不正端末推定システム、不正端末推定装置及び通信端末装置
【課題】中継途中でパケットの改竄や中継拒否等の妨害攻撃を行った通信端末装置を推定すること。
【解決手段】マルチホップネットワークにより複数の通信端末装置IDiと接続され、不正に振る舞った通信端末装置IDiを推定する不正端末推定装置100であって、ネットワークを形成する通信端末装置IDiの識別情報や鍵情報を管理する通信端末情報管理部120と、通信端末装置IDiへチャレンジ情報を送信する送信部160と、通信端末装置IDiからチャレンジ情報に対応するレスポンス情報を受信する受信部170と、レスポンス情報に含まれる認証子を検証するレスポンス情報検証部130と、レスポンス情報が正当なものでない場合に、各通信端末装置IDiに受信生成情報の再送を依頼し、受信生成情報に基づいて、不正な振る舞いを行った通信端末装置を推定する不正端末装置推定処理部140と、を備える。
【解決手段】マルチホップネットワークにより複数の通信端末装置IDiと接続され、不正に振る舞った通信端末装置IDiを推定する不正端末推定装置100であって、ネットワークを形成する通信端末装置IDiの識別情報や鍵情報を管理する通信端末情報管理部120と、通信端末装置IDiへチャレンジ情報を送信する送信部160と、通信端末装置IDiからチャレンジ情報に対応するレスポンス情報を受信する受信部170と、レスポンス情報に含まれる認証子を検証するレスポンス情報検証部130と、レスポンス情報が正当なものでない場合に、各通信端末装置IDiに受信生成情報の再送を依頼し、受信生成情報に基づいて、不正な振る舞いを行った通信端末装置を推定する不正端末装置推定処理部140と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正端末推定システム、不正端末推定装置及び通信端末装置に関する。
【背景技術】
【0002】
近年、無線通信機能を持った多数のセンサ機器によって形成されるセンサネットワークが提案されている。ここで、センサネットワークは、通信端末間のパケットの送受信を、1つ以上の通信端末装置が中継配送するマルチホップネットワークであると想定する。
【0003】
無線マルチホップネットワークにおいて、不正な中継端末装置の不正な振る舞いに対応できる技術として、例えば特許文献1には、ユーザからの要求に応じて基地局からユーザへ送信される情報に改竄や破壊等の不正行為が行われた時に、その地点を推定し、さらには不正地点を経由する経路が確立されないように経路確立を制御するアドホック無線ネットワークシステムおよびその不正管理方法が記載されている。
【0004】
また、例えば特許文献2には、無線マルチホップネットワークにおいて不正パケットの投入を防止するために、ネットワークに認証済みの通信端末のみが知る第1の秘密情報を用いて第1のパケット検査データを作成するとともに、パケットの宛先端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成し、作成した前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを生成することで、不正パケットの投入を防止する方法が記載されている。
【0005】
【特許文献1】特開2005−286956号公報
【特許文献2】特許第3749679号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、センサネットワークを形成する無線通信端末装置は、一般的に低コストを重視して開発されるため、コスト高となる耐タンパ性メモリ(鍵情報などの秘密情報の漏洩・改竄を物理的に保護する装置)の搭載を必ずしも仮定できない。すなわち、ネットワークに認証済みの正当な通信端末装置が、攻撃者に鍵情報を不正に入手されることにより、不正に振る舞うという脅威が存在する。これら正当な(正当だと認識している)通信端末装置がマルチホップネットワークのパケット中継端末装置となることで、パケットの改竄等の不正な振る舞いを、認証された行為として実行できる。ネットワークを正常に機能させるためには、上記不正に振る舞う正当な(正当だと認識している)通信端末装置を検出する技術が必要になる。
【0007】
上記従来の技術では、正当だと認識している通信端末装置による不正な振る舞いを想定していない。すなわち、パケットに付加されている検査データや署名の検証に成功しても、その検査データや署名が保証するパケットは必ずしも正当ではないことを想定していない。
【0008】
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、中継途中でパケットの改竄や中継拒否等の妨害攻撃を行い、正当だと認識されている通信端末装置をネットワークから排除するために、不正を行った通信端末装置を推定することが可能な、新規かつ改良された不正端末推定システム、不正端末推定装置、及び通信端末装置を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明のある観点によれば、マルチホップネットワークにより複数の通信端末装置と不正端末推定装置が接続され、不正端末推定装置により不正な動作を行った通信端末装置を推定するシステムであって、前記不正端末推定装置は、ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、前記通信端末装置へ前記チャレンジ情報を送信する送信部と、前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、を備え、前記通信端末装置は、他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継により前記チャレンジ情報を受信する受信部と、前記識別情報及び前記鍵情報を含む認証子を生成する認証子生成部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて得られる前記受信生成情報を保持する受信生成情報格納部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて前記レスポンス情報を生成するレスポンス情報生成部と、他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、を備える不正端末推定システムが提供される。
【0010】
上記構成によれば、不正端末推定装置から通信端末装置へ不正な動作を推定するためのチャレンジ情報が送信され、通信端末装置から不正端末推定装置へチャレンジ情報に対応するレスポンス情報が送信される。レスポンス情報に含まれる認証子が正しいか否かが検証され、検証の結果、レスポンス情報が正当なものでない場合に、各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置が推定される。従って、マルチホップネットワークにより複数の通信端末装置が接続されたシステムにおいて、不正な動作を行った通信端末装置を推定することが可能となる。
【0011】
また、前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であっても良い。
【0012】
また、上記課題を解決するために、本発明の別の観点によれば、マルチホップネットワークにより複数の通信端末装置と接続され、不正な動作を行った通信端末装置を推定する不正端末推定装置であって、ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、前記通信端末装置へ前記チャレンジ情報を送信する送信部と、前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、を備える不正端末推定装置が提供される。
【0013】
上記構成によれば、通信端末装置へ不正な動作を推定するためのチャレンジ情報が送信され、チャレンジ情報に対応するレスポンス情報が通信端末装置から受信される。レスポンス情報に含まれる認証子が正しいか否かが検証され、検証の結果、前記レスポンス情報が正当なものでない場合に、各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置が推定される。従って、不正端末推定装置に接続された複数の通信端末装置のうち、不正な動作を行った通信端末装置を推定することが可能となる。
【0014】
また、前記チャレンジ情報を生成するチャレンジ情報生成部を更に備えるものであっても良い。かかる構成によれば、不正端末推定装置で生成したチャレンジ情報を通信端末装置へ送ることができる。
【0015】
また、前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であっても良い。
【0016】
また、上記課題を解決するために、本発明の別の観点によれば、マルチホップネットワークにより複数の他の通信端末装置及び不正端末推定装置と接続される通信端末装置であって、他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継により不正な動作を推定するためのチャレンジ情報を受信する受信部と、自身の識別情報及び鍵情報を含む認証子を生成する認証子生成部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えた受信生成情報を保持する受信生成情報格納部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて新たにレスポンス情報を生成するレスポンス情報生成部と、他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、を備える通信端末装置が提供される。
【0017】
上記構成によれば、他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継によりチャレンジ情報が受信され、自身の識別情報及び鍵情報を含む認証子が生成され、他の通信端末装置から受信したレスポンス情報に自身が生成した認証子を加えた受信生成情報が保持される。他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて新たにレスポンス情報が生成される。不正端末推定装置での検証の結果、レスポンス情報が正当なものでない場合は、各通信端末装置から不正端末推定装置へ受信生成情報を再送することができ、再送された受信生成情報に基づいて、不正な振る舞いを行った通信端末装置を推定することができる。従って、不正に振る舞った通信端末装置を推定することが可能となる。
【発明の効果】
【0018】
本発明によれば、不正な通信端末装置を確実に推定することが可能な、新規かつ改良された不正端末推定システム、不正端末推定装置、及び通信端末装置を提供することが可能となる。
【発明を実施するための最良の形態】
【0019】
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
【0020】
以下に説明する実施形態では、マルチホップネットワークを形成する通信端末装置IDiが、受信したチャレンジ情報に対するレスポンス情報を生成し、生成したレスポンス情報を不正端末推定装置100に配送し、不正端末推定装置100が、上記レスポンス情報が正当か否かを検証し、検証が失敗することで、レスポンス情報の配送に関わった通信端末装置IDiの中に不正に振る舞った通信端末装置IDiが存在することを判断し、不正端末推定装置100が、上記各通信端末装置IDiに受信情報と生成情報の再送を依頼することによって、不正に振る舞った通信端末装置IDiを推定することを特徴とする。
【0021】
本実施形態は、マルチホップネットワークを形成する複数の通信端末装置IDiの中で、不正に振る舞った通信端末装置IDiを推定する技術に関するものである。「不正に振る舞う」とは、例えば、マルチホップネットワークにおいて通信される情報を中継する通信端末装置IDiが、中継途中のメッセージを改竄したり、中継途中のメッセージを破棄(中継拒否)したりすることを想定する。
【0022】
図1は、本発明の一実施形態における不正端末推定装置100の内部構成を示すブロック図である。図1において、不正端末推定装置100は、チャレンジ情報生成部110、通信端末情報管理部120、レスポンス情報検証部130、不正端末推定処理部140、受信生成情報検証部150、送信部160及び受信部170を有する。
【0023】
チャレンジ情報生成部110は、チャレンジ情報を生成するものである。生成したチャレンジ情報を送信部160とレスポンス情報検証部130へ与える。チャレンジ情報は、例えば乱数情報であってもよいし、ネットワークを形成する各通信端末装置IDiに配送したいメッセージであっても良い。
【0024】
通信端末情報管理部120は、ネットワークを形成する各通信端末が保持する識別情報、鍵情報を管理するものである。識別情報とは、ネットワークを形成する各通信端末に固有のビット列であり、例えば、各通信端末装置IDiに唯一のMACアドレスや、上記ネットワーク内でのみ唯一のネットワークアドレスなどを想定するが、特に限定するものではない。鍵情報とは、不正端末推定装置100と各通信端末装置IDiとが1対1で秘密に共有する鍵情報を想定する。鍵情報は、鍵情報と供に再送攻撃を防止するためのカウンタ情報を保持していても良い。通信端末情報管理部120は、自身が管理する通信端末装置IDiの識別情報と鍵情報をレスポンス情報検証部130と受信生成情報検証部150へ与える。
【0025】
レスポンス情報検証部130は、不正端末装置推定処理部140より与えられたレスポンス情報の認証子を、通信端末情報管理部120より与えられた鍵情報とチャレンジ情報生成部110より与えられたチャレンジ情報を用いて検証するものである。レスポンス情報検証部130は、検証結果が一致することにより、検証結果成功メッセージを、一方、検証結果が一致しないことにより、検証結果失敗メッセージを、不正端末装置推定処理部140へ返信する。
【0026】
受信生成情報検証部150は、受信部170より与えられた受信生成情報に含まれる認証子(Gi)を、通信端末情報管理部120より与えられた、当該受信生成情報の送信元通信端末装置IDiの鍵情報を用いて検証し、検証に成功することで、当該受信生成情報と認証子(Gi)検証成功メッセージを不正端末装置推定処理部140へ与え、検証に失敗することで、認証子(Gi)検証失敗メッセージを不正端末装置推定処理部140へ与える。また、受信生成情報検証部150は、規定時間の間に、認証子(Gi)の検証に成功する受信生成情報を与えられなかったことを受けて、返信なしメッセージを不正端末装置推定処理部140へ与える。
【0027】
送信部160は、チャレンジ情報生成部110より与えられたチャレンジ情報をネットワークの通信端末装置IDiに送信するものである。また、不正端末装置推定処理部140より与えられた、受信生成情報再送依頼メッセージを通信端末装置IDiへ送信するものである。
【0028】
受信部170は、通信端末より受信したレスポンス情報を不正端末推定装置100に与えるものである。また、通信端末より受信した受信生成情報を受信生成情報検証部150へ与えるものである。
【0029】
通信端末装置IDiより不正端末推定装置100へ返信されるレスポンス情報の一例を、図2に示す。図2に示すように、レスポンス情報には、レスポンス情報を配送中継した全ての通信端末装置ID1,ID2,ID3,…の識別子が含められる。図2において、認証子(F1,G1)とは、通信端末装置ID1と不正端末推定装置100とが秘密に共有する鍵情報を利用して生成した情報である。不正端末装置よりiホップ目の通信端末装置IDiの生成する受信生成情報を検証するための認証子Fiは以下の式1で表される。
Fi=F(KIDi,…,IDi,M) ・・・(式1)
【0030】
ここで、関数F(・)は、不正端末推定装置100と通信端末装置IDiが秘密に共有する鍵(KIDi)と、レスポンス情報の配送中継に関わった通信端末装置IDiの識別子(…,IDi)とチャレンジ情報(M)を入力とする値であり、例えば、レスポンス情報の配送中継に関わった通信端末装置IDiの前識別子とチャレンジ情報から構成されるビット列“…||IDi||M”(||はビット連結を示す)に対して鍵情報KIDiを利用して生成した、MAC(Message Authentication Code)やHMAC(Keyed−Hashing for Message Authentication)を想定する。不正端末装置よりiホップ目の通信端末装置IDiの生成する通信端末装置のチャレンジ情報の受信を検証するための認証子Giは以下の式2で表される。
Gi=G(KIDi,…,ID(i+1),F(i+1),G(i+1),IDi,Fi)
・・・(式2)
【0031】
ここで、関数G(・)は、不正端末推定装置100と通信端末装置IDiが秘密に共有する鍵(KIDi)と、レスポンス情報の通信端末装置IDiまでの配送中継に関わった通信端末装置の識別子(…)と(存在しない場合もある)、通信端末装置(i+1)(不正端末装置よりi+1ホップ目の通信端末装置で、通信端末装置iが中継依頼を受けた装置)の識別子(ID(i+1))と、通信端末装置(i+1)から受信した認証子(F(i+1),G(i+1))と(存在しない場合もある)、通信端末装置IDiの識別子(IDi)と通信端末装置IDiの生成した認証子(Fi)を入力とする値であり、例えば、上記鍵KIDi以外の情報から構成されるビット列“…||ID(i+1)||F(i+1)||G(i+1)||IDi||Fi”(||はビット連結を示す)に対して鍵情報KIDiを利用して生成した、MAC(Message Authentication Code)やHMAC(Keyed−Hashing for Message Authentication)を想定する。
【0032】
レスポンス情報検証部130は、不正端末装置推定処理部140より、レスポンス情報と認証子(Gi)の検証依頼を与えられることにより、チャレンジ情報生成部110より与えられるチャレンジ情報Mと、通信端末情報管理部120より与えられる該当通信端末装置IDiの鍵情報を用いて、認証子(Gi)が正しいか否かを検証し、検証した結果を不正端末装置推定処理部140へ返信する。また、レスポンス情報検証部130は、不正端末装置推定処理部140より、レスポンス情報と認証子(Fi)の検証依頼を与えられることにより、チャレンジ情報生成部110より与えられるチャレンジ情報Mと、通信端末情報管理部120より与えられる該当通信端末装置IDiの鍵情報を用いて、認証子(Fi)が正しいか否かを検証し、検証した結果を不正端末装置推定処理部140へ返信する。
【0033】
不正端末推定処理部140は、ネットワークに存在する不正な振る舞いを行った通信端末装置IDiを推定するものである。不正端末推定処理部140は、受信部170より与えられたレスポンス情報に付加されている認証子(Gi)を検証するために、上記レスポンス情報と認証子(Gi)の検証依頼をレスポンス情報検証部130へ与える。そして、レスポンス情報検証部130より、検証結果成功メッセージを返信されることにより、上記レスポンス情報の配送に関わった通信端末装置IDi(レスポンス情報に含まれる識別子が示す全ての通信端末装置IDi)を正当な通信端末装置であるとする。そして、チャレンジ情報Mが上記の通信端末装置に正しく届けられたことを知る。
【0034】
一方、検証結果失敗メッセージを返信されることにより、上記レスポンス情報の配送に関わった通信端末装置IDi(レスポンス情報に含まれる識別子が示す全ての通信端末装置IDi)には不正な通信端末装置が潜む可能性があると判断し、不正端末推定処理を行う。不正端末推定処理は、上記不正な通信端末装置が潜む可能性があると判断された経路に存在する通信端末装置IDiに対して、不正端末推定装置100からのホップ数が少ない通信端末装置IDiから順番(不正端末推定装置100にレスポンス情報を最後に中継配送した通信端末装置ID1→ID2→ID3→…)に行ってゆく。
【0035】
以下、図4及び図5のフローチャートを参照しながら、不正端末推定処理の手順を説明する。先ず、レスポンス情報の送信元が本当に通信端末装置ID1かどうかを検証するために、レスポンス情報と認証子(F1)の検証依頼を、レスポンス情報検証部130へ与える(図4のステップS2)。そして、レスポンス情報検証部130より、検証失敗メッセージを返信されることにより、以下2つの不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS4)。
【0036】
・レスポンス情報の送信元端末は通信端末装置ID1ではない(通信端末装置ID1へのなりすまし攻撃が行われた)。
・通信端末装置ID1は不正な振る舞いを行った。
【0037】
一方、検証成功メッセージを返信されることにより、不正端末推定処理部140は、レスポンス情報の送信元端末を通信端末装置ID1であると認証する。また、通信端末ID1には確かにチャレンジ情報Mが到達していることを知る(ステップS3)。次に、不正端末装置推定部140は、通信端末装置ID1に受信生成情報の配送を依頼するために、受信生成情報再送依頼メッセージを生成し、送信部160へ与える(ステップS5)。そして、受信生成情報検証部150より、受信生成情報が与えられるのを待つ(ステップS6)。受信生成情報検証部150は、受信生成情報Giを受けて、Giを検証する(ステップS7)。
【0038】
ここで、受信生成情報の一例を図3に示す。図3において、通信端末装置の識別子(…,ID3,ID2)と、認証子(F2,G2)は、通信端末装置ID2より受信するレスポンス情報である。通信端末装置ID1の識別子(ID1)と、認証子(F1,G1)は、レスポンス情報が通信端末装置ID1を中継することで新たに発生する情報である。不正端末装置推定処理部140は、受信生成情報検証部150より認証子(G1)検証失敗メッセージを与えられることにより、以下の不正の可能性があることを検知する(ステップS9)。
【0039】
・通信端末装置ID1は不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、認証子検証に成功しない受信生成情報を返信した疑いがある)。
・受信生成情報の送信元端末は通信端末装置ID1ではない(通信端末装置ID1へのなりすまし攻撃が行われた)。
【0040】
そして、受信生成情報検証部150より返信なしメッセージを与えられることにより、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS8)。
・通信端末装置ID1は不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、受信生成情報の再送依頼を破棄した疑いがある)。
【0041】
一方、不正端末装置推定部140は、受信生成情報検証部150より受信生成情報と、認証子(G1)検証成功メッセージを与えられることで、受信生成情報の検証処理を行う(ステップS10)。受信生成情報の検証処理では、不正端末推定装置100は、通信端末装置ID1より既に受信済みのレスポンス情報に含まれる情報(…,ID3,ID2,ID1,F1,G1)が、受信生成情報に含まれる情報と一致しているか否かを検証する(ステップS11)。検証に失敗することで、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS13)。
【0042】
・通信端末装置ID1は不正な振る舞いを行った(通信端末装置ID1はレスポンス情報を中継時に改竄した疑いがある)。
【0043】
一方、検証に成功することで、受信生成情報に含まれる情報のうち、「通信端末装置ID2から受信したレスポンス情報」が間違っていることを知る(ステップS12)。次に、レスポンス情報を次に中継配送した通信端末装置ID2に関しても不正端末推定処理を行ってゆく(図5のステップS14)。まず、通信端末装置ID1の受信生成情報に含まれる「通信端末装置ID2から受信したレスポンス情報」の送信元が本当に通信端末装置ID2かどうかを検証するために、上記レスポンス情報と認証子(F2)の検証依頼を、レスポンス情報検証部130へ与える(ステップS15)。そして、レスポンス情報検証部130より、検証失敗メッセージを返信されることにより、以下3つの不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS17)。
【0044】
・レスポンス情報の送信元端末は通信端末装置ID2ではない(通信端末装置ID2へのなりすまし攻撃が行われた)。
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1がチャレンジ情報Mを改竄して中継配送した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った。
【0045】
一方、検証結果成功メッセージを返信されることにより、不正端末推定処理部140は、レスポンス情報の送信元端末を通信端末装置ID2であると認証する。また、通信端末ID2には確かにチャレンジ情報Mが到達していることを知る(ステップS16)。次に、不正端末装置推定部140は、通信端末装置ID2に受信生成情報の配送を依頼するために、受信生成情報再送依頼メッセージを生成し、送信部160へ与える(ステップS18)。そして、受信生成情報検証部150より、受信生成情報が与えられるのを待つ(ステップS19)。受信生成情報検証部150は、受信生成情報Giを受けて、Giを検証する(ステップS20)。不正端末装置推定処理部140は、受信生成情報検証部150より認証子(G2)検証結果失敗メッセージを与えられることにより、以下の不正の可能性があることを検知する(ステップS22)。
【0046】
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、通信端末装置ID2からの受信生成情報を改竄して中継配送した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った。
・受信生成情報の送信元端末は通信端末装置ID2ではない(通信端末装置ID2へのなりすまし攻撃が行われた)。
【0047】
そして、受信生成情報検証部150より返信なしメッセージを与えられることにより、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS21)。
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、受信生成情報再送依頼メッセージ、もしくは、受信生成情報の中継を拒否した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った(通信端末装置ID2は不正に振る舞ったことを検知されるのを恐れ、受信生成情報の再送依頼を破棄した疑いがある)。
【0048】
一方、不正端末装置推定部140は、受信生成情報検証部150より受信生成情報と、認証子(G2)検証成功メッセージを与えられることで、受信生成情報の検証処理を行う(ステップS23)。受信生成情報の検証処理では、不正端末装置100は、通信端末装置ID1より既に受信済みの、通信端末装置ID2より受信したレスポンス情報に含まれる情報(…,ID3,ID2,F2,G2)が、受信生成情報に含まれる情報と一致しているか否かを検証する(ステップS24)。検証に失敗することで、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS26)。
【0049】
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1はレスポンス情報を中継時に改竄した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った(通信端末装置ID2はレスポンス情報を中継時に改竄した疑いがある)。
【0050】
一方、検証に成功することで、受信生成情報に含まれる情報のうち、「通信端末装置ID3から受信したレスポンス情報」が間違っていることを知る(ステップS25)。次に、レスポンス情報を次に中継配送した通信端末装置ID3に関しても不正端末推定処理を行ってゆく(ステップS14)。以上の不正端末推定処理が繰り返される。
【0051】
以上のように、本実施形態によれば、Fiを検証することにより送信元端末を確認する。また、Giを検証することにより受信生成情報が改竄されているか否かを確認する。図4及び図5のフローチャートに示されるように、Fi、Giの検証は、不正端末推定装置100に近い側の通信端末装置IDiから順次に行われる。
【0052】
図6は、本実施形態における通信端末装置IDiの内部構成を示すブロック図である。図6において、通信端末装置IDiは、チャレンジ情報格納部210、通信端末情報格納部220、レスポンス情報格納部230、受信証明情報生成部240、認証子生成部250、受信生成情報格納部260、レスポンス情報生成部270、送信部280及び受信部290を有する。
【0053】
チャレンジ情報格納部210は、受信部240より与えられたチャレンジ情報Mを格納するものである。チャレンジ情報格納部210は、保持するチャレンジ情報Mを受信証明情報生成部240へ与える。
【0054】
通信端末情報格納部220は、自身の識別子(IDi)と鍵情報(KIDi)を保持するものである。通信端末情報格納部220は、保持する識別子と鍵情報を、受信証明情報生成部240と、認証子生成部250へ与える。
【0055】
レスポンス情報格納部230は、受信部290より他の通信端末装置IDiのレスポンス情報(…,ID(i+1),F(i+1),G(i+1))を与えられることにより、当該レスポンス情報に含まれる、レスポンス情報の配送中継に関わった全通信端末の識別子(…,ID(i+1))を受信証明情報識別子へ、また、与えられたレスポンス情報(…,ID(i+1),F(i+1),G(i+1))を認証子生成部250へ与えるものである。
【0056】
受信証明情報生成部240は、チャレンジ情報生成部210より与えられたチャレンジ情報Mと、通信端末情報格納部220より与えられた自身の識別子(IDi)と鍵情報(KIDi)と、レスポンス情報格納部230より与えられた識別子(…,ID(i+1))より、認証子(Fi)(式1を参照)を生成するものである。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記識別子(…,ID(i+1))はレスポンス情報格納部より与えられなくても良い。受信証明情報生成部240は、生成した認証子(Fi)を認証子生成部250へ与える。
【0057】
認証子生成部250は、レスポンス情報格納部230より与えられたレスポンス情報(…,ID(i+1),F(i+1),G(i+1))と、通信端末情報格納部220より与えられた自身の識別子(IDi)と鍵情報(KIDi)と、受信証明情報生成部240より与えられた認証子(Fi)より、認証子(Gi)(式2を参照)を生成するものである。認証子生成部250は、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、生成した認証子(Gi)を受信生成情報格納部260へ与える。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))はレスポンス情報格納部230より与えられなくても良いし、受信生成情報格納部260へ与えなくても良い。
【0058】
受信生成情報格納部260は、認証子生成部250より与えられた、レスポンス情報(…,ID(i+1),F(i+1),G(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、認証子(Gi)を保持するものである。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))は認証子生成部250より与えられなくても良い。受信生成情報格納部260は、上記与えられた情報のうち、レスポンス情報の識別子(…,ID(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、認証子(Gi)をレスポンス情報生成部270へ与える。また、受信生成情報格納部260は、受信部290より受信生成情報再送依頼メッセージを与えられることにより、保持する受信生成情報へ与える。
【0059】
レスポンス情報生成部270は、受信生成情報格納部260より、レスポンス情報の識別子(…,ID(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、認証子(Gi)を与えられることにより、レスポンス情報(…,ID(i+1),IDi,Fi,Gi)を生成し、生成したレスポンス情報を送信部280へ与える。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))は受信生成情報格納部260より与えられなくても良い。
【0060】
送信部280は、レスポンス情報生成部270より与えられたレスポンス情報を不正端末推定装置100へ配送(もしくは配送依頼)する。また、受信生成情報格納部260より与えられた受信生成情報を不正端末推定装置100へ配送(もしくは配送依頼)する。
【0061】
受信部290は、与えられたチャレンジ情報Mをチャレンジ情報格納部210へ与える。また、他の通信端末装置ID(i+1)より配送依頼を受けたレスポンス情報を、レスポンス情報格納部230へ与える。また、不正端末推定装置100より与えられた受信生成情報再送依頼メッセージを、受信生成情報格納部へ与える。
【0062】
次に、本実施形態の不正端末推定システムの動作を、図7から図10を参照しながら説明する。ここで、本実施形態の鍵配送システムの動作は、大きくは、4段階の動作(S101,S102,S103,S104)で構成されている。
【0063】
「第1段階S101(チャレンジ情報Mの配信)」
第1段階S101は、図7に示すように、以下の手順で行われる。
・不正端末推定装置100が、チャレンジ情報生成部110にてチャレンジ情報Mを生成し、送信部160を通して通信端末装置IDiへ配送する。
・通信端末装置IDiは、受信部290を通してチャレンジ情報Mを受信し、チャレンジ情報格納部210で保持する。
【0064】
「第2段階S102(レスポンス情報の返信)」
第2段階S102は、図8に示すように、以下の手順で行われる。
・通信端末装置ID3が、受信証明情報生成部240において認証子F3を生成する。さらに、認証子生成部250において認証子G3を生成する。通信端末装置ID3は、生成した情報(ID3,F3,G3)を受信生成情報格納部260に保持し、次にレスポンス情報生成部270においてレスポンス情報(ID3,F3,G3)を生成し、送信部280を通して不正端末推定装置100へ送信する。
・通信端末装置ID2のレスポンス情報格納部230に、通信端末装置ID3が送信したレスポンス情報(ID3,F3,G3)が与えられる。通信端末装置ID2は、受信証明情報生成部240において認証子F2を生成する。さらに、認証子生成部250において認証子G2を生成する。通信端末装置ID2は、通信端末装置ID3から受信したレスポンス情報と生成した情報を受信生成情報(ID3,F3,G3,ID2,F2,G2)として受信生成情報格納部260に保持し、次にレスポンス情報生成部270においてレスポンス情報(ID3,ID2,F2,G2)を生成し、送信部280を通して不正端末推定装置100へ送信する。
・通信端末装置ID1のレスポンス情報格納部230に、通信端末装置ID2が送信したレスポンス情報(ID3,ID2,F2,G2)が与えられる。通信端末装置ID1は、受信証明情報生成部240において認証子F1を生成する。さらに、認証子生成部250において認証子G1を生成する。通信端末装置ID1は、通信端末装置ID2から受信したレスポンス情報と生成した情報を受信生成情報(ID3,ID2,F2,G2,ID1,F1,G1)として受信生成情報格納部260に保持し、次にレスポンス情報生成部270においてレスポンス情報(ID3,ID2,ID1,F1,G1)を生成し、送信部280を通して不正端末推定装置100へ送信する。
【0065】
「第3段階S103(レスポンス情報の検証)」
第3段階S103は、図9に示すように、以下の手順で行われる。
・不正端末推定装置100は、レスポンス情報を受信し、レスポンス情報検証部130においてレスポンス情報に含まれる認証子G1を検証する。検証に成功することで、チャレンジ情報Mが、レスポンス情報に含まれる識別子が示す通信端末装置IDiに正しく届いたことを知る。検証に失敗した場合は、不正端末装置推定処理を開始する(S104へ)。
【0066】
「第4段階S104(不正端末推定処理の実行)」
第4段階S104は、図10に示すように、以下の手順で行われる。
・不正端末推定装置100は、不正端末装置推定処理部140において、不正端末装置推定処理を開始する。ここでは、図4、5に示すフローチャートに従って、不正端末を推定する。
・レスポンス情報検証部130において、レスポンス情報の送信元端末の検証(認証子Fiの検証)を行う。
・受信生成情報検証部150において、通信端末より受信した受信生成情報の改竄チェック(認証子Giの検証)を行う
上述したように、Fi、Giの検証は、不正端末推定装置100に近い側の通信端末装置IDiから順次に行われる。
【0067】
本実施形態によれば、マルチホップネットワークを形成する通信端末装置IDiが、受信したチャレンジ情報に対するレスポンス情報を生成し、生成したレスポンス情報を不正端末推定装置100に配送し、不正端末推定装置100が、上記レスポンス情報が正当か否かを検証し、検証が失敗することで、レスポンス情報の配送に関わった通信端末装置IDiの中に不正に振る舞った通信端末装置IDiが存在することを判断し、不正端末推定装置100が、上記各通信端末装置IDiに受信情報と生成情報の再送を依頼することによって、不正に振る舞った通信端末装置IDiを推定することが可能となる。
【0068】
図7から10に示した動作説明図において、通信端末装置ID2を不正端末装置とし、不正端末推定装置100における不正端末推定処理の結果を、以下A〜Hの8パターンで例示する。以下のパターンA〜Hでは、各ステップを図4及び図5のフローチャートの各ステップに対応させて説明する。
【0069】
(パターンA)
通信端末装置ID2が、チャレンジ情報MをM’に改竄して、通信端末装置ID3へ中継配送した場合。
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したID3,ID2,F2,G2’が、同じく通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(j)不正端末推定装置100は、F3の検証に失敗し、次の3つの可能性があることを推定する。(ステップS15→S17→)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
・他の装置が通信端末装置ID3になりすましてレスポンス情報を返信した。
【0070】
(パターンB)
通信端末装置ID2が、通信端末装置ID3から受信したレスポンス情報に含まれる通信端末装置ID3の識別子を改竄した場合(ID3→ID3’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1’の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3’,ID2,ID1,F1’,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14)
(f)不正端末推定装置100は、F2’の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
(受信生成情報として改竄前の識別子ID3を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したとされるレスポンス情報に含まれる識別子ID3が、同じく通信端末装置ID2より受信した受信生成情報に含まれる識別子ID3’と一致しないことを検出することで、次の可能性があることを推定する。(ステップS23→S24→S26)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
(受信生成情報として改竄後の受信生成情報ID3’を送信した場合):
(j)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(k)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したID3’,ID2,F2’,G2’が、通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(l)不正端末推定装置100は、F3’の検証に失敗し、次の3つの可能性があることを推定する。(ステップS15→S17)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
・他の装置が通信端末装置ID3になりすましてレスポンス情報を返信した。
【0071】
(パターンC)
通信端末装置ID2が、通信端末装置ID3から受信したレスポンス情報に含まれる認証子F3を改竄した場合(F3→F3’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
(受信生成情報として改竄前の認証子F3を送信した場合):
(受信生成情報の認証子G2’をG2に生成し直して送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2の検証に成功することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したとされるレスポンス情報に含まれる認証子G2’が、通信端末装置ID2より受信した受信生成情報に含まれる認証子G2と一致しないことを検出することで、次の可能性があることを推定する。(ステップS23→S24→S26→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
(受信生成情報の認証子G2’を送信した場合):
(j)不正端末推定装置100は、受信生成情報のG2’の検証に失敗することで、次の可能性があることを推定する。(ステップS20→S22→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすまして受信生成情報を返信した。
(受信生成情報として改竄後の受信生成情報F3’を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したID3,ID2,F2,G2’が、通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(j)不正端末推定装置100は、F3’を検証に失敗し、次の可能性があることを推定する。(ステップS15→S17)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
・他の装置が通信端末装置ID3になりすましてレスポンス情報を返信した。
【0072】
(パターンD)
通信端末装置ID2が、通信端末装置ID3から受信したレスポンス情報に含まれる認証子G3を改竄した場合(G3→G3’)
パターンAの(a)〜(f)まで同じ
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
((g)で通信端末装置ID2が受信生成情報として改竄後の認証子G3’を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、ID3,ID2,F2,G2’が、通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(j)不正端末推定装置100は、F3の検証に成功し、レスポンス情報がID3を経由してきたことを知る。また、ID3に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(k)不正端末推定装置100は、通信端末装置ID3より受信生成情報を取得する。(ステップS18→S19→)
(l)不正端末推定装置100は、受信生成情報のG3を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID3より送信されたことを確認する。
(ステップS20→)
(m)不正端末推定装置100は、通信端末装置ID2より受信した受信生成情報に含まれる、G3’が、通信端末装置ID3より受信した受信生成情報に含まれるG3と一致しないことを検出し、次の可能性があることを推定する。(ステップS23→S24→S26)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
((g)で通信端末装置ID2が受信生成情報として改竄前の認証子G3を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’の検証に失敗することで、次の可能性があることを推定する。(ステップS20→S22→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすまして受信生成情報を返信した。
【0073】
(パターンE)
通信端末装置ID2が、自身の識別子を偽った場合(ID2→ID2’)。
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1’の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。
(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(S5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(S7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2’,ID1,F1’,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(S10→S11→S12→S14→)
(f)不正端末推定装置100は、F2’の検証に失敗し、次の可能性があることを推定する。(S15→S17)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすましてレスポンス情報を返信した。
【0074】
(パターンF)
通信端末装置ID2が、正当な認証子F2を付加しなかった場合(F2→F2’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(S1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(S5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(S7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(S10→S11→S12→S14→)
(f)不正端末推定装置100は、F2’の検証に失敗し、次の可能性があることを推定する。(S15→S17→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすましてレスポンス情報を返信した。
【0075】
(パターンG)
通信端末装置ID2が、正当な認証子G2を付加しなかった場合(G2→G2’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(S1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(S5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(S7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(S10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(S15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(S18→S19→)
(受信生成情報として改竄前の認証子G2を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2の検証に成功することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したとされるレスポンス情報に含まれる認証子G2’が、通信端末装置ID2より受信した受信生成情報に含まれる認証子G2と一致しないことを検出することで、次の可能性があることを推定する。(ステップS23→S24→S26)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
(受信生成情報として改竄後の認証子G2’を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’の検証に失敗することで、次の可能性があることを推定する。(ステップS20→S22)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすまして受信生成情報を返信した。
【0076】
(パターンH)
通信端末装置ID2が、レスポンス情報を配送中継した通信端末装置の識別子を削除した場合(レスポンス情報からID3を削除)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1’の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。
(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1´を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID2,ID1,F1’,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に失敗し、次の可能性があることを推定する。(ステップS15→S17)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすましてレスポンス情報を返信した。
【0077】
以上説明したように本実施形態によれば、正当だと認識している通信端末装置が不正に振る舞ったときに、不正に振る舞った通信端末装置がどの装置であるかを推定することが可能となる。従って、ネットワークに認証済みの正当な通信端末装置が、攻撃者に鍵情報を不正に入手されることにより、不正に振る舞うという脅威が存在する場合に、これら不正に振る舞った通信端末装置を推定することができる。これにより、例えば、不正な通信端末装置であると推定された通信端末装置をネットワークから切り離すといった処理が可能となる。
【0078】
一方、本発明の別の効果として、不正端末推定装置100が、レスポンス情報の検証に成功することで、チャレンジ情報Mがレスポンス情報の配送中継に関わった全ての通信端末装置(レスポンス情報に含まれる識別子が示す通信端末装置)に正しく届けられたことがわかる。例えば、チャレンジ情報として、ネットワーク内の通信端末装置に正しく届けたい重要なメッセージを設定することで、その重要なメッセージが確実に通信端末装置に届いたことを確認することができる。
【0079】
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【0080】
上記各実施形態の説明においても、種々変形実施形態に言及したが、さらに以下に例示するような変形実施形態を挙げることができる。
【0081】
例えば、レスポンス情報の検証に失敗した複数の経路に関して、それぞれ不正端末装置推定処理を行い、その推定結果の統計情報から不正端末装置を推定してもよい。
【0082】
また、レスポンス情報が配送中継された経路を不正端末推定装置100が完全に把握しているときは、レスポンス情報には当該レスポンス情報の配送に関わった通信端末装置IDiの識別子を必ずしも含めなくても良い。
【0083】
不正端末推定装置100は、チャレンジ情報を配送せず、他の装置がチャレンジ情報を配送しても良い。不正端末推定装置100は、配信されたチャレンジ情報を別途の手段で安全に入手できれば良い。
【0084】
マルチホップのネットワーク構造については特に限定しない。ツリー型ネットワークであってもよいし、メッシュ型ネットワークであっても良い。
【0085】
レスポンス情報を配送中継する経路は、特に限定しない。通信端末装置IDiが保持するルーティングテーブルに従っても良いし、ランダムに決定しても良い。また、不正端末推定装置100がなんらかの方法で指定してもよい。環状になっていても良いし、任意のノードを重複しても良い。また、レスポンス情報は、任意の通信端末装置IDiから複数の経路で返信されても良い。
【図面の簡単な説明】
【0086】
【図1】本発明の一実施形態における不正端末推定装置の内部構成を示すブロック図である。
【図2】通信端末装置より不正端末推定装置へ返信されるレスポンス情報の一例を示す模式図である。
【図3】受信生成情報の一例を示す模式図である。
【図4】不正端末推定処理の手順を示すフローチャートである。
【図5】図4に続いて、不正端末推定処理の手順を示すフローチャートである。
【図6】本実施形態における通信端末装置IDiの内部構成を示すブロック図である。
【図7】本実施形態の不正端末推定システムの動作を示す模式図である。
【図8】本実施形態の不正端末推定システムの動作を示す模式図である。
【図9】本実施形態の不正端末推定システムの動作を示す模式図である。
【図10】本実施形態の不正端末推定システムの動作を示す模式図である。
【符号の説明】
【0087】
100 不正端末推定装置
120 通信端末情報管理部
130 レスポンス情報検証部
140 不正端末装置推定処理部
160 送信部
170 受信部
230 レスポンス情報格納部
250 認証子生成部
260 受信生成情報格納部
280 送信部
290 受信部
【技術分野】
【0001】
本発明は、不正端末推定システム、不正端末推定装置及び通信端末装置に関する。
【背景技術】
【0002】
近年、無線通信機能を持った多数のセンサ機器によって形成されるセンサネットワークが提案されている。ここで、センサネットワークは、通信端末間のパケットの送受信を、1つ以上の通信端末装置が中継配送するマルチホップネットワークであると想定する。
【0003】
無線マルチホップネットワークにおいて、不正な中継端末装置の不正な振る舞いに対応できる技術として、例えば特許文献1には、ユーザからの要求に応じて基地局からユーザへ送信される情報に改竄や破壊等の不正行為が行われた時に、その地点を推定し、さらには不正地点を経由する経路が確立されないように経路確立を制御するアドホック無線ネットワークシステムおよびその不正管理方法が記載されている。
【0004】
また、例えば特許文献2には、無線マルチホップネットワークにおいて不正パケットの投入を防止するために、ネットワークに認証済みの通信端末のみが知る第1の秘密情報を用いて第1のパケット検査データを作成するとともに、パケットの宛先端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成し、作成した前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを生成することで、不正パケットの投入を防止する方法が記載されている。
【0005】
【特許文献1】特開2005−286956号公報
【特許文献2】特許第3749679号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、センサネットワークを形成する無線通信端末装置は、一般的に低コストを重視して開発されるため、コスト高となる耐タンパ性メモリ(鍵情報などの秘密情報の漏洩・改竄を物理的に保護する装置)の搭載を必ずしも仮定できない。すなわち、ネットワークに認証済みの正当な通信端末装置が、攻撃者に鍵情報を不正に入手されることにより、不正に振る舞うという脅威が存在する。これら正当な(正当だと認識している)通信端末装置がマルチホップネットワークのパケット中継端末装置となることで、パケットの改竄等の不正な振る舞いを、認証された行為として実行できる。ネットワークを正常に機能させるためには、上記不正に振る舞う正当な(正当だと認識している)通信端末装置を検出する技術が必要になる。
【0007】
上記従来の技術では、正当だと認識している通信端末装置による不正な振る舞いを想定していない。すなわち、パケットに付加されている検査データや署名の検証に成功しても、その検査データや署名が保証するパケットは必ずしも正当ではないことを想定していない。
【0008】
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、中継途中でパケットの改竄や中継拒否等の妨害攻撃を行い、正当だと認識されている通信端末装置をネットワークから排除するために、不正を行った通信端末装置を推定することが可能な、新規かつ改良された不正端末推定システム、不正端末推定装置、及び通信端末装置を提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明のある観点によれば、マルチホップネットワークにより複数の通信端末装置と不正端末推定装置が接続され、不正端末推定装置により不正な動作を行った通信端末装置を推定するシステムであって、前記不正端末推定装置は、ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、前記通信端末装置へ前記チャレンジ情報を送信する送信部と、前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、を備え、前記通信端末装置は、他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継により前記チャレンジ情報を受信する受信部と、前記識別情報及び前記鍵情報を含む認証子を生成する認証子生成部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて得られる前記受信生成情報を保持する受信生成情報格納部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて前記レスポンス情報を生成するレスポンス情報生成部と、他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、を備える不正端末推定システムが提供される。
【0010】
上記構成によれば、不正端末推定装置から通信端末装置へ不正な動作を推定するためのチャレンジ情報が送信され、通信端末装置から不正端末推定装置へチャレンジ情報に対応するレスポンス情報が送信される。レスポンス情報に含まれる認証子が正しいか否かが検証され、検証の結果、レスポンス情報が正当なものでない場合に、各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置が推定される。従って、マルチホップネットワークにより複数の通信端末装置が接続されたシステムにおいて、不正な動作を行った通信端末装置を推定することが可能となる。
【0011】
また、前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であっても良い。
【0012】
また、上記課題を解決するために、本発明の別の観点によれば、マルチホップネットワークにより複数の通信端末装置と接続され、不正な動作を行った通信端末装置を推定する不正端末推定装置であって、ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、前記通信端末装置へ前記チャレンジ情報を送信する送信部と、前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、を備える不正端末推定装置が提供される。
【0013】
上記構成によれば、通信端末装置へ不正な動作を推定するためのチャレンジ情報が送信され、チャレンジ情報に対応するレスポンス情報が通信端末装置から受信される。レスポンス情報に含まれる認証子が正しいか否かが検証され、検証の結果、前記レスポンス情報が正当なものでない場合に、各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置が推定される。従って、不正端末推定装置に接続された複数の通信端末装置のうち、不正な動作を行った通信端末装置を推定することが可能となる。
【0014】
また、前記チャレンジ情報を生成するチャレンジ情報生成部を更に備えるものであっても良い。かかる構成によれば、不正端末推定装置で生成したチャレンジ情報を通信端末装置へ送ることができる。
【0015】
また、前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であっても良い。
【0016】
また、上記課題を解決するために、本発明の別の観点によれば、マルチホップネットワークにより複数の他の通信端末装置及び不正端末推定装置と接続される通信端末装置であって、他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継により不正な動作を推定するためのチャレンジ情報を受信する受信部と、自身の識別情報及び鍵情報を含む認証子を生成する認証子生成部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えた受信生成情報を保持する受信生成情報格納部と、他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて新たにレスポンス情報を生成するレスポンス情報生成部と、他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、を備える通信端末装置が提供される。
【0017】
上記構成によれば、他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継によりチャレンジ情報が受信され、自身の識別情報及び鍵情報を含む認証子が生成され、他の通信端末装置から受信したレスポンス情報に自身が生成した認証子を加えた受信生成情報が保持される。他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて新たにレスポンス情報が生成される。不正端末推定装置での検証の結果、レスポンス情報が正当なものでない場合は、各通信端末装置から不正端末推定装置へ受信生成情報を再送することができ、再送された受信生成情報に基づいて、不正な振る舞いを行った通信端末装置を推定することができる。従って、不正に振る舞った通信端末装置を推定することが可能となる。
【発明の効果】
【0018】
本発明によれば、不正な通信端末装置を確実に推定することが可能な、新規かつ改良された不正端末推定システム、不正端末推定装置、及び通信端末装置を提供することが可能となる。
【発明を実施するための最良の形態】
【0019】
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
【0020】
以下に説明する実施形態では、マルチホップネットワークを形成する通信端末装置IDiが、受信したチャレンジ情報に対するレスポンス情報を生成し、生成したレスポンス情報を不正端末推定装置100に配送し、不正端末推定装置100が、上記レスポンス情報が正当か否かを検証し、検証が失敗することで、レスポンス情報の配送に関わった通信端末装置IDiの中に不正に振る舞った通信端末装置IDiが存在することを判断し、不正端末推定装置100が、上記各通信端末装置IDiに受信情報と生成情報の再送を依頼することによって、不正に振る舞った通信端末装置IDiを推定することを特徴とする。
【0021】
本実施形態は、マルチホップネットワークを形成する複数の通信端末装置IDiの中で、不正に振る舞った通信端末装置IDiを推定する技術に関するものである。「不正に振る舞う」とは、例えば、マルチホップネットワークにおいて通信される情報を中継する通信端末装置IDiが、中継途中のメッセージを改竄したり、中継途中のメッセージを破棄(中継拒否)したりすることを想定する。
【0022】
図1は、本発明の一実施形態における不正端末推定装置100の内部構成を示すブロック図である。図1において、不正端末推定装置100は、チャレンジ情報生成部110、通信端末情報管理部120、レスポンス情報検証部130、不正端末推定処理部140、受信生成情報検証部150、送信部160及び受信部170を有する。
【0023】
チャレンジ情報生成部110は、チャレンジ情報を生成するものである。生成したチャレンジ情報を送信部160とレスポンス情報検証部130へ与える。チャレンジ情報は、例えば乱数情報であってもよいし、ネットワークを形成する各通信端末装置IDiに配送したいメッセージであっても良い。
【0024】
通信端末情報管理部120は、ネットワークを形成する各通信端末が保持する識別情報、鍵情報を管理するものである。識別情報とは、ネットワークを形成する各通信端末に固有のビット列であり、例えば、各通信端末装置IDiに唯一のMACアドレスや、上記ネットワーク内でのみ唯一のネットワークアドレスなどを想定するが、特に限定するものではない。鍵情報とは、不正端末推定装置100と各通信端末装置IDiとが1対1で秘密に共有する鍵情報を想定する。鍵情報は、鍵情報と供に再送攻撃を防止するためのカウンタ情報を保持していても良い。通信端末情報管理部120は、自身が管理する通信端末装置IDiの識別情報と鍵情報をレスポンス情報検証部130と受信生成情報検証部150へ与える。
【0025】
レスポンス情報検証部130は、不正端末装置推定処理部140より与えられたレスポンス情報の認証子を、通信端末情報管理部120より与えられた鍵情報とチャレンジ情報生成部110より与えられたチャレンジ情報を用いて検証するものである。レスポンス情報検証部130は、検証結果が一致することにより、検証結果成功メッセージを、一方、検証結果が一致しないことにより、検証結果失敗メッセージを、不正端末装置推定処理部140へ返信する。
【0026】
受信生成情報検証部150は、受信部170より与えられた受信生成情報に含まれる認証子(Gi)を、通信端末情報管理部120より与えられた、当該受信生成情報の送信元通信端末装置IDiの鍵情報を用いて検証し、検証に成功することで、当該受信生成情報と認証子(Gi)検証成功メッセージを不正端末装置推定処理部140へ与え、検証に失敗することで、認証子(Gi)検証失敗メッセージを不正端末装置推定処理部140へ与える。また、受信生成情報検証部150は、規定時間の間に、認証子(Gi)の検証に成功する受信生成情報を与えられなかったことを受けて、返信なしメッセージを不正端末装置推定処理部140へ与える。
【0027】
送信部160は、チャレンジ情報生成部110より与えられたチャレンジ情報をネットワークの通信端末装置IDiに送信するものである。また、不正端末装置推定処理部140より与えられた、受信生成情報再送依頼メッセージを通信端末装置IDiへ送信するものである。
【0028】
受信部170は、通信端末より受信したレスポンス情報を不正端末推定装置100に与えるものである。また、通信端末より受信した受信生成情報を受信生成情報検証部150へ与えるものである。
【0029】
通信端末装置IDiより不正端末推定装置100へ返信されるレスポンス情報の一例を、図2に示す。図2に示すように、レスポンス情報には、レスポンス情報を配送中継した全ての通信端末装置ID1,ID2,ID3,…の識別子が含められる。図2において、認証子(F1,G1)とは、通信端末装置ID1と不正端末推定装置100とが秘密に共有する鍵情報を利用して生成した情報である。不正端末装置よりiホップ目の通信端末装置IDiの生成する受信生成情報を検証するための認証子Fiは以下の式1で表される。
Fi=F(KIDi,…,IDi,M) ・・・(式1)
【0030】
ここで、関数F(・)は、不正端末推定装置100と通信端末装置IDiが秘密に共有する鍵(KIDi)と、レスポンス情報の配送中継に関わった通信端末装置IDiの識別子(…,IDi)とチャレンジ情報(M)を入力とする値であり、例えば、レスポンス情報の配送中継に関わった通信端末装置IDiの前識別子とチャレンジ情報から構成されるビット列“…||IDi||M”(||はビット連結を示す)に対して鍵情報KIDiを利用して生成した、MAC(Message Authentication Code)やHMAC(Keyed−Hashing for Message Authentication)を想定する。不正端末装置よりiホップ目の通信端末装置IDiの生成する通信端末装置のチャレンジ情報の受信を検証するための認証子Giは以下の式2で表される。
Gi=G(KIDi,…,ID(i+1),F(i+1),G(i+1),IDi,Fi)
・・・(式2)
【0031】
ここで、関数G(・)は、不正端末推定装置100と通信端末装置IDiが秘密に共有する鍵(KIDi)と、レスポンス情報の通信端末装置IDiまでの配送中継に関わった通信端末装置の識別子(…)と(存在しない場合もある)、通信端末装置(i+1)(不正端末装置よりi+1ホップ目の通信端末装置で、通信端末装置iが中継依頼を受けた装置)の識別子(ID(i+1))と、通信端末装置(i+1)から受信した認証子(F(i+1),G(i+1))と(存在しない場合もある)、通信端末装置IDiの識別子(IDi)と通信端末装置IDiの生成した認証子(Fi)を入力とする値であり、例えば、上記鍵KIDi以外の情報から構成されるビット列“…||ID(i+1)||F(i+1)||G(i+1)||IDi||Fi”(||はビット連結を示す)に対して鍵情報KIDiを利用して生成した、MAC(Message Authentication Code)やHMAC(Keyed−Hashing for Message Authentication)を想定する。
【0032】
レスポンス情報検証部130は、不正端末装置推定処理部140より、レスポンス情報と認証子(Gi)の検証依頼を与えられることにより、チャレンジ情報生成部110より与えられるチャレンジ情報Mと、通信端末情報管理部120より与えられる該当通信端末装置IDiの鍵情報を用いて、認証子(Gi)が正しいか否かを検証し、検証した結果を不正端末装置推定処理部140へ返信する。また、レスポンス情報検証部130は、不正端末装置推定処理部140より、レスポンス情報と認証子(Fi)の検証依頼を与えられることにより、チャレンジ情報生成部110より与えられるチャレンジ情報Mと、通信端末情報管理部120より与えられる該当通信端末装置IDiの鍵情報を用いて、認証子(Fi)が正しいか否かを検証し、検証した結果を不正端末装置推定処理部140へ返信する。
【0033】
不正端末推定処理部140は、ネットワークに存在する不正な振る舞いを行った通信端末装置IDiを推定するものである。不正端末推定処理部140は、受信部170より与えられたレスポンス情報に付加されている認証子(Gi)を検証するために、上記レスポンス情報と認証子(Gi)の検証依頼をレスポンス情報検証部130へ与える。そして、レスポンス情報検証部130より、検証結果成功メッセージを返信されることにより、上記レスポンス情報の配送に関わった通信端末装置IDi(レスポンス情報に含まれる識別子が示す全ての通信端末装置IDi)を正当な通信端末装置であるとする。そして、チャレンジ情報Mが上記の通信端末装置に正しく届けられたことを知る。
【0034】
一方、検証結果失敗メッセージを返信されることにより、上記レスポンス情報の配送に関わった通信端末装置IDi(レスポンス情報に含まれる識別子が示す全ての通信端末装置IDi)には不正な通信端末装置が潜む可能性があると判断し、不正端末推定処理を行う。不正端末推定処理は、上記不正な通信端末装置が潜む可能性があると判断された経路に存在する通信端末装置IDiに対して、不正端末推定装置100からのホップ数が少ない通信端末装置IDiから順番(不正端末推定装置100にレスポンス情報を最後に中継配送した通信端末装置ID1→ID2→ID3→…)に行ってゆく。
【0035】
以下、図4及び図5のフローチャートを参照しながら、不正端末推定処理の手順を説明する。先ず、レスポンス情報の送信元が本当に通信端末装置ID1かどうかを検証するために、レスポンス情報と認証子(F1)の検証依頼を、レスポンス情報検証部130へ与える(図4のステップS2)。そして、レスポンス情報検証部130より、検証失敗メッセージを返信されることにより、以下2つの不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS4)。
【0036】
・レスポンス情報の送信元端末は通信端末装置ID1ではない(通信端末装置ID1へのなりすまし攻撃が行われた)。
・通信端末装置ID1は不正な振る舞いを行った。
【0037】
一方、検証成功メッセージを返信されることにより、不正端末推定処理部140は、レスポンス情報の送信元端末を通信端末装置ID1であると認証する。また、通信端末ID1には確かにチャレンジ情報Mが到達していることを知る(ステップS3)。次に、不正端末装置推定部140は、通信端末装置ID1に受信生成情報の配送を依頼するために、受信生成情報再送依頼メッセージを生成し、送信部160へ与える(ステップS5)。そして、受信生成情報検証部150より、受信生成情報が与えられるのを待つ(ステップS6)。受信生成情報検証部150は、受信生成情報Giを受けて、Giを検証する(ステップS7)。
【0038】
ここで、受信生成情報の一例を図3に示す。図3において、通信端末装置の識別子(…,ID3,ID2)と、認証子(F2,G2)は、通信端末装置ID2より受信するレスポンス情報である。通信端末装置ID1の識別子(ID1)と、認証子(F1,G1)は、レスポンス情報が通信端末装置ID1を中継することで新たに発生する情報である。不正端末装置推定処理部140は、受信生成情報検証部150より認証子(G1)検証失敗メッセージを与えられることにより、以下の不正の可能性があることを検知する(ステップS9)。
【0039】
・通信端末装置ID1は不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、認証子検証に成功しない受信生成情報を返信した疑いがある)。
・受信生成情報の送信元端末は通信端末装置ID1ではない(通信端末装置ID1へのなりすまし攻撃が行われた)。
【0040】
そして、受信生成情報検証部150より返信なしメッセージを与えられることにより、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS8)。
・通信端末装置ID1は不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、受信生成情報の再送依頼を破棄した疑いがある)。
【0041】
一方、不正端末装置推定部140は、受信生成情報検証部150より受信生成情報と、認証子(G1)検証成功メッセージを与えられることで、受信生成情報の検証処理を行う(ステップS10)。受信生成情報の検証処理では、不正端末推定装置100は、通信端末装置ID1より既に受信済みのレスポンス情報に含まれる情報(…,ID3,ID2,ID1,F1,G1)が、受信生成情報に含まれる情報と一致しているか否かを検証する(ステップS11)。検証に失敗することで、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS13)。
【0042】
・通信端末装置ID1は不正な振る舞いを行った(通信端末装置ID1はレスポンス情報を中継時に改竄した疑いがある)。
【0043】
一方、検証に成功することで、受信生成情報に含まれる情報のうち、「通信端末装置ID2から受信したレスポンス情報」が間違っていることを知る(ステップS12)。次に、レスポンス情報を次に中継配送した通信端末装置ID2に関しても不正端末推定処理を行ってゆく(図5のステップS14)。まず、通信端末装置ID1の受信生成情報に含まれる「通信端末装置ID2から受信したレスポンス情報」の送信元が本当に通信端末装置ID2かどうかを検証するために、上記レスポンス情報と認証子(F2)の検証依頼を、レスポンス情報検証部130へ与える(ステップS15)。そして、レスポンス情報検証部130より、検証失敗メッセージを返信されることにより、以下3つの不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS17)。
【0044】
・レスポンス情報の送信元端末は通信端末装置ID2ではない(通信端末装置ID2へのなりすまし攻撃が行われた)。
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1がチャレンジ情報Mを改竄して中継配送した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った。
【0045】
一方、検証結果成功メッセージを返信されることにより、不正端末推定処理部140は、レスポンス情報の送信元端末を通信端末装置ID2であると認証する。また、通信端末ID2には確かにチャレンジ情報Mが到達していることを知る(ステップS16)。次に、不正端末装置推定部140は、通信端末装置ID2に受信生成情報の配送を依頼するために、受信生成情報再送依頼メッセージを生成し、送信部160へ与える(ステップS18)。そして、受信生成情報検証部150より、受信生成情報が与えられるのを待つ(ステップS19)。受信生成情報検証部150は、受信生成情報Giを受けて、Giを検証する(ステップS20)。不正端末装置推定処理部140は、受信生成情報検証部150より認証子(G2)検証結果失敗メッセージを与えられることにより、以下の不正の可能性があることを検知する(ステップS22)。
【0046】
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、通信端末装置ID2からの受信生成情報を改竄して中継配送した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った。
・受信生成情報の送信元端末は通信端末装置ID2ではない(通信端末装置ID2へのなりすまし攻撃が行われた)。
【0047】
そして、受信生成情報検証部150より返信なしメッセージを与えられることにより、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS21)。
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1は不正に振る舞ったことを検知されるのを恐れ、受信生成情報再送依頼メッセージ、もしくは、受信生成情報の中継を拒否した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った(通信端末装置ID2は不正に振る舞ったことを検知されるのを恐れ、受信生成情報の再送依頼を破棄した疑いがある)。
【0048】
一方、不正端末装置推定部140は、受信生成情報検証部150より受信生成情報と、認証子(G2)検証成功メッセージを与えられることで、受信生成情報の検証処理を行う(ステップS23)。受信生成情報の検証処理では、不正端末装置100は、通信端末装置ID1より既に受信済みの、通信端末装置ID2より受信したレスポンス情報に含まれる情報(…,ID3,ID2,F2,G2)が、受信生成情報に含まれる情報と一致しているか否かを検証する(ステップS24)。検証に失敗することで、以下の不正の可能性があることを検知し、不正端末装置推定処理を終了する(ステップS26)。
【0049】
・通信端末装置ID1が不正な振る舞いを行った(通信端末装置ID1はレスポンス情報を中継時に改竄した疑いがある)。
・通信端末装置ID2が不正な振る舞いを行った(通信端末装置ID2はレスポンス情報を中継時に改竄した疑いがある)。
【0050】
一方、検証に成功することで、受信生成情報に含まれる情報のうち、「通信端末装置ID3から受信したレスポンス情報」が間違っていることを知る(ステップS25)。次に、レスポンス情報を次に中継配送した通信端末装置ID3に関しても不正端末推定処理を行ってゆく(ステップS14)。以上の不正端末推定処理が繰り返される。
【0051】
以上のように、本実施形態によれば、Fiを検証することにより送信元端末を確認する。また、Giを検証することにより受信生成情報が改竄されているか否かを確認する。図4及び図5のフローチャートに示されるように、Fi、Giの検証は、不正端末推定装置100に近い側の通信端末装置IDiから順次に行われる。
【0052】
図6は、本実施形態における通信端末装置IDiの内部構成を示すブロック図である。図6において、通信端末装置IDiは、チャレンジ情報格納部210、通信端末情報格納部220、レスポンス情報格納部230、受信証明情報生成部240、認証子生成部250、受信生成情報格納部260、レスポンス情報生成部270、送信部280及び受信部290を有する。
【0053】
チャレンジ情報格納部210は、受信部240より与えられたチャレンジ情報Mを格納するものである。チャレンジ情報格納部210は、保持するチャレンジ情報Mを受信証明情報生成部240へ与える。
【0054】
通信端末情報格納部220は、自身の識別子(IDi)と鍵情報(KIDi)を保持するものである。通信端末情報格納部220は、保持する識別子と鍵情報を、受信証明情報生成部240と、認証子生成部250へ与える。
【0055】
レスポンス情報格納部230は、受信部290より他の通信端末装置IDiのレスポンス情報(…,ID(i+1),F(i+1),G(i+1))を与えられることにより、当該レスポンス情報に含まれる、レスポンス情報の配送中継に関わった全通信端末の識別子(…,ID(i+1))を受信証明情報識別子へ、また、与えられたレスポンス情報(…,ID(i+1),F(i+1),G(i+1))を認証子生成部250へ与えるものである。
【0056】
受信証明情報生成部240は、チャレンジ情報生成部210より与えられたチャレンジ情報Mと、通信端末情報格納部220より与えられた自身の識別子(IDi)と鍵情報(KIDi)と、レスポンス情報格納部230より与えられた識別子(…,ID(i+1))より、認証子(Fi)(式1を参照)を生成するものである。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記識別子(…,ID(i+1))はレスポンス情報格納部より与えられなくても良い。受信証明情報生成部240は、生成した認証子(Fi)を認証子生成部250へ与える。
【0057】
認証子生成部250は、レスポンス情報格納部230より与えられたレスポンス情報(…,ID(i+1),F(i+1),G(i+1))と、通信端末情報格納部220より与えられた自身の識別子(IDi)と鍵情報(KIDi)と、受信証明情報生成部240より与えられた認証子(Fi)より、認証子(Gi)(式2を参照)を生成するものである。認証子生成部250は、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、生成した認証子(Gi)を受信生成情報格納部260へ与える。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))はレスポンス情報格納部230より与えられなくても良いし、受信生成情報格納部260へ与えなくても良い。
【0058】
受信生成情報格納部260は、認証子生成部250より与えられた、レスポンス情報(…,ID(i+1),F(i+1),G(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、認証子(Gi)を保持するものである。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))は認証子生成部250より与えられなくても良い。受信生成情報格納部260は、上記与えられた情報のうち、レスポンス情報の識別子(…,ID(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、認証子(Gi)をレスポンス情報生成部270へ与える。また、受信生成情報格納部260は、受信部290より受信生成情報再送依頼メッセージを与えられることにより、保持する受信生成情報へ与える。
【0059】
レスポンス情報生成部270は、受信生成情報格納部260より、レスポンス情報の識別子(…,ID(i+1))と、自身の識別子(IDi)と、認証子(Fi)と、認証子(Gi)を与えられることにより、レスポンス情報(…,ID(i+1),IDi,Fi,Gi)を生成し、生成したレスポンス情報を送信部280へ与える。ただし、レスポンス情報の返信を自身がトリガとなって開始する場合には、上記レスポンス情報(…,ID(i+1),F(i+1),G(i+1))は受信生成情報格納部260より与えられなくても良い。
【0060】
送信部280は、レスポンス情報生成部270より与えられたレスポンス情報を不正端末推定装置100へ配送(もしくは配送依頼)する。また、受信生成情報格納部260より与えられた受信生成情報を不正端末推定装置100へ配送(もしくは配送依頼)する。
【0061】
受信部290は、与えられたチャレンジ情報Mをチャレンジ情報格納部210へ与える。また、他の通信端末装置ID(i+1)より配送依頼を受けたレスポンス情報を、レスポンス情報格納部230へ与える。また、不正端末推定装置100より与えられた受信生成情報再送依頼メッセージを、受信生成情報格納部へ与える。
【0062】
次に、本実施形態の不正端末推定システムの動作を、図7から図10を参照しながら説明する。ここで、本実施形態の鍵配送システムの動作は、大きくは、4段階の動作(S101,S102,S103,S104)で構成されている。
【0063】
「第1段階S101(チャレンジ情報Mの配信)」
第1段階S101は、図7に示すように、以下の手順で行われる。
・不正端末推定装置100が、チャレンジ情報生成部110にてチャレンジ情報Mを生成し、送信部160を通して通信端末装置IDiへ配送する。
・通信端末装置IDiは、受信部290を通してチャレンジ情報Mを受信し、チャレンジ情報格納部210で保持する。
【0064】
「第2段階S102(レスポンス情報の返信)」
第2段階S102は、図8に示すように、以下の手順で行われる。
・通信端末装置ID3が、受信証明情報生成部240において認証子F3を生成する。さらに、認証子生成部250において認証子G3を生成する。通信端末装置ID3は、生成した情報(ID3,F3,G3)を受信生成情報格納部260に保持し、次にレスポンス情報生成部270においてレスポンス情報(ID3,F3,G3)を生成し、送信部280を通して不正端末推定装置100へ送信する。
・通信端末装置ID2のレスポンス情報格納部230に、通信端末装置ID3が送信したレスポンス情報(ID3,F3,G3)が与えられる。通信端末装置ID2は、受信証明情報生成部240において認証子F2を生成する。さらに、認証子生成部250において認証子G2を生成する。通信端末装置ID2は、通信端末装置ID3から受信したレスポンス情報と生成した情報を受信生成情報(ID3,F3,G3,ID2,F2,G2)として受信生成情報格納部260に保持し、次にレスポンス情報生成部270においてレスポンス情報(ID3,ID2,F2,G2)を生成し、送信部280を通して不正端末推定装置100へ送信する。
・通信端末装置ID1のレスポンス情報格納部230に、通信端末装置ID2が送信したレスポンス情報(ID3,ID2,F2,G2)が与えられる。通信端末装置ID1は、受信証明情報生成部240において認証子F1を生成する。さらに、認証子生成部250において認証子G1を生成する。通信端末装置ID1は、通信端末装置ID2から受信したレスポンス情報と生成した情報を受信生成情報(ID3,ID2,F2,G2,ID1,F1,G1)として受信生成情報格納部260に保持し、次にレスポンス情報生成部270においてレスポンス情報(ID3,ID2,ID1,F1,G1)を生成し、送信部280を通して不正端末推定装置100へ送信する。
【0065】
「第3段階S103(レスポンス情報の検証)」
第3段階S103は、図9に示すように、以下の手順で行われる。
・不正端末推定装置100は、レスポンス情報を受信し、レスポンス情報検証部130においてレスポンス情報に含まれる認証子G1を検証する。検証に成功することで、チャレンジ情報Mが、レスポンス情報に含まれる識別子が示す通信端末装置IDiに正しく届いたことを知る。検証に失敗した場合は、不正端末装置推定処理を開始する(S104へ)。
【0066】
「第4段階S104(不正端末推定処理の実行)」
第4段階S104は、図10に示すように、以下の手順で行われる。
・不正端末推定装置100は、不正端末装置推定処理部140において、不正端末装置推定処理を開始する。ここでは、図4、5に示すフローチャートに従って、不正端末を推定する。
・レスポンス情報検証部130において、レスポンス情報の送信元端末の検証(認証子Fiの検証)を行う。
・受信生成情報検証部150において、通信端末より受信した受信生成情報の改竄チェック(認証子Giの検証)を行う
上述したように、Fi、Giの検証は、不正端末推定装置100に近い側の通信端末装置IDiから順次に行われる。
【0067】
本実施形態によれば、マルチホップネットワークを形成する通信端末装置IDiが、受信したチャレンジ情報に対するレスポンス情報を生成し、生成したレスポンス情報を不正端末推定装置100に配送し、不正端末推定装置100が、上記レスポンス情報が正当か否かを検証し、検証が失敗することで、レスポンス情報の配送に関わった通信端末装置IDiの中に不正に振る舞った通信端末装置IDiが存在することを判断し、不正端末推定装置100が、上記各通信端末装置IDiに受信情報と生成情報の再送を依頼することによって、不正に振る舞った通信端末装置IDiを推定することが可能となる。
【0068】
図7から10に示した動作説明図において、通信端末装置ID2を不正端末装置とし、不正端末推定装置100における不正端末推定処理の結果を、以下A〜Hの8パターンで例示する。以下のパターンA〜Hでは、各ステップを図4及び図5のフローチャートの各ステップに対応させて説明する。
【0069】
(パターンA)
通信端末装置ID2が、チャレンジ情報MをM’に改竄して、通信端末装置ID3へ中継配送した場合。
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したID3,ID2,F2,G2’が、同じく通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(j)不正端末推定装置100は、F3の検証に失敗し、次の3つの可能性があることを推定する。(ステップS15→S17→)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
・他の装置が通信端末装置ID3になりすましてレスポンス情報を返信した。
【0070】
(パターンB)
通信端末装置ID2が、通信端末装置ID3から受信したレスポンス情報に含まれる通信端末装置ID3の識別子を改竄した場合(ID3→ID3’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1’の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3’,ID2,ID1,F1’,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14)
(f)不正端末推定装置100は、F2’の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
(受信生成情報として改竄前の識別子ID3を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したとされるレスポンス情報に含まれる識別子ID3が、同じく通信端末装置ID2より受信した受信生成情報に含まれる識別子ID3’と一致しないことを検出することで、次の可能性があることを推定する。(ステップS23→S24→S26)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
(受信生成情報として改竄後の受信生成情報ID3’を送信した場合):
(j)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(k)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したID3’,ID2,F2’,G2’が、通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(l)不正端末推定装置100は、F3’の検証に失敗し、次の3つの可能性があることを推定する。(ステップS15→S17)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
・他の装置が通信端末装置ID3になりすましてレスポンス情報を返信した。
【0071】
(パターンC)
通信端末装置ID2が、通信端末装置ID3から受信したレスポンス情報に含まれる認証子F3を改竄した場合(F3→F3’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
(受信生成情報として改竄前の認証子F3を送信した場合):
(受信生成情報の認証子G2’をG2に生成し直して送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2の検証に成功することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したとされるレスポンス情報に含まれる認証子G2’が、通信端末装置ID2より受信した受信生成情報に含まれる認証子G2と一致しないことを検出することで、次の可能性があることを推定する。(ステップS23→S24→S26→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
(受信生成情報の認証子G2’を送信した場合):
(j)不正端末推定装置100は、受信生成情報のG2’の検証に失敗することで、次の可能性があることを推定する。(ステップS20→S22→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすまして受信生成情報を返信した。
(受信生成情報として改竄後の受信生成情報F3’を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したID3,ID2,F2,G2’が、通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(j)不正端末推定装置100は、F3’を検証に失敗し、次の可能性があることを推定する。(ステップS15→S17)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
・他の装置が通信端末装置ID3になりすましてレスポンス情報を返信した。
【0072】
(パターンD)
通信端末装置ID2が、通信端末装置ID3から受信したレスポンス情報に含まれる認証子G3を改竄した場合(G3→G3’)
パターンAの(a)〜(f)まで同じ
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(ステップS18→S19→)
((g)で通信端末装置ID2が受信生成情報として改竄後の認証子G3’を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、ID3,ID2,F2,G2’が、通信端末装置ID2より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS23→S24→S25→S14→)
(j)不正端末推定装置100は、F3の検証に成功し、レスポンス情報がID3を経由してきたことを知る。また、ID3に正しいチャレンジ情報Mが届けられたことがわかる。(ステップS15→S16→)
(k)不正端末推定装置100は、通信端末装置ID3より受信生成情報を取得する。(ステップS18→S19→)
(l)不正端末推定装置100は、受信生成情報のG3を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID3より送信されたことを確認する。
(ステップS20→)
(m)不正端末推定装置100は、通信端末装置ID2より受信した受信生成情報に含まれる、G3’が、通信端末装置ID3より受信した受信生成情報に含まれるG3と一致しないことを検出し、次の可能性があることを推定する。(ステップS23→S24→S26)
・通信端末装置ID3が不正に振る舞った。
・通信端末装置ID2が不正に振る舞った。
((g)で通信端末装置ID2が受信生成情報として改竄前の認証子G3を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’の検証に失敗することで、次の可能性があることを推定する。(ステップS20→S22→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすまして受信生成情報を返信した。
【0073】
(パターンE)
通信端末装置ID2が、自身の識別子を偽った場合(ID2→ID2’)。
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1’の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。
(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(S5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(S7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2’,ID1,F1’,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(S10→S11→S12→S14→)
(f)不正端末推定装置100は、F2’の検証に失敗し、次の可能性があることを推定する。(S15→S17)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすましてレスポンス情報を返信した。
【0074】
(パターンF)
通信端末装置ID2が、正当な認証子F2を付加しなかった場合(F2→F2’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(S1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(S5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(S7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(S10→S11→S12→S14→)
(f)不正端末推定装置100は、F2’の検証に失敗し、次の可能性があることを推定する。(S15→S17→)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすましてレスポンス情報を返信した。
【0075】
(パターンG)
通信端末装置ID2が、正当な認証子G2を付加しなかった場合(G2→G2’)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。(S1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(S5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1’を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(S7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID3,ID2,ID1,F1,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(S10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に成功し、レスポンス情報がID2を経由してきたことを知る。また、ID2に正しいチャレンジ情報Mが届けられたことがわかる。(S15→S16→)
(g)不正端末推定装置100は、通信端末装置ID2より受信生成情報を取得する。(S18→S19→)
(受信生成情報として改竄前の認証子G2を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2の検証に成功することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID2より送信されたことを確認する。(ステップS20→)
(i)不正端末推定装置100は、通信端末装置ID1より受信した受信生成情報に含まれる、通信端末装置ID2より受信したとされるレスポンス情報に含まれる認証子G2’が、通信端末装置ID2より受信した受信生成情報に含まれる認証子G2と一致しないことを検出することで、次の可能性があることを推定する。(ステップS23→S24→S26)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
(受信生成情報として改竄後の認証子G2’を送信した場合):
(h)不正端末推定装置100は、受信生成情報のG2’の検証に失敗することで、次の可能性があることを推定する。(ステップS20→S22)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすまして受信生成情報を返信した。
【0076】
(パターンH)
通信端末装置ID2が、レスポンス情報を配送中継した通信端末装置の識別子を削除した場合(レスポンス情報からID3を削除)
(a)不正端末推定装置100は、G1’の検証に失敗し、不正端末推定処理を開始する。
(b)不正端末推定装置100は、F1’の検証に成功し、レスポンス情報がID1を経由してきたことを知る。また、ID1に正しいチャレンジ情報Mが届けられたことがわかる。
(ステップS1→S2→S3→)
(c)不正端末推定装置100は、通信端末装置ID1より受信生成情報を取得する。(ステップS5→S6→)
(d)不正端末推定装置100は、受信生成情報のG1´を検証することにより、受信生成情報が中継途中で改竄されることなく、通信端末装置ID1より送信されたことを確認する。(ステップS7→)
(e)不正端末推定装置100は、通信端末装置ID1より受信したレスポンス情報ID2,ID1,F1’,G1’が、同じく通信端末装置ID1より受信した受信生成情報に含まれる情報と一致するかどうかを確認する。(ステップS10→S11→S12→S14→)
(f)不正端末推定装置100は、F2の検証に失敗し、次の可能性があることを推定する。(ステップS15→S17)
・通信端末装置ID2が不正に振る舞った。
・通信端末装置ID1が不正に振る舞った。
・他の装置が通信端末装置ID2になりすましてレスポンス情報を返信した。
【0077】
以上説明したように本実施形態によれば、正当だと認識している通信端末装置が不正に振る舞ったときに、不正に振る舞った通信端末装置がどの装置であるかを推定することが可能となる。従って、ネットワークに認証済みの正当な通信端末装置が、攻撃者に鍵情報を不正に入手されることにより、不正に振る舞うという脅威が存在する場合に、これら不正に振る舞った通信端末装置を推定することができる。これにより、例えば、不正な通信端末装置であると推定された通信端末装置をネットワークから切り離すといった処理が可能となる。
【0078】
一方、本発明の別の効果として、不正端末推定装置100が、レスポンス情報の検証に成功することで、チャレンジ情報Mがレスポンス情報の配送中継に関わった全ての通信端末装置(レスポンス情報に含まれる識別子が示す通信端末装置)に正しく届けられたことがわかる。例えば、チャレンジ情報として、ネットワーク内の通信端末装置に正しく届けたい重要なメッセージを設定することで、その重要なメッセージが確実に通信端末装置に届いたことを確認することができる。
【0079】
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【0080】
上記各実施形態の説明においても、種々変形実施形態に言及したが、さらに以下に例示するような変形実施形態を挙げることができる。
【0081】
例えば、レスポンス情報の検証に失敗した複数の経路に関して、それぞれ不正端末装置推定処理を行い、その推定結果の統計情報から不正端末装置を推定してもよい。
【0082】
また、レスポンス情報が配送中継された経路を不正端末推定装置100が完全に把握しているときは、レスポンス情報には当該レスポンス情報の配送に関わった通信端末装置IDiの識別子を必ずしも含めなくても良い。
【0083】
不正端末推定装置100は、チャレンジ情報を配送せず、他の装置がチャレンジ情報を配送しても良い。不正端末推定装置100は、配信されたチャレンジ情報を別途の手段で安全に入手できれば良い。
【0084】
マルチホップのネットワーク構造については特に限定しない。ツリー型ネットワークであってもよいし、メッシュ型ネットワークであっても良い。
【0085】
レスポンス情報を配送中継する経路は、特に限定しない。通信端末装置IDiが保持するルーティングテーブルに従っても良いし、ランダムに決定しても良い。また、不正端末推定装置100がなんらかの方法で指定してもよい。環状になっていても良いし、任意のノードを重複しても良い。また、レスポンス情報は、任意の通信端末装置IDiから複数の経路で返信されても良い。
【図面の簡単な説明】
【0086】
【図1】本発明の一実施形態における不正端末推定装置の内部構成を示すブロック図である。
【図2】通信端末装置より不正端末推定装置へ返信されるレスポンス情報の一例を示す模式図である。
【図3】受信生成情報の一例を示す模式図である。
【図4】不正端末推定処理の手順を示すフローチャートである。
【図5】図4に続いて、不正端末推定処理の手順を示すフローチャートである。
【図6】本実施形態における通信端末装置IDiの内部構成を示すブロック図である。
【図7】本実施形態の不正端末推定システムの動作を示す模式図である。
【図8】本実施形態の不正端末推定システムの動作を示す模式図である。
【図9】本実施形態の不正端末推定システムの動作を示す模式図である。
【図10】本実施形態の不正端末推定システムの動作を示す模式図である。
【符号の説明】
【0087】
100 不正端末推定装置
120 通信端末情報管理部
130 レスポンス情報検証部
140 不正端末装置推定処理部
160 送信部
170 受信部
230 レスポンス情報格納部
250 認証子生成部
260 受信生成情報格納部
280 送信部
290 受信部
【特許請求の範囲】
【請求項1】
マルチホップネットワークにより複数の通信端末装置と不正端末推定装置が接続され、不正端末推定装置により不正な動作を行った通信端末装置を推定するシステムであって、
前記不正端末推定装置は、
ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、
前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、
前記通信端末装置へ前記チャレンジ情報を送信する送信部と、
前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、
前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、
検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、を備え、
前記通信端末装置は、
他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継により前記チャレンジ情報を受信する受信部と、
前記識別情報及び前記鍵情報を含む認証子を生成する認証子生成部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて得られる前記受信生成情報を保持する受信生成情報格納部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて前記レスポンス情報を生成するレスポンス情報生成部と、
他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、
を備えることを特徴とする、不正端末推定システム。
【請求項2】
前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であることを特徴とする、請求項1に記載の不正端末推定システム。
【請求項3】
マルチホップネットワークにより複数の通信端末装置と接続され、不正な動作を行った通信端末装置を推定する不正端末推定装置であって、
ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、
前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、
前記通信端末装置へ前記チャレンジ情報を送信する送信部と、
前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、
前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、
検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、
を備えることを特徴とする、不正端末推定装置。
【請求項4】
前記チャレンジ情報を生成するチャレンジ情報生成部を更に備えることを特徴とする、請求項3に記載の不正端末推定装置。
【請求項5】
前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であることを特徴とする、請求項3又は4に記載の不正端末推定装置。
【請求項6】
マルチホップネットワークにより複数の他の通信端末装置及び不正端末推定装置と接続される通信端末装置であって、
他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継によりチャレンジ情報を受信する受信部と、
自身の識別情報及び鍵情報を含む認証子を生成する認証子生成部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えた受信生成情報を保持する受信生成情報格納部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて新たにレスポンス情報を生成するレスポンス情報生成部と、
他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、
を備えることを特徴とする、通信端末装置。
【請求項1】
マルチホップネットワークにより複数の通信端末装置と不正端末推定装置が接続され、不正端末推定装置により不正な動作を行った通信端末装置を推定するシステムであって、
前記不正端末推定装置は、
ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、
前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、
前記通信端末装置へ前記チャレンジ情報を送信する送信部と、
前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、
前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、
検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、を備え、
前記通信端末装置は、
他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継により前記チャレンジ情報を受信する受信部と、
前記識別情報及び前記鍵情報を含む認証子を生成する認証子生成部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて得られる前記受信生成情報を保持する受信生成情報格納部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて前記レスポンス情報を生成するレスポンス情報生成部と、
他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、
を備えることを特徴とする、不正端末推定システム。
【請求項2】
前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であることを特徴とする、請求項1に記載の不正端末推定システム。
【請求項3】
マルチホップネットワークにより複数の通信端末装置と接続され、不正な動作を行った通信端末装置を推定する不正端末推定装置であって、
ネットワークを形成する通信端末装置の識別情報や鍵情報を管理する通信端末情報管理部と、
前記不正な動作を推定するためのチャレンジ情報を生成する生成部と、
前記通信端末装置へ前記チャレンジ情報を送信する送信部と、
前記通信端末装置から前記チャレンジ情報に対応するレスポンス情報を受信する受信部と、
前記通信端末装置より返信された前記レスポンス情報に含まれる認証子が正しいか否かを検証するレスポンス情報検証部と、
検証の結果、前記レスポンス情報が正当なものでない場合に、上記各通信端末装置に受信生成情報の再送を依頼し、再送された受信生成情報に基づいて、不正な動作を行った通信端末装置を推定する不正端末装置推定処理部と、
を備えることを特徴とする、不正端末推定装置。
【請求項4】
前記チャレンジ情報を生成するチャレンジ情報生成部を更に備えることを特徴とする、請求項3に記載の不正端末推定装置。
【請求項5】
前記不正な動作を行った通信端末装置は、真正な通信端末装置に成りすました通信端末装置、又は真正なデータを改竄した通信端末装置であることを特徴とする、請求項3又は4に記載の不正端末推定装置。
【請求項6】
マルチホップネットワークにより複数の他の通信端末装置及び不正端末推定装置と接続される通信端末装置であって、
他の通信端末装置もしくは前記不正端末装置から、直接又は配送中継によりチャレンジ情報を受信する受信部と、
自身の識別情報及び鍵情報を含む認証子を生成する認証子生成部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えた受信生成情報を保持する受信生成情報格納部と、
他の通信端末装置から受信した前記レスポンス情報に自身が生成した前記認証子を加えて新たにレスポンス情報を生成するレスポンス情報生成部と、
他の通信端末装置又は前記不正端末装置へ、直接又は配送中継により前記レスポンス情報又は前記受信生成情報を送信する送信部と、
を備えることを特徴とする、通信端末装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2008−99214(P2008−99214A)
【公開日】平成20年4月24日(2008.4.24)
【国際特許分類】
【出願番号】特願2006−281908(P2006−281908)
【出願日】平成18年10月16日(2006.10.16)
【国等の委託研究の成果に係る記載事項】(出願人による申告)国等の委託研究の成果に係る特許出願(平成18年度新エネルギー・産業技術総合開発機構「デジタル情報機器の統合リモート管理基盤技術の研究開発」委託研究、産業活力再生特別措置法第30条の適用を受けるもの)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
【公開日】平成20年4月24日(2008.4.24)
【国際特許分類】
【出願日】平成18年10月16日(2006.10.16)
【国等の委託研究の成果に係る記載事項】(出願人による申告)国等の委託研究の成果に係る特許出願(平成18年度新エネルギー・産業技術総合開発機構「デジタル情報機器の統合リモート管理基盤技術の研究開発」委託研究、産業活力再生特別措置法第30条の適用を受けるもの)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
[ Back to top ]