻り、再びS2,S3の処理を行う。これにより、ローカルエリアにおけるMACアドレスの固有性が確保される。
重複確認(S3)で問題がなければ、2つのMACアドレスをメモリ内に一時格納(S4)する。
S1?S4に係るアクセスポイント側識別番号発生ステップが終了する。
【0060】
そして、次に初期化指示ステップとして、制御通信処理部(113)は無線通信端末に対して初期化指示信号を送出する(S5)。
該初期化指示信号には、上記で発生させた2つの乱数Rand0とRand1が含まれている。
【0061】
図5は初期化制御のシーケンス図である。図5において左端の破線は無線通信端末(Mobile Device)が自己のMACアドレスをどのように認識しているか、右端の破線はアクセスポイント(Access Point)が当該無線通信端末のMACアドレスをどのように認識しているかを示している。
該初期化指示信号(Initial Update Command)の宛先は現在のMACアドレスであるTMAC0である。
通常は、初期化指示信号を通信部(221)で受信した無線通信端末からは確認信号Update Acknowledgeがアクセスポイントに返され、受信する(S6)。
【0062】
そして、アクセスポイント側識別番号初期化ステップでは、制御通信処理部は識別番号記憶部(121)に当該無線通信端末の現在のMACアドレスとしてTMAC1を、次のMACアドレスとしてTMAC2を記憶させる(S7)。
これにより、アクセスポイントにおいて当該無線通信端末のMACアドレスはTMAC1を基本として認識される。もっとも、本願技術ではTMAC0 TMAC2をいずれも記憶し、かつ通信可能としておくことで、どのMACアドレスからであっても通信が可能とすることができる。
【0063】
同時に無線通信端末では、確認信号を送信すると共に、ハッシュ関数演算処理部(222)において上記アクセスポイントにおけるのと同様の演算処理を行い、初期化指示信号で受信した乱数を用いて変更するMACアドレスTMAC1とTMAC2を算出する。これが端末側識別番号発生ステップである。
続いて端末側識別番号初期化ステップとして、自番号記憶部(231)に記憶した現在のMACアドレスをTMAC1に、次のMACアドレスをTMAC2を設定して、以後はTMAC1の無線通信端末として振る舞う。
【0064】
以上が初期化制御の処理である。このような初期化の後、本願では定期的にMACアドレスを更新する定期更新制御を行うことができる。
図6には、定期更新制御のシーケンス図を示す。ここでは更新前の現在のMACアドレスTMACiから更新後の現在のMACアドレスTMAC1+1に更新する過程を示している。定期更新の周期は、例えば10秒間隔にて次の各処理を行うことが望ましい。その場合、アクセスポイントのメモリ手段には、各無線通信端末毎に次回の更新時間、更新間隔、通し番号(送信回数)を記録しておく。
【0065】
定期更新時、アクセスポイントでは乱数発生処理部(111)が第3の乱数としてRandi+1を発生させる。ここで、第1?第3の乱数と表記しているが、いずれも乱数を用いる契機に応じて表現を変えて説明をしているにすぎず、それぞれが固定の数値を持つものではない。例えば、第3の乱数という用語は毎回の定期更新時に繰り返し用いられるが、その都度乱数として異なる数値である。
【0066】
そして、ハッシュ関数演算処理部(112)が第3の乱数を用いて次のMACアドレス(第4のMACアドレス)を算出する。ここでの第4の意味についても上記同様で、更新前に用いているMACアドレスを第2、更新後に用いているMACアドレスを第3とした時に、次のMACアドレスを意味している。
第4のMACアドレスについて初期化制御時と同様に重複確認する。以上によりアクセスポイント側識別番号定期発生ステップが終了する。
問題がなければ更新指示ステップとして、該第3の乱数を含む更新指示信号を無線通信端末の通信部(221)に向けて送る。
【0067】
通常は、更新指示信号を通信部(221)で受信した無線通信端末からは確認信号Update Acknowledgeがアクセスポイントに返され、受信する。この受信の後、アクセスポイントにおいて前に計算していた第3のMACアドレスを、現在のMACアドレスに、第4のMACアドレスを次のMACアドレスに、それぞれ更新する。本処理がアクセスポイント側識別番号定期更新ステップである。
【0068】
一方、無線通信端末では、確認信号を送信すると共に、ハッシュ関数演算処理部(222)において上記アクセスポイントにおけるのと同様の演算処理を行い、更新指示信号で受信した乱数を用いて変更するMACアドレスTMACi+1とTMACi+2を算出する。これが端末側識別番号定期発生ステップである。
続いて端末側識別番号定期更新ステップとして、自番号記憶部(231)に記憶した現在のMACアドレスをTMACi+1に、次のMACアドレスをTMACi+2を設定して、以後はTMACi+1の無線通信端末として振る舞う。
【0069】
本発明の無線通信システムでは、DoS攻撃に対して効果的に防御を行うために、緊急のMACアドレス変更処理が可能である。次に緊急更新処理について説述する。図7は緊急更新処理のシーケンス図である。
まず、無線通信端末には攻撃検出処理部(223)が備えられていて、不正なフレームを一定量以上受信した場合に、サービス不能攻撃を受けたと検出するようにしている。これが本無線通信方法における緊急更新制御の処理である。
【0070】
本実施例では、明らかに不正なフレームやメッセージ認証子を含まないフレームなどが所定の回数以上、例えば1秒間に10フレーム以上受信した時に、攻撃検出を行う。
攻撃検出処理部(223)からの指示により、端末側識別番号緊急更新ステップとして、自番号記憶部(231)に記憶した現在のMACアドレスをTMACiから次のMACアドレスTMACi+1に即座に切り替える。そして以後はTMACi+1の無線通信端末として振る舞うため、その時点で攻撃から逃げることができる。このように、瞬時にDoS攻撃から防御できる点が本願の最大の特徴である。
【0071】
MACアドレスを更新した後に、通信部(221)はアクセスポイント(10)に向けて攻撃検出信号Random Number Requestを送出する。該攻撃検出信号に応じてアクセスポイントの制御通信処理部(113)はまず識別番号記憶部から読み出して当該無線通信端末のMACアドレスをTMACi+1に更新する。このとき、アクセスポイントが、TMACi+1のMACアドレスである無線通信端末からの攻撃検出信号を受信できるのは、上述したように無線通信端末につき3つのMACアドレスを記憶し、通信出来る状態にあるからである。
【0072】
さらに次のMACアドレスを準備するために、乱数発生処理部(111)は新たな第3の乱数を発生し、ハッシュ関数演算処理部(112)で第4のMACアドレスTMACi+2を算出し、重複検査の後、乱数通知信号(Random Number Supply)により該第3の乱数Randi+1を無線通信端末(20)に通知する。以上が、アクセスポイント側識別番号緊急更新ステップの流れである。
【0073】
そして、無線通信端末(20)では、受信した乱数Randi+1を用いてTMACi+2を算出し、自番号記憶部(231)に格納する。これにより端末側次識別番号緊急更新ステップも完了する。
【0074】
以上が、初期化制御、定期更新制御、緊急更新制御におけるアクセスポイント及び無線通信端末の処理の流れである。図5ないし7のように、各信号が相手方に確実に届いた場合には上記処理によって円滑にMACアドレスの更新が行われる。しかしながら、無線通信におけるフレームはしばしば遅延や欠落が生じることが知られており、通常の方法では正しく通信を継続することができなくなってしまう。
これに対して、本願では仮に各信号が到達しなくとも正常に同期が取れることを特徴としている。
【0075】
まず、周期的なMACアドレスの更新処理時における再同期処理につき説述する。事例として、図8のように更新指示信号UpdateCommandが無線通信端末に到達する前に失われる場合と、図9のように無線通信端末には到達したものの確認信号Update Acknowledgeがアクセスポイントに到達せずに失われる場合とが考えられる。
【0076】
まず図8の場合を検討すると、アクセスポイントは更新指示信号を送出した後も無線通信端末から確認信号を受信するまでは、そのMACアドレスをTMACiから更新していない。そのために無線通信端末から何らかの通信(Traffic)があった場合でも、これを正常に受信することができる。
【0077】
このとき、制御通信処理部(113)には検知部(114)を設けてあり、該検知部(114)は、受信した信号が新旧いずれのMACアドレスから受信したものかを検知する(検知ステップ)。
そして、図8の場合には旧アドレスからであることが検知されることで、アクセスポイントの識別番号同期制御部(115)は更新指示信号が正常に到達しなかったことを認識でき、その場合には上記送信回数を増やすと共に、乱数については先の更新指示信号と同一の値Randi+1を送信する。
【0078】
一方、図9の場合を検討すると、更新指示信号が無線通信端末に到達するため、無線通信端末側ではMACアドレスの変更が行われる。しかし確認信号がアクセスポイントに到達しないので、アクセスポイント側ではTMACiから更新されない。
この場合でも、無線通信端末から何らかの通信があった場合に、制御通信処理部の検知部(114)は識別番号記憶部(121)に格納していたTMACi+1を参照することにより、本通信が無線通信端末からの通信であることを認識することができる。
【0079】
さらに、識別番号同期制御部(115)はこの通信の到達によって、先の更新指示信号が到達したことと、確認信号が到達しなかったことを認識できる。そこで該識別番号同期制御部(115)は上記アクセスポイント側識別番号定期更新ステップと同様の処理により当該無線通信端末のMACアドレスを変更する処理を実行する。
以上の2通りの場合においても、識別番号記憶部(121)に更新前と更新後の両方の現在のMACアドレスを格納してあることによって、検知部(114)と識別番号同期制御部(115)が作用して正確なMACアドレスの再同期を実行することができる。
【0080】
次に、再同期処理に最適な第2の実施例を図面を用いて説述する。図10は第2の実施例におけるアクセスポイントの構成図であり、図11は同無線通信端末の構成図である。
図示の通り、第1の実施例に加えてアクセスポイントの制御通信処理部(113)にはタイマ部(116)と存在確認信号送信部(117)とを、無線通信端末(20)には存在確認応答部(224)を設けている。
【0081】
本構成において、上述した周期的なMACアドレスの更新処理時における再同期処理を説述する。ここでも事例として、図12のように更新指示信号Update Commandが無線通信端末に到達する前に失われる場合と、図13のように無線通信端末には到達したものの確認信号Update Acknowledgeがアクセスポイントに到達せずに失われる場合とを考える。
【0082】
まず前者の図12の事例において、更新指示信号Update Commandを送信すると同時に、タイマ部(116)が計時を開始(Start ACK timer)する。正常通信時には所定の時間内に確認信号を受信するが、本事例では更新指示信号が無線通信端末に到達していないため、当然に確認信号は返信されない。
そして、タイマ部(116)における計時により所定の確認タイマ時間が経過(ACK timer expires)すると、存在確認信号送信部(117)に通知される。存在確認信号送信部(117)は、まず識別番号記憶部(121)を参照して第2のMACアドレスTMACi+1に対して存在確認信号Presence Queryを送信する。
【0083】
このような処理は更新指示信号が正常に無線通信端末に到達したことを前提としているが、実際には到達していないために存在確認信号に対する応答が返ってくることはない。
本実施例ではタイマ部(116)が前記存在確認信号の送信と同時に計時を開始(Start RES timer)し、所定の存在確認応答タイマ時間が経過した場合(RES timer expires)には、応答が返ってこないことによって識別番号同期制御部(115)は、更新指示信号が到達していないことを認識できる。
従って、第1の実施例の場合と同様に、送信回数を増やすと共に、乱数については先の更新指示信号と同一の値Randi+1を送信する。
【0084】
なお、存在確認信号が途中で失われる場合も想定されるが、このときには更新指示信号が到達しなかった場合と同様に確認タイマ時間が時間切れとなり、以降は同様に処理される。
なお、上記確認タイマ時間と存在確認応答タイマ時間は同一時間である必要はなく、適宜設定することができる。
【0085】
次に図13の事例、すなわち無線通信端末からの確認信号Update Acknowledgeが途中で失われた場合を説述する。
この場合でも、アクセスポイントの確認タイマ時間は時間切れとなるため、存在確認信号送信部(117)が存在確認信号を送信する。この信号はMACアドレスTMACi+1に対して送られるが、図13の事例では無線通信端末側ではMACアドレスがTMACi+1に変更されているため、存在確認信号は正常に到達する。
【0086】
存在確認信号を受信した無線通信端末は存在確認応答部(224)がTMACi+1を発信アドレスとして存在確認応答(Presence Response)を返信する。アクセスポイントでは存在確認応答が存在確認応答タイマ時間内に受信できたことにより無線通信端末においてMACアドレスがTMACi+1に変更されたことを認識することができる。そこで該識別番号同期制御部(115)は上記アクセスポイント側識別番号定期更新ステップと同様の処理により当該無線通信端末のMACアドレスを変更する処理を実行する。
【0087】
本発明の第3の実施例として、図14に示すように無線通信端末(20)にタイマ部(225)を備えた構成を示す。
このタイマ部(225)は図15のように、攻撃検出信号が途中で失われた場合や、図16のように乱数通知信号が途中で失われた場合に作用する。
まず図15の場合には、無線通信端末(20)に対して攻撃(attack)が発生した場合、本願技術により無線通信端末のMACアドレスはTMACi+1に更新され、上述の通りアクセスポイントに対して攻撃検出信号(Random Number Request)が送出される。該信号の送出と同時にタイマ部(225)が計時を開始(Start SUP timer)する。通常は時間内に乱数通知信号が返信されるが、ここでは攻撃検出信号がアクセスポイントに到達していないため、乱数通知信号も到着しない。
【0088】
そして計時が所定の時間を経過(SUP timer expires)することにより、タイマ部(225)は通信部(221)から再度攻撃検出信号を送出するように指示する。図中の次の攻撃検出信号はアクセスポイントに到達した様子を示しており、アクセスポイントでMACアドレスの更新などの処理が進められる。
【0089】
次に、図16の事例について説述する。
この場合、最初の攻撃検出信号がアクセスポイントに到達しているため、アクセスポイント側でもMACアドレスは更新されており、乱数通知信号も送出されている。しかし、この乱数通知信号が途中で失われたことにより、タイマ部(225)の計時は図15の事例と同様に所定時間が経過する。
タイマ部(225)は通信部(221)から再度攻撃検出信号を送出するように指示し、2度目の攻撃検出信号がアクセスポイントに到達する。
【0090】
アクセスポイントでは、2度目の攻撃検出信号が到達したことにより、前回の乱数通知信号が到達していないことを知ることができるので、再度前回送出した乱数通知信号を通知する。
以上のように無線通信端末にタイマ部を設けることで、攻撃検出後にも再同期が効率的に行える。
【0091】
最後に、図17は本発明のアクセスポイントの識別番号記憶部(121)に更新前の現在のMACアドレスTMACi、更新後の現在のMACアドレスTMACi+1、更新後の次のMACアドレスTMACi+2を全て記憶しておく構成における再同期処理のシーケンス図である。
本図では、定期更新の更新指示信号(Update Command)に対する確認信号が途中で失われ、アクセスポイントのタイマ部(116)における確認信号の計時時間内に、攻撃が生じた場合を示している。
【0092】
最初の更新指示信号により、無線通信端末側のMACアドレスはTMACi+1に更新される。さらに、攻撃の検出によりTMACi+2に更新される。TMACi+2は更新指示信号で通知された乱数を用いて算出されたものである。
この時点で、アクセスポイント側では確認信号が未達であるため無線通信端末のTMACiのままである。
【0093】
本発明では、TMACi+1に更新する指示を行った後も、TMACi、TMACi+1、TMACi+2の全てのMACアドレスを保持しているため、無線通信端末(20)からの攻撃検出信号がTMACi+2のアドレスから送られてきてもそれを受信することができる。そして、識別番号同期制御部(115)の作用により、識別番号記憶部(121)における現在のMACアドレスをTMACi+2に更新し、次のMACアドレスを算出するための乱数を送出することができる。
このように、3つのアドレスを保持することで、更新中に攻撃があった場合などであっても、的確にMACアドレスの再同期を行うことが可能である。
【0094】
さらに本発明では第4の実施例として図10及び図11に示すアクセスポイント及び無線通信端末を用いて次のような各信号処理を行っても良い。
まず更新指示信号について説述する。本実施例の更新指示信号は、図18に示すように、まず乱数発生処理部(111)が乱数Randiを発生させる。(S11)。ここでiは現在の当該無線端末のMACアドレス1個に対応して1個発生させる。
【0095】
次にハッシュ関数演算処理部(112)が、発生した乱数Randiを用いて次の数1に示されるハッシュ関数を用いて第2の新しいMACアドレスTMACi+1を算出(S12)する。算出されたMACアドレスについて、ハッシュ関数演算処理部においてローカルエリア内に重複したMACアドレスが存在しないか、重複確認(S13)を行う。このとき、識別番号記憶部(121)には後述するように各無線通信端末について新旧2つの識別番号を記憶しておくことができるのでそのような構成の場合には新旧の識別番号と重複していないかを確認する。
【0096】
もし重複したMACアドレスが存在した場合には、乱数発生ステップ(S11)に戻り、再びS12,S13の処理を行う。これにより、ローカルエリアにおけるMACアドレスの固有性が確保される。
重複確認(S13)で問題がないときには、制御通信処理部は識別番号記憶部(121)に当該無線通信端末の次のMACアドレスとしてTMACi+1を記憶させる。(S14)
以上によって、S11-S14に係るアクセスポイント側識別番号発生ステップが終了する。
【0097】
そして、次に更新指示ステップとして、制御通信処理部(113)は無線通信端末に対して更新指示信号Update Command(Randi)を送出する(S15)。
図19には更新指示に係る信号のシーケンス図を示す。図19において左端の破線は無線通信端末(Mobile Device)が自己のMACアドレスをどのように認識しているか、右端の破線はアクセスポイント(Access Point)が当該無線通信端末のMACアドレスをどのように認識しているかを示している。
該更新指示信号には乱数Randiを含んでおり、このときの宛先は現在のMACアドレスであるTMACiである。
通常は、更新指示信号を通信部(221)で受信した無線通信端末からは確認信号Update Acknowledgeがアクセスポイントに返され、受信する(S16)。
【0098】
確認信号を受信したアクセスポイントは、無線通信端末においてMACアドレスが更新されると判定ができるため、制御通信処理部(113)の作用により識別番号記憶部(121)に記憶された現在のMACアドレスを上記で算出した第2のMACアドレスに変更する処理(S17)を行い、第2のMACアドレスは空データとなる。本処理がアクセスポイント側識別番号更新ステップである。
【0099】
同時に無線通信端末では、確認信号を送信すると共に、ハッシュ関数演算処理部(222)において上記アクセスポイントにおけるのと同様の演算処理を行い、更新指示信号で受信した乱数を用いて変更するMACアドレスTMACi+1を算出する。これが端末側識別番号発生ステップである。
続いて端末側識別番号更新ステップとして、自番号記憶部(231)に記憶した現在のMACアドレスをTMACi+1に更新して、以後はTMACi+1の無線通信端末として振る舞う。
【0100】
以上のようなMACアドレスの更新は任意のタイミングで行うことができるが、1つの実施例として周期的、例えば10秒間隔にてS1ないしS7の処理を行うことが望ましい。その場合、アクセスポイントのメモリ手段には、各無線通信端末毎に次回の更新時間、更新間隔、通し番号(送信回数)を記録しておく。
【0101】
本発明の無線通信システムでは、DoS攻撃に対して効果的に防御を行うために、緊急のMACアドレス変更処理が可能である。次に緊急更新処理について説述する。図20は緊急更新処理のシーケンス図である。
まず、無線通信端末には攻撃検出処理部(223)が備えられていて、不正なフレームを一定量以上受信した場合に、サービス不能攻撃を受けたと検出するようにしている。これが本無線通信方法におけるサービス不能攻撃検出ステップの処理である。
【0102】
本実施例では、明らかに不正なフレームやメッセージ認証子を含まないフレームなどが所定の回数以上、例えば1秒間に10フレーム以上受信した時に、攻撃検出を行う。
攻撃検出処理部(223)からの指示により、通信部(221)はアクセスポイント(10)に向けて更新指示要求Update Requestを送出(更新指示要求ステップ)する。該更新指示要求に応じてアクセスポイントの制御通信処理部(113)は上記S11からの処理を実行するように制御する。
【0103】
以上が、更新指示信号と更新指示要求・確認信号の各信号に基づくアクセスポイント及び無線通信端末の処理の流れである。図19及び20のように、各信号が相手方に確実に届いた場合には上記処理によって円滑にMACアドレスの更新が行われる。しかしながら、無線通信におけるフレームはしばしば遅延や欠落が生じることが知られており、通常の方法では正しく通信を継続することができなくなってしまう。
これに対して、本願では仮に各信号が到達しなくとも正常に同期が取れることを特徴としている。
【0104】
まず、周期的なMACアドレスの更新処理時における再同期処理につき説述する。事例として、図21のように更新指示信号UpdateCommandが無線通信端末に到達する前に失われる場合と、図22のように無線通信端末には到達したものの確認信号Update Acknowledgeがアクセスポイントに到達せずに失われる場合とが考えられる。
【0105】
まず図21の場合を検討すると、アクセスポイントは更新指示信号を送出した後も無線通信端末から確認信号を受信するまでは、そのMACアドレスをTMACiから更新していない。そのために無線通信端末から何らかの通信(Traffic)があった場合でも、これを正常に受信することができる。
【0106】
このとき、制御通信処理部(113)には検知部(114)を設けてあり、該検知部(114)は、受信した信号が新旧いずれのMACアドレスから受信したものかを検知する(検知ステップ)。
そして、図21の場合には旧アドレスからであることが検知されることで、アクセスポイントの識別番号同期制御部(115)は更新指示信号が正常に到達しなかったことを認識でき、その場合には上記送信回数を増やすと共に、乱数については先の更新指示信号と同一の値を送信する。図18のS15以降の処理と以下同様である。
【0107】
一方、図22の場合を検討すると、更新指示信号が無線通信端末に到達するため、無線通信端末側ではMACアドレスの変更が行われる。しかし確認信号がアクセスポイントに到達しないので、アクセスポイント側ではTMACiから更新されない。
この場合でも、無線通信端末から何らかの通信があった場合に、制御通信処理部の検知部(114)は識別番号記憶部(121)に図18のS14において格納していたTMACi+1を参照することにより、本通信が無線通信端末からの通信であることを認識することができる。
【0108】
さらに、識別番号同期制御部(115)はこの通信の到達によって、先の更新指示信号が到達したことと、確認信号が到達しなかったことを認識できる。そこで該識別番号同期制御部(115)はS16がなされたものと同様の処理により当該無線通信端末のMACアドレスを変更する処理(S17)を実行する。
以上の2通りの場合においても、識別番号記憶部(121)に新旧両方のMACアドレスを格納してあることによって、検知部(114)と識別番号同期制御部(115)が作用して正確なMACアドレスの再同期を実行することができる。
【0109】
次に、緊急更新処理時における再同期処理につき説述する。
図23に示すように、無線通信端末(20)から更新指示要求Update Requestが送信された場合に、該更新指示要求が途中で失われる事例が想定される。この事例においては、アクセスポイント(10)は更新指示要求が送信されたことを知ることができないため、無線通信端末側で解決する必要がある。
そこで、無線通信端末(20)には図示しないタイマ部を備えておき、更新指示要求の送信と同時に計時を開始して所定の時間内にアクセスポイントからの更新指示信号を受信しない場合に、更新指示要求を通信部(221)から送信回数を1回増やすと共に再度送信するようにする。
【0110】
図24は、無線通信端末からの更新指示要求は到達したものの、アクセスポイントからの更新指示信号が途中で失われた事例を示している。
この場合に上述の通りアクセスポイント側での再同期処理も行われるが、先に無線通信端末のタイマ部での計時が所定の時間を経過した場合には、更新指示要求を通信部(221)から送信回数を1回増やすと共に再度送信すればよい。
【0111】
次に、再同期処理について説明する。
図25のように更新指示信号Update Commandが無線通信端末に到達する前に失われる場合と、図26のように無線通信端末には到達したものの確認信号Update Acknowledgeがアクセスポイントに到達せずに失われる場合とを考える。
【0112】
まず前者の図15の事例において、更新指示信号Update Commandを送信すると同時に、タイマ部(116)が計時を開始する。正常通信時には所定の時間内に確認信号を受信するが、本事例では更新指示信号が無線通信端末に到達していないため、当然に確認信号は返信されない。
そして、タイマ部(116)における計時により所定の確認タイマ時間が経過(ACK timer expires)すると、存在確認信号送信部(117)に通知される。存在確認信号送信部(117)は、まず識別番号記憶部(121)を参照して第2のMACアドレスTMACi+1に対して存在確認信号Presence Queryを送信する。
【0113】
このような処理は更新指示信号が正常に無線通信端末に到達したことを前提としているが、実際には到達していないために存在確認信号に対する応答が返ってくることはない。
本実施例ではタイマ部(116)が前記存在確認信号の送信と同時に計時を開始し、所定の存在確認応答タイマ時間が経過した場合(RES timer expires)には、応答が返ってこないことによって識別番号同期制御部(115)は、更新指示信号が到達していないことを認識できる。
従って、送信回数を増やすと共に、乱数については先の更新指示信号と同一の値を送信する。図18のS15以降の処理と以下同様である。
【0114】
なお、存在確認信号が途中で失われる場合も想定されるが、このときには更新指示信号が到達しなかった場合と同様に確認タイマ時間が時間切れとなり、以降は同様に処理される。
なお、上記確認タイマ時間と存在確認応答タイマ時間は同一時間である必要はなく、適宜設定することができる。
【0115】
次に図26の事例、すなわち無線通信端末からの確認信号が途中で失われた場合を説述する。
この場合でも、アクセスポイントの確認タイマ時間は時間切れとなるため、存在確認信号送信部(117)が存在確認信号を送信する。この信号はMACアドレスTMACi+1に対して送られるが、図26の事例では無線通信端末側ではMACアドレスがTMACi+1に変更されているため、存在確認信号は正常に到達する。
【0116】
存在確認信号を受信した無線通信端末は存在確認応答部(224)がTMACi+1を発信アドレスとして存在確認応答(Presence Response)を返信する。アクセスポイントでは存在確認応答が存在確認応答タイマ時間内に受信できたことにより無線通信端末においてMACアドレスがTMACi+1に変更されたことを認識することができる。そこで該識別番号同期制御部(115)は図18のS16がなされたものと同様の処理により当該無線通信端末のMACアドレスを変更する処理(S7)を実行する。
【0117】
本発明の効果を実証するために、無線通信端末から100ms毎に1個の無線通信フレームを送信する無線通信システムのシミュレーションを行った。ここでは上記実施例1におけるシステムを用いた。攻撃者が盗聴により収集したMACアドレスの中から1つの無線通信端末を選んで0.1ms毎に攻撃フレームを送信する。攻撃時間のあと100msは中断する。
この100msは攻撃者がMACアドレスを収集する時間を想定しており、攻撃者がMACアドレスの収集、攻撃を繰り返している状態をシミュレーションしている。
【0118】
図27は本発明を実装しない通常の無線通信システム(実線)、非特許文献4で開示される攻撃後にアクセスポイントに対して更新要求を行う無線通信システム(長破線)、本発明の無線通信システム(短破線)における攻撃成功のフレーム数を示すグラフである。
このシミュレーション結果から、従来のシステムに対しては顕著に、非特許文献4の技術に対しても1/4程度まで攻撃の成功数を減少させられることが示された。
【図面の簡単な説明】
【0119】
【図1】本発明の無線通信システムの全体構成図である。
【図2】本発明のアクセスポイント(第1実施例)の構成図である。
【図3】本発明の無線通信端末(第1実施例)の構成図である。
【図4】アクセスポイントにおける処理の流れ図である。
【図5】初期化制御時のシーケンス図である。
【図6】定期更新制御時のシーケンス図である。
【図7】緊急更新制御時のシーケンス図である。
【図8】更新指示信号が途中で欠落した事例のシーケンス図である。
【図9】確認信号が途中で欠落した事例のシーケンス図である。
【図10】本発明のアクセスポイント(第2実施例)の構成図である。
【図11】本発明の無線通信端末(第2実施例)の構成図である。
【図12】存在確認信号を用いる第2実施例で更新指示信号が途中で欠落した事例のシーケンス図である。
【図13】存在確認信号を用いる第2実施例で確認信号が途中で欠落した事例のシーケンス図である。
【図14】本発明の無線通信端末(第3実施例)の構成図である。
【図15】攻撃検出信号が途中で欠落した事例のシーケンス図である。
【図16】乱数通知信号が途中で欠落した事例のシーケンス図である。
【図17】確認信号が途中で欠落し、かつ攻撃を受けた事例のシーケンス図である。
【図18】第4実施例におけるアクセスポイントにおける処理の流れ図である。
【図19】第4実施例における更新指示信号のシーケンス図である。
【図20】第4実施例における更新指示要求のシーケンス図である。
【図21】第4実施例における更新指示信号が途中で欠落した事例のシーケンス図である。
【図22】第4実施例における確認信号が途中で欠落した事例のシーケンス図である。
【図23】第4実施例における更新指示要求が途中で欠落した事例のシーケンス図である。
【図24】第4実施例における更新指示要求に対する更新指示信号が途中で欠落した事例のシーケンス図である。
【図25】第4実施例における存在確認信号を用いる場合に、更新指示信号が途中で欠落した事例のシーケンス図である。
【図26】第4実施例における存在確認信号を用いた場合に、確認信号が途中で欠落した事例のシーケンス図である。
【図27】本発明と従来技術の無線通信端末におけるサービス不能攻撃のシミュレーション結果を示すグラフである。
【符号の説明】
【0120】
1 無線通信システム
2 MACアドレス
10 アクセスポイント
11 演算手段
111 乱数発生処理部
112 ハッシュ関数演算処理部
113 制御通信処理部
114 検知部
115 識別番号同期制御部
12 メモリ手段
121 識別番号記憶部
122 鍵記憶部
13 ネットワークカード
20 無線通信端末
21 ネットワークカード
22 演算手段
221 通信部
222 ハッシュ関数演算処理部
223 攻撃検出処理部
23 メモリ手段
231 自番号記憶部
232 鍵記憶部
図面
【図1】
0
【図2】
1
【図3】
2
【図4】
3
【図5】
4
【図6】
5
【図7】
6
【図8】
7
【図9】
8
【図10】
9
【図11】
10
【図12】
11
【図13】
12
【図14】
13
【図15】
14
【図16】
15
【図17】
16
【図18】
17
【図19】
18
【図20】
19
【図21】
20
【図22】
21
【図23】
22
【図24】
23
【図25】
24
【図26】
25
【図27】
26