TOP > 国内特許検索 > 無線通信システム及び無線通信方法

無線通信システム及び無線通信方法 コモンズ

国内特許コード P140010443
整理番号 外399-PCT-137-JP
掲載日 2014年4月9日
出願番号 特願2007-535571
登録番号 特許第4701434号
出願日 平成18年9月15日(2006.9.15)
登録日 平成23年3月18日(2011.3.18)
国際出願番号 JP2006318433
国際公開番号 WO2007032499
国際出願日 平成18年9月15日(2006.9.15)
国際公開日 平成19年3月22日(2007.3.22)
優先権データ
  • 特願2005-271144 (2005.9.16) JP
発明者
  • 井上 大介
  • 黒田 正博
  • 石津 健太郎
出願人
  • 国立研究開発法人情報通信研究機構
発明の名称 無線通信システム及び無線通信方法 コモンズ
発明の概要 【課題】
識別番号を標的として行われる端末追跡やDoS攻撃に対し、通信システムに大きな変更を加えることなく効果的に回避しうる技術を提供すること。
【解決手段】
アクセスポイントの制御通信処理部113の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部112で次に更新する第3の識別番号を、現在の識別番号及びハッシュ鍵、乱数を用いて発生させると共に、制御通信処理部113が当該無線通信端末にその乱数を含む更新指示信号を送信し、識別番号記憶部121に記憶した現在の識別番号を第2の識別番号に更新する。無線通信端末が更新指示信号を受信すると、現在の識別番号を第2の識別番号に更新すると共に、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、乱数を用いて第3の識別番号を発生させる無線通信システムを提供する。
【選択図】 図2
従来技術、競合技術の概要


近年、第3世代(3G)移動体通信や、IEEE802.11規格の無線LAN、IEEE802.16規格の無線MANなどが注目されている。これらのサービスによって音声や映像、さらに電子商取引などがモバイル環境で利用できるようになる。
同時に、無線通信ネットワークにおけるセキュリティ問題が深刻化している。こうした脅威からネットワークを保護するために、暗号化技術や認証技術が必要とされ、開発が進められている。



例えば、非特許文献1に開示されるような第3世代移動体通信システムの標準化プロジェクトにおけるセキュリティ機構や、非特許文献2に開示されるようなIEEE802.1X規格におけるセキュリティ機構、非特許文献3に開示されるような無線LANに向けた802.11i規格におけるセキュリティ機構が知られている。



【非特許文献1】
3rd Generation Partnership Project, "3G Security; Security architecture (Release 6)," 3GPP TS 33.102, V6.3.0, 2004年
【非特許文献2】
LAN MAN Standards Committee of the IEEE Computer Society, "IEEE Standard for Local and Metropolitan Area Networks - Port-Based Network Access Control," IEEE Standard 802.1X, 2001年
【非特許文献3】
LAN MAN Standards Committee of the IEEE Computer Society, "IEEE 802.11 Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications - Amendment 6: Medium Access Control (MAC) Security Enhancements," IEEE Standard 802.11i, 2004年



しかし、従来の技術では上述したように暗号化及び認証技術については改善が進んできたが、無線通信端末の追跡やサービス不能攻撃(Denial of Service attack、以下ではDoS攻撃と呼ぶ)に対する防御方法については課題として残されている。



特許文献3は、無線通信システムにおける方法と異なるが、移動体の登録情報を信頼されるクライアントに対してのみ開示可能にするための技術である。本技術はプライバシを保護した登録クライアントの情報管理システムを提供することを目的として、情報管理対象となる登録クライアントの登録情報を、時間の経過とともに変化する秘密識別子として登録する。
秘密識別子は、その生成情報としての識別子と、基準時刻と更新時間間隔に対するハッシュ値として算出され、信頼クライアントにのみ生成情報を通知する。本構成により移動体等の登録クライアントの登録情報を特定の検索クライアント(信頼クライアント)に対してのみ開示可能な構成を開示する。



【特許文献3】
特開2002-268950号公報



該構成において、秘密識別子の生成情報は、少なくとも各装置またはユーザに対応付けられた識別子と、基準時刻と、更新時間とを示す値と乱数とを含むデータであり、秘密識別子は、生成情報に対して一方向性ハッシュ関数を適用して算出される値である。



本技術は地理位置情報管理システムにおけるものであって、登録クライアントの識別子からの検索と、位置情報の指定による逆引き検索が可能な構成においても、両検索を併用した登録クライアントの追跡が困難になり、登録クライアント情報の漏洩が防止される。
このように、従来技術では秘密識別子を時間的に変化させて追跡を困難とするような技術は提供されている。



しかし、本技術では識別子の他に秘密識別子を用いなければならないため、一般的な無線通信システムに適用することはできない。また端末に対する攻撃という観点から創出された技術であるためにサービス不能攻撃に対応することができない。
端末追跡を回避し、サービス不能攻撃に対応した無線通信システムにおける防御方法を提供するためには、無線通信端末の識別番号には秘密識別子を用いることはできず、またサービス不能攻撃に対して能動的な対策を有する方法でなければならない。



このような方法の1つとして、本件発明者らによって非特許文献4に開示されるようにMACアドレスそのものを攻撃時や定期的に更新する技術が知られている。本技術では、アクセスポイントがいずれかの無線通信端末について、現在のMACアドレスと共有しているハッシュ鍵、乱数を用いてハッシュ関数演算し、次のMACアドレスを発生させる。そして、攻撃時には無線通信端末からアクセスポイントに更新の要求を行うことで、アクセスポイントが乱数を通知し、無線通信端末側及びアクセスポイント側でMACアドレスを同期させる。



本技術は、識別番号を標的として行われる端末追跡やDoS攻撃に対し、通信システムに大きな変更を加えることなく効果的に回避しうる技術として、従来にはない効果を有するものであった。
しかし、この方法によると、乱数を新しく受信してMACアドレスを更新するまでの間は攻撃にさらされることになり、強力な攻撃の場合には著しく通信が滞る恐れがある。
従って、より高速にMACアドレスを更新することができる技術が求められている。



【非特許文献4】
D.Inoue, R.Nomura, M.Kuroda "Transient MAC Address Scheme for Untraceability and DoS Attack Resiliency on Wireless Network" Proc. 4th annual Wireless Telecommunications Symposium,2005.

産業上の利用分野



本発明は無線通信システム及び無線通信方法に関し、特に無線通信システムにおける無線通信端末に対する追跡とサービス不能攻撃の防御方法に係る技術である。

特許請求の範囲 【請求項1】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムであって、
該アクセスポイントには少なくとも、
該無線通信端末に固有の現在及び次の識別番号を記憶する識別番号記憶部と、
該無線通信端末との間で共有するハッシュ鍵を記憶する鍵記憶部と、
乱数を発生させる乱数発生処理部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、該無線通信端末との通信及び、各処理部への制御処理を行う制御通信処理部と
を備えて、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で現在の識別番号及びハッシュ鍵、第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させると共に、
該制御通信処理部が当該無線通信端末に該第1及び第2の乱数を含む初期化指示信号を送信し、該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する一方、
該無線通信端末には少なくとも、
該アクセスポイントとの通信を行う通信部と、
自己に固有の現在及び次の識別番号を記憶する自番号記憶部と、
該アクセスポイントとの間で共有するハッシュ鍵を記憶する鍵記憶部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、
を備えて、
通信部が該アクセスポイントから該初期化指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、該第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する
ことを特徴とする無線通信システム。

【請求項2】
前記アクセスポイントの制御通信処理部が、
少なくとも1回以上、前記初期化指示信号を受信した後に、前記無線通信端末に対して所定の周期で更新指示信号を送信する構成であって、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で次の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させると共に、
該制御通信処理部が当該無線通信端末に該第3の乱数を含む更新指示信号を送信し、該識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を該第4の識別番号に更新する一方、
該無線通信端末の通信部が、
該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された次の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を第4の識別番号に更新する
請求項1に記載の無線通信システム。

【請求項3】
前記無線通信端末が、単位時間当たりの通信量を測定してサービス不能攻撃を検出する攻撃検出処理部を備え、攻撃検出時に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記通信部が、アクセスポイントに対して攻撃検出信号を送信し、次いで、アクセスポイントの制御通信処理部が該攻撃検出信号を受信すると、前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記ハッシュ関数演算処理部で更新後の現在の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させ、該制御通信処理部が当該無線通信端末に該第3の乱数を含む乱数通知信号を送信し、次の識別番号を該第4の識別番号に更新し、
次いで無線通信端末の通信部が該乱数通知信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された更新後の現在の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した次の識別番号を第4の識別番号に更新する請求項1又は2に記載の無線通信システム。

【請求項4】
前記無線通信端末の通信部が、
前記アクセスポイントからの初期化指示信号又は更新指示信号を受信すると、該アクセスポイントに向けて確認信号を送信すると共に、
前記アクセスポイントの制御通信処理部が、
該確認信号を受信したことを契機に前記識別番号記憶部に記憶した現在の識別番号及び次の識別番号を更新する
請求項1ないし3のいずれかに記載の無線通信システム。

【請求項5】
前記アクセスポイントにおいて、
前記識別番号記憶部が、前記更新前の現在の識別番号と、更新後の現在の識別番号と、更新後の次の識別番号とを同時に記憶可能な構成であって、
前記制御通信処理部が、
前記確認信号を受信する前に当該無線通信端末から各識別番号のいずれかからの通信を受信するとそれを検知する検知部と、
検知の結果が更新前の現在の識別番号である場合には再度更新指示信号を送信する一方、検知の結果が更新後の次の識別番号である場合には該識別番号記憶部に記憶した更新前の現在の識別番号を更新後の次の識別番号に更新する識別番号同期制御部と
からなることを特徴とする
請求項4に記載の無線通信システム。

【請求項6】
前記アクセスポイントが、
制御通信処理部における信号の送信時から計時を開始するタイマ部を備えると共に、
前記制御通信処理部に存在確認信号送信部を備える一方、
前記無線通信端末の通信部が、
該存在確認信号を受信すると存在確認応答を送信する存在確認応答部を備える構成において、
更新指示信号の送信から所定の時間が経過したことをタイマ部が検知しても前記確認信号が受信できない場合に、該存在確認信号送信部が前記無線通信端末の次の識別番号に向けて存在確認信号を送信し、
このとき制御通信処理部は、所定の時間が経過したことをタイマ部が検知しても存在確認応答が受信できない場合には再度更新指示信号を送信する一方、存在確認応答を受信した場合には前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新する
請求項5に記載の無線通信システム。

【請求項7】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムであって、
該アクセスポイントには少なくとも、
該無線通信端末に固有の識別番号を記憶する識別番号記憶部と、
該無線通信端末との間で共有するハッシュ鍵を記憶する鍵記憶部と、
乱数を発生させる乱数発生処理部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、該無線通信端末との通信及び、各処理部への制御処理を行う制御通信処理部と
を備えて、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させると共に、該制御通信処理部が当該無線通信端末に乱数を含む更新指示信号を少なくとも所定の周期で送信し、該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する一方、
該無線通信端末には少なくとも、
該アクセスポイントとの通信を行う通信部と、
自己に固有の識別番号を記憶する自番号記憶部と、
該アクセスポイントとの間で共有するハッシュ鍵を記憶する鍵記憶部と、
鍵付ハッシュ関数による演算処理を行うハッシュ関数演算処理部と、
を備えて、
通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させると共に、該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する
ことを特徴とする無線通信システム。

【請求項8】
前記無線通信端末の識別番号が、MAC(Media Access Control)アドレスである請求項1ないし7のいずれかに記載の無線通信システム。

【請求項9】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムにおける通信方法であって、
アクセスポイント及び無線通信端末が予めハッシュ鍵を共有して各々の鍵記憶部に記憶しておき、
アクセスポイントの制御通信処理部の制御に従い、いずれかの無線通信端末について、アクセスポイントのハッシュ関数演算処理部が現在の識別番号及びハッシュ鍵、第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させるアクセスポイント側識別番号発生ステップ、
該制御通信処理部が当該無線通信端末に該第1及び第2の乱数を含む初期化指示信号を送信する初期化指示ステップ、
該アクセスポイント側識別番号発生ステップの後のいずれかの時点において該識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定するアクセスポイント側識別番号初期化ステップ、
無線通信端末の通信部が該アクセスポイントから該初期化指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、該第1の乱数を用いて第2の識別番号を発生させ、さらに該第2の識別番号及びハッシュ鍵、第2の乱数を用いて第3の識別番号を発生させる端末側識別番号発生ステップ、
該自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新し、さらに次の識別番号を第3の識別番号に設定する端末側識別番号初期化ステップ
を有することを特徴とする無線通信方法。

【請求項10】
前記アクセスポイントの制御通信処理部が、
少なくとも1回以上、前記初期化指示信号を受信した後に、前記無線通信端末に対して所定の周期で更新指示信号を送信する構成であって、
該制御通信処理部の制御に従っていずれかの無線通信端末について、ハッシュ関数演算処理部で次の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させるアクセスポイント側識別番号定期発生ステップ、
該制御通信処理部が当該無線通信端末に該第3の乱数を含む更新指示信号を送信する更新指示ステップ、
該アクセスポイント側識別番号定期発生ステップの後のいずれかの時点において該識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を該第4の識別番号に更新するアクセスポイント側識別番号定期更新ステップ、
該無線通信端末の通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された次の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させる端末側識別番号定期発生ステップ、
該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新し、さらに次の識別番号を第4の識別番号に更新する端末側識別番号定期更新ステップ
を有することを特徴とする請求項9に記載の無線通信方法。

【請求項11】
前記無線通信方法の端末側識別番号初期化ステップの後のいずれかの契機において、
前記無線通信端末の攻撃検出処理部が、単位時間当たりの通信量を測定してサービス不能攻撃を検出するサービス不能攻撃検出ステップ、攻撃検出時に、該自番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記通信部が、アクセスポイントに対して攻撃検出信号を送信する端末側識別番号緊急更新ステップ、アクセスポイントの制御通信処理部が該攻撃検出信号を受信すると、前記識別番号記憶部に記憶した現在の識別番号を次の識別番号に更新すると共に、前記ハッシュ関数演算処理部で更新後の現在の識別番号及びハッシュ鍵、第3の乱数を用いて第4の識別番号を発生させ、該制御通信処理部が当該無線通信端末に該第3の乱数を含む乱数通知信号を送信し、次の識別番号を該第4の識別番号に更新するアクセスポイント側識別番号緊急更新ステップ、
無線通信端末の通信部が該乱数通知信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された更新後の現在の識別番号及びハッシュ鍵、該第3の乱数を用いて第4の識別番号を発生させると共に、該自番号記憶部に記憶した次の識別番号を第4の識別番号に更新する端末側次識別番号緊急更新ステップ
を有することを特徴とする請求項9又は10に記載の無線通信方法。

【請求項12】
前記無線通信方法において、初期化指示ステップ又は更新指示ステップに続き、
前記無線通信端末の通信部がアクセスポイントに向けて確認信号を送信する確認信号送信ステップ、
アクセスポイントの制御通信処理部が、該確認信号を受信する確認信号受信ステップを経て
前記アクセスポイント側識別番号初期化ステップ又は前記アクセスポイント側識別番号定期更新ステップ
を実行する
請求項9ないし11のいずれかに記載の無線通信方法。

【請求項13】
前記確認信号送信ステップと確認信号受信ステップとの間において、
アクセスポイントの識別番号記憶部に無線通信端末の前記更新前の現在の識別番号と、更新後の現在の識別番号と、更新後の次の識別番号とを同時に記憶し、制御通信処理部に設けた検知部が当該無線通信端末から各識別番号のいずれかからの通信の有無を検知する検知ステップ、
検知の結果が更新前の現在の識別番号である場合には前記更新指示ステップに戻る一方、
検知の結果が更新後の次の識別番号である場合には前記アクセスポイント側識別番号緊急更新ステップ以降を実行する
請求項12に記載の無線通信方法。

【請求項14】
前記更新指示ステップから所定の時間が経過したことをアクセスポイントのタイマ部が検知しても前記確認信号受信ステップに到らない場合に、
アクセスポイントの制御通信処理部に設けた存在確認信号送信部が前記無線通信端末の次の識別番号に向けて存在確認信号を送信する存在確認ステップ、
該存在確認信号に対して無線通信端末からの存在確認応答が所定時間内に受信できない場合には前記更新指示ステップに戻る一方、
存在確認応答を受信した場合には前記アクセスポイント側識別番号定期更新ステップを実行する
請求項13に記載の無線通信方法。

【請求項15】
単数または複数の無線通信端末と、それに対応する少なくとも1基のアクセスポイントから構成される無線通信システムにおける通信方法であって、
アクセスポイント及び無線通信端末が予めハッシュ鍵を共有して各々の鍵記憶部に記憶しておき、
アクセスポイントの制御通信処理部の制御に従い、いずれかの無線通信端末について、アクセスポイントのハッシュ関数演算処理部が現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させるアクセスポイント側識別番号発生ステップ、
該制御通信処理部が当該無線通信端末に乱数を含む更新指示信号を少なくとも所定の周期で送信する更新指示ステップ、
無線通信端末の通信部が該アクセスポイントから該更新指示信号を受信すると、ハッシュ関数演算処理部が自番号記憶部に記憶された現在の識別番号及びハッシュ鍵、乱数を用いて第2の識別番号を発生させる端末側識別番号発生ステップ、
無線通信端末の自番号記憶部に記憶した現在の識別番号を第2の識別番号に更新する端末側識別番号更新ステップ、
該更新指示ステップの後のいずれかの時点においてアクセスポイントの識別番号記憶部に記憶した現在の識別番号を第2の識別番号に更新するアクセスポイント側識別番号更新ステップ
を有することを特徴とする無線通信方法。

【請求項16】
前記無線通信端末の識別番号が、MAC(Media Access Control)アドレスである請求項9ないし15のいずれかに記載の無線通信方法。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2007535571thum.jpg
出願権利状態 登録
参考情報 (研究プロジェクト等) サイバー攻撃観測・分析・対策システム NICTER(http://www.nict.go.jp/nsri/cyber/index.html)
※ 詳細内容の開示にあたっては、別途、JSTと秘密保持契約を締結していただくことが必要となります。


PAGE TOP

close
close
close
close
close
close
close