不正操作に対し保護された暗号鍵生成方法および暗号鍵生成システム
本発明は、無線インタフェース(3)を介して互いに通信を行う複数の短距離無線装置(2−1,2−2)の設けられた短距離無線システム(1)に関する。短距離無線システム(1)の短距離無線装置(2−1,2−2)間で暗号化共通鍵(S)を生成する際、2つの短距離無線装置のうち少なくとも一方の短距離無線装置により、無線インタフェース(3)を介した暗号化共通鍵生成中に生成期間内で、アクティブな攻撃者の可能性があるさらに別の短距離無線装置(9)が、2つの短距離無線装置(2−1,2−2)のうち一方の短距離無線装置(2−1,2−2)と通信を行っているか否かについて監視する。この種の疑わしい通信形態が識別されると、暗号化共通鍵(S)の生成が必要に応じて中止される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線インタフェースを介した2つのノード間における暗号化共通鍵の不正操作保護された生成方法および生成システムに関する。
【0002】
Bluetooth, WLAN, ZigBeeまたはWiMaxといった短距離無線システムにおいては、各端末機器が無線インタフェースを介して相互に通信を行う。無線インタフェースを介して伝送される情報を第3者によるマニピュレーションすなわち不正操作あるいはリスニングから保護するため、短距離無線システムの各ノード間もしくは端末機器間において情報が暗号化されて伝送される。このために必要とされるのは、端末機器もしくはノードが1つの暗号化共通鍵を生成することである。
【0003】
短距離無線システムの場合、エンドユーザが暗号鍵自体を生成しなければならず、この場合、エンドユーザはネットワークプロバイダによっても支援されない。暗号化鍵のコンフィギュレーションあるいは生成は個人エンドユーザには煩雑であるし、誤りが生じやすい。多くのエンドユーザは、たとえば「1234」といった簡単で覚えやすい鍵もしくはパスワードを生成する傾向にあり、このような鍵もしくはパスワードは第3者によって比較的簡単に見つけ出されてしまう。
【0004】
暗号化共通鍵の生成においては慣用のセキュリティプロトコルが知られており、これによればプロトコルシーケンスに関与するアクティブな関与者にのみ既知であり部外者であるパッシブなすなわちリスニングするだけの攻撃者には既知でない秘密鍵が生成される。2つの公知のセキュリティプロトコルは、鍵取り決めのためのDiffie Hellmanによるセキュリティプロトコルと、SSL/TLS (Secure Source Layer/Transport Layer Security)セキュリティプロトコルの匿名の認証可能ではないバリエーションである。
【0005】
Diffie Hellmanによる鍵取り決めによって、安全ではないチャネルを介した秘密鍵の取り決めが可能となる。この場合、2つの公開された値つまりモジュロ値mすなわち大きな素数と整数gが関与者A,Bに既知である。
【0006】
鍵の取り決めにあたり関与者Aは最初に大きいランダムな数aを定め、ついでX=ga mod mを計算する。他方の関与者Bは大きいランダムな数bを定め、Y=gb mod mを計算する。
【0007】
一方の関与者Aが計算された値Xを他方の関与者Bへ送信した後、他方の関与者Bは値W1=Xb mod mを計算する。
【0008】
関与者Bは計算された値Yを関与者Aへ送信する。ついで関与者Aは値W2=Ya ・mod mを計算する。関与者A,Bの双方により計算された値W1,W2はgdb mod mである。計算された値W1,W2は、双方の関与者A,Bの共通の秘密鍵を成す。このようにして取り決められた鍵Sは、関与者A,Bの知識がなければ第3者によっても生成することはできない。関与者A,Bにより実行されたべき乗の逆変換のためには極端に多くの計算ステップが必要となり、したがってそのためには長い時間がかかる。この特性ゆえに、取り決められた共通の鍵W1=W2=Sの秘匿性保持が保証される。
【0009】
このようにして取り決められた暗号化共通鍵Sはパッシブな第3者の攻撃に対し安全であり、つまり第3者によるリスニングに対し安全である。ただし、共通鍵Sのこのような生成はアクティブな攻撃者(中間者Man in the middle)に対しては安全ではなく、このようなアクティブな攻撃者は、鍵の取り決めが認証されずに進行しているときに関与者双方間の通信を不正に操作する。つまりこのような場合、「作り出された」メッセージが表向きの送信者ではなく、権限のない第3者から発せられる可能性がある。メッセージの受信者はその違いに気づくことができない。
【0010】
図1には、慣用の鍵取り決めプロトコルにより2つのノードK1,K2間で暗号化共通鍵Sを生成しているときに、第3者のノードによってアクティブな攻撃が行われる様子を示す図である。攻撃者Aはたとえば、セキュリティプロトコルに従い交換されるメッセージのシーケンスもしくは順序に対し、セキュリティプロトコル実行後に第1のノードK1と攻撃者Aとのセキュリティ関係および第2のノードK2と攻撃者Aとの別のセキュリティ関係が確立されて、攻撃者Aが両方のノードK1,K2に気づかれることなくこれらのノードK1,K2双方間の通信にリンクされるよう試みる(中間者Man in the middle)。
【0011】
したがって本発明の課題は、無線インタフェースを介した2つのノード間における暗号化共通鍵を不正操作に対し保護しながら生成する方法および生成する装置において、認証を行わない鍵取り決めプロトコルを利用してもアクティブな攻撃者に対し有効な保護が得られるようにすることである。
【0012】
本発明によればこの課題は、請求項1記載の特徴を備えた方法および請求項12記載の特徴を備えたシステムによって解決される。
【0013】
本発明は、無線インタフェースを介した2つのノード間における暗号化共通鍵を不正操作に対し保護して生成する方法に関する。この場合、暗号化共通鍵の生成中、2つのノードのうち少なくとも一方のノードが生成期間において、第3のノードが2つのノードのうち一方のノードと無線インタフェースを介して通信を行っているか否かを監視する。
【0014】
本発明による方法によれば、場合によっては存在するアクティブな攻撃者(中間者Man in the middle)を識別するために無線監視機能が設けられている。アクティブな攻撃者は両方のノードと通信を行わなければならず、コンフィギュレーションすべき両方のノード間の空間的な間隔は僅かであり、攻撃者と双方のノードとの通信が無線チャネルを介して行われるので、アクティブな攻撃者は、本発明に従って設けられた無線監視機能によりアクティブな攻撃者が第3のノードとして関与していると識別されることなく、双方のノード間の通信を不正操作することはできない。
【0015】
したがって本発明による方法によれば、アクティブな攻撃に対し安全な暗号化共通鍵を生成する際、暗号化セキュリティ方法が暗号化ではない無線監視方法と組み合わせられる。
【0016】
本発明による方法の第1の実施形態によれば、第3のノードが無線インタフェースを介して2つのノードのうち一方のノードと通信していることを監視を行うノードが識別したとき、このノードは他方のノードとの暗号化共通鍵生成を中止する。
【0017】
本発明による方法における1つの択一的な実施形態によれば、第3のノードが無線インタフェースを介して2つのノードのうち一方のノードと通信している場合、監視を行うノードは他方のノードとの暗号化共通鍵生成を中止するが、その際、生成された暗号化共通鍵は安全でない暗号化共通鍵として記憶される。
【0018】
本発明による方法の第1の実施形態によれば、監視を行うノードは無線インタフェースにおける1つまたは複数の無線チャネルを監視する。
【0019】
本発明による方法のさらに別の実施形態によれば、2つのノードは所定の鍵取り決めプロトコルに従い、まえもって定められた鍵取り決めプロトコルメッセージを無線インタフェースの少なくとも1つの無線チャネルを介して交換することにより、暗号化共通鍵を生成する。
【0020】
本発明による方法の1つの有利な実施形態によれば監視を行うノードは、鍵取り決めメッセージが第3のノードにより無線インタフェースを介して2つのノードのうち一方のノードに送信されたか否かについて監視する。
【0021】
本発明による方法の1つの有利な実施形態によれば監視を行うノードは、エラー警告メッセージが他方のノードから送信されたか否かについて監視する。
【0022】
本発明による方法の1つの有利な実施形態によれば監視を行うノードは、暗号化共通鍵生成中に生成期間内で無線チャネル品質が低下したか否かを監視する。
【0023】
本発明による方法の1つの有利な実施形態によれば、監視を行うノードはこれらに加えて、生成期間前後の保護期間中に第3のノードが2つのノードのうち一方のノードと無線インタフェースを介して通信を行っているのか否かを監視する。
【0024】
本発明による方法の1つの有利な実施形態によれば、ノードは短距離無線装置により形成される。
【0025】
本発明はさらに、無線インタフェースを介して互いに通信を行う複数の短距離無線装置が設けられている短距離無線システムに関する。この場合、短距離無線システムの2つの短距離無線装置間で暗号化共通鍵を生成するとき、無線インタフェースを介してこの暗号化共通鍵の生成中に生成期間内で、さらに別の短距離無線装置が2つの短距離無線装置のうち一方の短距離無線装置と無線インタフェースを介して通信しているか否かを監視する。
【0026】
本発明はさらに短距離無線装置に関する。この場合、無線インタフェースを介して他方の短距離無線装置とともに暗号化共通鍵を生成する際、不正操作を識別するため無線インタフェースを、暗号化共通鍵の生成中、第3の短距離無線装置が2つの短距離無線装置のうち一方の短距離無線装置と無線インタフェースを介して通信しているか否かについて監視する。
【0027】
以下では、本発明の本質をなす特徴を説明するために、添付の図面を参照しながら本発明による方法および本発明による短距離無線システムの有利な実施形態について説明する。
【0028】
図1は、本発明の基礎を成す問題点を説明するための図である。
【0029】
図2は、本発明による短距離無線システムを無線監視機能を備えた2つの短距離無線装置とともに示すブロック図である。
【0030】
図3は、本発明による短距離無線システムにおいて用いられる無線監視機能を備えた短距離無線装置の有利な実施形態を示すブロック図である。
【0031】
図4は、第3者によるアクティブな攻撃がない場合の本発明による暗号化共通鍵生成方法について説明する信号ダイアグラムである。
【0032】
図5は、第3者によるアクティブな攻撃が行われたときの本発明による暗号化共通鍵生成方法について説明する信号ダイアグラムである。
【0033】
図2からわかるように、本発明による短距離無線システム1は少なくとも2つの短距離無線装置もしくはノード2−1,2−2を有している。短距離無線装置2−1,2−2は、送受信アンテナ5−1,5−2により無線インタフェース3を介して相互に通信を行う。これら2つの短距離無線装置ないしはノードのうち少なくとも一方は、無線監視機能もしくはウォッチドッグ機能(WD)を有している。短距離無線システム1における短距離無線装置2−1,2−2双方間で暗号化共通鍵を生成する際、無線監視ユニット4を含む短距離無線装置2−2は、さらに別の短距離無線装置がこれら2つの短距離無線装置2−1,2−2の一方と無線インタフェース3を介して通信を行っているか否かについて、無線インタフェース3を介した暗号化共通鍵生成を所定の生成期間内に監視する。
【0034】
図3には、本発明による短距離無線システム1に使用される短距離無線装置ないしはノード2の有利な実施形態に関するブロック図が示されている。ノード2は無線監視ユニット4を有しており、これは無線インタフェース3を介して伝送される無線信号を監視する。ノード2は、無線信号を送信および受信するための送受信アンテナ5を有している。送受信アンテナ5は、一方ではノード2の無線監視ユニット4と接続され得おり、他方では無線通信ユニット6と接続されている。無線通信ユニット6には、無線信号を送信および受信するための送受信装置が含まれている。1つの実施形態によれば、無線監視ユニット4を無線通信ユニット6の一部分として実現することもできる。1つの択一的な実施形態によれば、無線監視ユニット4は固有の別個の送受信アンテナを有している。短距離無線装置2は有利にはさらに制御ユニット7を有しており、このユニットにおいて本発明による方法に従いプログラムが実行される。短距離無線装置2には、メッセージ暗号化に用いられる生成された暗号化鍵を格納するための記憶装置8が設けられている。
【0035】
図2からわかるように、本発明による短距離無線システム1の短距離無線装置2もしくはノード2すべてに必ずしも無線監視ユニット4が含まれていなくてもよく、本発明による暗号化共通鍵を取り決めたい2つのノードのうち少なくとも一方だけに含まれていればよい。暗号化共通鍵を生成するために監視を行うノード2−2の無線監視ユニット4が、第3ノードが無線インタフェース3を介して2つのノード2−1,2−2の一方と通信していることを識別した場合、本発明による方法の第1の実施形態によれば、監視を行うノード2−2の制御ユニット7により生成プロセスが中止される。1つの択一的な実施形態によれば、第3のノードが識別されたとき、監視を行うノード2−2によって暗号化共通鍵の生成が中止されるのではなく、生成された暗号化鍵が両方のノード2−1,2−2の鍵記憶装置8双方にそれぞれ、「安全ではない」とマークされて格納される。監視を行うノード2−2の無線監視ユニット4が、無線インタフェース3を介した第3のノードと2つのノード2−1,2−2の一方との通信を識別した場合、1つの有利な実施形態によれば、監視を行うノード2−2がエラーメッセージを発生し、無線インタフェース3を介してこのメッセージを送信する。本発明による方法によれば、所定の鍵取り決めプロトコルに従い無線インタフェース3を介してノード2−1,2−2双方間で暗号化共通鍵の生成が行われる。この鍵取り決めプロトコルによれば、まえもって定められた鍵取り決めメッセージが無線インタフェース3のうち少なくとも1つの無線チャネルを介してノード2−1,2−2間で交換される。この鍵取り決めプロトコルはたとえばDiffie-Hellman鍵取り決めプロトコルまたはSSL/DLS鍵取り決めプロトコルである。これら2つの鍵取り決めプロトコルは認証を行わない鍵取り決めプロトコルであり、つまりメッセージ受信側ノードは、このメッセージがいずれの送信側からのものであるか、安全に確定することはできない。
【0036】
保護機能を高めるため本発明による方法によれば、認証を行わない鍵取り決めプロトコルに続いて、PIN番号を用いた認証を行うことができる。1つの択一的な実施形態によれば、ユーザは暗号化共通鍵取り決め後、保護機能を高めるために、双方の短距離無線装置において生成された暗号化鍵もしくはそのハッシュ値の比較を行い、あるいは一方の短距離無線装置により示された暗号化鍵が他方のノードもしくは短距離無線装置に入力される。本発明による方法によれば無線監視機能によって、2つの短距離無線装置間における暗号化共通鍵生成におけるセキュリティが向上する。認証を行わない鍵取り決めプロトコルを使用した場合、本発明による方法によれば、ユーザによるPIN番号ないしはパスワードの入力ないしは生成された共通鍵のチェックをまったく省くことができる。とはいえ択一的に、攻撃に対する短距離無線装置間の通信セキュリティを向上させる目的で、無線監視機能に加えて鍵取り決めにあたり認証を行うことも可能である。
【0037】
本発明による方法の第1の実施形態によれば、監視を行うノード2−2は無線インタフェースの1つの無線チャネルだけを監視する。この場合、ノード間における暗号化共通鍵生成は、まえもって設定されている1つの無線チャネルにおいて行われる。これにより得られる利点は、無線監視を実現するための回路技術的な複雑さが僅かなことである。それというのも、まえもって定められた無線チャネルにおける無線送信だけが監視されるからである。
【0038】
択一的な実施形態によれば、無線監視ユニットは無線インタフェース3における複数の無線チャネルを監視する。
【0039】
この場合、無線チャネルは任意の無線チャネルであり、たとえばFDM(Frequency Division Multiplexing周波数分割多重)無線チャネル、TDM(Time Division Multiplexing時分割多重)無線チャネル、あるいはCDM(Code Division Multiplexing符号分割多重)無線チャネルなどである。無線監視ユニット4は、2つのノード2−1,2−2の一方と第3のノードとの間で何らかの1つの疑わしい通信が行われているのか否かを監視する。この目的で、監視を行うノード2−2の無線監視ユニット4は、鍵取り決めメッセージが第3のノードにより2つのノードのうち一方のノードに無線インタフェース3を介して送信されたか否かを監視する。
【0040】
これに加えて無線監視ユニット4は、発せられたエラー警告メッセージが送信されたのか否かも監視する。
【0041】
さらに無線監視ユニット4は暗号化鍵の生成中、まえもって定められた生成期間において無線チャネルの品質が低下したのか否かを監視することができる。生成手順を行っている間にチャネル品質が以前に観測されていたチャネル品質に比べて著しく低下したことは、無線インタフェースを介して別の通信が行われている徴候である。チャネル品質の低下は殊に、パケット損失確率の上昇に現れる。本発明による方法の1つの実現可能な実施形態によれば、伝送チャネルの障害たとえばデータパケット損失の発生が監視を行うノード2−2により観測されたとき、2つのノード間の暗号化共通鍵生成が中止される。
【0042】
さらに無線監視ユニット4は、他のノードが同じ無線チャネルにおいてアクティブ状態にあるか否かを監視することができ、このことはそのノードのアドレスたとえばMACアドレスによって識別できる。さらに無線監視ユニット4は、固有のネットワーク名(WLAN-SSID)が複数のアクセスポイントすなわち同じまたは異なる無線チャネルにおいて指定されているのか否かを監視することができる。つまり、同じネットワーク名をもつノードが攻撃者により作成されてしまった可能性がある。
【0043】
無線監視ユニット4が上述の疑わしい通信形態のうちの1つを検出した場合、第3者によるアクティブな攻撃が行われている可能性がある。これら上述の疑わしい通信形態は有利には別個に観測され、少なくとも1つの疑わしい通信形態が発生した場合、本発明の1つの実現可能な実施形態によれば、暗号化共通鍵の生成が中止される。1つの択一的な実施形態によれば、種々の疑わしい通信形態が別個に監視され、ついでそれらが発生したときに重み付けられて加算される。このようにして形成された重み付けされた合計値が決められた閾値を超えた場合、本発明による方法の1つの実施形態によれば暗号化共通鍵の生成が中止される。
【0044】
本発明による方法のさらに別の実施形態によれば、監視を行うノードはこれらに加えて、生成期間前後の保護期間中に第3のノードが2つのノードのうち一方のノードと無線インタフェース3を介して通信を行っているのか否かを監視する。本来の生成期間の前後でも監視を行うことによって、ユーザが生成フェーズとして利用する期間すなわち生成の開始からその終了までの期間が保護される。これにより、相前後して短期間のうちに、すなわちユーザがほとんどあるいはまったく知覚できずに、2つあるいはそれどころかもっと多くの別個の生成プロセスが行われてしまうことが回避される。このようにして、攻撃者が攻撃者ノードを最初に一方のノード2−1とリンクし、あとでこれとは無関係に他方のノード2−2とリンクすることが回避される。したがって、攻撃を容易に識別できるようたとえば1〜5秒の範囲で生成期間前後の保護期間を選定するのが有利である。
【0045】
保護期間を実現するため本発明による方法の1つの有利な実施形態によれば、先行の保護期間中または後続の保護期間中に疑わしい通信が発生したのか否かを監視する目的で、タイマ装置またはカウンタ装置が設けられている。タイマもしくはカウンタをノードの制御ユニット7に設けるのが有利である。
【0046】
疑わしい通信が無線監視ユニット4により識別されると、タイマがスタートする。これは、短距離無線装置もしくはノード2が現在、リンク動作モードにあるか否かには依存することなく。これにより、暗号化共通鍵が生成される本来のリンク手順の前に、無線チャネルの監視が行われる。このようにすれば、リンク手順が始められるとき、タイマにより設定された先行のタイムインターバル中に上述のような疑わしい通信形態が観測されたか否かを問い合わせることができる。1つの有利な実施形態によれば、暗号化共通鍵を生成するための生成プロセス終了後にも1つまたは複数の無線チャネルが無線監視ユニット4により監視される。この場合、無線監視機能は鍵生成後、所定の期間にわたりアクティブであり、疑わしい通信形態を通報する。このようにすることで、暗号化共通鍵を生成するための生成期間前後の所定の期間を含む期間全体にわたり、無線チャネルの監視が行われるようになる。
【0047】
1つの有利な実施形態によれば、これはリンク手順中の遅延により達成される。リンク手順開始時に無線チャネルの所定の期間にわたり、疑わしい通信形態が発生したか否かについて監視される。これによりリンクに必要とされる期間はたしかに長くなるけれども、リンクフェーズ以外で監視機能をアクティブにする必要はない。
【0048】
疑わしい通信形態が発生した場合、第1の実施形態によれば鍵生成が完全に中止され、つまり暗号化共通鍵は生成されない。1つの択一的な実施形態によれば、疑わしい通信形態が発生した場合、暗号化鍵が生成されるけれども、信頼性が僅かなものとして鍵記憶装置8に格納される。ついで比較またはPIN番号を用いた付加的な認証によって、ユーザにより明示的な確認が行われる。
【0049】
ノード2−1,2−2は到達距離が比較的短い短距離無線装置によって形成される。1つの有利な実施形態によれば、短距離無線装置はWLAN無線機器、Bluetooth無線機器、ZigBee無線機器あるいはWiMax無線機器である。また、ノード2−1,2−2もしくは無線装置を移動端末機器または固定局とすることができる。
【0050】
図4には、第3者によるアクティブな攻撃を伴わない場合に2つのノード2−1,2−2間で共通鍵Sを生成する信号ダイアグラムが示されている。
【0051】
短距離無線装置2−1すなわちノードK1は、セットアップスタートメッセージを第2の短距離無線装置2−1すなわちノードK2に送信する。ついでこのメッセージがセットアップスタートOKメッセージとして第2のノードにより承認される。これに続いて第1の短距離無線装置2−1は第2のノード2−2へ値gxを送信する。ここでgは整数であり、xは第1のノード2−1により算出された乱数を表す。第2のノード2−2は逆に第1のノード2−1へ値qyを伝送する。ここでgは2つのノード双方に既知の整数を表し、yは第2のノード2−2により算出された乱数値である。次に、双方のノード2−1,2−2は共通鍵S=Yx mod mないしはS=Xy mod mを計算する。その後、個々のノードの鍵記憶装置8に暗号化共通鍵Sがそれぞれ格納される。実現可能な1つの実施形態によれば、暗号化鍵から導出された疑似乱数鍵が鍵記憶装置8に格納され、これはたとえば僅かなビット長を有するものである。
【0052】
有利にはこれに続いて、両方のノード2−1,2−2が同じ共通鍵を求めたのか否かについて、チェックもしくは検証が行われる。その際、所定の期間待機するのが有利であり、この期間中、疑わしい通信が発生してはならない。この目的で、監視を行うノード2−2の無線監視ユニット4内に設けられたタイマが用いられる。待機時間経過後、チェックもしくは検証が終了する。
【0053】
図4に示したプロセスに関して数多くの変形が可能である。たとえば1つの実施形態によれば、スタートメッセージを用いずに暗号化共通鍵生成をただちに行うことができる。さらに、待機時間がメッセージ「セットアップ2」後にすでに始まるようにしてもよいし、あるいは鍵Kの算出および格納後に始まるようにしてもよい。さらに別の実施形態によれば、付加的な監視待機時間として、メッセージ「セットアップ検証OK」の送信後にはじめて開始される期間が監視される。1つの択一的な実施形態によれば、生成された共通鍵の検証がまったく省かれる。
【0054】
予期せぬ偶発的な通信を監視するための期間を、広い範囲内で変えることができる。この期間は、ユーザが鍵生成に利用する期間中、2つの機器だけがアクティブであるように選定される。タイマ値を約1〜5秒の範囲で設定するのが有利である。
【0055】
図5には、第3のノード9によるアクティブな攻撃が行われたときの信号ダイアグラムが示されている。この場合、ノード2−2自体は、攻撃を行うノードがノード2−1がであるのか図5に示した第3のノード9であるのかを区別することはできない。ただし監視を行うノード2−2の無線監視ユニット4は、1つよりも多いノードが無線インタフェース3を介して通信を行っていることもしくはアクティブであることを識別している。鍵取り決めプロトコルメッセージの交換は図4と同様に始まるが、セットアップはノード2−1とノード2−2との間ではなく、ノード2−1と攻撃を行うノード9との間で行われる。しかしながら攻撃を行うノード9がアクティブになると、すなわちセットアップスタートメッセージがノード2−2へ送信されるとただちに、監視を行うノードの無線監視ユニット4はそのことを識別し、疑わしい通信であることを通報する。これに基づき、監視を行うノード2−2の制御ユニット7により暗号化鍵生成が中止される。監視を行うノード2−2は、攻撃を行うノード9自体がやはり暗号化共通鍵生成モードに移ったときに初めて、ノード2−1と攻撃を行うノード9との間の疑わしい通信をエラーとして識別する。そうでなければ、ノード2−1とノード9との間の通信は、双方のノード2−1とノード9の間における望ましい鍵生成もしくはセキュリティ関係確立となるかもしれない。ここで示した実施例の場合、監視を行うノード2−2は、メッセージ「セットアップスタート(A,K2)の受信により鍵生成モードに移る。択一的に、ユーザの介在によってノード2−2をセットアップモードもしくは鍵生成モードに移すことも可能である。
【0056】
監視を行うノード2−2の制御ユニット7により共通鍵の生成が中止されると、監視を行うノード2−2はそのアンテナ5−2を介してセットラップエラーメッセージを他のノードすなわち存在する識別されたすべてのノードへ、マルチキャスト送信もしくはブロードキャスト送信として送信する。ノード2−1が監視を行っているノード2−2からセットアップエラーメッセージを受け取ると、ノード2−1も共通鍵生成プロセスを中止する。実現可能な1つの実施形態によれば、生成プロセス中止がたとえばエラーLEDの点滅によりユーザに指示される。
【0057】
図5に示されているダイアグラムにはタイマ値も示されており、これにより監視されている疑わしい通信がすでにどのくらい続いたのかが測定される。図5に示されている実施例の場合、疑わしい通信「セットアップ(K1,A)」の観測により、カウンタもしくはタイマがスタートし、たとえば1〜5秒内でカウントダウンされる。タイマ経過前に監視を行うノード2−2により鍵を生成する試みによって、エラーメッセージ「セットアップエラー」が生じる。この場合、たとえば5分前といったさらに遡った疑わしい通信によっても中止には至らない。
【0058】
1つの有利な実施形態によれば、無線監視ユニット4の無線監視機能は本来のセットアップの前後においてもすでにアクティブ状態である。この期間内に疑わしい無線信号が識別されると、ノードにおける生成があとから消去され、もしくはすでに最初からエラーメッセージ「セットアップエラー」によって拒絶される。1つの択一的な実施形態によれば、生成開始とともに無線監視機能がはじめてアクティブになり、および/または生成終了とともに再び非アクティブ状態になる。したがってこの実施形態の場合には、本来の生成の前もしくは後に時間的なセキュリティバッファが設けられていない。ただし択一的に、対応する待ち時間もしくは遅延時間を生成プロセス中に設けることができる。
【0059】
短時間のセキュリティバッファを設けることで、ある程度の付加的な保護を達成することができる。このケースでは、無線監視は本来の生成中のみアクティブであり、無線監視のための生成プロセス中の待ち時間はやはり設けられていない。このケースでは、たとえば1秒の何分の1ぐらいしか続かないようなごく短い生成期間内でアクティブな攻撃が行われた場合に、その攻撃が識別される。
【0060】
本発明による方法によって、安全でないもしくは認証されていない暗号生成方法の場合であっても、アクティブな攻撃に対する安全性が著しく改善される。
【図面の簡単な説明】
【0061】
【図1】本発明の基礎を成す問題点を説明するための図
【図2】本発明による短距離無線システムを無線監視機能を備えた2つの短距離無線装置とともに示すブロック図
【図3】本発明による短距離無線システムにおいて用いられる無線監視機能を備えた短距離無線装置の有利な実施形態を示すブロック図
【図4】第3者によるアクティブな攻撃がない場合の本発明による暗号化共通鍵生成方法について説明する信号ダイアグラム
【図5】第3者によるアクティブな攻撃が行われたときの本発明による暗号化共通鍵生成方法について説明する信号ダイアグラム
【技術分野】
【0001】
本発明は、無線インタフェースを介した2つのノード間における暗号化共通鍵の不正操作保護された生成方法および生成システムに関する。
【0002】
Bluetooth, WLAN, ZigBeeまたはWiMaxといった短距離無線システムにおいては、各端末機器が無線インタフェースを介して相互に通信を行う。無線インタフェースを介して伝送される情報を第3者によるマニピュレーションすなわち不正操作あるいはリスニングから保護するため、短距離無線システムの各ノード間もしくは端末機器間において情報が暗号化されて伝送される。このために必要とされるのは、端末機器もしくはノードが1つの暗号化共通鍵を生成することである。
【0003】
短距離無線システムの場合、エンドユーザが暗号鍵自体を生成しなければならず、この場合、エンドユーザはネットワークプロバイダによっても支援されない。暗号化鍵のコンフィギュレーションあるいは生成は個人エンドユーザには煩雑であるし、誤りが生じやすい。多くのエンドユーザは、たとえば「1234」といった簡単で覚えやすい鍵もしくはパスワードを生成する傾向にあり、このような鍵もしくはパスワードは第3者によって比較的簡単に見つけ出されてしまう。
【0004】
暗号化共通鍵の生成においては慣用のセキュリティプロトコルが知られており、これによればプロトコルシーケンスに関与するアクティブな関与者にのみ既知であり部外者であるパッシブなすなわちリスニングするだけの攻撃者には既知でない秘密鍵が生成される。2つの公知のセキュリティプロトコルは、鍵取り決めのためのDiffie Hellmanによるセキュリティプロトコルと、SSL/TLS (Secure Source Layer/Transport Layer Security)セキュリティプロトコルの匿名の認証可能ではないバリエーションである。
【0005】
Diffie Hellmanによる鍵取り決めによって、安全ではないチャネルを介した秘密鍵の取り決めが可能となる。この場合、2つの公開された値つまりモジュロ値mすなわち大きな素数と整数gが関与者A,Bに既知である。
【0006】
鍵の取り決めにあたり関与者Aは最初に大きいランダムな数aを定め、ついでX=ga mod mを計算する。他方の関与者Bは大きいランダムな数bを定め、Y=gb mod mを計算する。
【0007】
一方の関与者Aが計算された値Xを他方の関与者Bへ送信した後、他方の関与者Bは値W1=Xb mod mを計算する。
【0008】
関与者Bは計算された値Yを関与者Aへ送信する。ついで関与者Aは値W2=Ya ・mod mを計算する。関与者A,Bの双方により計算された値W1,W2はgdb mod mである。計算された値W1,W2は、双方の関与者A,Bの共通の秘密鍵を成す。このようにして取り決められた鍵Sは、関与者A,Bの知識がなければ第3者によっても生成することはできない。関与者A,Bにより実行されたべき乗の逆変換のためには極端に多くの計算ステップが必要となり、したがってそのためには長い時間がかかる。この特性ゆえに、取り決められた共通の鍵W1=W2=Sの秘匿性保持が保証される。
【0009】
このようにして取り決められた暗号化共通鍵Sはパッシブな第3者の攻撃に対し安全であり、つまり第3者によるリスニングに対し安全である。ただし、共通鍵Sのこのような生成はアクティブな攻撃者(中間者Man in the middle)に対しては安全ではなく、このようなアクティブな攻撃者は、鍵の取り決めが認証されずに進行しているときに関与者双方間の通信を不正に操作する。つまりこのような場合、「作り出された」メッセージが表向きの送信者ではなく、権限のない第3者から発せられる可能性がある。メッセージの受信者はその違いに気づくことができない。
【0010】
図1には、慣用の鍵取り決めプロトコルにより2つのノードK1,K2間で暗号化共通鍵Sを生成しているときに、第3者のノードによってアクティブな攻撃が行われる様子を示す図である。攻撃者Aはたとえば、セキュリティプロトコルに従い交換されるメッセージのシーケンスもしくは順序に対し、セキュリティプロトコル実行後に第1のノードK1と攻撃者Aとのセキュリティ関係および第2のノードK2と攻撃者Aとの別のセキュリティ関係が確立されて、攻撃者Aが両方のノードK1,K2に気づかれることなくこれらのノードK1,K2双方間の通信にリンクされるよう試みる(中間者Man in the middle)。
【0011】
したがって本発明の課題は、無線インタフェースを介した2つのノード間における暗号化共通鍵を不正操作に対し保護しながら生成する方法および生成する装置において、認証を行わない鍵取り決めプロトコルを利用してもアクティブな攻撃者に対し有効な保護が得られるようにすることである。
【0012】
本発明によればこの課題は、請求項1記載の特徴を備えた方法および請求項12記載の特徴を備えたシステムによって解決される。
【0013】
本発明は、無線インタフェースを介した2つのノード間における暗号化共通鍵を不正操作に対し保護して生成する方法に関する。この場合、暗号化共通鍵の生成中、2つのノードのうち少なくとも一方のノードが生成期間において、第3のノードが2つのノードのうち一方のノードと無線インタフェースを介して通信を行っているか否かを監視する。
【0014】
本発明による方法によれば、場合によっては存在するアクティブな攻撃者(中間者Man in the middle)を識別するために無線監視機能が設けられている。アクティブな攻撃者は両方のノードと通信を行わなければならず、コンフィギュレーションすべき両方のノード間の空間的な間隔は僅かであり、攻撃者と双方のノードとの通信が無線チャネルを介して行われるので、アクティブな攻撃者は、本発明に従って設けられた無線監視機能によりアクティブな攻撃者が第3のノードとして関与していると識別されることなく、双方のノード間の通信を不正操作することはできない。
【0015】
したがって本発明による方法によれば、アクティブな攻撃に対し安全な暗号化共通鍵を生成する際、暗号化セキュリティ方法が暗号化ではない無線監視方法と組み合わせられる。
【0016】
本発明による方法の第1の実施形態によれば、第3のノードが無線インタフェースを介して2つのノードのうち一方のノードと通信していることを監視を行うノードが識別したとき、このノードは他方のノードとの暗号化共通鍵生成を中止する。
【0017】
本発明による方法における1つの択一的な実施形態によれば、第3のノードが無線インタフェースを介して2つのノードのうち一方のノードと通信している場合、監視を行うノードは他方のノードとの暗号化共通鍵生成を中止するが、その際、生成された暗号化共通鍵は安全でない暗号化共通鍵として記憶される。
【0018】
本発明による方法の第1の実施形態によれば、監視を行うノードは無線インタフェースにおける1つまたは複数の無線チャネルを監視する。
【0019】
本発明による方法のさらに別の実施形態によれば、2つのノードは所定の鍵取り決めプロトコルに従い、まえもって定められた鍵取り決めプロトコルメッセージを無線インタフェースの少なくとも1つの無線チャネルを介して交換することにより、暗号化共通鍵を生成する。
【0020】
本発明による方法の1つの有利な実施形態によれば監視を行うノードは、鍵取り決めメッセージが第3のノードにより無線インタフェースを介して2つのノードのうち一方のノードに送信されたか否かについて監視する。
【0021】
本発明による方法の1つの有利な実施形態によれば監視を行うノードは、エラー警告メッセージが他方のノードから送信されたか否かについて監視する。
【0022】
本発明による方法の1つの有利な実施形態によれば監視を行うノードは、暗号化共通鍵生成中に生成期間内で無線チャネル品質が低下したか否かを監視する。
【0023】
本発明による方法の1つの有利な実施形態によれば、監視を行うノードはこれらに加えて、生成期間前後の保護期間中に第3のノードが2つのノードのうち一方のノードと無線インタフェースを介して通信を行っているのか否かを監視する。
【0024】
本発明による方法の1つの有利な実施形態によれば、ノードは短距離無線装置により形成される。
【0025】
本発明はさらに、無線インタフェースを介して互いに通信を行う複数の短距離無線装置が設けられている短距離無線システムに関する。この場合、短距離無線システムの2つの短距離無線装置間で暗号化共通鍵を生成するとき、無線インタフェースを介してこの暗号化共通鍵の生成中に生成期間内で、さらに別の短距離無線装置が2つの短距離無線装置のうち一方の短距離無線装置と無線インタフェースを介して通信しているか否かを監視する。
【0026】
本発明はさらに短距離無線装置に関する。この場合、無線インタフェースを介して他方の短距離無線装置とともに暗号化共通鍵を生成する際、不正操作を識別するため無線インタフェースを、暗号化共通鍵の生成中、第3の短距離無線装置が2つの短距離無線装置のうち一方の短距離無線装置と無線インタフェースを介して通信しているか否かについて監視する。
【0027】
以下では、本発明の本質をなす特徴を説明するために、添付の図面を参照しながら本発明による方法および本発明による短距離無線システムの有利な実施形態について説明する。
【0028】
図1は、本発明の基礎を成す問題点を説明するための図である。
【0029】
図2は、本発明による短距離無線システムを無線監視機能を備えた2つの短距離無線装置とともに示すブロック図である。
【0030】
図3は、本発明による短距離無線システムにおいて用いられる無線監視機能を備えた短距離無線装置の有利な実施形態を示すブロック図である。
【0031】
図4は、第3者によるアクティブな攻撃がない場合の本発明による暗号化共通鍵生成方法について説明する信号ダイアグラムである。
【0032】
図5は、第3者によるアクティブな攻撃が行われたときの本発明による暗号化共通鍵生成方法について説明する信号ダイアグラムである。
【0033】
図2からわかるように、本発明による短距離無線システム1は少なくとも2つの短距離無線装置もしくはノード2−1,2−2を有している。短距離無線装置2−1,2−2は、送受信アンテナ5−1,5−2により無線インタフェース3を介して相互に通信を行う。これら2つの短距離無線装置ないしはノードのうち少なくとも一方は、無線監視機能もしくはウォッチドッグ機能(WD)を有している。短距離無線システム1における短距離無線装置2−1,2−2双方間で暗号化共通鍵を生成する際、無線監視ユニット4を含む短距離無線装置2−2は、さらに別の短距離無線装置がこれら2つの短距離無線装置2−1,2−2の一方と無線インタフェース3を介して通信を行っているか否かについて、無線インタフェース3を介した暗号化共通鍵生成を所定の生成期間内に監視する。
【0034】
図3には、本発明による短距離無線システム1に使用される短距離無線装置ないしはノード2の有利な実施形態に関するブロック図が示されている。ノード2は無線監視ユニット4を有しており、これは無線インタフェース3を介して伝送される無線信号を監視する。ノード2は、無線信号を送信および受信するための送受信アンテナ5を有している。送受信アンテナ5は、一方ではノード2の無線監視ユニット4と接続され得おり、他方では無線通信ユニット6と接続されている。無線通信ユニット6には、無線信号を送信および受信するための送受信装置が含まれている。1つの実施形態によれば、無線監視ユニット4を無線通信ユニット6の一部分として実現することもできる。1つの択一的な実施形態によれば、無線監視ユニット4は固有の別個の送受信アンテナを有している。短距離無線装置2は有利にはさらに制御ユニット7を有しており、このユニットにおいて本発明による方法に従いプログラムが実行される。短距離無線装置2には、メッセージ暗号化に用いられる生成された暗号化鍵を格納するための記憶装置8が設けられている。
【0035】
図2からわかるように、本発明による短距離無線システム1の短距離無線装置2もしくはノード2すべてに必ずしも無線監視ユニット4が含まれていなくてもよく、本発明による暗号化共通鍵を取り決めたい2つのノードのうち少なくとも一方だけに含まれていればよい。暗号化共通鍵を生成するために監視を行うノード2−2の無線監視ユニット4が、第3ノードが無線インタフェース3を介して2つのノード2−1,2−2の一方と通信していることを識別した場合、本発明による方法の第1の実施形態によれば、監視を行うノード2−2の制御ユニット7により生成プロセスが中止される。1つの択一的な実施形態によれば、第3のノードが識別されたとき、監視を行うノード2−2によって暗号化共通鍵の生成が中止されるのではなく、生成された暗号化鍵が両方のノード2−1,2−2の鍵記憶装置8双方にそれぞれ、「安全ではない」とマークされて格納される。監視を行うノード2−2の無線監視ユニット4が、無線インタフェース3を介した第3のノードと2つのノード2−1,2−2の一方との通信を識別した場合、1つの有利な実施形態によれば、監視を行うノード2−2がエラーメッセージを発生し、無線インタフェース3を介してこのメッセージを送信する。本発明による方法によれば、所定の鍵取り決めプロトコルに従い無線インタフェース3を介してノード2−1,2−2双方間で暗号化共通鍵の生成が行われる。この鍵取り決めプロトコルによれば、まえもって定められた鍵取り決めメッセージが無線インタフェース3のうち少なくとも1つの無線チャネルを介してノード2−1,2−2間で交換される。この鍵取り決めプロトコルはたとえばDiffie-Hellman鍵取り決めプロトコルまたはSSL/DLS鍵取り決めプロトコルである。これら2つの鍵取り決めプロトコルは認証を行わない鍵取り決めプロトコルであり、つまりメッセージ受信側ノードは、このメッセージがいずれの送信側からのものであるか、安全に確定することはできない。
【0036】
保護機能を高めるため本発明による方法によれば、認証を行わない鍵取り決めプロトコルに続いて、PIN番号を用いた認証を行うことができる。1つの択一的な実施形態によれば、ユーザは暗号化共通鍵取り決め後、保護機能を高めるために、双方の短距離無線装置において生成された暗号化鍵もしくはそのハッシュ値の比較を行い、あるいは一方の短距離無線装置により示された暗号化鍵が他方のノードもしくは短距離無線装置に入力される。本発明による方法によれば無線監視機能によって、2つの短距離無線装置間における暗号化共通鍵生成におけるセキュリティが向上する。認証を行わない鍵取り決めプロトコルを使用した場合、本発明による方法によれば、ユーザによるPIN番号ないしはパスワードの入力ないしは生成された共通鍵のチェックをまったく省くことができる。とはいえ択一的に、攻撃に対する短距離無線装置間の通信セキュリティを向上させる目的で、無線監視機能に加えて鍵取り決めにあたり認証を行うことも可能である。
【0037】
本発明による方法の第1の実施形態によれば、監視を行うノード2−2は無線インタフェースの1つの無線チャネルだけを監視する。この場合、ノード間における暗号化共通鍵生成は、まえもって設定されている1つの無線チャネルにおいて行われる。これにより得られる利点は、無線監視を実現するための回路技術的な複雑さが僅かなことである。それというのも、まえもって定められた無線チャネルにおける無線送信だけが監視されるからである。
【0038】
択一的な実施形態によれば、無線監視ユニットは無線インタフェース3における複数の無線チャネルを監視する。
【0039】
この場合、無線チャネルは任意の無線チャネルであり、たとえばFDM(Frequency Division Multiplexing周波数分割多重)無線チャネル、TDM(Time Division Multiplexing時分割多重)無線チャネル、あるいはCDM(Code Division Multiplexing符号分割多重)無線チャネルなどである。無線監視ユニット4は、2つのノード2−1,2−2の一方と第3のノードとの間で何らかの1つの疑わしい通信が行われているのか否かを監視する。この目的で、監視を行うノード2−2の無線監視ユニット4は、鍵取り決めメッセージが第3のノードにより2つのノードのうち一方のノードに無線インタフェース3を介して送信されたか否かを監視する。
【0040】
これに加えて無線監視ユニット4は、発せられたエラー警告メッセージが送信されたのか否かも監視する。
【0041】
さらに無線監視ユニット4は暗号化鍵の生成中、まえもって定められた生成期間において無線チャネルの品質が低下したのか否かを監視することができる。生成手順を行っている間にチャネル品質が以前に観測されていたチャネル品質に比べて著しく低下したことは、無線インタフェースを介して別の通信が行われている徴候である。チャネル品質の低下は殊に、パケット損失確率の上昇に現れる。本発明による方法の1つの実現可能な実施形態によれば、伝送チャネルの障害たとえばデータパケット損失の発生が監視を行うノード2−2により観測されたとき、2つのノード間の暗号化共通鍵生成が中止される。
【0042】
さらに無線監視ユニット4は、他のノードが同じ無線チャネルにおいてアクティブ状態にあるか否かを監視することができ、このことはそのノードのアドレスたとえばMACアドレスによって識別できる。さらに無線監視ユニット4は、固有のネットワーク名(WLAN-SSID)が複数のアクセスポイントすなわち同じまたは異なる無線チャネルにおいて指定されているのか否かを監視することができる。つまり、同じネットワーク名をもつノードが攻撃者により作成されてしまった可能性がある。
【0043】
無線監視ユニット4が上述の疑わしい通信形態のうちの1つを検出した場合、第3者によるアクティブな攻撃が行われている可能性がある。これら上述の疑わしい通信形態は有利には別個に観測され、少なくとも1つの疑わしい通信形態が発生した場合、本発明の1つの実現可能な実施形態によれば、暗号化共通鍵の生成が中止される。1つの択一的な実施形態によれば、種々の疑わしい通信形態が別個に監視され、ついでそれらが発生したときに重み付けられて加算される。このようにして形成された重み付けされた合計値が決められた閾値を超えた場合、本発明による方法の1つの実施形態によれば暗号化共通鍵の生成が中止される。
【0044】
本発明による方法のさらに別の実施形態によれば、監視を行うノードはこれらに加えて、生成期間前後の保護期間中に第3のノードが2つのノードのうち一方のノードと無線インタフェース3を介して通信を行っているのか否かを監視する。本来の生成期間の前後でも監視を行うことによって、ユーザが生成フェーズとして利用する期間すなわち生成の開始からその終了までの期間が保護される。これにより、相前後して短期間のうちに、すなわちユーザがほとんどあるいはまったく知覚できずに、2つあるいはそれどころかもっと多くの別個の生成プロセスが行われてしまうことが回避される。このようにして、攻撃者が攻撃者ノードを最初に一方のノード2−1とリンクし、あとでこれとは無関係に他方のノード2−2とリンクすることが回避される。したがって、攻撃を容易に識別できるようたとえば1〜5秒の範囲で生成期間前後の保護期間を選定するのが有利である。
【0045】
保護期間を実現するため本発明による方法の1つの有利な実施形態によれば、先行の保護期間中または後続の保護期間中に疑わしい通信が発生したのか否かを監視する目的で、タイマ装置またはカウンタ装置が設けられている。タイマもしくはカウンタをノードの制御ユニット7に設けるのが有利である。
【0046】
疑わしい通信が無線監視ユニット4により識別されると、タイマがスタートする。これは、短距離無線装置もしくはノード2が現在、リンク動作モードにあるか否かには依存することなく。これにより、暗号化共通鍵が生成される本来のリンク手順の前に、無線チャネルの監視が行われる。このようにすれば、リンク手順が始められるとき、タイマにより設定された先行のタイムインターバル中に上述のような疑わしい通信形態が観測されたか否かを問い合わせることができる。1つの有利な実施形態によれば、暗号化共通鍵を生成するための生成プロセス終了後にも1つまたは複数の無線チャネルが無線監視ユニット4により監視される。この場合、無線監視機能は鍵生成後、所定の期間にわたりアクティブであり、疑わしい通信形態を通報する。このようにすることで、暗号化共通鍵を生成するための生成期間前後の所定の期間を含む期間全体にわたり、無線チャネルの監視が行われるようになる。
【0047】
1つの有利な実施形態によれば、これはリンク手順中の遅延により達成される。リンク手順開始時に無線チャネルの所定の期間にわたり、疑わしい通信形態が発生したか否かについて監視される。これによりリンクに必要とされる期間はたしかに長くなるけれども、リンクフェーズ以外で監視機能をアクティブにする必要はない。
【0048】
疑わしい通信形態が発生した場合、第1の実施形態によれば鍵生成が完全に中止され、つまり暗号化共通鍵は生成されない。1つの択一的な実施形態によれば、疑わしい通信形態が発生した場合、暗号化鍵が生成されるけれども、信頼性が僅かなものとして鍵記憶装置8に格納される。ついで比較またはPIN番号を用いた付加的な認証によって、ユーザにより明示的な確認が行われる。
【0049】
ノード2−1,2−2は到達距離が比較的短い短距離無線装置によって形成される。1つの有利な実施形態によれば、短距離無線装置はWLAN無線機器、Bluetooth無線機器、ZigBee無線機器あるいはWiMax無線機器である。また、ノード2−1,2−2もしくは無線装置を移動端末機器または固定局とすることができる。
【0050】
図4には、第3者によるアクティブな攻撃を伴わない場合に2つのノード2−1,2−2間で共通鍵Sを生成する信号ダイアグラムが示されている。
【0051】
短距離無線装置2−1すなわちノードK1は、セットアップスタートメッセージを第2の短距離無線装置2−1すなわちノードK2に送信する。ついでこのメッセージがセットアップスタートOKメッセージとして第2のノードにより承認される。これに続いて第1の短距離無線装置2−1は第2のノード2−2へ値gxを送信する。ここでgは整数であり、xは第1のノード2−1により算出された乱数を表す。第2のノード2−2は逆に第1のノード2−1へ値qyを伝送する。ここでgは2つのノード双方に既知の整数を表し、yは第2のノード2−2により算出された乱数値である。次に、双方のノード2−1,2−2は共通鍵S=Yx mod mないしはS=Xy mod mを計算する。その後、個々のノードの鍵記憶装置8に暗号化共通鍵Sがそれぞれ格納される。実現可能な1つの実施形態によれば、暗号化鍵から導出された疑似乱数鍵が鍵記憶装置8に格納され、これはたとえば僅かなビット長を有するものである。
【0052】
有利にはこれに続いて、両方のノード2−1,2−2が同じ共通鍵を求めたのか否かについて、チェックもしくは検証が行われる。その際、所定の期間待機するのが有利であり、この期間中、疑わしい通信が発生してはならない。この目的で、監視を行うノード2−2の無線監視ユニット4内に設けられたタイマが用いられる。待機時間経過後、チェックもしくは検証が終了する。
【0053】
図4に示したプロセスに関して数多くの変形が可能である。たとえば1つの実施形態によれば、スタートメッセージを用いずに暗号化共通鍵生成をただちに行うことができる。さらに、待機時間がメッセージ「セットアップ2」後にすでに始まるようにしてもよいし、あるいは鍵Kの算出および格納後に始まるようにしてもよい。さらに別の実施形態によれば、付加的な監視待機時間として、メッセージ「セットアップ検証OK」の送信後にはじめて開始される期間が監視される。1つの択一的な実施形態によれば、生成された共通鍵の検証がまったく省かれる。
【0054】
予期せぬ偶発的な通信を監視するための期間を、広い範囲内で変えることができる。この期間は、ユーザが鍵生成に利用する期間中、2つの機器だけがアクティブであるように選定される。タイマ値を約1〜5秒の範囲で設定するのが有利である。
【0055】
図5には、第3のノード9によるアクティブな攻撃が行われたときの信号ダイアグラムが示されている。この場合、ノード2−2自体は、攻撃を行うノードがノード2−1がであるのか図5に示した第3のノード9であるのかを区別することはできない。ただし監視を行うノード2−2の無線監視ユニット4は、1つよりも多いノードが無線インタフェース3を介して通信を行っていることもしくはアクティブであることを識別している。鍵取り決めプロトコルメッセージの交換は図4と同様に始まるが、セットアップはノード2−1とノード2−2との間ではなく、ノード2−1と攻撃を行うノード9との間で行われる。しかしながら攻撃を行うノード9がアクティブになると、すなわちセットアップスタートメッセージがノード2−2へ送信されるとただちに、監視を行うノードの無線監視ユニット4はそのことを識別し、疑わしい通信であることを通報する。これに基づき、監視を行うノード2−2の制御ユニット7により暗号化鍵生成が中止される。監視を行うノード2−2は、攻撃を行うノード9自体がやはり暗号化共通鍵生成モードに移ったときに初めて、ノード2−1と攻撃を行うノード9との間の疑わしい通信をエラーとして識別する。そうでなければ、ノード2−1とノード9との間の通信は、双方のノード2−1とノード9の間における望ましい鍵生成もしくはセキュリティ関係確立となるかもしれない。ここで示した実施例の場合、監視を行うノード2−2は、メッセージ「セットアップスタート(A,K2)の受信により鍵生成モードに移る。択一的に、ユーザの介在によってノード2−2をセットアップモードもしくは鍵生成モードに移すことも可能である。
【0056】
監視を行うノード2−2の制御ユニット7により共通鍵の生成が中止されると、監視を行うノード2−2はそのアンテナ5−2を介してセットラップエラーメッセージを他のノードすなわち存在する識別されたすべてのノードへ、マルチキャスト送信もしくはブロードキャスト送信として送信する。ノード2−1が監視を行っているノード2−2からセットアップエラーメッセージを受け取ると、ノード2−1も共通鍵生成プロセスを中止する。実現可能な1つの実施形態によれば、生成プロセス中止がたとえばエラーLEDの点滅によりユーザに指示される。
【0057】
図5に示されているダイアグラムにはタイマ値も示されており、これにより監視されている疑わしい通信がすでにどのくらい続いたのかが測定される。図5に示されている実施例の場合、疑わしい通信「セットアップ(K1,A)」の観測により、カウンタもしくはタイマがスタートし、たとえば1〜5秒内でカウントダウンされる。タイマ経過前に監視を行うノード2−2により鍵を生成する試みによって、エラーメッセージ「セットアップエラー」が生じる。この場合、たとえば5分前といったさらに遡った疑わしい通信によっても中止には至らない。
【0058】
1つの有利な実施形態によれば、無線監視ユニット4の無線監視機能は本来のセットアップの前後においてもすでにアクティブ状態である。この期間内に疑わしい無線信号が識別されると、ノードにおける生成があとから消去され、もしくはすでに最初からエラーメッセージ「セットアップエラー」によって拒絶される。1つの択一的な実施形態によれば、生成開始とともに無線監視機能がはじめてアクティブになり、および/または生成終了とともに再び非アクティブ状態になる。したがってこの実施形態の場合には、本来の生成の前もしくは後に時間的なセキュリティバッファが設けられていない。ただし択一的に、対応する待ち時間もしくは遅延時間を生成プロセス中に設けることができる。
【0059】
短時間のセキュリティバッファを設けることで、ある程度の付加的な保護を達成することができる。このケースでは、無線監視は本来の生成中のみアクティブであり、無線監視のための生成プロセス中の待ち時間はやはり設けられていない。このケースでは、たとえば1秒の何分の1ぐらいしか続かないようなごく短い生成期間内でアクティブな攻撃が行われた場合に、その攻撃が識別される。
【0060】
本発明による方法によって、安全でないもしくは認証されていない暗号生成方法の場合であっても、アクティブな攻撃に対する安全性が著しく改善される。
【図面の簡単な説明】
【0061】
【図1】本発明の基礎を成す問題点を説明するための図
【図2】本発明による短距離無線システムを無線監視機能を備えた2つの短距離無線装置とともに示すブロック図
【図3】本発明による短距離無線システムにおいて用いられる無線監視機能を備えた短距離無線装置の有利な実施形態を示すブロック図
【図4】第3者によるアクティブな攻撃がない場合の本発明による暗号化共通鍵生成方法について説明する信号ダイアグラム
【図5】第3者によるアクティブな攻撃が行われたときの本発明による暗号化共通鍵生成方法について説明する信号ダイアグラム
【特許請求の範囲】
【請求項1】
無線インタフェース(3)を介した2つのノード(2−1,2−2)間における暗号化共通鍵の不正操作保護された生成方法において、
前記暗号化共通鍵(S)の生成中、前記2つのノード(2−1,2−2)のうち少なくとも一方のノードが生成期間において、第3のノード(9)が前記2つのノード(2−1,2−2)のうち一方のノードと前記無線インタフェース(3)を介して通信を行っているか否かを監視することを特徴とする、
暗号化共通鍵の不正操作保護された生成方法。
【請求項2】
請求項1記載の方法において、
監視を行うノード(2−2)が、第3のノード(9)が無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと通信していることを識別すると、該監視を行うノード(2−2)は他方のノード(2−1)との暗号化共通鍵(S)の生成を中止することを特徴とする方法。
【請求項3】
請求項1記載の方法において、
第3のノード(9)が無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと通信しているならば、、監視を行うノード(2−)は他方のノード(2−1)との暗号化共通鍵(S)の生成を中止し、生成された暗号化共通鍵(S)を安全でない暗号化共通鍵(S)として記憶することを特徴とする方法。
【請求項4】
請求項2または3記載の方法において、
第3のノード(9)が前記無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと生成期間内で通信しているならば、前記監視を行うノード(2−2)は付加的にエラー警告メッセージを送信することを特徴とする方法。
【請求項5】
請求項1記載の方法において、
前記監視を行うノード(2−2)は前記無線インタフェース(3)における1つまたは複数の無線チャネルを監視することを特徴とする方法。
【請求項6】
請求項1記載の方法において、
前記2つのノード(2−1,2−2)は鍵取り決めプロトコルに従い、前記無線インタフェース(3)における少なくとも1つの無線チャネルを介してまえもって定められた鍵取り決めメッセージを交換することにより、暗号化共通鍵を生成することを特徴とする方法。
【請求項7】
請求項6記載の方法において、
前記監視を行うノード(2−2)は、前記鍵取り決めメッセージが第3のノード(9)により前記無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードに送信されたか否かについて監視することを特徴とする方法。
【請求項8】
請求項1記載の方法において、
前記監視を行うノード(2−2)は、エラー警告メッセージが他方のノード(9)から送信されたか否かを監視することを特徴とする方法。
【請求項9】
請求項1記載の方法において、
前記監視を行うノード(2−2)は、暗号化共通鍵生成中に生成期間内で無線チャネル品質が低下したか否かを監視することを特徴とする方法。
【請求項10】
請求項1記載の方法において、
前記監視を行うノード(2−2)は、第3のノード(9)が前記生成期間の前および後ろの保護期間中、前記無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと通信しているか否かを付加的に監視することを特徴とする方法。
【請求項11】
請求項1記載の方法において、
前記ノード(2−1,2−2)は短距離無線装置(2)により形成されることを特徴とする方法。
【請求項12】
無線インタフェース(3)を介して互いに通信を行う複数の短距離無線装置(2)が設けられている短距離無線システム(1)において、
該短距離無線システム(1)の2つの短距離無線装置(2−1,2−2)間で暗号化共通鍵(S)を生成するとき、前記無線インタフェース(3)を介した該暗号化共通鍵(S)の生成中に生成期間内で、さらに別の短距離無線装置(9)が前記2つの短距離無線装置(2−1,2−2)のうち一方の短距離無線装置と無線インタフェース(3)を介して通信しているか否かを監視することを特徴とする、
短距離無線システム。
【請求項13】
短距離無線装置(2)において、
無線インタフェース(3)を介して他方の短距離無線装置(2)とともに暗号化共通鍵(S)を生成するとき、不正操作を識別するため前記無線インタフェース(3)を、前記暗号化共通鍵(S)の生成中、第3の短距離無線装置(9)が2つの短距離無線装置(2−1,2−2)のうち一方の短距離無線装置と前記無線インタフェース(3)を介して通信しているか否かについて監視することを特徴とする、
短距離無線装置。
【請求項1】
無線インタフェース(3)を介した2つのノード(2−1,2−2)間における暗号化共通鍵の不正操作保護された生成方法において、
前記暗号化共通鍵(S)の生成中、前記2つのノード(2−1,2−2)のうち少なくとも一方のノードが生成期間において、第3のノード(9)が前記2つのノード(2−1,2−2)のうち一方のノードと前記無線インタフェース(3)を介して通信を行っているか否かを監視することを特徴とする、
暗号化共通鍵の不正操作保護された生成方法。
【請求項2】
請求項1記載の方法において、
監視を行うノード(2−2)が、第3のノード(9)が無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと通信していることを識別すると、該監視を行うノード(2−2)は他方のノード(2−1)との暗号化共通鍵(S)の生成を中止することを特徴とする方法。
【請求項3】
請求項1記載の方法において、
第3のノード(9)が無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと通信しているならば、、監視を行うノード(2−)は他方のノード(2−1)との暗号化共通鍵(S)の生成を中止し、生成された暗号化共通鍵(S)を安全でない暗号化共通鍵(S)として記憶することを特徴とする方法。
【請求項4】
請求項2または3記載の方法において、
第3のノード(9)が前記無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと生成期間内で通信しているならば、前記監視を行うノード(2−2)は付加的にエラー警告メッセージを送信することを特徴とする方法。
【請求項5】
請求項1記載の方法において、
前記監視を行うノード(2−2)は前記無線インタフェース(3)における1つまたは複数の無線チャネルを監視することを特徴とする方法。
【請求項6】
請求項1記載の方法において、
前記2つのノード(2−1,2−2)は鍵取り決めプロトコルに従い、前記無線インタフェース(3)における少なくとも1つの無線チャネルを介してまえもって定められた鍵取り決めメッセージを交換することにより、暗号化共通鍵を生成することを特徴とする方法。
【請求項7】
請求項6記載の方法において、
前記監視を行うノード(2−2)は、前記鍵取り決めメッセージが第3のノード(9)により前記無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードに送信されたか否かについて監視することを特徴とする方法。
【請求項8】
請求項1記載の方法において、
前記監視を行うノード(2−2)は、エラー警告メッセージが他方のノード(9)から送信されたか否かを監視することを特徴とする方法。
【請求項9】
請求項1記載の方法において、
前記監視を行うノード(2−2)は、暗号化共通鍵生成中に生成期間内で無線チャネル品質が低下したか否かを監視することを特徴とする方法。
【請求項10】
請求項1記載の方法において、
前記監視を行うノード(2−2)は、第3のノード(9)が前記生成期間の前および後ろの保護期間中、前記無線インタフェース(3)を介して前記2つのノード(2−1,2−2)のうち一方のノードと通信しているか否かを付加的に監視することを特徴とする方法。
【請求項11】
請求項1記載の方法において、
前記ノード(2−1,2−2)は短距離無線装置(2)により形成されることを特徴とする方法。
【請求項12】
無線インタフェース(3)を介して互いに通信を行う複数の短距離無線装置(2)が設けられている短距離無線システム(1)において、
該短距離無線システム(1)の2つの短距離無線装置(2−1,2−2)間で暗号化共通鍵(S)を生成するとき、前記無線インタフェース(3)を介した該暗号化共通鍵(S)の生成中に生成期間内で、さらに別の短距離無線装置(9)が前記2つの短距離無線装置(2−1,2−2)のうち一方の短距離無線装置と無線インタフェース(3)を介して通信しているか否かを監視することを特徴とする、
短距離無線システム。
【請求項13】
短距離無線装置(2)において、
無線インタフェース(3)を介して他方の短距離無線装置(2)とともに暗号化共通鍵(S)を生成するとき、不正操作を識別するため前記無線インタフェース(3)を、前記暗号化共通鍵(S)の生成中、第3の短距離無線装置(9)が2つの短距離無線装置(2−1,2−2)のうち一方の短距離無線装置と前記無線インタフェース(3)を介して通信しているか否かについて監視することを特徴とする、
短距離無線装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2009−534964(P2009−534964A)
【公表日】平成21年9月24日(2009.9.24)
【国際特許分類】
【出願番号】特願2009−507005(P2009−507005)
【出願日】平成19年2月8日(2007.2.8)
【国際出願番号】PCT/EP2007/051191
【国際公開番号】WO2007/124965
【国際公開日】平成19年11月8日(2007.11.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.ZIGBEE
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
【公表日】平成21年9月24日(2009.9.24)
【国際特許分類】
【出願日】平成19年2月8日(2007.2.8)
【国際出願番号】PCT/EP2007/051191
【国際公開番号】WO2007/124965
【国際公開日】平成19年11月8日(2007.11.8)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.ZIGBEE
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
[ Back to top ]