ワイヤレス通信システム用の共有鍵の生成方法
【課題】ノイズに対するロバスト性があり、かつ、モバイル端末に適用が容易な送信チャンネルの特性から秘密鍵を生成する方法を提供する。
【解決手段】第1端末と第2端末とを隔てる送信チャンネルのインパルス応答に基づいて鍵が生成される。第1端末による推定結果を表わす第1メッセージが第2端末に対して送信される。第1メッセージはチャンネル暗号を用いて事前に暗号化され、かつ、復号化不可能な程度に高速で第1パンクチャリングパターンにしたがってパンクチャリングされている。第2端末が第1メッセージを復号化するため、第2端末によるインパルス応答の推定結果を表わす第2メッセージの少なくとも一部に対して第1メッセージを結合する。第1メッセージの復号化に成功した場合、第2端末が復号化された第1メッセージから秘密鍵が生成される。
【解決手段】第1端末と第2端末とを隔てる送信チャンネルのインパルス応答に基づいて鍵が生成される。第1端末による推定結果を表わす第1メッセージが第2端末に対して送信される。第1メッセージはチャンネル暗号を用いて事前に暗号化され、かつ、復号化不可能な程度に高速で第1パンクチャリングパターンにしたがってパンクチャリングされている。第2端末が第1メッセージを復号化するため、第2端末によるインパルス応答の推定結果を表わす第2メッセージの少なくとも一部に対して第1メッセージを結合する。第1メッセージの復号化に成功した場合、第2端末が復号化された第1メッセージから秘密鍵が生成される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的にはワイヤレス通信分野に関する。本発明は、具体的には秘密鍵によりワイヤレス通信のセキュリティ分野に関する。
【背景技術】
【0002】
ワイヤレスネットワークにおける通信のセキュリティは長年にわたり研究対象とされてきた。
【0003】
第1のセキュリティ技術によれば、RSAアルゴリズム又は楕円曲線暗号アルゴリズム等の公開鍵暗号方式を用いて通信が暗号化される。しかし、当該技術は、暗号が潜在的攻撃に耐えうるように、長大な公開鍵が好感される必要がある。さらに、用いられるアルゴリズムが複雑であり、多くの場合にはモバイル端末が有する計算能力を超える計算能力を利用する。
【0004】
第2のセキュリティ技術によれば、DESアルゴリズム等の秘密鍵暗号方式を用いて通信が暗号化される。秘密鍵は送信主体(アリス(Alice)と呼ばれる。)と受信主体(ボブ(Bob)と呼ばれる。)との間で共有され、潜在的な傍受主体(イブ(Eve)と呼ばれる。)により盗用されない必要がある。しかし、当該技術は、ボブとアリスとの間で秘密鍵に関する事前の合意が必要であり、実用上は常に達成可能なことではない。さらに、秘密鍵自体が安全に送信されるために、当該秘密鍵が定常的に更新される必要がある。
【0005】
近年、ボブの端末とアリスの端末との間でワイヤレス送信チャンネルの特性を用いて、チャンネルの双方向性及び高い空間的脱相関度の利点を活用することが提案されている。具体的には、ノイズが無視されれば、ボブ及びアリスの間の送信チャンネルのインパルス応答は、アリス及びボブの間の送信チャンネルのインパルス応答と理論的には同一である。その結果、イブの端末がボブの端末から半波長を超えて離れている場合、アリス及びイブの間の送信チャンネルの特性は、アリス及びボブの間の送信チャンネルの特性との相関関係はない。このため、イブはアリス及びイブの間のチャンネルを単に盗聴することにより秘密鍵を取得することはできない。そして、アリス及びボブの間の送信チャンネルは、特に一方又は他方の主体が移動した場合、その特性の時間変化にしたがう。送信チャンネルを通じた付加的なやり取りをすることなく、秘密鍵が頻繁に更新されうる。
【0006】
送信チャンネルの特性から秘密鍵を生成する技術が提案されている(非特許文献1参照)。
【0007】
秘密鍵を生成する当該技術における主要な困難性の1つは、生成鍵に関するボブとアリスとの間の合意の潜在的な欠如にある。
【0008】
第1に、正当な2つの主体間の送信チャンネルは、これに影響するノイズのために厳密には同一ではない。
【0009】
第2に、通信がTDD(Time Division Duplex)方式である場合、送信チャンネルの特性が、ボブによるチャンネルの測定時点とアリスによる測定時点との間で微小ながら変化する。同様に、送信チャンネルがFDD(Frequency Division Duplex)方式である場合、アリス及びボブの間の送信チャンネルの周波数特性は、反対のチャンネルの周波数特性と一致しない。
【0010】
前述のノイズ並びに時間シフト及び周波数シフトのうち少なくとも1つに由来するチャンネルの非対称性により、ボブにより生成される鍵はアリスにより生成される鍵と必ずしも一致しない。
【0011】
正当な主体間での生成鍵に関する合意に到達するための多数の手段、特に、ファジー抽出器により後継されているリミッタ処理前のノイズを低減させるためにローパスフィルタを用いた場合における手段が提案されている(非特許文献2参照)。
【0012】
一致する推定結果及びその後に共有鍵を取得するため、送信チャンネルの推定結果を低次ビットから始めて高次ビットに向かって円滑に補正する手法が提案されている(非特許文献3参照)。
【先行技術文献】
【非特許文献】
【0013】
【非特許文献1】“High rate uncorrelated bit extraction for shared secret key generation from channel measurements”, N. Patwari et al., IEEE Trans. on Mobile Computing, 2010, vol.9, no.1, pp.17-30 (2010).
【非特許文献2】“Robust key generation from signal envelopes in wireless networks”, B. Azimi-Sadjadi et al., Proceedings of ACM Conference on Computer and Communications Security 2007, pp.401-410 (2007).
【非特許文献3】“Reliability based sliced error correction in secret key agreement from fading channel”, S. Takayuki et al., 2010 IEEE Wireless Communications and Networking Conference (2010).
【発明の概要】
【発明が解決しようとする課題】
【0014】
しかし、共有秘密鍵に関する合意を達成するための当該手法は、実用が複雑であり、かつ、合意に実際に到達する前にチャンネルのいずれか一方の側で繰り返されるべきチャンネル推定結果を頻繁に要求することは煩雑である。
【0015】
そこで、本発明は、先行技術における不利を伴わず、特にノイズに対する濾バスト性があり、かつ、モバイル端末に適用が容易な送信チャンネルの特性から秘密鍵を生成する方法を提供することを課題とする。
【0016】
さらに、本発明は、WiMax及び3G LTE(Long Term Evolution)において採用されているHARQ typeII(Hybrid Automatic ReQuest)プロトコルの利点を活かして秘密鍵の生成方法を提供することを課題とする。
【課題を解決するための手段】
【0017】
本発明の秘密鍵生成方法は、ワイヤレス送信チャンネルにより接続され、前記チャンネルの第1推定結果を生成する第1端末と、前記チャンネルの第2推定結果を生成する第2端末とにより共有される秘密鍵の生成方法であって、
(a)前記第1推定結果を表わす第1メッセージであって、チャンネル暗号を用いて事前に暗号化され、かつ、復号化不可能な程度に高速で第1パンクチャリングパターンにしたがってパンクチャリングされた第1メッセージが前記第1端末から前記第2端末に対して送信され、
(b)前記第2推定結果を表わす第2メッセージであって、前記チャンネル暗号を用いて事前に暗号化された第2メッセージが前記第2端末により格納され、
(c)前記第1メッセージを復号化するために前記第2メッセージが前記第1メッセージと結合され、
(d)前記第1メッセージの復号化に成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする。
【0018】
本発明の第1態様の方法において、前記第1メッセージの復号化が成功した場合、前記第2端末が承認通知を前記第1端末に対して送信し、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定する。
【0019】
前記第1端末が前記第1メッセージを演算処理することにより前記秘密鍵を決定し、前記第2端末が復号化された前記第1メッセージに同一の演算処理を施すことにより前記秘密鍵を取得することが好ましい。
【0020】
前記第1メッセージの復号化が失敗した場合、前記インパルス応答に対する前記第2推定結果が、前記第1推定結果に比較して1サンプル分だけシフトされ、当該シフトされた前記第2推定結果を用いて前記過程(b)(c)及び(d)が繰り返される。
【0021】
前記第1メッセージが復号化されるまで、又は前記シフトが所定の最大値に到達するまで、前記インパルス応答に対する前記第2推定結果の前記シフト、並びに過程(b)(c)及び(d)が繰り返される。
【0022】
前記第1メッセージが復号化されることなく前記シフトが前記最大値に到達した場合、前記第2端末が前記第1端末に対して冗長増進の送信要求を送信する。
【0023】
前記冗長増進が前記第1パンクチャリングパターンにしたがってパンクチャリングされたビットにより構成されている。
【0024】
この場合、
(c’)前記第2端末が前記第2メッセージの少なくとも一部と、前記冗長増進により事前に完成された前記第1メッセージとを結合し、当該結合に基づいて前記第1メッセージを復号化し、(d)前記第1メッセージの復号化が成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することが好ましい。
【0025】
前記冗長増進により完成された前記第1メッセージが未だ復号化されていない場合、前記第1端末が前記冗長増進を前記第2端末に対して送信することが好ましい。
【0026】
新しい前記冗長増進が前記第1メッセージを復号化可能である場合、前記冗長増進が前記第1端末から送信されず、前記第1端末が前記第2端末に当該状況を通知し、前記第1端末及び前記第2端末が、それぞれ前記送信チャンネルのインパルス応答に対する前記第1推定結果及び前記第2推定結果を生成する。
【0027】
本発明の第2態様の方法によれば、前記チャンネル暗号を用いて事前に暗号化された前記第2メッセージが、復号化不可能な程度に高速で第2パンクチャリングパターンにしたがってパンクチャリングされ、当該パンクチャリングされた前記第2メッセージが前記第1端末に対して送信される。
【0028】
この場合、前記第1端末が前記第2メッセージを復号化するため、前記第1メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第2メッセージの復号化が成功した場合、前記第1端末が、当該復号化され、前記第2端末から承認通知を受信していない前記第2メッセージに基づいて前記秘密鍵を決定し、前記第2端末に対して承認メッセージを送信し、
前記第2端末から承認メッセージを受信している場合、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定することが好ましい。
【0029】
対称的な態様にしたがって、前記第2端末が前記第1メッセージを復号化するため、前記第2メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第1メッセージの復号化が成功した場合、前記第2端末が当該復号化され、かつ、前記第1端末から承認通知を受信していない前記第1メッセージに基づいて前記秘密鍵を決定し、前記第1端末に対して承認メッセージを送信し、
前記第1端末から承認メッセージを受信している場合、前記第2端末が前記第2メッセージに基づいて前記秘密鍵を決定することが好ましい。
【0030】
前記第1端末及び前記第2端末のそれぞれによるチャンネル暗号化、パンクチャリング及び送信前に前記第1メッセージ及び前記第2メッセージのそれぞれに対してCRC(巡回冗長検査)が計算かつ連結され、受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて計算されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定される。
【0031】
代替的に、チャンネル暗号化及びパンクチャリング前に前記第1メッセージ及び前記第2メッセージのそれぞれを用いてCRC(巡回冗長検査)が計算され、送信前にパンクチャリングされたメッセージに対して連結され、受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて実施されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定される。
【図面の簡単な説明】
【0032】
【図1】本発明の第1実施形態としての秘密鍵生成方法の説明図。
【図2】本発明の第2実施形態としての秘密鍵生成方法の説明図。
【図3】図1及び図2において受信されたメッセージの復号化失敗の前提に関する説明図。
【図4】秘密鍵の生成方法の送信端末への適用例に関する説明図。
【図5】秘密鍵の生成方法の受信端末への適用例に関する説明図。
【発明を実施するための形態】
【0033】
少なくとも第1端末及び第2端末を含むワイヤレス通信について考察する。「端末」とは、固定通信機器又はモバイル通信機器を意味する。ワイヤレス通信システムは移動通信用であってもなくてもよい。当該システムは携帯電話ネットワーク、アドホックネットワーク、センサーネットワーク、通信媒体ネットワークなどであってもよい。端末は広義にはユーザ端末、ベースステーション、センサ、通信媒体等の通信機器を意味する。
【0034】
第1端末及び第2端末の間の通信は、すべての場合においてワイヤレス送信チャンネルが用いられる。チャンネルは一般に時間及び周波数のうち一方又は両方により選択される。すなわち、チャンネルのインパルス応答は時間的、周波数的、又は時間的かつ周波数的なフェージングを有する。例えば、一方又は他方のチャンネルがモバイル端末である場合、チャンネルはレイリーフェージングを有するチャンネルである。
【0035】
第1端末及び第2端末の間の通信は一方向通信又は双方向通信である。双方向通信の場合、一方向の通信は、逆方向の通信により用いられる通信資源(通信時間間隔、周波数、サブキャリアインターバル、オーソゴナルコード)とは異なる通信資源を有する。例えば、TDD通信における通信時間間隔(TTI)は2つの方向間で異なる。FDD通信では2つの方向間で通信周波数が異なる。
【0036】
異なる通信資源の利用の結果、送信チャンネルの特性は通信方向に応じて相違する。2つの通信時間間隔はチャンネルの同期時間より短い、又は2つの通信周波数が近接するため、実際には当該特性の相対的相違は微小である。
【0037】
図1はワイヤレス通信システムを構成する第1端末及び第2端末により共有される秘密鍵の生成方法を示している。
【0038】
STEP110において、第1端末が周知の手法により送信チャンネルのインパルス応答を測定する。その実現のため、第2端末がパイロットシンボルシーケンスを送信する。パイロットシンボルシーケンスは、所定の通信時間間隔以内に又は連続する複数の通信時間間隔を超えて通信される。インパルス応答は、厳密な意味でのインパルス応答、又は、第1端末により受信されるシーケンス、すなわち、第2端末により送信されたパイロットシンボルシーケンスとインパルス応答との畳み込みを意味する。送信チャンネルのインパルス応答はサンプルシーケンスの形態である。
【0039】
STEP120において、第1端末はインパルス応答を演算処理し、当該応答を表わすメッセージ(以下「第1メッセージ」という。)を抽出する。演算処理は特にノイズを低減させるためのローパスフィルタ、自動ゲイン制御(AGC)、量子化、情報圧縮、フーリエ変換等を含む。
【0040】
STEP130において、第1端末は取得された第1メッセージをエラー補正コード又はECCを用いて暗号化する。好ましくは第1メッセージが巡回冗長検査又はCRC等のエラー検出コードを用いて暗号化される。ECC暗号化はCRCコードに結合される元のメッセージに関連する。これに代えて、ECCはCRCを含まない第1メッセージに関連し、CRCはECC暗号化により取得されたメッセージに対して結合される。
【0041】
ECC暗号化は、例えばリード−ソロモンコーディング、低密度パリティコード若しくはLDPC、暗号化又はターボコーディングであってもよい。
【0042】
STEP140において、前記のように暗号化された第1メッセージが、受信時に復号化されえない程度に十分に高速のパンクチャリングパターンを用いてパンクチャリングされる。例えば、暗号化がシステマティック型であれば、システマティックビットはすべてパンクチャリングされる。好ましくは、システマティックビットの一部であるが、ECCコードの補正許容量を超える程度に多数のシステマティックビットがパンクチャリングされる。通信を傍受するスパイ端末(イブ)による元のメッセージを再構築することが不可能になる。
【0043】
STEP141において、第1端末により第1メッセージが変調かつ送信される。受信後、第2端末により当該第1メッセージが復調かつデパンクチャリングされる。デパンクチャリングは、欠落した複数のビットを消去されたものとして処理する、すなわち、当該複数のビットに対して明白なデータ欠如を示す適当な値を付与することを含む(実用上はゼロLLR)。
【0044】
同様に、STEP115において、第2端末が送信チャンネルのインパルス応答の推定結果を生成し(第1端末により送信されたパイロットシンボルシーケンスが用いられる。チャンネルのインパルス応答はSTEP110と同様に複数のサンプルのシーケンスの形態である。)。第2端末がSTEP125において演算処理を実行し、STEP135において(好ましくはECC暗号化に先立つCRC暗号化により)当該演算処理結果に基づいて当該応答、誤差補正暗号又はECCを表わす第2メッセージを抽出する。
【0045】
第2端末により実行されるSTEP115、125及び135のそれぞれは、第1端末により実行されるSTEP110、120及び130のそれぞれと同一である。特に、ECC暗号化及び(必要に応じて)CRC暗号化は、STEP130において用いられているものと同一である。STEP130においてCRC暗号化がECC暗号化より先に実行される場合、STEP135において同一のCRC暗号化がECC暗号化より先に実行される。これとは逆に、STEP130においてCRC暗号化がECC暗号化より後に実行される場合、STEP135において同一のCRC暗号化がECC暗号化より後に実行される。変形例として、パンクチャリングが実行されるSTEP145が含まれていてもよい。この場合、STEP145において用いられるパンクチャリングパターンは、STEP140において用いられるパンクチャリングパターンとは区別されていることが好ましい。
【0046】
前記のように生成された第2メッセージは第2端末に格納される。STEP155において、第2端末が第2メッセージの少なくとも一部を、第1端末から受信された第1メッセージと結合させる。
【0047】
第1メッセージは、一般的には対数尤度比(LLRs)の形態の複数のソフトビットにより構成されている。第2メッセージも複数のソフトビットにより構成されているが、第1メッセージとは異なり、第2メッセージが決定論的である場合(送信チャンネルを通じた伝播が皆無の場合)、正及び負のソフトビットが不変であってもよい。
【0048】
第2メッセージは「尤度(Probabilistic)」の値により暗号化される場合がある。例えば、ビットが所定の閾値の交差を表わす場合、ソフト値は元値と閾値との比を表わす。このため、STEP125における計算がインパルス応答のリミッタ処理(フェードの測定)を包含する場合、第2メッセージのソフト値は、応答の(予め正規化された)振幅と該当閾値との比として計算される。これとは逆に、第2メッセージ(及び第1メッセージ)の2つの単語がフェードの現在状態を表わす場合、不変のソフト値が用いられる。
【0049】
第1メッセージは第2メッセージの少なくとも一部と次のように結合される。第1メッセージ及び第2メッセージの両方においてビットがパンクチャリングされている場合、結合の結果としての当該ビットはデリーションである(LLR=0により表わされる)。第1メッセージにおいてビットがパンクチャリングされている一方、第2メッセージにおいてビットがパンクチャリングされていない場合、第1メッセージの当該ビットが第2メッセージの相当するビットに置換される。同等の方法で、第1メッセージにおいてパンクチャリングされた値(パンクチャリングされたビットがデリーションと均等であるため、LLRが0である)が第2メッセージの相当する値に付加される。そして、両方のメッセージに当該ビットが含まれる場合、第1メッセージのソフト値が第2メッセージのソフト値に加えられる。
【0050】
第2メッセージが少なくとも部分的に第1メッセージに対して結合された後、STEP165において、第1メッセージを復号するための第1の試行が実行される。
【0051】
この時点で、第2メッセージの唯一の機能は第1メッセージの復号化の補助であり、その逆はない。すなわち、第2メッセージに存在する情報は、パンクチャリングによって第1メッセージに欠如している情報の補完を可能とするだけである。
【0052】
STEP165における復号化が失敗した場合(すなわち、ECCコードがメッセージに影響するエラーを訂正することができない場合)、又は判定STEP175に表わされているように、複合化されたメッセージに基づいて計算されるCRCが残留エラーの存在を示している場合、アルゴリズムはSTEP176の処理に続く。その一方、復号化が成功した場合、STEP185において、CRCの計算による可能な確認通知(confirmation)とともに、承認通知(acknowledgement)が第1端末に送信され、STEP195において秘密鍵が計算される。
【0053】
STEP165において複合化された第1メッセージに基づいて秘密鍵が取得される。これは複合化メッセージと単純に同一であってもよく、又は当該メッセージのサブサンプリングの結果であってもよい。これに代えて、秘密鍵から冗長度を消滅させるための計算、換言すると情報圧縮アルゴリズムを用いる当該手法により秘密鍵が抽出されてもよい。例えば、自己適応型フィルタを用いて複合化された第1メッセージがフィルタリングされた結果物として秘密鍵が取得されてもよい。
【0054】
同時に、第1端末が複合化承認通知を受信した場合、STEP190において、第1端末がSTEP195において複合化された第1メッセージに対して適用されるのと同一の計算にしたがって、(STEP120において取得された)元の第1メッセージに基づいて秘密鍵を生成する。生成された秘密鍵は両端末に共通となり、3DES又はRC4等の対称暗号作成アルゴリズムを用いて通信を暗号化するために用いられうる。
【0055】
要求される場合、秘密鍵は同一の生成方法を用いて更新される。送信チャンネルの特性は、2つの端末の相対移動又は環境変化のために一般的に時間変化し、新たな鍵は直前の鍵とは無関係になる。
【0056】
図2は本発明の秘密鍵の生成方法の第2実施形態を示している。
【0057】
第1実施形態と異なり、秘密鍵を決定するために第2端末により第2メッセージが第1端末に対して送信される。
【0058】
第1端末により実行されるSTEP210,220,240及び241のそれぞれの処理は、図1に示されているSTEP110,120,140及び141のそれぞれの処理と同一なので説明を省略する。同様に、STEP215,225,235,245,255,265,275〜276,285及び295のそれぞれの処理は、STEP115,125,135,145,155, 165,175〜176,185及び195のそれぞれの処理と同一である。
【0059】
第2実施形態において、STEP295において取得された秘密鍵は「第1秘密鍵」という。
【0060】
パンクチャリングが実行されるSTEP145は任意ではなく、パンクチャリングパターンは、パンクチャリングされた第2メッセージがレシーバにより復号化されえない程度に十分に高いパンクチャリング速度を有する。このため、第2端末及び第1端末の間の通信を傍受する第3端末が元の第2メッセージを取得することができない。第2メッセージをパンクチャリングするために用いられるパンクチャリングパターンは、第1メッセージをパンクチャリングするために用いられるパンクチャリングパターンとは区別されていることが好ましい。
【0061】
パンクチャリング後、第2メッセージが第2端末により変調かつ送信チャンネルを通じて送信される。当該メッセージは、前述のように第1端末により受信され、復調かつデパンクチャリングされる。
【0062】
STEP220において取得された第1メッセージは、STEP250において少なくとも部分的にデパンクチャリングされた第2メッセージに対して結合される。当該結合はSTEP255において実行される結合と対称的に実行される。特に、第2メッセージにおける欠落情報は第1メッセージに包含されている情報により補完される。
【0063】
結合後、STEP260において、第1の試行が実行される。STEP270において、ECCコードの訂正無効、又は復号化メッセージにおける残留エラーのため、(残留エラーが存在する場合にはCRCによる)復号化が失敗したことが検知された場合、STEP271の処理が実行される。
【0064】
一方、復号化が成功した場合、STEP280において、CRCの計算による可能な確認通知とともに、承認通知が第2端末に対して送信され、STEP290において秘密鍵が計算される。
【0065】
第1秘密鍵及び第2秘密鍵の計算の対比により共有秘密鍵が取得される。具体的には、他方の端末から最初に承認通知を受信した一方の端末が受信メッセージ(第1又は第2メッセージ)の複合化を阻止し、STEP190において説明されたように元のメッセージに基づいて連結秘密鍵を局所的に生成する。
【0066】
例えば、第1メッセージの復号化が第2メッセージの複合化よりも速い場合、STEP285において送信された承認通知は、第1端末における第2メッセージの複合化処理を阻止する。第1端末は、図左側の破線矢印により表わされているように(STEP220において取得された)元の第1メッセージに基づいて共有鍵を生成する。
【0067】
対称的な形態で、第2メッセージの復号化が第1メッセージの複合化よりも速い場合、STEP280において送信された承認通知は、第2端末における第1メッセージの複合化処理を阻止する。第2端末は、図右側の破線矢印により表わされているように(STEP225において取得された)元の第2メッセージに基づいて共有鍵を生成する。
【0068】
したがって、第1メッセージ又は第2メッセージの復号化が成功すると直ちに共有秘密鍵が取得される。これにより、2つの端末間の通信は、前述のように対称暗号作成アルゴリズムにより暗号化されうる。
【0069】
第1又は第2メッセージを傍受するスパイ端末(イブ)は、当該傍受メッセージを複合化することは不可能である。
【0070】
第1端末及び第2端末とスパイ端末との間の通信チャンネルの応答は、第1端末と第2端末との間の通信チャンネルの応答とは異なる。このため、傍受メッセージを複合化するために通信チャンネルのインパルス応答の測定結果に基づいて当該傍受メッセージにおける情報抽出が試みられたとしても、当該複合化は失敗に帰することになる。
【0071】
STEP175又は275において第1メッセージの復号化が失敗した場合、又はSTEP270において第2メッセージの復号化が失敗した場合、図3に示されている処理が実行される。
【0072】
図3は、図1(STEP176参照)又は図2(STEP271又は276)におけるメッセージの復号化失敗時における秘密鍵の生成方法の手順を示している。
【0073】
ここで、第1実施形態において、STEP175における第1メッセージの復号化が失敗したと仮定する。第2実施形態において、STEP275における第1メッセージの復号化が失敗した場合、又はSTEP270における第2メッセージの復号化が失敗した場合、同様の処理が実行されることは明らかである。
【0074】
まず、エラー個数がECCコードの訂正許容量を超えた場合、又は復号化メッセージに基づいて計算されたCRCがエラーの存在を示している場合、当該エラーの原因が、STEP110において推定されたインパルス応答に対する、STEP115において推定されたインパルス応答のシフトにあるか否かが判定される。実際に、2つの接続方向の間のタイムラグ(TDD)又は周波数シフト(FDD)が、通信チャンネルのインパルス応答の2〜3のサンプルのシフトを生じさせる場合がある。
【0075】
STEP110及び115の間の2つの推定インパルス応答に許容される最大シフトがsと表わされる場合、第1インパルス応答に対する第2インパルス応答のs=1,‥,S個のサンプルの遷移が第1メッセージを訂正することが可能であるか否かが判定される。
【0076】
当該処理を実行するため、STEP310においてシフトがs=1個のサンプルに初期化され、STEP320において第2インパルス応答がs個のサンプル分だけ遷移される。STEP330において、このように遷移されたインパルス応答が用いられてSTEP125〜155の処理が再実行される。
【0077】
STEP340において、新たな復号化が試行される。STEP350において、復号化が成功した場合、STEP185(図1参照)の処理が実行される。換言すると、複合化の承認通知が第1端末に送信され、STEP195において、秘密鍵が計算される。一方、復号化が再び失敗した場合、STEP360においてs=Sであるか否かが判定される。
【0078】
s=Sではない場合、STEP365においてシフト量が増進された上で、STEP320に戻り新たな遷移が実行され、STEP330及び340において当該遷移されたインパルス応答を用いた新たな復号化が試行される。
【0079】
一方、復号化が未成功であるもののs=Sである場合、第2端末がシフト量を0(s=0)にリセットし、STEP370において第1端末に対して新たな冗長増進の送信要求を送信する。当該冗長増進は、STEP140において削除された複数のビットにより構成されている。当業者であれば、端末がHARQ typeIIプロトコルにしたがって動作する場合、継続的な冗長増進の遷移が当該端末の実質的な変更を必要としないことを理解するはずである。
【0080】
前記要求に応じる前に、第1端末は、送信された第1メッセージ及び要求冗長増進による訂正が、元の第1メッセージの復号化をなおも阻止するか否かについて判定する。当該判定結果が否定的である場合、第1端末は当該増進を送信し、必要に応じてその旨を第2端末に通知する。
【0081】
STEP155に戻り、第2メッセージの少なくとも一部が、冗長増進が実行された第1メッセージに対して結合される。復号化が再び失敗した場合、復号化が成功するまで、又は再びs=SとなるまでSTEP115において測定されたインパルス応答が継続的にシフトされる。再びs=Sになった場合、第2端末は冗長増進の新たな送信要求を送信し、STEP155において生成された第1メッセージに関する新たな結合が継続的な冗長増進により実行される。
【0082】
第1端末の立場からすると、要求が受信されるたびに新たな冗長増進が送信されるが、継続的な増進によりパンクチャリングかつ処理された第1メッセージが複合化されないままである。これは、パンクチャリングされた当該メッセージ及び継続的な冗長増進を傍受する第3端末が秘密鍵を生成することが不可能であるものと理解される。新たな増進の送信により第1メッセージが復号化された場合(第2メッセージにより供給されるような付加的情報が含まれない)、新たな増進は送信されず、秘密鍵の生成方法が最初から再開され、STEP110において第1端末により通信チャンネルのインパルス応答が推定され、STEP115において第2端末により通信チャンネルのインパルス応答が推定される。
【0083】
図4は、本実施形態において送信端末の役割を担う第1端末における秘密鍵の生成方法の実施例を示している。
【0084】
第1端末は送信チャンネルのインパルス応答推定モジュール410を備えている。前述のように、インパルス応答は畳み込まれなくてもよく、換言するとパイロットシンボルシーケンスに対するチャンネルの応答を表わしている。
【0085】
計算モジュール420はインパルス応答を、これを表わすメッセージに変換する。
【0086】
メッセージは、モジュール430において当該メッセージに対して適用されるエラーチェックコード(CRC)を有し、CRCは公知の方法により当該メッセージに対して連結される。
【0087】
メッセージ及び適用可能であればこれに連結されたCRCは、暗号化モジュール440においてエラー訂正コード(ECC)を用いて暗号化される。暗号化されたメッセージはパンクチャリングモジュール450によりパンクチャリングされる。パンクチャリングされたビットはメモリ455に格納され、要求に応じてパケット(冗長増進)の形で送信される。
【0088】
そして、パンクチャリングされたメッセージが、送信チャンネルを通じて送信される前にシンボルQ−エリアモジュレータ460により変調される。
【0089】
第1端末は、計算モジュール420から供給されるメッセージに基づいて秘密鍵を決定する計算モジュール470を備えている。
【0090】
図5は、本実施形態において受信端末の役割を担う第2端末における秘密鍵の生成方法の実施例を示している。
【0091】
第1端末はインパルス応答推定モジュール510と、計算モジュール520と、CRC計算モジュール530と、ECC暗号化モジュール540と、パンクチャリングモジュール550とを備えている。モジュール510〜540は、モジュール410〜440と同一である一方、モジュール550により用いられるパンクチャリングパターンはモジュール450により用いられるパンクチャリングパターンと異なっている。さらに、遷移モジュール515が推定モジュール510と計算モジュール520との間に配置されている。遷移モジュール515は、s個の推定されたインパルス応答を遷移する。新たな推定のたびにシフト値sは0にリセットされる。
【0092】
第2メッセージを構成するビットシーケンスはモジュール555に格納されている。第2メッセージはモジュール560において、受信機565により第1端末から受信された第1メッセージに少なくとも部分的に結合される。結合モジュールは例えばLLRsの加算処理を実行する。
【0093】
そして、結合の結果、取得されるメッセージはモジュール570において当該メッセージに対してECC複合化を実行させ、モジュール580において当該メッセージに対してCRC計算を実行させる。メッセージが暗号化可能であり、かつ、CRCが連結先と同一である場合、計算モジュール590は、複合化されたメッセージに基づいて秘密鍵を決定する。その一方、メッセージが暗号化不可能であり、又は計算されたCRCが誤っている場合、モジュール515に対して入力されるシフト値が増進される。
【0094】
続いて、モジュール520が遷移されたインパルス応答を用いる。増進されたシフト値が最大シフトSを超えている場合、冗長増進の送信要求が第1端末に対して送信される。モジュール560により、冗長増進が第2メッセージの該当部分に結合される。
【0095】
当業者であれば、本発明の秘密鍵の生成方法が、タイプIIのHARQ(IR−HARQ)通信プロトコルにしたがうワイヤレス端末に標準的に装備されているモジュールを利用することを理解するであろう。したがって、本手法は、既存端末において過度の負担を伴うことなく採用されうる。
【技術分野】
【0001】
本発明は、一般的にはワイヤレス通信分野に関する。本発明は、具体的には秘密鍵によりワイヤレス通信のセキュリティ分野に関する。
【背景技術】
【0002】
ワイヤレスネットワークにおける通信のセキュリティは長年にわたり研究対象とされてきた。
【0003】
第1のセキュリティ技術によれば、RSAアルゴリズム又は楕円曲線暗号アルゴリズム等の公開鍵暗号方式を用いて通信が暗号化される。しかし、当該技術は、暗号が潜在的攻撃に耐えうるように、長大な公開鍵が好感される必要がある。さらに、用いられるアルゴリズムが複雑であり、多くの場合にはモバイル端末が有する計算能力を超える計算能力を利用する。
【0004】
第2のセキュリティ技術によれば、DESアルゴリズム等の秘密鍵暗号方式を用いて通信が暗号化される。秘密鍵は送信主体(アリス(Alice)と呼ばれる。)と受信主体(ボブ(Bob)と呼ばれる。)との間で共有され、潜在的な傍受主体(イブ(Eve)と呼ばれる。)により盗用されない必要がある。しかし、当該技術は、ボブとアリスとの間で秘密鍵に関する事前の合意が必要であり、実用上は常に達成可能なことではない。さらに、秘密鍵自体が安全に送信されるために、当該秘密鍵が定常的に更新される必要がある。
【0005】
近年、ボブの端末とアリスの端末との間でワイヤレス送信チャンネルの特性を用いて、チャンネルの双方向性及び高い空間的脱相関度の利点を活用することが提案されている。具体的には、ノイズが無視されれば、ボブ及びアリスの間の送信チャンネルのインパルス応答は、アリス及びボブの間の送信チャンネルのインパルス応答と理論的には同一である。その結果、イブの端末がボブの端末から半波長を超えて離れている場合、アリス及びイブの間の送信チャンネルの特性は、アリス及びボブの間の送信チャンネルの特性との相関関係はない。このため、イブはアリス及びイブの間のチャンネルを単に盗聴することにより秘密鍵を取得することはできない。そして、アリス及びボブの間の送信チャンネルは、特に一方又は他方の主体が移動した場合、その特性の時間変化にしたがう。送信チャンネルを通じた付加的なやり取りをすることなく、秘密鍵が頻繁に更新されうる。
【0006】
送信チャンネルの特性から秘密鍵を生成する技術が提案されている(非特許文献1参照)。
【0007】
秘密鍵を生成する当該技術における主要な困難性の1つは、生成鍵に関するボブとアリスとの間の合意の潜在的な欠如にある。
【0008】
第1に、正当な2つの主体間の送信チャンネルは、これに影響するノイズのために厳密には同一ではない。
【0009】
第2に、通信がTDD(Time Division Duplex)方式である場合、送信チャンネルの特性が、ボブによるチャンネルの測定時点とアリスによる測定時点との間で微小ながら変化する。同様に、送信チャンネルがFDD(Frequency Division Duplex)方式である場合、アリス及びボブの間の送信チャンネルの周波数特性は、反対のチャンネルの周波数特性と一致しない。
【0010】
前述のノイズ並びに時間シフト及び周波数シフトのうち少なくとも1つに由来するチャンネルの非対称性により、ボブにより生成される鍵はアリスにより生成される鍵と必ずしも一致しない。
【0011】
正当な主体間での生成鍵に関する合意に到達するための多数の手段、特に、ファジー抽出器により後継されているリミッタ処理前のノイズを低減させるためにローパスフィルタを用いた場合における手段が提案されている(非特許文献2参照)。
【0012】
一致する推定結果及びその後に共有鍵を取得するため、送信チャンネルの推定結果を低次ビットから始めて高次ビットに向かって円滑に補正する手法が提案されている(非特許文献3参照)。
【先行技術文献】
【非特許文献】
【0013】
【非特許文献1】“High rate uncorrelated bit extraction for shared secret key generation from channel measurements”, N. Patwari et al., IEEE Trans. on Mobile Computing, 2010, vol.9, no.1, pp.17-30 (2010).
【非特許文献2】“Robust key generation from signal envelopes in wireless networks”, B. Azimi-Sadjadi et al., Proceedings of ACM Conference on Computer and Communications Security 2007, pp.401-410 (2007).
【非特許文献3】“Reliability based sliced error correction in secret key agreement from fading channel”, S. Takayuki et al., 2010 IEEE Wireless Communications and Networking Conference (2010).
【発明の概要】
【発明が解決しようとする課題】
【0014】
しかし、共有秘密鍵に関する合意を達成するための当該手法は、実用が複雑であり、かつ、合意に実際に到達する前にチャンネルのいずれか一方の側で繰り返されるべきチャンネル推定結果を頻繁に要求することは煩雑である。
【0015】
そこで、本発明は、先行技術における不利を伴わず、特にノイズに対する濾バスト性があり、かつ、モバイル端末に適用が容易な送信チャンネルの特性から秘密鍵を生成する方法を提供することを課題とする。
【0016】
さらに、本発明は、WiMax及び3G LTE(Long Term Evolution)において採用されているHARQ typeII(Hybrid Automatic ReQuest)プロトコルの利点を活かして秘密鍵の生成方法を提供することを課題とする。
【課題を解決するための手段】
【0017】
本発明の秘密鍵生成方法は、ワイヤレス送信チャンネルにより接続され、前記チャンネルの第1推定結果を生成する第1端末と、前記チャンネルの第2推定結果を生成する第2端末とにより共有される秘密鍵の生成方法であって、
(a)前記第1推定結果を表わす第1メッセージであって、チャンネル暗号を用いて事前に暗号化され、かつ、復号化不可能な程度に高速で第1パンクチャリングパターンにしたがってパンクチャリングされた第1メッセージが前記第1端末から前記第2端末に対して送信され、
(b)前記第2推定結果を表わす第2メッセージであって、前記チャンネル暗号を用いて事前に暗号化された第2メッセージが前記第2端末により格納され、
(c)前記第1メッセージを復号化するために前記第2メッセージが前記第1メッセージと結合され、
(d)前記第1メッセージの復号化に成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする。
【0018】
本発明の第1態様の方法において、前記第1メッセージの復号化が成功した場合、前記第2端末が承認通知を前記第1端末に対して送信し、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定する。
【0019】
前記第1端末が前記第1メッセージを演算処理することにより前記秘密鍵を決定し、前記第2端末が復号化された前記第1メッセージに同一の演算処理を施すことにより前記秘密鍵を取得することが好ましい。
【0020】
前記第1メッセージの復号化が失敗した場合、前記インパルス応答に対する前記第2推定結果が、前記第1推定結果に比較して1サンプル分だけシフトされ、当該シフトされた前記第2推定結果を用いて前記過程(b)(c)及び(d)が繰り返される。
【0021】
前記第1メッセージが復号化されるまで、又は前記シフトが所定の最大値に到達するまで、前記インパルス応答に対する前記第2推定結果の前記シフト、並びに過程(b)(c)及び(d)が繰り返される。
【0022】
前記第1メッセージが復号化されることなく前記シフトが前記最大値に到達した場合、前記第2端末が前記第1端末に対して冗長増進の送信要求を送信する。
【0023】
前記冗長増進が前記第1パンクチャリングパターンにしたがってパンクチャリングされたビットにより構成されている。
【0024】
この場合、
(c’)前記第2端末が前記第2メッセージの少なくとも一部と、前記冗長増進により事前に完成された前記第1メッセージとを結合し、当該結合に基づいて前記第1メッセージを復号化し、(d)前記第1メッセージの復号化が成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することが好ましい。
【0025】
前記冗長増進により完成された前記第1メッセージが未だ復号化されていない場合、前記第1端末が前記冗長増進を前記第2端末に対して送信することが好ましい。
【0026】
新しい前記冗長増進が前記第1メッセージを復号化可能である場合、前記冗長増進が前記第1端末から送信されず、前記第1端末が前記第2端末に当該状況を通知し、前記第1端末及び前記第2端末が、それぞれ前記送信チャンネルのインパルス応答に対する前記第1推定結果及び前記第2推定結果を生成する。
【0027】
本発明の第2態様の方法によれば、前記チャンネル暗号を用いて事前に暗号化された前記第2メッセージが、復号化不可能な程度に高速で第2パンクチャリングパターンにしたがってパンクチャリングされ、当該パンクチャリングされた前記第2メッセージが前記第1端末に対して送信される。
【0028】
この場合、前記第1端末が前記第2メッセージを復号化するため、前記第1メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第2メッセージの復号化が成功した場合、前記第1端末が、当該復号化され、前記第2端末から承認通知を受信していない前記第2メッセージに基づいて前記秘密鍵を決定し、前記第2端末に対して承認メッセージを送信し、
前記第2端末から承認メッセージを受信している場合、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定することが好ましい。
【0029】
対称的な態様にしたがって、前記第2端末が前記第1メッセージを復号化するため、前記第2メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第1メッセージの復号化が成功した場合、前記第2端末が当該復号化され、かつ、前記第1端末から承認通知を受信していない前記第1メッセージに基づいて前記秘密鍵を決定し、前記第1端末に対して承認メッセージを送信し、
前記第1端末から承認メッセージを受信している場合、前記第2端末が前記第2メッセージに基づいて前記秘密鍵を決定することが好ましい。
【0030】
前記第1端末及び前記第2端末のそれぞれによるチャンネル暗号化、パンクチャリング及び送信前に前記第1メッセージ及び前記第2メッセージのそれぞれに対してCRC(巡回冗長検査)が計算かつ連結され、受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて計算されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定される。
【0031】
代替的に、チャンネル暗号化及びパンクチャリング前に前記第1メッセージ及び前記第2メッセージのそれぞれを用いてCRC(巡回冗長検査)が計算され、送信前にパンクチャリングされたメッセージに対して連結され、受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて実施されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定される。
【図面の簡単な説明】
【0032】
【図1】本発明の第1実施形態としての秘密鍵生成方法の説明図。
【図2】本発明の第2実施形態としての秘密鍵生成方法の説明図。
【図3】図1及び図2において受信されたメッセージの復号化失敗の前提に関する説明図。
【図4】秘密鍵の生成方法の送信端末への適用例に関する説明図。
【図5】秘密鍵の生成方法の受信端末への適用例に関する説明図。
【発明を実施するための形態】
【0033】
少なくとも第1端末及び第2端末を含むワイヤレス通信について考察する。「端末」とは、固定通信機器又はモバイル通信機器を意味する。ワイヤレス通信システムは移動通信用であってもなくてもよい。当該システムは携帯電話ネットワーク、アドホックネットワーク、センサーネットワーク、通信媒体ネットワークなどであってもよい。端末は広義にはユーザ端末、ベースステーション、センサ、通信媒体等の通信機器を意味する。
【0034】
第1端末及び第2端末の間の通信は、すべての場合においてワイヤレス送信チャンネルが用いられる。チャンネルは一般に時間及び周波数のうち一方又は両方により選択される。すなわち、チャンネルのインパルス応答は時間的、周波数的、又は時間的かつ周波数的なフェージングを有する。例えば、一方又は他方のチャンネルがモバイル端末である場合、チャンネルはレイリーフェージングを有するチャンネルである。
【0035】
第1端末及び第2端末の間の通信は一方向通信又は双方向通信である。双方向通信の場合、一方向の通信は、逆方向の通信により用いられる通信資源(通信時間間隔、周波数、サブキャリアインターバル、オーソゴナルコード)とは異なる通信資源を有する。例えば、TDD通信における通信時間間隔(TTI)は2つの方向間で異なる。FDD通信では2つの方向間で通信周波数が異なる。
【0036】
異なる通信資源の利用の結果、送信チャンネルの特性は通信方向に応じて相違する。2つの通信時間間隔はチャンネルの同期時間より短い、又は2つの通信周波数が近接するため、実際には当該特性の相対的相違は微小である。
【0037】
図1はワイヤレス通信システムを構成する第1端末及び第2端末により共有される秘密鍵の生成方法を示している。
【0038】
STEP110において、第1端末が周知の手法により送信チャンネルのインパルス応答を測定する。その実現のため、第2端末がパイロットシンボルシーケンスを送信する。パイロットシンボルシーケンスは、所定の通信時間間隔以内に又は連続する複数の通信時間間隔を超えて通信される。インパルス応答は、厳密な意味でのインパルス応答、又は、第1端末により受信されるシーケンス、すなわち、第2端末により送信されたパイロットシンボルシーケンスとインパルス応答との畳み込みを意味する。送信チャンネルのインパルス応答はサンプルシーケンスの形態である。
【0039】
STEP120において、第1端末はインパルス応答を演算処理し、当該応答を表わすメッセージ(以下「第1メッセージ」という。)を抽出する。演算処理は特にノイズを低減させるためのローパスフィルタ、自動ゲイン制御(AGC)、量子化、情報圧縮、フーリエ変換等を含む。
【0040】
STEP130において、第1端末は取得された第1メッセージをエラー補正コード又はECCを用いて暗号化する。好ましくは第1メッセージが巡回冗長検査又はCRC等のエラー検出コードを用いて暗号化される。ECC暗号化はCRCコードに結合される元のメッセージに関連する。これに代えて、ECCはCRCを含まない第1メッセージに関連し、CRCはECC暗号化により取得されたメッセージに対して結合される。
【0041】
ECC暗号化は、例えばリード−ソロモンコーディング、低密度パリティコード若しくはLDPC、暗号化又はターボコーディングであってもよい。
【0042】
STEP140において、前記のように暗号化された第1メッセージが、受信時に復号化されえない程度に十分に高速のパンクチャリングパターンを用いてパンクチャリングされる。例えば、暗号化がシステマティック型であれば、システマティックビットはすべてパンクチャリングされる。好ましくは、システマティックビットの一部であるが、ECCコードの補正許容量を超える程度に多数のシステマティックビットがパンクチャリングされる。通信を傍受するスパイ端末(イブ)による元のメッセージを再構築することが不可能になる。
【0043】
STEP141において、第1端末により第1メッセージが変調かつ送信される。受信後、第2端末により当該第1メッセージが復調かつデパンクチャリングされる。デパンクチャリングは、欠落した複数のビットを消去されたものとして処理する、すなわち、当該複数のビットに対して明白なデータ欠如を示す適当な値を付与することを含む(実用上はゼロLLR)。
【0044】
同様に、STEP115において、第2端末が送信チャンネルのインパルス応答の推定結果を生成し(第1端末により送信されたパイロットシンボルシーケンスが用いられる。チャンネルのインパルス応答はSTEP110と同様に複数のサンプルのシーケンスの形態である。)。第2端末がSTEP125において演算処理を実行し、STEP135において(好ましくはECC暗号化に先立つCRC暗号化により)当該演算処理結果に基づいて当該応答、誤差補正暗号又はECCを表わす第2メッセージを抽出する。
【0045】
第2端末により実行されるSTEP115、125及び135のそれぞれは、第1端末により実行されるSTEP110、120及び130のそれぞれと同一である。特に、ECC暗号化及び(必要に応じて)CRC暗号化は、STEP130において用いられているものと同一である。STEP130においてCRC暗号化がECC暗号化より先に実行される場合、STEP135において同一のCRC暗号化がECC暗号化より先に実行される。これとは逆に、STEP130においてCRC暗号化がECC暗号化より後に実行される場合、STEP135において同一のCRC暗号化がECC暗号化より後に実行される。変形例として、パンクチャリングが実行されるSTEP145が含まれていてもよい。この場合、STEP145において用いられるパンクチャリングパターンは、STEP140において用いられるパンクチャリングパターンとは区別されていることが好ましい。
【0046】
前記のように生成された第2メッセージは第2端末に格納される。STEP155において、第2端末が第2メッセージの少なくとも一部を、第1端末から受信された第1メッセージと結合させる。
【0047】
第1メッセージは、一般的には対数尤度比(LLRs)の形態の複数のソフトビットにより構成されている。第2メッセージも複数のソフトビットにより構成されているが、第1メッセージとは異なり、第2メッセージが決定論的である場合(送信チャンネルを通じた伝播が皆無の場合)、正及び負のソフトビットが不変であってもよい。
【0048】
第2メッセージは「尤度(Probabilistic)」の値により暗号化される場合がある。例えば、ビットが所定の閾値の交差を表わす場合、ソフト値は元値と閾値との比を表わす。このため、STEP125における計算がインパルス応答のリミッタ処理(フェードの測定)を包含する場合、第2メッセージのソフト値は、応答の(予め正規化された)振幅と該当閾値との比として計算される。これとは逆に、第2メッセージ(及び第1メッセージ)の2つの単語がフェードの現在状態を表わす場合、不変のソフト値が用いられる。
【0049】
第1メッセージは第2メッセージの少なくとも一部と次のように結合される。第1メッセージ及び第2メッセージの両方においてビットがパンクチャリングされている場合、結合の結果としての当該ビットはデリーションである(LLR=0により表わされる)。第1メッセージにおいてビットがパンクチャリングされている一方、第2メッセージにおいてビットがパンクチャリングされていない場合、第1メッセージの当該ビットが第2メッセージの相当するビットに置換される。同等の方法で、第1メッセージにおいてパンクチャリングされた値(パンクチャリングされたビットがデリーションと均等であるため、LLRが0である)が第2メッセージの相当する値に付加される。そして、両方のメッセージに当該ビットが含まれる場合、第1メッセージのソフト値が第2メッセージのソフト値に加えられる。
【0050】
第2メッセージが少なくとも部分的に第1メッセージに対して結合された後、STEP165において、第1メッセージを復号するための第1の試行が実行される。
【0051】
この時点で、第2メッセージの唯一の機能は第1メッセージの復号化の補助であり、その逆はない。すなわち、第2メッセージに存在する情報は、パンクチャリングによって第1メッセージに欠如している情報の補完を可能とするだけである。
【0052】
STEP165における復号化が失敗した場合(すなわち、ECCコードがメッセージに影響するエラーを訂正することができない場合)、又は判定STEP175に表わされているように、複合化されたメッセージに基づいて計算されるCRCが残留エラーの存在を示している場合、アルゴリズムはSTEP176の処理に続く。その一方、復号化が成功した場合、STEP185において、CRCの計算による可能な確認通知(confirmation)とともに、承認通知(acknowledgement)が第1端末に送信され、STEP195において秘密鍵が計算される。
【0053】
STEP165において複合化された第1メッセージに基づいて秘密鍵が取得される。これは複合化メッセージと単純に同一であってもよく、又は当該メッセージのサブサンプリングの結果であってもよい。これに代えて、秘密鍵から冗長度を消滅させるための計算、換言すると情報圧縮アルゴリズムを用いる当該手法により秘密鍵が抽出されてもよい。例えば、自己適応型フィルタを用いて複合化された第1メッセージがフィルタリングされた結果物として秘密鍵が取得されてもよい。
【0054】
同時に、第1端末が複合化承認通知を受信した場合、STEP190において、第1端末がSTEP195において複合化された第1メッセージに対して適用されるのと同一の計算にしたがって、(STEP120において取得された)元の第1メッセージに基づいて秘密鍵を生成する。生成された秘密鍵は両端末に共通となり、3DES又はRC4等の対称暗号作成アルゴリズムを用いて通信を暗号化するために用いられうる。
【0055】
要求される場合、秘密鍵は同一の生成方法を用いて更新される。送信チャンネルの特性は、2つの端末の相対移動又は環境変化のために一般的に時間変化し、新たな鍵は直前の鍵とは無関係になる。
【0056】
図2は本発明の秘密鍵の生成方法の第2実施形態を示している。
【0057】
第1実施形態と異なり、秘密鍵を決定するために第2端末により第2メッセージが第1端末に対して送信される。
【0058】
第1端末により実行されるSTEP210,220,240及び241のそれぞれの処理は、図1に示されているSTEP110,120,140及び141のそれぞれの処理と同一なので説明を省略する。同様に、STEP215,225,235,245,255,265,275〜276,285及び295のそれぞれの処理は、STEP115,125,135,145,155, 165,175〜176,185及び195のそれぞれの処理と同一である。
【0059】
第2実施形態において、STEP295において取得された秘密鍵は「第1秘密鍵」という。
【0060】
パンクチャリングが実行されるSTEP145は任意ではなく、パンクチャリングパターンは、パンクチャリングされた第2メッセージがレシーバにより復号化されえない程度に十分に高いパンクチャリング速度を有する。このため、第2端末及び第1端末の間の通信を傍受する第3端末が元の第2メッセージを取得することができない。第2メッセージをパンクチャリングするために用いられるパンクチャリングパターンは、第1メッセージをパンクチャリングするために用いられるパンクチャリングパターンとは区別されていることが好ましい。
【0061】
パンクチャリング後、第2メッセージが第2端末により変調かつ送信チャンネルを通じて送信される。当該メッセージは、前述のように第1端末により受信され、復調かつデパンクチャリングされる。
【0062】
STEP220において取得された第1メッセージは、STEP250において少なくとも部分的にデパンクチャリングされた第2メッセージに対して結合される。当該結合はSTEP255において実行される結合と対称的に実行される。特に、第2メッセージにおける欠落情報は第1メッセージに包含されている情報により補完される。
【0063】
結合後、STEP260において、第1の試行が実行される。STEP270において、ECCコードの訂正無効、又は復号化メッセージにおける残留エラーのため、(残留エラーが存在する場合にはCRCによる)復号化が失敗したことが検知された場合、STEP271の処理が実行される。
【0064】
一方、復号化が成功した場合、STEP280において、CRCの計算による可能な確認通知とともに、承認通知が第2端末に対して送信され、STEP290において秘密鍵が計算される。
【0065】
第1秘密鍵及び第2秘密鍵の計算の対比により共有秘密鍵が取得される。具体的には、他方の端末から最初に承認通知を受信した一方の端末が受信メッセージ(第1又は第2メッセージ)の複合化を阻止し、STEP190において説明されたように元のメッセージに基づいて連結秘密鍵を局所的に生成する。
【0066】
例えば、第1メッセージの復号化が第2メッセージの複合化よりも速い場合、STEP285において送信された承認通知は、第1端末における第2メッセージの複合化処理を阻止する。第1端末は、図左側の破線矢印により表わされているように(STEP220において取得された)元の第1メッセージに基づいて共有鍵を生成する。
【0067】
対称的な形態で、第2メッセージの復号化が第1メッセージの複合化よりも速い場合、STEP280において送信された承認通知は、第2端末における第1メッセージの複合化処理を阻止する。第2端末は、図右側の破線矢印により表わされているように(STEP225において取得された)元の第2メッセージに基づいて共有鍵を生成する。
【0068】
したがって、第1メッセージ又は第2メッセージの復号化が成功すると直ちに共有秘密鍵が取得される。これにより、2つの端末間の通信は、前述のように対称暗号作成アルゴリズムにより暗号化されうる。
【0069】
第1又は第2メッセージを傍受するスパイ端末(イブ)は、当該傍受メッセージを複合化することは不可能である。
【0070】
第1端末及び第2端末とスパイ端末との間の通信チャンネルの応答は、第1端末と第2端末との間の通信チャンネルの応答とは異なる。このため、傍受メッセージを複合化するために通信チャンネルのインパルス応答の測定結果に基づいて当該傍受メッセージにおける情報抽出が試みられたとしても、当該複合化は失敗に帰することになる。
【0071】
STEP175又は275において第1メッセージの復号化が失敗した場合、又はSTEP270において第2メッセージの復号化が失敗した場合、図3に示されている処理が実行される。
【0072】
図3は、図1(STEP176参照)又は図2(STEP271又は276)におけるメッセージの復号化失敗時における秘密鍵の生成方法の手順を示している。
【0073】
ここで、第1実施形態において、STEP175における第1メッセージの復号化が失敗したと仮定する。第2実施形態において、STEP275における第1メッセージの復号化が失敗した場合、又はSTEP270における第2メッセージの復号化が失敗した場合、同様の処理が実行されることは明らかである。
【0074】
まず、エラー個数がECCコードの訂正許容量を超えた場合、又は復号化メッセージに基づいて計算されたCRCがエラーの存在を示している場合、当該エラーの原因が、STEP110において推定されたインパルス応答に対する、STEP115において推定されたインパルス応答のシフトにあるか否かが判定される。実際に、2つの接続方向の間のタイムラグ(TDD)又は周波数シフト(FDD)が、通信チャンネルのインパルス応答の2〜3のサンプルのシフトを生じさせる場合がある。
【0075】
STEP110及び115の間の2つの推定インパルス応答に許容される最大シフトがsと表わされる場合、第1インパルス応答に対する第2インパルス応答のs=1,‥,S個のサンプルの遷移が第1メッセージを訂正することが可能であるか否かが判定される。
【0076】
当該処理を実行するため、STEP310においてシフトがs=1個のサンプルに初期化され、STEP320において第2インパルス応答がs個のサンプル分だけ遷移される。STEP330において、このように遷移されたインパルス応答が用いられてSTEP125〜155の処理が再実行される。
【0077】
STEP340において、新たな復号化が試行される。STEP350において、復号化が成功した場合、STEP185(図1参照)の処理が実行される。換言すると、複合化の承認通知が第1端末に送信され、STEP195において、秘密鍵が計算される。一方、復号化が再び失敗した場合、STEP360においてs=Sであるか否かが判定される。
【0078】
s=Sではない場合、STEP365においてシフト量が増進された上で、STEP320に戻り新たな遷移が実行され、STEP330及び340において当該遷移されたインパルス応答を用いた新たな復号化が試行される。
【0079】
一方、復号化が未成功であるもののs=Sである場合、第2端末がシフト量を0(s=0)にリセットし、STEP370において第1端末に対して新たな冗長増進の送信要求を送信する。当該冗長増進は、STEP140において削除された複数のビットにより構成されている。当業者であれば、端末がHARQ typeIIプロトコルにしたがって動作する場合、継続的な冗長増進の遷移が当該端末の実質的な変更を必要としないことを理解するはずである。
【0080】
前記要求に応じる前に、第1端末は、送信された第1メッセージ及び要求冗長増進による訂正が、元の第1メッセージの復号化をなおも阻止するか否かについて判定する。当該判定結果が否定的である場合、第1端末は当該増進を送信し、必要に応じてその旨を第2端末に通知する。
【0081】
STEP155に戻り、第2メッセージの少なくとも一部が、冗長増進が実行された第1メッセージに対して結合される。復号化が再び失敗した場合、復号化が成功するまで、又は再びs=SとなるまでSTEP115において測定されたインパルス応答が継続的にシフトされる。再びs=Sになった場合、第2端末は冗長増進の新たな送信要求を送信し、STEP155において生成された第1メッセージに関する新たな結合が継続的な冗長増進により実行される。
【0082】
第1端末の立場からすると、要求が受信されるたびに新たな冗長増進が送信されるが、継続的な増進によりパンクチャリングかつ処理された第1メッセージが複合化されないままである。これは、パンクチャリングされた当該メッセージ及び継続的な冗長増進を傍受する第3端末が秘密鍵を生成することが不可能であるものと理解される。新たな増進の送信により第1メッセージが復号化された場合(第2メッセージにより供給されるような付加的情報が含まれない)、新たな増進は送信されず、秘密鍵の生成方法が最初から再開され、STEP110において第1端末により通信チャンネルのインパルス応答が推定され、STEP115において第2端末により通信チャンネルのインパルス応答が推定される。
【0083】
図4は、本実施形態において送信端末の役割を担う第1端末における秘密鍵の生成方法の実施例を示している。
【0084】
第1端末は送信チャンネルのインパルス応答推定モジュール410を備えている。前述のように、インパルス応答は畳み込まれなくてもよく、換言するとパイロットシンボルシーケンスに対するチャンネルの応答を表わしている。
【0085】
計算モジュール420はインパルス応答を、これを表わすメッセージに変換する。
【0086】
メッセージは、モジュール430において当該メッセージに対して適用されるエラーチェックコード(CRC)を有し、CRCは公知の方法により当該メッセージに対して連結される。
【0087】
メッセージ及び適用可能であればこれに連結されたCRCは、暗号化モジュール440においてエラー訂正コード(ECC)を用いて暗号化される。暗号化されたメッセージはパンクチャリングモジュール450によりパンクチャリングされる。パンクチャリングされたビットはメモリ455に格納され、要求に応じてパケット(冗長増進)の形で送信される。
【0088】
そして、パンクチャリングされたメッセージが、送信チャンネルを通じて送信される前にシンボルQ−エリアモジュレータ460により変調される。
【0089】
第1端末は、計算モジュール420から供給されるメッセージに基づいて秘密鍵を決定する計算モジュール470を備えている。
【0090】
図5は、本実施形態において受信端末の役割を担う第2端末における秘密鍵の生成方法の実施例を示している。
【0091】
第1端末はインパルス応答推定モジュール510と、計算モジュール520と、CRC計算モジュール530と、ECC暗号化モジュール540と、パンクチャリングモジュール550とを備えている。モジュール510〜540は、モジュール410〜440と同一である一方、モジュール550により用いられるパンクチャリングパターンはモジュール450により用いられるパンクチャリングパターンと異なっている。さらに、遷移モジュール515が推定モジュール510と計算モジュール520との間に配置されている。遷移モジュール515は、s個の推定されたインパルス応答を遷移する。新たな推定のたびにシフト値sは0にリセットされる。
【0092】
第2メッセージを構成するビットシーケンスはモジュール555に格納されている。第2メッセージはモジュール560において、受信機565により第1端末から受信された第1メッセージに少なくとも部分的に結合される。結合モジュールは例えばLLRsの加算処理を実行する。
【0093】
そして、結合の結果、取得されるメッセージはモジュール570において当該メッセージに対してECC複合化を実行させ、モジュール580において当該メッセージに対してCRC計算を実行させる。メッセージが暗号化可能であり、かつ、CRCが連結先と同一である場合、計算モジュール590は、複合化されたメッセージに基づいて秘密鍵を決定する。その一方、メッセージが暗号化不可能であり、又は計算されたCRCが誤っている場合、モジュール515に対して入力されるシフト値が増進される。
【0094】
続いて、モジュール520が遷移されたインパルス応答を用いる。増進されたシフト値が最大シフトSを超えている場合、冗長増進の送信要求が第1端末に対して送信される。モジュール560により、冗長増進が第2メッセージの該当部分に結合される。
【0095】
当業者であれば、本発明の秘密鍵の生成方法が、タイプIIのHARQ(IR−HARQ)通信プロトコルにしたがうワイヤレス端末に標準的に装備されているモジュールを利用することを理解するであろう。したがって、本手法は、既存端末において過度の負担を伴うことなく採用されうる。
【特許請求の範囲】
【請求項1】
ワイヤレス送信チャンネルにより接続され、前記チャンネルの第1推定結果を生成する第1端末と、前記チャンネルの第2推定結果を生成する第2端末とにより共有される秘密鍵の生成方法であって、
(a)前記第1推定結果を表わす第1メッセージであって、チャンネル暗号を用いて事前に暗号化され、かつ、復号化不可能な程度に高速で第1パンクチャリングパターンにしたがってパンクチャリングされた第1メッセージが前記第1端末から前記第2端末に対して送信され、
(b)前記第2推定結果を表わす第2メッセージであって、前記チャンネル暗号を用いて事前に暗号化された第2メッセージが前記第2端末により格納され、
(c)前記第1メッセージを復号化するために前記第2メッセージが前記第1メッセージと結合され、
(d)前記第1メッセージの復号化に成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項2】
請求項1記載の方法において、
前記第1メッセージの復号化が成功した場合、前記第2端末が承認通知を前記第1端末に対して送信し、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項3】
請求項2記載の方法において、
前記第1端末が前記第1メッセージに演算処理を施すことにより前記秘密鍵を決定し、前記第2端末が復号化された前記第1メッセージに同一の演算処理を施すことにより前記秘密鍵を取得することを特徴とする方法。
【請求項4】
請求項1記載の方法において、
インパルス応答に対する前記第1推定結果及び前記第2推定結果がサンプルシーケンスの形態であり、前記第1メッセージの復号化が失敗した場合、前記インパルス応答に対する前記第2推定結果が、前記第1推定結果に比較して1サンプル分だけシフトされ、当該シフトされた前記第2推定結果を用いて前記過程(b)(c)及び(d)が繰り返されることを特徴とする方法。
【請求項5】
請求項4記載の方法において、
前記第1メッセージが復号化されるまで、又は前記シフトが所定の最大値に到達するまで、前記インパルス応答に対する前記第2推定結果の前記シフト、並びに過程(b)(c)及び(d)が繰り返されることを特徴とする方法。
【請求項6】
請求項5記載の方法において、
前記第1メッセージが復号化されることなく前記シフトが前記最大値に到達した場合、前記第2端末が前記第1端末に対して冗長増進の送信要求を送信することを特徴とする方法。
【請求項7】
請求項6記載の方法において、
前記冗長増進が前記第1パンクチャリングパターンにしたがってパンクチャリングされたビットにより構成されていることを特徴とする方法。
【請求項8】
請求項7記載の方法において、
(c’)前記第2端末が前記第2メッセージの少なくとも一部と、前記冗長増進により事前に完成された前記第1メッセージとを結合し、当該結合に基づいて前記第1メッセージを復号化し、
(d)前記第1メッセージの復号化が成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項9】
請求項8記載の方法において、
前記冗長増進により完成された前記第1メッセージが未だ復号化されていない場合、前記第1端末が前記冗長増進を前記第2端末に対して送信することを特徴とする方法。
【請求項10】
請求項9記載の方法において、
新しい前記冗長増進が前記第1メッセージを復号化可能である場合、
前記冗長増進が前記第1端末から送信されず、前記第1端末が前記第2端末に当該状況を通知し、
前記第1端末及び前記第2端末が、それぞれ前記送信チャンネルのインパルス応答に対する前記第1推定結果及び前記第2推定結果を生成することを特徴とする方法。
【請求項11】
請求項1記載の方法において、
前記チャンネル暗号を用いて事前に暗号化された前記第2メッセージが、復号化不可能な程度に高速で第2パンクチャリングパターンにしたがってパンクチャリングされ、当該パンクチャリングされた前記第2メッセージが前記第1端末に対して送信されることを特徴とする方法。
【請求項12】
請求項11記載の方法において、
前記第1端末が前記第2メッセージを復号化するため、前記第1メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第2メッセージの復号化が成功した場合、前記第1端末が、当該復号化され、前記第2端末から承認通知を受信していない前記第2メッセージに基づいて前記秘密鍵を決定し、前記第2端末に対して承認メッセージを送信し、
前記第2端末から承認メッセージを受信している場合、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項13】
請求項11又は12記載の方法において、
前記第2端末が前記第1メッセージを復号化するため、前記第2メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第1メッセージの復号化が成功した場合、前記第2端末が当該復号化され、かつ、前記第1端末から承認通知を受信していない前記第1メッセージに基づいて前記秘密鍵を決定し、前記第1端末に対して承認メッセージを送信し、
前記第1端末から承認メッセージを受信している場合、前記第2端末が前記第2メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項14】
請求項11〜13のうちいずれか1つに記載の方法において、
前記第1端末及び前記第2端末のそれぞれによるチャンネル暗号化、パンクチャリング及び送信前に前記第1メッセージ及び前記第2メッセージのそれぞれに対してCRC(巡回冗長検査)が計算かつ連結され、
受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて計算されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定されることを特徴とする方法。
【請求項15】
請求項11〜13のうちいずれか1つに記載の方法において、
チャンネル暗号化及びパンクチャリング前に前記第1メッセージ及び前記第2メッセージのそれぞれを用いてCRC(巡回冗長検査)が計算され、
送信前にパンクチャリングされたメッセージに対して連結され、
受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて実施されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定されることを特徴とする方法。
【請求項1】
ワイヤレス送信チャンネルにより接続され、前記チャンネルの第1推定結果を生成する第1端末と、前記チャンネルの第2推定結果を生成する第2端末とにより共有される秘密鍵の生成方法であって、
(a)前記第1推定結果を表わす第1メッセージであって、チャンネル暗号を用いて事前に暗号化され、かつ、復号化不可能な程度に高速で第1パンクチャリングパターンにしたがってパンクチャリングされた第1メッセージが前記第1端末から前記第2端末に対して送信され、
(b)前記第2推定結果を表わす第2メッセージであって、前記チャンネル暗号を用いて事前に暗号化された第2メッセージが前記第2端末により格納され、
(c)前記第1メッセージを復号化するために前記第2メッセージが前記第1メッセージと結合され、
(d)前記第1メッセージの復号化に成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項2】
請求項1記載の方法において、
前記第1メッセージの復号化が成功した場合、前記第2端末が承認通知を前記第1端末に対して送信し、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項3】
請求項2記載の方法において、
前記第1端末が前記第1メッセージに演算処理を施すことにより前記秘密鍵を決定し、前記第2端末が復号化された前記第1メッセージに同一の演算処理を施すことにより前記秘密鍵を取得することを特徴とする方法。
【請求項4】
請求項1記載の方法において、
インパルス応答に対する前記第1推定結果及び前記第2推定結果がサンプルシーケンスの形態であり、前記第1メッセージの復号化が失敗した場合、前記インパルス応答に対する前記第2推定結果が、前記第1推定結果に比較して1サンプル分だけシフトされ、当該シフトされた前記第2推定結果を用いて前記過程(b)(c)及び(d)が繰り返されることを特徴とする方法。
【請求項5】
請求項4記載の方法において、
前記第1メッセージが復号化されるまで、又は前記シフトが所定の最大値に到達するまで、前記インパルス応答に対する前記第2推定結果の前記シフト、並びに過程(b)(c)及び(d)が繰り返されることを特徴とする方法。
【請求項6】
請求項5記載の方法において、
前記第1メッセージが復号化されることなく前記シフトが前記最大値に到達した場合、前記第2端末が前記第1端末に対して冗長増進の送信要求を送信することを特徴とする方法。
【請求項7】
請求項6記載の方法において、
前記冗長増進が前記第1パンクチャリングパターンにしたがってパンクチャリングされたビットにより構成されていることを特徴とする方法。
【請求項8】
請求項7記載の方法において、
(c’)前記第2端末が前記第2メッセージの少なくとも一部と、前記冗長増進により事前に完成された前記第1メッセージとを結合し、当該結合に基づいて前記第1メッセージを復号化し、
(d)前記第1メッセージの復号化が成功した場合、前記第2端末が復号化された前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項9】
請求項8記載の方法において、
前記冗長増進により完成された前記第1メッセージが未だ復号化されていない場合、前記第1端末が前記冗長増進を前記第2端末に対して送信することを特徴とする方法。
【請求項10】
請求項9記載の方法において、
新しい前記冗長増進が前記第1メッセージを復号化可能である場合、
前記冗長増進が前記第1端末から送信されず、前記第1端末が前記第2端末に当該状況を通知し、
前記第1端末及び前記第2端末が、それぞれ前記送信チャンネルのインパルス応答に対する前記第1推定結果及び前記第2推定結果を生成することを特徴とする方法。
【請求項11】
請求項1記載の方法において、
前記チャンネル暗号を用いて事前に暗号化された前記第2メッセージが、復号化不可能な程度に高速で第2パンクチャリングパターンにしたがってパンクチャリングされ、当該パンクチャリングされた前記第2メッセージが前記第1端末に対して送信されることを特徴とする方法。
【請求項12】
請求項11記載の方法において、
前記第1端末が前記第2メッセージを復号化するため、前記第1メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第2メッセージの復号化が成功した場合、前記第1端末が、当該復号化され、前記第2端末から承認通知を受信していない前記第2メッセージに基づいて前記秘密鍵を決定し、前記第2端末に対して承認メッセージを送信し、
前記第2端末から承認メッセージを受信している場合、前記第1端末が前記第1メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項13】
請求項11又は12記載の方法において、
前記第2端末が前記第1メッセージを復号化するため、前記第2メッセージの少なくとも一部と前記第1メッセージとを結合し、
前記第1メッセージの復号化が成功した場合、前記第2端末が当該復号化され、かつ、前記第1端末から承認通知を受信していない前記第1メッセージに基づいて前記秘密鍵を決定し、前記第1端末に対して承認メッセージを送信し、
前記第1端末から承認メッセージを受信している場合、前記第2端末が前記第2メッセージに基づいて前記秘密鍵を決定することを特徴とする方法。
【請求項14】
請求項11〜13のうちいずれか1つに記載の方法において、
前記第1端末及び前記第2端末のそれぞれによるチャンネル暗号化、パンクチャリング及び送信前に前記第1メッセージ及び前記第2メッセージのそれぞれに対してCRC(巡回冗長検査)が計算かつ連結され、
受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて計算されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定されることを特徴とする方法。
【請求項15】
請求項11〜13のうちいずれか1つに記載の方法において、
チャンネル暗号化及びパンクチャリング前に前記第1メッセージ及び前記第2メッセージのそれぞれを用いてCRC(巡回冗長検査)が計算され、
送信前にパンクチャリングされたメッセージに対して連結され、
受信された前記第1メッセージ及び前記第2メッセージのそれぞれを用いて実施されたCRCと、連結されたCRCとが対比されることにより、前記第1端末及び前記第2端末のそれぞれによる前記第1メッセージ及び前記第2メッセージのそれぞれの復号化の成否が判定されることを特徴とする方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−257248(P2012−257248A)
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願番号】特願2012−129038(P2012−129038)
【出願日】平成24年6月6日(2012.6.6)
【出願人】(510225292)コミサリア ア レネルジー アトミック エ オ ゼネルジー アルテルナティブ (97)
【氏名又は名称原語表記】COMMISSARIAT A L’ENERGIE ATOMIQUE ET AUX ENERGIES ALTERNATIVES
【住所又は居所原語表記】Batiment Le Ponant D,25 rue Leblanc,F−75015 Paris, FRANCE
【Fターム(参考)】
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願日】平成24年6月6日(2012.6.6)
【出願人】(510225292)コミサリア ア レネルジー アトミック エ オ ゼネルジー アルテルナティブ (97)
【氏名又は名称原語表記】COMMISSARIAT A L’ENERGIE ATOMIQUE ET AUX ENERGIES ALTERNATIVES
【住所又は居所原語表記】Batiment Le Ponant D,25 rue Leblanc,F−75015 Paris, FRANCE
【Fターム(参考)】
[ Back to top ]