無線センサネットワークの運用方法
【課題】無線センサネットワークの運用において、ネットワークに統合されるセンサノードの構成の変更を、ネットワークの運用段階中にフレキシブルに実行可能とする。
【解決手段】センサネットワークは、所定の環境内に分散配置された、データを検知する複数のセンサノードを有し、センサノードは無線チャネルを通じて暗号化データ伝送により情報を交換することができる。本方法は、ネットワークの運用段階中に、ネットワークにおける変更、特に、ネットワークに統合されるセンサノードの構成が、フレキシブルに実行可能となるようにすべく、ネットワークのセンサノードのサブセットに対し、セキュアな帯域外(OOB)チャネルを通じてサブセットのセンサノードへ所定の情報を転送することによって共有秘密(x)を確立するために、そのサブセットを操作する。
【解決手段】センサネットワークは、所定の環境内に分散配置された、データを検知する複数のセンサノードを有し、センサノードは無線チャネルを通じて暗号化データ伝送により情報を交換することができる。本方法は、ネットワークの運用段階中に、ネットワークにおける変更、特に、ネットワークに統合されるセンサノードの構成が、フレキシブルに実行可能となるようにすべく、ネットワークのセンサノードのサブセットに対し、セキュアな帯域外(OOB)チャネルを通じてサブセットのセンサノードへ所定の情報を転送することによって共有秘密(x)を確立するために、そのサブセットを操作する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線センサネットワークの運用方法に関する。ここで、センサネットワークは、データを検知する複数のセンサノードを有し、センサノードは、所定の環境内に分散配置され、無線チャネルを通じて暗号化データ伝送により相互に情報を交換することができる。
【背景技術】
【0002】
上記のような方法は、かなり前から当業者に既知である。というのは、センサネットワークは重要性を増しており、特に環境モニタリングの分野において、例えば気象、湿度分布、水質汚濁の分析や、表面温度の測定、移動パターンの追跡、大規模工業用地の管理等に応用されているからである。可能な適用分野のリストは、ほとんど任意に拡大できるであろう。
【0003】
センサネットワークの個々のセンサは、相互に無線通信するセンサノードであり、一般に、検知素子、プロセッサ、通信装置、およびエネルギー源(例えばバッテリや太陽電池)からなる。データ取得、通信、および計算の機能は、センサノード内の非常に狭い空間で結合される。この小型設計は、例えば上記の環境モニタリングのような特定の応用分野にはきわめて有利である。というのは、これにより、近づくのが困難な領域にもセンサノードの配備、ひいてはネットワークの適用が可能となるからである。
【0004】
センサネットワークの可能な適用分野を制約することがあり得る重要なパラメータは、特に、個々のセンサノードの所与の物理値、例えば、それらの送信到達範囲、プロセッサ能力、バッテリ容量、空き記憶容量等である。これらの物理的制約のため、センサネットワークをエネルギー効率良く組織することが特に重要である。
【0005】
センサネットワークを構築する際に考慮すべきもう1つの重要な側面として、センサノードによって検知されるデータのセキュアな伝送がある。センサノードの基礎となるプラットフォームは、一般にきわめて寸法が小さく、一般には不正操作防止ユニットを備えていない。センサネットワークにおけるデータ伝送のセキュリティを高めるため、個々のセンサノードの検知データは一般に暗号化形式で伝送される。そのためには一般に、連続的暗号化が選択される。すなわち、検知データはセンサノードで直接に暗号化され、不正操作防止機能のあるシンクノードでの受信後にはじめて復号化される(エンドツーエンド暗号化)。
【0006】
特に、センサノードがバッテリ駆動であるためエネルギーリソースが限られていることは、ネットワーク内で非対称暗号化法を常時適用することが受け入れ難い理由となっている。このような手法は、ネットワークの寿命を短縮するので、ほとんどの応用にとって不適切である。したがって、ほとんどの鍵配布方法は、一種の動的鍵配布に基づいている。センサノードが調査対象環境に配備され、ネットワークが初期化・セットアップ段階の後で安定したらすぐに、個々のセンサノードにおいて、マスタ鍵の未使用鍵の鍵プールは一般に消去される。これは、そのハードウェアにアクセス可能な潜在的攻撃者が、そのノードで使用されている鍵以外の鍵を知ることがないようにするためである。
【0007】
既知の方法の場合、運用段階においては、ネットワーク内での変更の実施に関してきわめてフレキシビリティが低いのが欠点である。こうした問題は特に、次の2つの状況で生じる。第1に、この種の問題は、センサネットワークが一定の動作寿命に達した後、すなわち、センサノードがハードウェアの故障、バッテリ切れ、あるいは場合によっては物理的破壊によって、動作不良を起こし始める時に生じる。この場合、ネットワーク担当者としては、調査対象環境のカバレージを再び確保するため、動作不良のノードを新規ノードに取り替えることに高い関心があることが多い。
【0008】
第2の場合として、運用中に明らかに不正な測定データを出すノードがネットワーク内に存在し、その結果、ネットワークの全体的測定値が統計的に変造されることが判明して問題となる。不正な測定値は、例えば、校正不良、ノード配備時の位置決めの不具合(例えば、木の陰や小川の中)、あるいは外部からの操作から生じ得る。いずれの場合でも、ネットワーク担当者は、不正動作ノードをネットワークから除外することに関心を有するであろう。
【0009】
上記の2つの場合において、ネットワーク担当者のとり得る可能性は非常に制約される。上記のようなセンサノードによって使用される鍵に関する知識がないため、ネットワークにおいて確立されている暗号化データ伝送の中に新規ノードを統合することや、このようなネットワークからノードを除外することが非常に困難である。たとえノード間での鍵配布に関する知識が入手可能である場合であっても、コストの観点から、新規ノードの統合はほとんど不可能である。というのは、センサノードを既存のネットワークに統合することができるためには、まず、顧客の詳細な要求に従ってセンサノードを設定し、使用中の鍵と整合させなければならないからである。すなわち、ネットワーク担当者は、まず、現在どの鍵がネットワークで使用されているかを調べてから、新規に統合したいノードに鍵を設定しなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0010】
そこで、本発明の目的は、上記のような無線センサネットワークの運用方法を提供することである。本発明によれば、特に、ネットワークに統合されるセンサノードの構成に関して、ネットワークの変更が、ネットワークの運用段階中にフレキシブルに実行可能である。
【課題を解決するための手段】
【0011】
本発明によれば、上記の目的は、請求項1に記載の無線センサネットワークの運用方法によって達成される。請求項1に記載の通り、この方法は、ネットワークのセンサノードのサブセットに対し、セキュアな帯域外(OOB,out of band)チャネルを通じてそのサブセットのセンサノードへ所定の情報を転送することによって共有秘密(x)を確立するために、そのサブセットを操作することを特徴とする。
【0012】
本発明によって初めて認識されたこととして、安定な運用段階において、すなわち、ネットワークが自分自身を組織化する初期化段階が終了した後には、ネットワークに対する変更は、帯域外(OOB)チャネルを用いることにより、セキュリティの損失なしに実現することができる。帯域外チャネルは一般に、本来的にセキュア(安全)である。本発明によれば、ネットワークのセンサノードのサブセットに対し、帯域外チャネルを通じて、ある特定の情報が転送される。センサノードによって受信されるこの情報は、受信側センサノードによって共有される秘密の確立のために用いられる。共有秘密は、受信された情報から所定のアルゴリズムを用いて生成することができる。したがって、本発明の方法によれば、運用段階において、新しい鍵をセキュアに導入することが可能である。
【0013】
特に有利な態様として、帯域外チャネルは無線チャネルとは分離されているため、完全に相互独立に動作する。これにより、通常のデータフローからの論理的分離あるいは物理的分離が可能となる。
【0014】
有利な実施形態として、光および/または音響のインパルスの所定の時系列をセンサノードに当てることによって、センサノードのサブセットに情報を転送することができる。特に簡易な態様として、懐中電灯で光インパルスを、ブザーで音響インパルスを発生することができる。
【0015】
別の有利な実施形態として、運動によって、センサノードのサブセットに情報を転送することができる。この実施形態の場合、センサノードは、運動を検出できるように設計される。この目的のため、センサノードは、例えば加速度計を備えればよい。ネットワーク担当者がセンサのサブセットを手に取り一斉に振ることで、非常に簡単にセンサノードのサブセットに共有情報を転送することができる。
【0016】
原理的には、情報の転送法に限定はなく、センサが情報を検出できることが確実であればよい。例えば、光インパルスを使用する場合、センサノードは、対応する感光素子を有する必要がある。したがってこの場合、一般に、センサノードによって検知される測定値の列の形で、センサノードのサブセットへ情報を転送することができる。この意味で、情報は、例えば、測定温度値の形でセンサノードへ転送することができる。このような場合、測定値(例えば測定温度値)の変動がある特定の閾値を超える場合にのみ異なる共有秘密となり、変動が小さい場合には同一の共有秘密となるように、ある特定の許容差を確保しなければならない。
【0017】
管理容易性に関して、光や音響のインパルス列、あるいは測定値列は、当該センサノードによって2進数列に変換される。統一的で明確な長さおよび構造を実現するため、さらに2進数列をハッシュ値に変換してもよい。このハッシュ値は、当該センサノードの共有秘密となる。
【0018】
さらにセキュリティを高めるため、ネットワークのセンサノードに、今後の操作に関するメッセージを通知してもよい。このメッセージは、特定のノード、好ましくはネットワークのシンクノードによって生成することができる。このメッセージにより、ノードは、例えば今後5秒以内に操作が予想されるという通知を受けることができる。ノードは、上記のような情報メッセージを事前に受信していない場合には、例えば光インパルスの照射の形での操作を無視するように、あらかじめプログラムしておくことができる。このようにして、悪意のある攻撃者によって実行される操作試行にセンサノードが反応するのを避けることができる。
【0019】
ネットワークへの新規センサノードの統合に関して、操作は、ネットワークのセンサノードのサブセット(旧ノード)に対しても、新規に統合されるセンサノード(新規ノード)に対しても、実行することができる。高レベルのセキュリティのため、操作は、好ましくは、制御された環境で実行される。例えば、ネットワーク管理者は、旧ノードのいくつかを収集し、新規に統合するノードとともに、掌の中で、懐中電灯からの光を当てることができる。
【0020】
さらに、操作されたセンサノードは、共有秘密に基づいて相互間で認証するようにしてもよい。認証は、例えば、共有秘密に基づいて計算される対称メッセージ認証コード(MAC)を用いて実行できる。認証が実行された後、操作されたセンサノードは、共有秘密に基づいて、鍵交換プロトコルに関して、セキュアなデータ伝送のための鍵について合意することができる。したがって、操作された旧ノード、すなわち、既にネットワークに統合されているノードが、一種のブリッジあるいはインタフェースとして機能することで、新規に統合されるノードと、ネットワークの残りのノードとの両方と、セキュアに暗号化データを交換することができる。
【0021】
具体的な実施形態として、鍵交換は、ディフィ・ヘルマンアルゴリズムに従って実行される。別法として、パワーを節約するため、単純化された公開パラメータを用いた修正ディフィ・ヘルマンアルゴリズムに従って鍵交換を実行してもよい。指数値を生成する代わりに、例えば、純粋な乗算でもよい。共有秘密は、認証に関しても鍵合意に関しても伝送されないので、その秘密の長さはかなり短く選ぶことができる。実際には、20ビット程度の長さで十分であることがわかる。
【0022】
例えば誤動作や校正不良のため、センサノードをネットワークから除外する場合、帯域外チャネルを通じてセンサノードのサブセットへ転送される情報を、それらのセンサノード自体によって生成されるある値(以下エビデンスという)と常に組み合わせることで、それに基づいてデータ交換のための新しい鍵を生成することができて有利であることがわかる。
【0023】
最も簡単な形態では、エビデンスは、センサノードによって検知された値の関数とすることができる。操作されたセンサノードの測定値がある特定の測定範囲に入らない場合、センサノードによって計算されるエビデンスは、他の操作されたノードのエビデンスからずれるので、そのノードは不正な鍵を生成する。これは実質的に、そのノードをネットワークから除外することに等しい。
【0024】
除外基準に関するフレキシビリティを高めるため、エビデンスは、センサノードによって検知された測定値の関数のみならず、付加的なパラメータの関数であってもよい。有利な態様として、そのパラメータは、帯域外チャネルを通じてセンサノードへ転送される情報とともにセンサノードへ伝送される。用いられるパラメータとしては、例えば、エビデンスに使用される最初の測定の時刻、平均値を計算する際に考慮すべき測定値の個数、測定値の許容差の幅または中心値等を参照してもよい。原理的にはいかなるパラメータも、除外基準の精緻化のために使用可能な値とみなし得る。
【0025】
本発明を有利な態様で実施するにはさまざまの可能性がある。このためには、一方で、請求項1に従属する諸請求項を参照し、他方で、図面により例示された、本発明の好ましい実施例についての以下の説明を参照されたい。図面を用いて好ましい実施例を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例についても説明する。
【図面の簡単な説明】
【0026】
【図1】本発明による無線センサネットワークの運用方法の実施例において、新規ノードがネットワークに統合される状況を示す図である。
【図2】センサノードを光インパルスで操作する実施例を示す図である。
【図3】認証された対称鍵を生成する実施例を示す図である。
【図4】本発明による方法の実施例において、センサノードがネットワークから除外される状況を示す図である。
【発明を実施するための形態】
【0027】
図1は、本発明による方法の実施例において、新規ノードが既存のセンサネットワークに統合される状況を模式的に示している。センサネットワークでは、多数のセンサノードが所定の環境に分散配置される。図1aは、センサノードによってカバーされるセンサネットワークの環境の一部を示している。黒丸は、無線チャネルを通じて相互に情報を交換可能な個々のセンサノードを表す。すべてのデータは、通常行われるように、暗号化されて伝送される。
【0028】
図1aに示す状況は、ネットワークが既にある一定時間安定して動作している時のネットワークを示している。ノードが、例えばハードウェアの故障やバッテリ切れにより動作不良を起こしたり、ネットワーク担当者がエリアのカバレージを不十分だと判断したりする状況が生じ得る。図1bに示すように、担当者は、カバレージを改善するために、そのようなエリアに新規ノードを再び配備することに決めるとする。配備後、新規ノード(白抜きで示す)は、既存のネットワークの旧ノードとともにランダムな分布で混在し、図1cに示すようになる。
【0029】
次の図1dに示すステップで、本発明によれば、共有秘密を確立するためのある情報が、無線チャネルとは別個のセキュアな帯域外チャネルを通じてセンサノードのサブセットへ転送される。図示した実施形態では、帯域外チャネルは光学的な帯域外チャネルである。具体的には、センサノードのサブセットに、光インパルスの所定の時系列を当てる。光インパルスは懐中電灯で発生させる。操作されるサブセットは、図1dに示す光円錐内のノードを含む。サブセットは、すべての新規ノードと、既存のネットワークの旧ノードの一部とを含む。以下でさらに詳細に説明するように、OOBメッセージ、すなわち、光インパルスの時系列は、認証された対称鍵を配布するために使用される。OOBメッセージに基づく鍵の生成については、後で図3に関して詳細に説明する。鍵を正しく生成した後、光インパルスを受けたネットワークの旧ノードは、コネクタあるいはブリッジとして作用し、既存のネットワークの残りのノードに加えて、新規ノードと暗号化データを交換することができる。
【0030】
図1eは、制御された環境でセンサノードに光インパルスを当てることで、本方法のセキュリティをさらに高める状況を示している。この場合、新規ノードとともに、ネットワークの1個の旧ノードのみに光を照射することも、セキュリティの向上に寄与している。もしも、そのただ1つの旧ノードが、悪意のある攻撃者によってネットワークに挿入されたノードであるために、旧ネットワーク内で妥当な鍵を処理できない場合には、このノードは、ネットワークに新規に統合されるノードとネットワークの残りのノードとの間でコネクタとして作用することができない。そこで、ネットワーク担当者は、新規ノードがネットワークに統合されていないことを見出した場合、OOBメッセージで操作したその旧ノードは悪意のある攻撃者のノードであったはずだと知ることになる。担当者は、別の旧センサノードについてこの手順を繰り返すことができるが、攻撃者が挿入したノードによってネットワークにアクセスできたのではないかと恐れる必要はない。
【0031】
図2は、図1dに関して説明したようなセンサノードのサブセットに当てる光インパルスの時系列を模式的に示している。センサノードは感光素子を有する。この感光素子は、受けた強度値を所定の時間間隔でサンプリングし、ある閾値強度を超える場合に信号を発する。センサノードは、発光インパルス列を2進数列rに変換する。ここで、与えられた時刻に光強度が閾値強度を超えた場合には「1」を発生し、強度閾値を下回った場合には「0」を発生する。明確な長さおよび構造を有する共有秘密xを生成するため、ある種の正規化関数f( )を2進数列rに適用する。具体的に示す例では、これはハッシュ関数h( )である。
【0032】
図3は、セキュアなOOBチャネルを通じて(上記のような)ノードのサブセットに通知された共有秘密xによる、新しい鍵に関する認証プロセスおよび合意の実施例を模式的に示している。明確にするため、図3において、認証および鍵交換のプロセスは、アリス(A)とボブ(B)を例にとって示す。図示の状況は、n個のセンサノードの場合に読み替える必要がある。考えている例では、新規のセンサであるか、ネットワークに既に属していたセンサであるかにかかわらず、プロセスは常に同一である。したがって、各センサは、アリスまたはボブの役割を果たすことができる。2個のセンサが互いを既知である場合には、本プロトコルの適用は不要である。
【0033】
認証の目的で、アリスとボブの両者は、まず、それぞれコミットメントを生成する。図示した実施形態では、MAC(メッセージ認証コード)を、共有秘密xと、積aG(アリス)またはbG(ボブ)とに適用する。Gは、ECDH(楕円曲線ディフィ・ヘルマン)アルゴリズムによるジェネレータを表し、aおよびbはそれぞれ乱数({a,b}∈Z)である。確認は、アリスについては公開パラメータaG、ボブについてはbG、の交換によって行われる。新しい鍵Sは、先の共有秘密xをECDH交換情報と組み合わせることにより、S=xdaG=xabGとして求められる。
【0034】
n個のノードという一般的な場合、上記の方法は次のように実行される。
【0035】
まず、センサノードNSがOOBチャネルを通じて秘密x∈Zを受け取る。次に、センサノードNSは、その送信到達範囲内にあるすべてのセンサノードNiへ、値MAC(x,kSG)を送る。これに応じて、センサノードSは、すべてのセンサノードNiから、値MAC(x,kiG)を受け取る。次のステップで、センサノードは値kSGをすべてのNiへ送る。確認のため、この交換はそれぞれ逆方向にも実行される。最後に、すべてのNiが値xkSkiGを新しい鍵Sとして保存する。
【0036】
図4は、本発明による方法の実施例において、センサノードが既存のセンサネットワークから除外される状況を模式的に示している。図4aには多数のセンサノードが示され、各ノードに付属する雲の中の値は、センサノードの対応する測定値を表す。この測定値は、例えば、測定温度値であると仮定する。別個に図示したセンサノードもネットワークに属しているが、例えば校正不良や位置決めの不具合のため適正でない測定値を出しているので、ネットワークから除外しなければならない。
【0037】
既に何度か説明したように、セキュアな帯域外チャネルを通じて所定の情報をセンサノードへ転送することにより、センサノードは共有秘密xを保持する。新しい鍵を作成するため、共有秘密xを、個々のセンサノードの測定値と組み合わせる。このため、まず、ノードNjの測定値mからある値(以下、エビデンスEという)を計算する。したがって、ノードNjのエビデンスENjはENj=f(m1,m2,...,mn)となる。ここでfは、ネットワークの初期動作前にノードにプログラムされた関数であってもよいし、OOBチャネルを通じて送信されてもよい。関数fは、例えば、測定値範囲を個々の値に対応させる非線形対応づけを行うことができる。これは、例えば次のように、温度範囲を整数値に対応させる。
f(mi)=1 mi<20℃の場合
f(mi)=2 20℃<mi<25℃の場合
f(mi)=3 25℃<mi<30℃の場合
f(mi)=4 30℃<miの場合
【0038】
別法として、fを階段関数としてもよい。その場合、エビデンスは、検知データの閾値に基づく2進数値である。そして、例えば、検出した光強度が、事前に設定可能な閾値を超えるか否かをチェックすることができる。あるいは、関数fは、センサの最近のn個の測定値の平均値を返すとしてもよい。
【0039】
OOBメッセージが比較的小さい地理的エリアに制限される場合、メッセージによってトリガされるセンサもまた、相互に比較的近接して位置するので、すべてのトリガされるノードに対して期待されるエビデンスEは、かなり制限された範囲内に収まるという仮定が正当化される。OOBメッセージxによる鍵配布がエビデンスEとともに広まることで、同じエビデンスを有するすべてのノードで同じ鍵が得られる。正しいエビデンスを生成できないノードは、新しい鍵の生成を自力で完了できない。新しい鍵がないため、これらのノードはネットワークへアクセスを続行できなくなって、ネットワークから除外される。このことが、50という測定温度値を有するセンサノードについて、図4bに模式的に示されている。
【0040】
関数fは、センサネットワークにおいて事前に設定されていると仮定している。これは、配備後には、個々のノードを取り扱うことがもはやできないからである。しかし、事前に設定された関数fは、生成可能なエビデンスを限定し、したがって除外基準をも限定する。この問題点を避けるため、共有秘密に加えて、別のパラメータOiをノードへ送信するために、OOBメッセージを用いることができる。このパラメータは、エビデンスの生成に関する情報を含む。ここで、このパラメータは、時間間隔の開始点、測定範囲の幅、平均をとるために考慮すべき測定値の個数等の情報を含むことができる。この場合、関数はENj=f(O1,O2,...,On,m1,m2,...,mn)となる。ここでOjは、OOBメッセージとともに送信されるパラメータである。
【0041】
上記の方法を連続的に適用する場合、エビデンスは、無線チャネルを通じて伝送される値においては使用されない。したがって、高価な鍵交換プロトコルを実行する必要がない。代わりに、センサノードは、鍵の現在の値および前の値に基づく鍵ストリームを使用できる。しかし、ネットワーク内の不具合や空白期間に対処するために同期ポイントを設けることは有利である。
【0042】
本発明による方法の、この他の有利な実施形態については、繰り返しを避けるために、本明細書の一般的説明の部分と、添付の特許請求の範囲とを参照されたい。
【0043】
最後に、上記の本発明の実施形態は、単に本発明の教示を説明するためのものに過ぎず、決して本発明を上記の実施例に限定するものでないことを明記しておく。
【技術分野】
【0001】
本発明は、無線センサネットワークの運用方法に関する。ここで、センサネットワークは、データを検知する複数のセンサノードを有し、センサノードは、所定の環境内に分散配置され、無線チャネルを通じて暗号化データ伝送により相互に情報を交換することができる。
【背景技術】
【0002】
上記のような方法は、かなり前から当業者に既知である。というのは、センサネットワークは重要性を増しており、特に環境モニタリングの分野において、例えば気象、湿度分布、水質汚濁の分析や、表面温度の測定、移動パターンの追跡、大規模工業用地の管理等に応用されているからである。可能な適用分野のリストは、ほとんど任意に拡大できるであろう。
【0003】
センサネットワークの個々のセンサは、相互に無線通信するセンサノードであり、一般に、検知素子、プロセッサ、通信装置、およびエネルギー源(例えばバッテリや太陽電池)からなる。データ取得、通信、および計算の機能は、センサノード内の非常に狭い空間で結合される。この小型設計は、例えば上記の環境モニタリングのような特定の応用分野にはきわめて有利である。というのは、これにより、近づくのが困難な領域にもセンサノードの配備、ひいてはネットワークの適用が可能となるからである。
【0004】
センサネットワークの可能な適用分野を制約することがあり得る重要なパラメータは、特に、個々のセンサノードの所与の物理値、例えば、それらの送信到達範囲、プロセッサ能力、バッテリ容量、空き記憶容量等である。これらの物理的制約のため、センサネットワークをエネルギー効率良く組織することが特に重要である。
【0005】
センサネットワークを構築する際に考慮すべきもう1つの重要な側面として、センサノードによって検知されるデータのセキュアな伝送がある。センサノードの基礎となるプラットフォームは、一般にきわめて寸法が小さく、一般には不正操作防止ユニットを備えていない。センサネットワークにおけるデータ伝送のセキュリティを高めるため、個々のセンサノードの検知データは一般に暗号化形式で伝送される。そのためには一般に、連続的暗号化が選択される。すなわち、検知データはセンサノードで直接に暗号化され、不正操作防止機能のあるシンクノードでの受信後にはじめて復号化される(エンドツーエンド暗号化)。
【0006】
特に、センサノードがバッテリ駆動であるためエネルギーリソースが限られていることは、ネットワーク内で非対称暗号化法を常時適用することが受け入れ難い理由となっている。このような手法は、ネットワークの寿命を短縮するので、ほとんどの応用にとって不適切である。したがって、ほとんどの鍵配布方法は、一種の動的鍵配布に基づいている。センサノードが調査対象環境に配備され、ネットワークが初期化・セットアップ段階の後で安定したらすぐに、個々のセンサノードにおいて、マスタ鍵の未使用鍵の鍵プールは一般に消去される。これは、そのハードウェアにアクセス可能な潜在的攻撃者が、そのノードで使用されている鍵以外の鍵を知ることがないようにするためである。
【0007】
既知の方法の場合、運用段階においては、ネットワーク内での変更の実施に関してきわめてフレキシビリティが低いのが欠点である。こうした問題は特に、次の2つの状況で生じる。第1に、この種の問題は、センサネットワークが一定の動作寿命に達した後、すなわち、センサノードがハードウェアの故障、バッテリ切れ、あるいは場合によっては物理的破壊によって、動作不良を起こし始める時に生じる。この場合、ネットワーク担当者としては、調査対象環境のカバレージを再び確保するため、動作不良のノードを新規ノードに取り替えることに高い関心があることが多い。
【0008】
第2の場合として、運用中に明らかに不正な測定データを出すノードがネットワーク内に存在し、その結果、ネットワークの全体的測定値が統計的に変造されることが判明して問題となる。不正な測定値は、例えば、校正不良、ノード配備時の位置決めの不具合(例えば、木の陰や小川の中)、あるいは外部からの操作から生じ得る。いずれの場合でも、ネットワーク担当者は、不正動作ノードをネットワークから除外することに関心を有するであろう。
【0009】
上記の2つの場合において、ネットワーク担当者のとり得る可能性は非常に制約される。上記のようなセンサノードによって使用される鍵に関する知識がないため、ネットワークにおいて確立されている暗号化データ伝送の中に新規ノードを統合することや、このようなネットワークからノードを除外することが非常に困難である。たとえノード間での鍵配布に関する知識が入手可能である場合であっても、コストの観点から、新規ノードの統合はほとんど不可能である。というのは、センサノードを既存のネットワークに統合することができるためには、まず、顧客の詳細な要求に従ってセンサノードを設定し、使用中の鍵と整合させなければならないからである。すなわち、ネットワーク担当者は、まず、現在どの鍵がネットワークで使用されているかを調べてから、新規に統合したいノードに鍵を設定しなければならない。
【発明の開示】
【発明が解決しようとする課題】
【0010】
そこで、本発明の目的は、上記のような無線センサネットワークの運用方法を提供することである。本発明によれば、特に、ネットワークに統合されるセンサノードの構成に関して、ネットワークの変更が、ネットワークの運用段階中にフレキシブルに実行可能である。
【課題を解決するための手段】
【0011】
本発明によれば、上記の目的は、請求項1に記載の無線センサネットワークの運用方法によって達成される。請求項1に記載の通り、この方法は、ネットワークのセンサノードのサブセットに対し、セキュアな帯域外(OOB,out of band)チャネルを通じてそのサブセットのセンサノードへ所定の情報を転送することによって共有秘密(x)を確立するために、そのサブセットを操作することを特徴とする。
【0012】
本発明によって初めて認識されたこととして、安定な運用段階において、すなわち、ネットワークが自分自身を組織化する初期化段階が終了した後には、ネットワークに対する変更は、帯域外(OOB)チャネルを用いることにより、セキュリティの損失なしに実現することができる。帯域外チャネルは一般に、本来的にセキュア(安全)である。本発明によれば、ネットワークのセンサノードのサブセットに対し、帯域外チャネルを通じて、ある特定の情報が転送される。センサノードによって受信されるこの情報は、受信側センサノードによって共有される秘密の確立のために用いられる。共有秘密は、受信された情報から所定のアルゴリズムを用いて生成することができる。したがって、本発明の方法によれば、運用段階において、新しい鍵をセキュアに導入することが可能である。
【0013】
特に有利な態様として、帯域外チャネルは無線チャネルとは分離されているため、完全に相互独立に動作する。これにより、通常のデータフローからの論理的分離あるいは物理的分離が可能となる。
【0014】
有利な実施形態として、光および/または音響のインパルスの所定の時系列をセンサノードに当てることによって、センサノードのサブセットに情報を転送することができる。特に簡易な態様として、懐中電灯で光インパルスを、ブザーで音響インパルスを発生することができる。
【0015】
別の有利な実施形態として、運動によって、センサノードのサブセットに情報を転送することができる。この実施形態の場合、センサノードは、運動を検出できるように設計される。この目的のため、センサノードは、例えば加速度計を備えればよい。ネットワーク担当者がセンサのサブセットを手に取り一斉に振ることで、非常に簡単にセンサノードのサブセットに共有情報を転送することができる。
【0016】
原理的には、情報の転送法に限定はなく、センサが情報を検出できることが確実であればよい。例えば、光インパルスを使用する場合、センサノードは、対応する感光素子を有する必要がある。したがってこの場合、一般に、センサノードによって検知される測定値の列の形で、センサノードのサブセットへ情報を転送することができる。この意味で、情報は、例えば、測定温度値の形でセンサノードへ転送することができる。このような場合、測定値(例えば測定温度値)の変動がある特定の閾値を超える場合にのみ異なる共有秘密となり、変動が小さい場合には同一の共有秘密となるように、ある特定の許容差を確保しなければならない。
【0017】
管理容易性に関して、光や音響のインパルス列、あるいは測定値列は、当該センサノードによって2進数列に変換される。統一的で明確な長さおよび構造を実現するため、さらに2進数列をハッシュ値に変換してもよい。このハッシュ値は、当該センサノードの共有秘密となる。
【0018】
さらにセキュリティを高めるため、ネットワークのセンサノードに、今後の操作に関するメッセージを通知してもよい。このメッセージは、特定のノード、好ましくはネットワークのシンクノードによって生成することができる。このメッセージにより、ノードは、例えば今後5秒以内に操作が予想されるという通知を受けることができる。ノードは、上記のような情報メッセージを事前に受信していない場合には、例えば光インパルスの照射の形での操作を無視するように、あらかじめプログラムしておくことができる。このようにして、悪意のある攻撃者によって実行される操作試行にセンサノードが反応するのを避けることができる。
【0019】
ネットワークへの新規センサノードの統合に関して、操作は、ネットワークのセンサノードのサブセット(旧ノード)に対しても、新規に統合されるセンサノード(新規ノード)に対しても、実行することができる。高レベルのセキュリティのため、操作は、好ましくは、制御された環境で実行される。例えば、ネットワーク管理者は、旧ノードのいくつかを収集し、新規に統合するノードとともに、掌の中で、懐中電灯からの光を当てることができる。
【0020】
さらに、操作されたセンサノードは、共有秘密に基づいて相互間で認証するようにしてもよい。認証は、例えば、共有秘密に基づいて計算される対称メッセージ認証コード(MAC)を用いて実行できる。認証が実行された後、操作されたセンサノードは、共有秘密に基づいて、鍵交換プロトコルに関して、セキュアなデータ伝送のための鍵について合意することができる。したがって、操作された旧ノード、すなわち、既にネットワークに統合されているノードが、一種のブリッジあるいはインタフェースとして機能することで、新規に統合されるノードと、ネットワークの残りのノードとの両方と、セキュアに暗号化データを交換することができる。
【0021】
具体的な実施形態として、鍵交換は、ディフィ・ヘルマンアルゴリズムに従って実行される。別法として、パワーを節約するため、単純化された公開パラメータを用いた修正ディフィ・ヘルマンアルゴリズムに従って鍵交換を実行してもよい。指数値を生成する代わりに、例えば、純粋な乗算でもよい。共有秘密は、認証に関しても鍵合意に関しても伝送されないので、その秘密の長さはかなり短く選ぶことができる。実際には、20ビット程度の長さで十分であることがわかる。
【0022】
例えば誤動作や校正不良のため、センサノードをネットワークから除外する場合、帯域外チャネルを通じてセンサノードのサブセットへ転送される情報を、それらのセンサノード自体によって生成されるある値(以下エビデンスという)と常に組み合わせることで、それに基づいてデータ交換のための新しい鍵を生成することができて有利であることがわかる。
【0023】
最も簡単な形態では、エビデンスは、センサノードによって検知された値の関数とすることができる。操作されたセンサノードの測定値がある特定の測定範囲に入らない場合、センサノードによって計算されるエビデンスは、他の操作されたノードのエビデンスからずれるので、そのノードは不正な鍵を生成する。これは実質的に、そのノードをネットワークから除外することに等しい。
【0024】
除外基準に関するフレキシビリティを高めるため、エビデンスは、センサノードによって検知された測定値の関数のみならず、付加的なパラメータの関数であってもよい。有利な態様として、そのパラメータは、帯域外チャネルを通じてセンサノードへ転送される情報とともにセンサノードへ伝送される。用いられるパラメータとしては、例えば、エビデンスに使用される最初の測定の時刻、平均値を計算する際に考慮すべき測定値の個数、測定値の許容差の幅または中心値等を参照してもよい。原理的にはいかなるパラメータも、除外基準の精緻化のために使用可能な値とみなし得る。
【0025】
本発明を有利な態様で実施するにはさまざまの可能性がある。このためには、一方で、請求項1に従属する諸請求項を参照し、他方で、図面により例示された、本発明の好ましい実施例についての以下の説明を参照されたい。図面を用いて好ましい実施例を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例についても説明する。
【図面の簡単な説明】
【0026】
【図1】本発明による無線センサネットワークの運用方法の実施例において、新規ノードがネットワークに統合される状況を示す図である。
【図2】センサノードを光インパルスで操作する実施例を示す図である。
【図3】認証された対称鍵を生成する実施例を示す図である。
【図4】本発明による方法の実施例において、センサノードがネットワークから除外される状況を示す図である。
【発明を実施するための形態】
【0027】
図1は、本発明による方法の実施例において、新規ノードが既存のセンサネットワークに統合される状況を模式的に示している。センサネットワークでは、多数のセンサノードが所定の環境に分散配置される。図1aは、センサノードによってカバーされるセンサネットワークの環境の一部を示している。黒丸は、無線チャネルを通じて相互に情報を交換可能な個々のセンサノードを表す。すべてのデータは、通常行われるように、暗号化されて伝送される。
【0028】
図1aに示す状況は、ネットワークが既にある一定時間安定して動作している時のネットワークを示している。ノードが、例えばハードウェアの故障やバッテリ切れにより動作不良を起こしたり、ネットワーク担当者がエリアのカバレージを不十分だと判断したりする状況が生じ得る。図1bに示すように、担当者は、カバレージを改善するために、そのようなエリアに新規ノードを再び配備することに決めるとする。配備後、新規ノード(白抜きで示す)は、既存のネットワークの旧ノードとともにランダムな分布で混在し、図1cに示すようになる。
【0029】
次の図1dに示すステップで、本発明によれば、共有秘密を確立するためのある情報が、無線チャネルとは別個のセキュアな帯域外チャネルを通じてセンサノードのサブセットへ転送される。図示した実施形態では、帯域外チャネルは光学的な帯域外チャネルである。具体的には、センサノードのサブセットに、光インパルスの所定の時系列を当てる。光インパルスは懐中電灯で発生させる。操作されるサブセットは、図1dに示す光円錐内のノードを含む。サブセットは、すべての新規ノードと、既存のネットワークの旧ノードの一部とを含む。以下でさらに詳細に説明するように、OOBメッセージ、すなわち、光インパルスの時系列は、認証された対称鍵を配布するために使用される。OOBメッセージに基づく鍵の生成については、後で図3に関して詳細に説明する。鍵を正しく生成した後、光インパルスを受けたネットワークの旧ノードは、コネクタあるいはブリッジとして作用し、既存のネットワークの残りのノードに加えて、新規ノードと暗号化データを交換することができる。
【0030】
図1eは、制御された環境でセンサノードに光インパルスを当てることで、本方法のセキュリティをさらに高める状況を示している。この場合、新規ノードとともに、ネットワークの1個の旧ノードのみに光を照射することも、セキュリティの向上に寄与している。もしも、そのただ1つの旧ノードが、悪意のある攻撃者によってネットワークに挿入されたノードであるために、旧ネットワーク内で妥当な鍵を処理できない場合には、このノードは、ネットワークに新規に統合されるノードとネットワークの残りのノードとの間でコネクタとして作用することができない。そこで、ネットワーク担当者は、新規ノードがネットワークに統合されていないことを見出した場合、OOBメッセージで操作したその旧ノードは悪意のある攻撃者のノードであったはずだと知ることになる。担当者は、別の旧センサノードについてこの手順を繰り返すことができるが、攻撃者が挿入したノードによってネットワークにアクセスできたのではないかと恐れる必要はない。
【0031】
図2は、図1dに関して説明したようなセンサノードのサブセットに当てる光インパルスの時系列を模式的に示している。センサノードは感光素子を有する。この感光素子は、受けた強度値を所定の時間間隔でサンプリングし、ある閾値強度を超える場合に信号を発する。センサノードは、発光インパルス列を2進数列rに変換する。ここで、与えられた時刻に光強度が閾値強度を超えた場合には「1」を発生し、強度閾値を下回った場合には「0」を発生する。明確な長さおよび構造を有する共有秘密xを生成するため、ある種の正規化関数f( )を2進数列rに適用する。具体的に示す例では、これはハッシュ関数h( )である。
【0032】
図3は、セキュアなOOBチャネルを通じて(上記のような)ノードのサブセットに通知された共有秘密xによる、新しい鍵に関する認証プロセスおよび合意の実施例を模式的に示している。明確にするため、図3において、認証および鍵交換のプロセスは、アリス(A)とボブ(B)を例にとって示す。図示の状況は、n個のセンサノードの場合に読み替える必要がある。考えている例では、新規のセンサであるか、ネットワークに既に属していたセンサであるかにかかわらず、プロセスは常に同一である。したがって、各センサは、アリスまたはボブの役割を果たすことができる。2個のセンサが互いを既知である場合には、本プロトコルの適用は不要である。
【0033】
認証の目的で、アリスとボブの両者は、まず、それぞれコミットメントを生成する。図示した実施形態では、MAC(メッセージ認証コード)を、共有秘密xと、積aG(アリス)またはbG(ボブ)とに適用する。Gは、ECDH(楕円曲線ディフィ・ヘルマン)アルゴリズムによるジェネレータを表し、aおよびbはそれぞれ乱数({a,b}∈Z)である。確認は、アリスについては公開パラメータaG、ボブについてはbG、の交換によって行われる。新しい鍵Sは、先の共有秘密xをECDH交換情報と組み合わせることにより、S=xdaG=xabGとして求められる。
【0034】
n個のノードという一般的な場合、上記の方法は次のように実行される。
【0035】
まず、センサノードNSがOOBチャネルを通じて秘密x∈Zを受け取る。次に、センサノードNSは、その送信到達範囲内にあるすべてのセンサノードNiへ、値MAC(x,kSG)を送る。これに応じて、センサノードSは、すべてのセンサノードNiから、値MAC(x,kiG)を受け取る。次のステップで、センサノードは値kSGをすべてのNiへ送る。確認のため、この交換はそれぞれ逆方向にも実行される。最後に、すべてのNiが値xkSkiGを新しい鍵Sとして保存する。
【0036】
図4は、本発明による方法の実施例において、センサノードが既存のセンサネットワークから除外される状況を模式的に示している。図4aには多数のセンサノードが示され、各ノードに付属する雲の中の値は、センサノードの対応する測定値を表す。この測定値は、例えば、測定温度値であると仮定する。別個に図示したセンサノードもネットワークに属しているが、例えば校正不良や位置決めの不具合のため適正でない測定値を出しているので、ネットワークから除外しなければならない。
【0037】
既に何度か説明したように、セキュアな帯域外チャネルを通じて所定の情報をセンサノードへ転送することにより、センサノードは共有秘密xを保持する。新しい鍵を作成するため、共有秘密xを、個々のセンサノードの測定値と組み合わせる。このため、まず、ノードNjの測定値mからある値(以下、エビデンスEという)を計算する。したがって、ノードNjのエビデンスENjはENj=f(m1,m2,...,mn)となる。ここでfは、ネットワークの初期動作前にノードにプログラムされた関数であってもよいし、OOBチャネルを通じて送信されてもよい。関数fは、例えば、測定値範囲を個々の値に対応させる非線形対応づけを行うことができる。これは、例えば次のように、温度範囲を整数値に対応させる。
f(mi)=1 mi<20℃の場合
f(mi)=2 20℃<mi<25℃の場合
f(mi)=3 25℃<mi<30℃の場合
f(mi)=4 30℃<miの場合
【0038】
別法として、fを階段関数としてもよい。その場合、エビデンスは、検知データの閾値に基づく2進数値である。そして、例えば、検出した光強度が、事前に設定可能な閾値を超えるか否かをチェックすることができる。あるいは、関数fは、センサの最近のn個の測定値の平均値を返すとしてもよい。
【0039】
OOBメッセージが比較的小さい地理的エリアに制限される場合、メッセージによってトリガされるセンサもまた、相互に比較的近接して位置するので、すべてのトリガされるノードに対して期待されるエビデンスEは、かなり制限された範囲内に収まるという仮定が正当化される。OOBメッセージxによる鍵配布がエビデンスEとともに広まることで、同じエビデンスを有するすべてのノードで同じ鍵が得られる。正しいエビデンスを生成できないノードは、新しい鍵の生成を自力で完了できない。新しい鍵がないため、これらのノードはネットワークへアクセスを続行できなくなって、ネットワークから除外される。このことが、50という測定温度値を有するセンサノードについて、図4bに模式的に示されている。
【0040】
関数fは、センサネットワークにおいて事前に設定されていると仮定している。これは、配備後には、個々のノードを取り扱うことがもはやできないからである。しかし、事前に設定された関数fは、生成可能なエビデンスを限定し、したがって除外基準をも限定する。この問題点を避けるため、共有秘密に加えて、別のパラメータOiをノードへ送信するために、OOBメッセージを用いることができる。このパラメータは、エビデンスの生成に関する情報を含む。ここで、このパラメータは、時間間隔の開始点、測定範囲の幅、平均をとるために考慮すべき測定値の個数等の情報を含むことができる。この場合、関数はENj=f(O1,O2,...,On,m1,m2,...,mn)となる。ここでOjは、OOBメッセージとともに送信されるパラメータである。
【0041】
上記の方法を連続的に適用する場合、エビデンスは、無線チャネルを通じて伝送される値においては使用されない。したがって、高価な鍵交換プロトコルを実行する必要がない。代わりに、センサノードは、鍵の現在の値および前の値に基づく鍵ストリームを使用できる。しかし、ネットワーク内の不具合や空白期間に対処するために同期ポイントを設けることは有利である。
【0042】
本発明による方法の、この他の有利な実施形態については、繰り返しを避けるために、本明細書の一般的説明の部分と、添付の特許請求の範囲とを参照されたい。
【0043】
最後に、上記の本発明の実施形態は、単に本発明の教示を説明するためのものに過ぎず、決して本発明を上記の実施例に限定するものでないことを明記しておく。
【特許請求の範囲】
【請求項1】
無線センサネットワークの運用方法であって、該センサネットワークは、データを検知する複数のセンサノードを有し、該センサノードは所定の環境内に分散配置され、該センサノードは無線チャネルを通じて暗号化データ伝送により相互に情報を交換することができ、
前記ネットワークのセンサノードのサブセットに対し、前記サブセットの外部からセキュアな帯域外(OOB)チャネルを通じて該サブセットのセンサノードへ所定の情報を転送することによって共有秘密(x)を確立するために、該サブセットを操作し、操作されたセンサノードが前記共有秘密(x)に基づいて相互に認証し、前記操作されたセンサノードが、前記共有秘密(x)に基づく認証を実行した後、セキュアなデータ伝送のための鍵交換プロトコルに関する鍵(S)について合意することを特徴とする、無線センサネットワークの運用方法。
【請求項2】
前記帯域外(OOB)チャネルが、前記無線チャネルから論理的および/または物理的に分離されることを特徴とする請求項1に記載の方法。
【請求項3】
光および/または音響のインパルスの所定の時系列を前記センサノードに当てることによって、前記情報が前記センサノードのサブセットへ転送されることを特徴とする請求項1または2に記載の方法。
【請求項4】
前記センサノードに運動を加えることによって、前記情報が前記センサノードのサブセットへ転送されることを特徴とする請求項1ないし3のいずれか1項に記載の方法。
【請求項5】
前記センサノードによって検知される測定値の列の形で、前記情報が前記センサノードのサブセットへ転送されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
前記センサノードが、前記光および/または音響のインパルスの列、前記運動、および/または前記測定値の列を、2進数列(r)に変換し、
前記2進数列(r)が、操作されるセンサノードの前記共有秘密(x)となるハッシュ値h(r)に変換され得ることを特徴とする請求項3ないし5のいずれか1項に記載の方法。
【請求項7】
前記ネットワークの前記センサノードは、メッセージによって今後の操作が通知され、該メッセージは、好ましくは、前記ネットワークのシンクノードによって生成されることを特徴とする請求項1ないし6のいずれか1項に記載の方法。
【請求項8】
新規なセンサノードを前記ネットワークに統合する目的で、前記操作が、前記ネットワークのセンサノードのサブセット、すなわち旧ノードと、統合されるべきセンサノード、すなわち新規ノードとに適用され、
前記新規ノードおよび前記旧ノードに対する前記操作が、制御された環境で実行され得ること、および/または
ただ1つの旧ノードが前記新規ノードとともに操作され得ること
を特徴とする請求項1ないし7のいずれか1項に記載の方法。
【請求項9】
操作されたセンサノードが前記共有秘密(x)に基づいて相互に認証し、
前記認証が、前記共有秘密(x)に基づいて計算される対称メッセージ認証コード(MAC)によって実行され得ることを特徴とする請求項7または8のいずれか1項に記載の方法。
【請求項10】
前記操作されたセンサノードが、前記共有秘密(x)に基づく認証を実行した後、セキュアなデータ伝送のための鍵交換プロトコルに関する鍵(S)について合意し、
前記鍵交換が、ディフィ・ヘルマンアルゴリズムに従って、または
単純化された公開パラメータを用いた修正ディフィ・ヘルマンアルゴリズムに従って、実行され得ること
を特徴とする請求項9に記載の方法。
【請求項11】
前記共有秘密(x)の長さが20ビットであることを特徴とする請求項1ないし10のいずれか1項に記載の方法。
【請求項12】
新しい鍵を生成するために前記帯域外(OOB)チャネルを通じてセンサノードのサブセットへ転送される前記情報が、前記センサノード自体によって生成される値すなわちエビデンス(E)と組み合わされることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
【請求項13】
前記エビデンス(E)が、前記センサノードによって検知された測定値(m)の関数(f)であることを特徴とする請求項12に記載の方法。
【請求項14】
前記エビデンス(E)が、前記センサノードによって検知された測定値と、付加的な所定のパラメータ(O)との関数(f)であり、
前記パラメータ(O)が、前記帯域外(OOB)チャネルを通じて転送される前記情報とともに前記センサノードへ伝送され得ることを特徴とする請求項12に記載の方法。
【請求項15】
前記パラメータ(O)が、除外基準の精緻化のために使用可能な、測定時間の開始時刻、平均される測定値(m)の個数、または同様の値を参照することを特徴とする請求項14に記載の方法。
【請求項1】
無線センサネットワークの運用方法であって、該センサネットワークは、データを検知する複数のセンサノードを有し、該センサノードは所定の環境内に分散配置され、該センサノードは無線チャネルを通じて暗号化データ伝送により相互に情報を交換することができ、
前記ネットワークのセンサノードのサブセットに対し、前記サブセットの外部からセキュアな帯域外(OOB)チャネルを通じて該サブセットのセンサノードへ所定の情報を転送することによって共有秘密(x)を確立するために、該サブセットを操作し、操作されたセンサノードが前記共有秘密(x)に基づいて相互に認証し、前記操作されたセンサノードが、前記共有秘密(x)に基づく認証を実行した後、セキュアなデータ伝送のための鍵交換プロトコルに関する鍵(S)について合意することを特徴とする、無線センサネットワークの運用方法。
【請求項2】
前記帯域外(OOB)チャネルが、前記無線チャネルから論理的および/または物理的に分離されることを特徴とする請求項1に記載の方法。
【請求項3】
光および/または音響のインパルスの所定の時系列を前記センサノードに当てることによって、前記情報が前記センサノードのサブセットへ転送されることを特徴とする請求項1または2に記載の方法。
【請求項4】
前記センサノードに運動を加えることによって、前記情報が前記センサノードのサブセットへ転送されることを特徴とする請求項1ないし3のいずれか1項に記載の方法。
【請求項5】
前記センサノードによって検知される測定値の列の形で、前記情報が前記センサノードのサブセットへ転送されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
前記センサノードが、前記光および/または音響のインパルスの列、前記運動、および/または前記測定値の列を、2進数列(r)に変換し、
前記2進数列(r)が、操作されるセンサノードの前記共有秘密(x)となるハッシュ値h(r)に変換され得ることを特徴とする請求項3ないし5のいずれか1項に記載の方法。
【請求項7】
前記ネットワークの前記センサノードは、メッセージによって今後の操作が通知され、該メッセージは、好ましくは、前記ネットワークのシンクノードによって生成されることを特徴とする請求項1ないし6のいずれか1項に記載の方法。
【請求項8】
新規なセンサノードを前記ネットワークに統合する目的で、前記操作が、前記ネットワークのセンサノードのサブセット、すなわち旧ノードと、統合されるべきセンサノード、すなわち新規ノードとに適用され、
前記新規ノードおよび前記旧ノードに対する前記操作が、制御された環境で実行され得ること、および/または
ただ1つの旧ノードが前記新規ノードとともに操作され得ること
を特徴とする請求項1ないし7のいずれか1項に記載の方法。
【請求項9】
操作されたセンサノードが前記共有秘密(x)に基づいて相互に認証し、
前記認証が、前記共有秘密(x)に基づいて計算される対称メッセージ認証コード(MAC)によって実行され得ることを特徴とする請求項7または8のいずれか1項に記載の方法。
【請求項10】
前記操作されたセンサノードが、前記共有秘密(x)に基づく認証を実行した後、セキュアなデータ伝送のための鍵交換プロトコルに関する鍵(S)について合意し、
前記鍵交換が、ディフィ・ヘルマンアルゴリズムに従って、または
単純化された公開パラメータを用いた修正ディフィ・ヘルマンアルゴリズムに従って、実行され得ること
を特徴とする請求項9に記載の方法。
【請求項11】
前記共有秘密(x)の長さが20ビットであることを特徴とする請求項1ないし10のいずれか1項に記載の方法。
【請求項12】
新しい鍵を生成するために前記帯域外(OOB)チャネルを通じてセンサノードのサブセットへ転送される前記情報が、前記センサノード自体によって生成される値すなわちエビデンス(E)と組み合わされることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
【請求項13】
前記エビデンス(E)が、前記センサノードによって検知された測定値(m)の関数(f)であることを特徴とする請求項12に記載の方法。
【請求項14】
前記エビデンス(E)が、前記センサノードによって検知された測定値と、付加的な所定のパラメータ(O)との関数(f)であり、
前記パラメータ(O)が、前記帯域外(OOB)チャネルを通じて転送される前記情報とともに前記センサノードへ伝送され得ることを特徴とする請求項12に記載の方法。
【請求項15】
前記パラメータ(O)が、除外基準の精緻化のために使用可能な、測定時間の開始時刻、平均される測定値(m)の個数、または同様の値を参照することを特徴とする請求項14に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−147474(P2012−147474A)
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願番号】特願2012−70435(P2012−70435)
【出願日】平成24年3月26日(2012.3.26)
【分割の表示】特願2009−514681(P2009−514681)の分割
【原出願日】平成19年6月6日(2007.6.6)
【出願人】(508342183)エヌイーシー ヨーロッパ リミテッド (101)
【氏名又は名称原語表記】NEC EUROPE LTD.
【Fターム(参考)】
【公開日】平成24年8月2日(2012.8.2)
【国際特許分類】
【出願日】平成24年3月26日(2012.3.26)
【分割の表示】特願2009−514681(P2009−514681)の分割
【原出願日】平成19年6月6日(2007.6.6)
【出願人】(508342183)エヌイーシー ヨーロッパ リミテッド (101)
【氏名又は名称原語表記】NEC EUROPE LTD.
【Fターム(参考)】
[ Back to top ]