無線ネットワーク・セキュリティ
アドホック無線ネットワークのセキュリティを改善するための方策について説明している。このネットワーク上で受信された信号が解析されて、このネットワークに伴うタンパリングが存在しているかどうかが決定される。この解析は、2つの異なる空間的または時間的に別々の経路の間における信号完全性からの逸脱または信号パラメータの相違を検出し、あるいは信号中における、許可されているデバイスによってこのネットワーク上にあらかじめ故意に伝搬されているスプリアス情報の使用を検出することを含むことができる。スプリアス情報は、攻撃に対して特にぜい弱なネットワーク部分中を故意に伝搬させることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信ネットワークおよびネットワーク・セキュリティに関する。
【背景技術】
【0002】
無線通信ネットワークは、近年、人気が高まってきている。モバイル電話、ページャ、携帯型個人情報端末、モバイル・コンピュータ、および他の通信デバイスはすべて、無線通信技術を利用している。無線通信ネットワークの使用は、ビジネス環境および産業環境において一般的になってきており、これらの技術は、ますます家庭環境においても人気がより高くなりつつある。
【0003】
この周囲環境、例えば将来の家庭は、ジグビー(ZigBee)やブルートゥース(Bluetooth)などのアドホック無線ネットワーキング技術に基づくかもしれない。周囲環境における電子デバイスは、このネットワークの一部分を形成することになる。例として、家庭用警報装置、セントラル・ヒーティング/エアコン用のサーモスタット、電灯スイッチおよび煙検出器を含む可能性があるが、これらには限定されない。一例のシナリオとして、自宅所有者が、自分の車のキーを見出すように要請し、これらのキーが、この所有者に対して応答を返信することもありうる。
【0004】
無線通信の性質は、この家庭ネットワーク内のブロードキャストが、この家庭の周辺だけに限定される必要がないようなものである。十中八九、家庭ネットワークは、居住環境の境界を超えて広がることになり、隣接するネットワークとオーバーラップすることもある。これは、サード・パーティによるタンパリング(tampering)およびセキュリティ侵害に対して、この家庭ネットワークをぜい弱にしてしまう。このサード・パーティは、隣接ネットワークの悪意のないユーザであることも、あるいはより故意の侵害者であることもある。
【0005】
アドホック家庭無線ネットワークにおけるセキュリティは、これらの無線技術の他の様相(aspect)ほど十分には述べられてこなかった無線通信の課題である。この家庭環境においては、隣接ネットワークまたは通りがかりの人(passers−by)からの干渉(interference)を回避または低下させて、このネットワークから集められる情報に対処し、他のセキュリティ侵害に対処する必要があることになる。
【0006】
故意の侵害者がその有線リンクに対する物理アクセスを行い、あるいはファイアウォールおよびルータにおけるセキュリティの弱点を利用する必要がある従来の有線ネットワークと違って、アドホック無線ネットワークにおける攻撃は、このネットワーク内の任意のポイント、またはこの無線ブロードキャストを受信することが可能な任意の位置で発生することもある。アドホック無線ネットワークは、明確な防衛線を有さず、対策をとって、悪意のないセキュリティ侵害または悪意のあるセキュリティ侵害に対して対処し、または免疫化する(immunise)必要がある。
【0007】
WO02/078210は、メッセージの一部分またはすべてがこのネットワーク中のリピータにより定義される異なる通信経路上で伝送され、それによって1経路上の無線通信を妨げる障害が、メッセージ全体をブロックしないようにする無線通信システムについて説明している。WO’210は、特にネットワーク中の2つのトランシーバ間で伝送されるメッセージが、失われるか、または文字化けしているフェージング(fading)の問題に対処しており、意図的なタンパリング、またはメッセージに伴う干渉に対するセキュリティについて説明してはいない。
【0008】
「タンパリング」という表現は、信号のデータ内容に伴う干渉を含めて、信号に伴うすべての形態の意図的または悪意のある干渉を示すことを意図している。タンパリングは、例えば妨害電波を出すことにより、情報がこの意図された宛先に到達しないようにする、試みられたサービス拒否をもたらすことを含み、また故意の侵害者が、意図的にこのネットワークに対する許可されていないアクセスを獲得しようと試みるアクセスの試みを含むこともある。
【0009】
アドホック無線ネットワークは、自動的に、すなわち面倒なことは最小限にして人の介入を必要とせずに、メンバ・デバイスを受け入れる(また拒絶し、あるいは時に脱落させる)ネットワークである。かかるネットワークは、同様に許可されたデバイスがそれに近づき、またはその近くに配置されるまでは、1つのデバイスしか有さない。かかるネットワークにおいては、マスタ/スレーブ構成が、一般的に好ましい。ジグビーもブルートゥースもかかる構成を使用している。しかし、ピアツーピア構成も使用される。本発明は、これらおよび他の無線ネットワーク・トポロジに対しても適用される。
【発明の開示】
【発明が解決しようとする課題】
【0010】
将来的には、かかる環境は、数十台のかかるデバイスを有するはずであると考えられる。したがって、どの時点においても、これらのデバイスは、他のデバイスとの対話を開始し、この対話に参加し、この対話を終了するはずである。これらの対話をする2つのデバイスが互いに他のすぐ近くに存在しない(すなわち、これらのデバイスが互いに他の無線伝送の範囲外にある)場合には、その後これらの対話は、それ自体が他のデバイスと対話することが可能な手段(ルータまたはリピータ)を介して行われる。これらのネットワークの管理におけるセキュリティ対策についての明確なニーズが存在する。
【0011】
本発明の一目的は、無線ネットワークにおける改善されたセキュリティを提供することである。
【課題を解決するための手段】
【0012】
一態様によれば、本発明は、それぞれの経路が、メッセージの伝搬のためにこのネットワーク内に配置された少なくとも1つのリピータを含む無線通信経路によってリンクされた少なくとも第1および第2のトランシーバを備える無線通信ネットワーク上での通信の方法であって、
このネットワークを介してこの第2のトランシーバに対して、メッセージを構成する複数の信号を伝送するステップと、
1つまたは複数のこれらの信号がタンパリングを受けているかどうかを受信された信号から決定するステップと
を含む方法を提供している。
【0013】
他の態様によれば、本発明は、無線通信ネットワーク上でメッセージを受信し、この無線ネットワーク中におけるこれらの信号のタンパリングを検出するためのレシーバであって、
このネットワークからメッセージを構成する複数の信号を受信する手段と、
これらの受信された信号から、1つまたは複数のこれらの信号が、タンパリングを受けているかどうかを決定する手段と
を備えるレシーバを提供している。
【0014】
他の態様によれば、本発明は、ネットワークに接続しようと試みる、許可されていないデバイスの存在を検出するための方法であって、
このネットワークに対するデバイスの接続を可能にし、または維持するデータであると主張するスプリアス・データを含む第1のメッセージをネットワーク上に伝送するステップと、
スプリアス・データの後続の使用を検出して、このネットワークに接続しようとする許可されていない試みを識別するステップと
を含む方法を提供している。
【0015】
他の態様によれば、本発明は、ネットワーク上で使用するためのデバイスであって、
このネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス・データを含む第1のメッセージをこのネットワーク上へと送信するためのトランスミッタと、
別のデバイスによってスプリアス・データの後続の使用を検出して、このネットワークに接続しようとする許可されていない試みを識別する検出手段と
を備えるデバイスを提供している。
【0016】
次に、例として添付図面を参照して、本発明の実施形態について説明することにする。
【発明を実施するための最良の形態】
【0017】
図1を参照すると、本発明の一実施形態によるアドホック無線通信ネットワーク10が示されている。ネットワーク10は、家庭環境内に配置されることが好ましいが、ネットワーク10は、他の環境内に配置されていてもよい。
【0018】
ネットワーク10は、2.4GHz(ジグビー)周波数帯域中で動作することが可能であるが、他の周波数帯域を使用してもよい、適切な短距離のどのような送受信デバイスとすることもできる少なくとも2つのトランシーバ1、2を含んでいる。これらの送受信デバイスは、ジグビー規格ベースの無線技術に準拠していることが好ましいが、ブルートゥース、802.11、および他の無線規格に準拠したものでもよい。
【0019】
トランシーバ1、2は、少なくとも2つの無線通信経路4、4’によってリンクされる。通信経路4、4’は、トランシーバ1、2の周波数帯域中で動作する。通信経路4、4’はそれぞれ、このネットワーク内に配置された、少なくとも1つの、ただし複数あることが好ましい異なるリピータ31...3n、31’...3n’によって定義される。これらのリピータは、トランシーバ1、2の周波数で動作することが可能な適切な短距離のどのような送受信デバイスであってもよく、トランシーバ1、2の好ましい無線技術規格に準拠している。ネットワーク10内で必要とされるリピータ31...3n、31’...3n’の数は、この家庭環境の大きさと、所望の異なる通信経路4、4’の数とに依存することになることが理解されよう。したがって、通信経路4、4’の数は、リピータ31...3n、31’...3n’の数に相互に関連する。
【0020】
好ましい構成においては、2つのトランシーバ1、2は、各経路がネットワーク10内に配置された少なくとも1つの異なるリピータ31...3n、31’...3n’によって定義される2つの通信経路4、4’によってリンクされる。一方のトランシーバ1は、ネットワーク10を介して他方のトランシーバ2に対してメッセージを構成する複数の信号を送信する。他方のトランシーバ2は、この受信された信号から、1つまたは複数のこれらの信号がタンパリングを受けているかどうか、またそれによってこのネットワークがその完全性(integrity)を保持しているか(すなわち、ネットワークが侵害されていないか)どうかを決定する。各経路4、4’は、同じ数のリピータ31...3n、31’...3n’を有していてもよく、あるいは異なる数のリピータを有していてもよい。
【0021】
一構成においては、一方のトランシーバ1は、2つの通信経路4、4’間のメッセージの信号を分割し、これらの信号のうちの一部分を一方の経路4上に、またこれらの信号のうちの残りを他方の経路4’上に送信する。このメッセージのこれらの信号は、等しい部分に分割されてもよく、または等しくない部分に分割されてもよい。これらの分割された信号は、連続的でもよく、ランダムに分割して非連続的にしてもよい。この同じ経路に送信されるこれらの分割された信号は、時間的に分離することもできる。
【0022】
この構成の重要な利点は、どの1つの通信経路も、このメッセージのすべての信号を伝えないことである。したがって、ある特定の経路上での盗聴は、このメッセージ中のすべての情報を提供することはなく、また妨害電波は、このメッセージのうちの一部分を受信できないようにするにすぎない。
【0023】
別の構成においては、一方のトランシーバ1は、一方の通信経路4上にこのメッセージの信号を送信し、他方の通信経路4’上に同じ信号を送信する。これらの信号は、同時に両方の経路4、4’上に送信してもよく、あるいは所定の時間間隔だけオーバーラップさせ、または分離して異なる時刻に送信してもよい。
【0024】
この構成の重要な利点は、特定の通信経路4の妨害電波により、他方のトランシーバ2が、他方の通信経路4’上でこのメッセージの信号を受信できないようにはならないことである。
【0025】
図2を参照すると、それぞれがノードNの集まり、例えばサブネット11中におけるノード31およびサブネット12中におけるノード32を備える2つのサブネット11、12を含む周囲ネットワーク10の周りに分散された複数のノードNを備える代替ネットワーク構成が示されている。その機能について以降でより詳細に説明することになるコントローラノード13も提供することができる。このネットワーク10に対して不正なアクセスを取得しようと試みる攻撃者ノード14についても示されている。サブネット12中の(メッセージ送信側としての機能を果たす)第1のトランシーバ・ノード1は、このネットワーク上で直接に、あるいはリピータとしての機能を果たす中間ノードNの任意の便宜的な組、例えばノード31および32を使用して(メッセージ受信側としての機能を果たす)第2のトランシーバ・ノード2と通信を行うことができる。
【0026】
これらのノードNのうちの任意のノードが、メッセージ発信側、メッセージ受信側、または他のノードのメッセージに対するリピータとしての機能を果たすことができることが理解されよう。
【0027】
2つの通信を行うトランシーバについてのリピータとしての機能を果たすことができる、このネットワーク中の多数のノードの存在が、これらのトランシーバの間の複数の可能な経路をもたらし、これらの経路のうちの多くは、完全に独立であり、これらの経路のうちの一部は、隣接するノード間の少なくとも一部の共通リンクを共有することが理解されよう。
【0028】
本発明の一態様は、伝送された信号に伴うタンパリングがこの受信デバイスによって検出することができることである。いくつかの方法がこれを達成するために実現される。
【0029】
タンパリングは、複数の経路上の、伝送または再伝送された信号の遅延、中断または終了により、あるいはメッセージ内におけるデータの改悪の存在、またはメッセージ内における不正なデータの使用により立証することができる。この不正のデータは、以降で説明するような、以前よりネットワーク上に故意に伝搬されたスプリアス・データでありうる。
【0030】
信号に伴うタンパリングによって引き起こされた遅延は、正常な通信経路中における予想される遅延についての予備知識をもつことにより検出することができる。例えば、リピータ31...3n、31’...3n’の存在は、この信号伝搬時間に知られている遅延を導入する。経路4、4’中におけるリピータ数を増大させることにより、このリピータ数に関連した長さだけ信号伝搬時間が増大することになる。これらのリピータ31...3n、31’...3n’が寄与する時間の長さは、受信側トランシーバ2における信号の予想された遅延に対応することになる。この予想された遅延よりも長い遅延は、セキュリティ侵害を示し得るので、この遅延についての知識により、受信側トランシーバ2は、信号タンパリングが行われているかどうかを決定することができるようになることもある。
【0031】
異なる経路上で伝送される信号の間に故意の遅延を導入することができ、またこれらの遅延については、タンパリングを検出する際に考慮することもできる。
【0032】
好ましい構成においては、ネットワーク10中の各トランシーバ1、2は、2つの通信経路4、4’上で受信されるこれらの信号を比較する信号処理モジュール(図示せず)を含んでいる。しかし、特定の経路4上で結局サービス拒否になる攻撃により、この経路4上で受信される信号がなくなってしまうか、または信号が、妨害電波が開始される瞬間に終了してしまうことが理解されよう。
【0033】
一構成においては、トランシーバ2が1つの通信経路4上でしか信号を受信しない場合、この信号処理モジュールは、受信側トランシーバ2に信号タンパリングについて通知することになる。この状態は、このメッセージの信号が分割されて、2つの通信経路4、4’に介して送信されるか、あるいはこれらの同じ信号が、2つの通信経路に介して送信される両方の構成に当てはまる。1つの通信経路4、4’上において仮にどの信号でも受信に失敗することは、その経路上でのサービス拒否攻撃を示すことになる。
【0034】
他の構成においては、トランシーバ2が一方の通信経路4上で、他の通信経路4’上で受信した信号と一致しない信号を受信し、トランシーバ2が両方の通信経路上で同じ信号を受信することを予想していた場合には、信号処理モジュールは、受信側トランシーバ2に信号タンパリングについて通知することになる。
【0035】
他の構成においては、トランシーバが、少なくとも一方の信号がなくなっていることを示す信号を両方の通信経路4、4’上で受信する場合には、信号処理モジュールは、受信側トランシーバ2に信号タンパリングについて通知することになる。この状態は、2つの通信経路4、4’に分割して送信された、メッセージの信号に当てはまる。この信号処理モジュールは、一方の通信経路4上で受信される信号の一部分を他方の通信経路4’上で受信される信号の一部分と組み合わせるようになっていることが好ましい。これらの組み合わされた部分が全体の送信されたメッセージを構成しない場合には、これらの信号に対する攻撃が指し示される。受信側トランシーバ2において1つまたは複数の信号を受信することができないようになることにより、結局サービス拒否攻撃ということになる。
【0036】
好ましい構成においては、信号タンパリングがこのメッセージの1つまたは複数の信号に対して行われているという趣旨の、受信側トランシーバ2に対するこの信号処理モジュールによる任意の通知により、トランシーバ2が結局ネットワーク10に対してセキュリティ侵害をアサートすることになることが好ましい。これは、ネットワーク10の各トランシーバ1、2に対してすべての通信経路4、4’に介して伝送される警報信号(図示せず)の形態を取ることができる。セキュリティ侵害をアサートすることは、攻撃の下にある通信経路4、4’をシャットダウンし(すなわち、このネットワークを部分的に禁止し)、またはすべての通信経路4、4’をシャットダウンする(すなわち、このネットワークを完全に禁止する)ことにより、一時的または無期限にさらなるネットワーク通信を禁止することができる。
【0037】
このシャットダウンは、さらなる信号の伝送を拒否し、または現在伝送されている信号を停止させる1つまたは複数のトランシーバ1、2またはリピータ31...3n、31’...3n’によって実現することができる。このシャットダウンは、所定の時間間隔の間、またはネットワーク10が認証されたユーザによって手動でリセットされるまで続くことができる。このシャットダウンは、タンパリングの証拠があるノードの分離しか含まないこともある。
【0038】
他の構成においては、ネットワーク10中の送受信デバイスはそれぞれ、ネットワーク10に対してセキュリティ侵害をアサートすることに応じてロックダウン状態を引き起こすことができる。たとえアクセス要求が信頼できることが知られていたとしても、このロックダウン状態は、この送受信デバイスに、任意のネットワーク・アクセス要求を一時的または無期限に拒絶させることができる。ネットワーク10は、その後にリセット認証コードを使用してリセットすることができるだけである。
【0039】
他の構成においては、攻撃の下にある通信経路4、4’を定義する1つまたは複数のリピータ31...3n、31’...3n’は、このセキュリティ侵害のアサートに応じて、この通信経路を動的に再経路指定して、この信号タンパリングの領域であると知られている経路の一部分を物理的に回避することができる。これらのリピータ31...3n、31’...3n’は、この経路の伝送信号と干渉しないように、次に使用可能な通信経路4、4’に沿ってこの伝送信号を再経路指定することができる。これが可能でない場合には、リピータ31...3n、31’...3n’は、伝送信号がないことが知られている次に使用可能な通信経路4、4’を選択することができる。この再経路指定された通信は、知られているセキュリティ上安全な経路に再経路指定することができる。
【0040】
かかる構成においては、ネットワーク10は、シャットダウンされず、受信側トランシーバ2は、この再経路指定された経路を介したこれらの伝搬のための追加時間を許容して、任意の再経路指定された信号について他の使用可能な通信経路4、4’を監視する。
【0041】
警報信号をアサートしまたは受信するトランシーバ1、2は、可聴警報または可視警報、あるいは両方の組合せの警報を出すことができることが好ましい。もちろん、セキュリティ侵害を示すために適切などのような形態の警報も使用することができることを理解されたい。その代わりにまたは追加して、認識されたセキュリティ侵害は、攻撃者のアクティビティをトレースするために使用することができるイベント・ログ中に詳述することができる。
【0042】
好ましい構成においては、通信経路4、4’のうちの少なくとも1つは、セキュリティ侵害に対して故意にセキュリティ上安全でなくてぜい弱であるように構成される。これは、この無線ネットワーク環境の末端に近いことが知られている場所において、通信経路4’を定義する1つまたは複数のリピータ31’...3n’を故意に配置することによって実現することができる。この家庭環境においては、例としては、それだけには限定されないが、家続きの庭、納屋(out−house)またはガレージになるはずである。このセキュリティ上安全でない通信経路4’上で伝送される信号は、特に盗聴およびサービス拒否攻撃に対してぜい弱なはずである。
【0043】
この信号処理モジュールは、タンパリングを立証するためにこのセキュリティ上安全でない通信経路4’上で受信されるこれらの信号を特に注意深く調べるように、または経路4’上のこれらの信号の妨害電波を高速に識別するようにされていることもある。
【0044】
他の構成においては、このメッセージのうちの少なくとも一部の信号は、故意のスプリアス情報または偽物の情報を含むようになっている可能性がある。このスプリアス情報は、例えば偽造のネットワーク認証の詳細、偽りのユーザID、または偽造のPIN(personal identification number個人識別番号)とすることができる。このスプリアス情報は、このメッセージの信号の一部分としてネットワーク10を介して伝送することができる。この構成の重要な利点は、このネットワークを盗聴することは、信頼できる情報を部分的にしか取得しないはずであるということである。スプリアス信号から取得されるどのようなスプリアス情報も、この故意の侵害者にとっては、役に立たないはずである。しかし、このスプリアス情報を使用してネットワーク10にアクセスし、ネットワーク10中の送受信デバイスに影響を及ぼすどのような試みも、偽物であり以前の信号タンパリングから生じたものとして懸念している受信側トランシーバ1、2によって簡単に識別されるはずであるので、スプリアス信号の使用は、このネットワークのセキュリティにとって有利である。
【0045】
他の構成においては、これらのスプリアス信号をこのメッセージのこれらの信号と別々に送信することができることも可能である。
【0046】
他の構成においては、これらのスプリアス信号は、セキュリティ上安全でない通信経路4’を介してしか送信することができない。このスプリアス情報と攻撃すべき経路4’のぜい弱性の組合せにより、悪意のない通りがかりの人または故意の侵害者は、ネットワーク10の送受信デバイスにとって偽物であると知られている情報をネットワーク10から簡単に取得することができるようになるはずである。
【0047】
他の構成においては、これらのスプリアス信号は、第1のトランシーバ1によって発信することができ、ネットワーク10を介して通信経路4、4’の一部またはすべてを介して第2のトランシーバ2へと伝送することができる。代わりに、これらのスプリアス信号は、第2のトランシーバ2によって発信することもでき、ネットワーク10を介して通信経路4、4’の一部またはすべてを介して第1のトランシーバ1へと伝送することもできる。代わりにこれらのスプリアス信号は、あるトランシーバによって発信することもでき、このネットワーク上の伝搬によってそのトランシーバ自体に返送することもできる。
【0048】
これらのスプリアス信号は、1つまたは複数のリピータ31...3n、31’...3n’によって発信することもでき、通信経路4、4’の一部またはすべてにわたって伝送することもできる。
【0049】
これらのスプリアス信号は、定期的にまたはランダムな時に送信することができる。これらのスプリアス信号は、セキュリティ侵害を受けている、すなわちタンパリングが検出されているものと以前に特定されている経路上に伝送することができる。この場合には、これらのスプリアス信号は、この検出されたタンパリングによって示されるこの警報状態により実際に再経路指定されているメッセージの明確な(ただし、偽物の)連続として明らかにすることができる。このようにして、攻撃者ノードには、人の介入なされうる後までその存在が検出されていることを知らされないでいることができる。
【0050】
これらのスプリアス信号は、選択されたデバイス、特にこのネットワークの比較的セキュリティ上安全でない部分に配置されたこれらのデバイスの間の偽の認証ハンドシェイクを含むことができる。
【0051】
スプリアス信号の許可されていない使用によるタンパリングを検出するためには、ネットワーク10中における少なくとも一部の許可されているデバイスが、このネットワークに対するアクセスを獲得しようと試みる許可されていないデバイス、または攻撃者から発信されるスプリアス信号から、許可されているデバイスによって故意に使用されているスプリアス信号(例えば、偽物の情報)を区別できる必要があることもある。
【0052】
これを達成するための一方法は、このネットワーク上のこれらのデバイス中に、スプリアス信号入力およびこれらの使用のための状態を含むLUT(Look−Up Tableルックアップ・テーブル)(図示せず)を保持することである。これらのテーブルおよび入力は、ネットワーク10全体にわたって共通にすることもでき、またある種のデバイスに特有にすることもできる。特定の送信デバイス1、2は、所定の使用状態に従って送信するためにこのLUTからランダムに、または所定の順序で入力を選択することができる。信号を受信するとすぐに、受信デバイス、例えばトランシーバ2は、このトランシーバ2上に記憶されるLUT中のこれらの入力に対してこの信号を比較し、この使用状態をチェックし、それによってこのスプリアス信号がタンパリングを示すかどうかを決定する。これらの使用状態は、(例えば、このスプリアス情報を通過させることができる時の)タイミング制約条件、ソースの身元および宛先の身元を含めて他のデータとの関連、あるいはこのスプリアス信号が、許可されているデバイスから発信されたか、または許可されていないデバイスから発信されたかを検証するために評価することができる他の任意の使用状態を含むことができる。
【0053】
LUTを使用するのではなくて、またはLUTを使用すると同時に、ネットワーク10の各送受信デバイスは、ネットワーク10全体にわたって共通な数学的アルゴリズムを使用してスプリアス信号を生成することができる。
【0054】
スプリアス信号が、このネットワーク上で1つのトランシーバによって伝搬され、それ自体に戻される場合には、このトランシーバだけしか、かかるスプリアス信号のステータスについて知っている必要があることが理解されよう。さらにまた、可能性のある攻撃者デバイス14に対するスプリアス情報の伝搬のためには、ネットワーク・ノードは、このネットワーク中の別の信頼できるノードに対してこのスプリアス情報を送信する必要さえない。それどころか、必要なことは、このネットワーク・ノードが、このネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス情報を送信することだけである。その後、このデータが、別のデバイスによってこのネットワークに接続しようとする試みで使用される場合には、タンパリングが、このスプリアス・データを発信したネットワーク・ノードによって検出されることになる。
【0055】
他の好ましい構成においては、ネットワーク10のリピータ31...3n、31’...3n’は、このメッセージの信号を伝送するのに先立ってトランシーバ1によってポーリングすることが好ましい。ネットワーク10中のこれらのリピータをポーリングすることにより、トランシーバ1は、これらのリピータの使用可能性を決定することができる。これらの使用可能なリピータは、どの通信経路4、4’が信号の伝搬のために使用可能であるかを示す。リピータ31...3n、31’...3n’は、トランシーバ1からの問合せメッセージを送信することにより、ポーリングすることが好ましい。
【0056】
トランシーバ1は、これらのポーリングされたリピータ31...3n、31’...3n’の応答に基づいて少なくとも2つの通信経路4、4’を選択することが好ましい。
【0057】
好ましい構成においては、トランシーバ1は、スプリアス信号を送信するために他の使用可能な通信経路4に優先して、セキュリティ上安全でない通信経路4’を定義するために知られているリピータ31’...3n’を選択することになる。
【0058】
他の構成においては、リピータ31...3n、31’...3n’は、このメッセージの信号にスプリアス信号を注入するようになっている。これらのリピータは、LUTまたはアルゴリズム、あるいはこれらの両方の組合せを使用して、以前の構成に従ってこのネットワークを介して送信するためのスプリアス信号を準備することができる。これらのリピータは、このメッセージの信号との干渉なしに定期的に、またはランダムにスプリアス信号を送信することができる。
【0059】
図2をさらに参照すると、他の構成では、中央コントローラノード13を使用して、このネットワーク・セキュリティを管理する。マスタ/スレーブ構成またはピアツーピア構成においては、他のノードよりも大容量のデータ・ストレージおよび高い処理機能が可能なデバイスに接続されるコントローラノードを提供することができる。このコントローラノードは、これらのネットワーク・セキュリティ対策を担うことができる。
【0060】
全体的なマスタコントローラが存在するように、階層的な方法で構成された1つの周囲環境中にいくつかのコントローラが存在し得る。ピアツーピア・ネットワーク構成においては、このコントローラは、認証または他のセキュリティに関連した詳細について照会されるノードとして指定することができる。
【0061】
アドホック・ネットワークは、たった1つのデバイスから構成することができる。他の有効になったデバイスが、その近くに存在し、このネットワークに参加するときに、このネットワークは、成長し始める。この最初のデバイスが、このコントローラノードであるべきことが好ましい。この近くに存在する第2の正当なデバイスがこのアドホック・ネットワークに参加しようと試みるときに、セキュリティ侵害が開始される可能性がある。盗聴デバイスは、コントローラと新しいデバイスの間で交換される細部を取り込むことができる。これらの細部は、後で攻撃デバイスが使用して、このネットワークにアクセスすることができる。
【0062】
提案される事前のセキュリティ対策の1つは、そのネットワークが最小のとき(ネットワークが、たった1つのデバイスから構成されるとき)でさえ、この周囲ネットワークは、スプリアス情報を生成することができることである。一例は、2つのデバイスの間で全体的に作り上げられる対話である(コントローラは、メッセージ送信側ノード1とメッセージ受信側ノード2の両方のふりをする)。これらの伝送をピックアップし、収集されたこの情報をその後に使用してこのネットワークにアクセスしようと試みる盗聴者は、この場合には識別されるはずである。この構成においては、コントローラ13だけがスプリアス・データを発信し(また対話の開始を制御し)、それ故にこのコントローラは、このスプリアス・データを使用しようと試みる攻撃者14を簡単に認識する。他の構成においては、2つの異なるコントローラが、ノード1および2のふりをする可能性がある。
【0063】
この攻撃パターン(および事前のセキュリティ対策)は、たとえ周囲ネットワークの規模がどのようであってもスケールアップ(scale−up)することができる。
【0064】
これらの説明した実施形態は、アドホック家庭無線通信ネットワーク中においてセキュリティを改善するために理想的であるが、この原理は、他のタイプの無線通信ネットワーク、例えば非家庭無線ネットワークにも拡張することができることが理解されよう。
【0065】
他の実施形態も、添付の特許請求の範囲の範囲内に含まれることを意図している。
【図面の簡単な説明】
【0066】
【図1】本発明の好ましい一実施形態によるアドホック無線通信ネットワークの概略図である。
【図2】本発明の第2の実施形態によるアドホック無線通信ネットワークの概略図である。
【技術分野】
【0001】
本発明は、無線通信ネットワークおよびネットワーク・セキュリティに関する。
【背景技術】
【0002】
無線通信ネットワークは、近年、人気が高まってきている。モバイル電話、ページャ、携帯型個人情報端末、モバイル・コンピュータ、および他の通信デバイスはすべて、無線通信技術を利用している。無線通信ネットワークの使用は、ビジネス環境および産業環境において一般的になってきており、これらの技術は、ますます家庭環境においても人気がより高くなりつつある。
【0003】
この周囲環境、例えば将来の家庭は、ジグビー(ZigBee)やブルートゥース(Bluetooth)などのアドホック無線ネットワーキング技術に基づくかもしれない。周囲環境における電子デバイスは、このネットワークの一部分を形成することになる。例として、家庭用警報装置、セントラル・ヒーティング/エアコン用のサーモスタット、電灯スイッチおよび煙検出器を含む可能性があるが、これらには限定されない。一例のシナリオとして、自宅所有者が、自分の車のキーを見出すように要請し、これらのキーが、この所有者に対して応答を返信することもありうる。
【0004】
無線通信の性質は、この家庭ネットワーク内のブロードキャストが、この家庭の周辺だけに限定される必要がないようなものである。十中八九、家庭ネットワークは、居住環境の境界を超えて広がることになり、隣接するネットワークとオーバーラップすることもある。これは、サード・パーティによるタンパリング(tampering)およびセキュリティ侵害に対して、この家庭ネットワークをぜい弱にしてしまう。このサード・パーティは、隣接ネットワークの悪意のないユーザであることも、あるいはより故意の侵害者であることもある。
【0005】
アドホック家庭無線ネットワークにおけるセキュリティは、これらの無線技術の他の様相(aspect)ほど十分には述べられてこなかった無線通信の課題である。この家庭環境においては、隣接ネットワークまたは通りがかりの人(passers−by)からの干渉(interference)を回避または低下させて、このネットワークから集められる情報に対処し、他のセキュリティ侵害に対処する必要があることになる。
【0006】
故意の侵害者がその有線リンクに対する物理アクセスを行い、あるいはファイアウォールおよびルータにおけるセキュリティの弱点を利用する必要がある従来の有線ネットワークと違って、アドホック無線ネットワークにおける攻撃は、このネットワーク内の任意のポイント、またはこの無線ブロードキャストを受信することが可能な任意の位置で発生することもある。アドホック無線ネットワークは、明確な防衛線を有さず、対策をとって、悪意のないセキュリティ侵害または悪意のあるセキュリティ侵害に対して対処し、または免疫化する(immunise)必要がある。
【0007】
WO02/078210は、メッセージの一部分またはすべてがこのネットワーク中のリピータにより定義される異なる通信経路上で伝送され、それによって1経路上の無線通信を妨げる障害が、メッセージ全体をブロックしないようにする無線通信システムについて説明している。WO’210は、特にネットワーク中の2つのトランシーバ間で伝送されるメッセージが、失われるか、または文字化けしているフェージング(fading)の問題に対処しており、意図的なタンパリング、またはメッセージに伴う干渉に対するセキュリティについて説明してはいない。
【0008】
「タンパリング」という表現は、信号のデータ内容に伴う干渉を含めて、信号に伴うすべての形態の意図的または悪意のある干渉を示すことを意図している。タンパリングは、例えば妨害電波を出すことにより、情報がこの意図された宛先に到達しないようにする、試みられたサービス拒否をもたらすことを含み、また故意の侵害者が、意図的にこのネットワークに対する許可されていないアクセスを獲得しようと試みるアクセスの試みを含むこともある。
【0009】
アドホック無線ネットワークは、自動的に、すなわち面倒なことは最小限にして人の介入を必要とせずに、メンバ・デバイスを受け入れる(また拒絶し、あるいは時に脱落させる)ネットワークである。かかるネットワークは、同様に許可されたデバイスがそれに近づき、またはその近くに配置されるまでは、1つのデバイスしか有さない。かかるネットワークにおいては、マスタ/スレーブ構成が、一般的に好ましい。ジグビーもブルートゥースもかかる構成を使用している。しかし、ピアツーピア構成も使用される。本発明は、これらおよび他の無線ネットワーク・トポロジに対しても適用される。
【発明の開示】
【発明が解決しようとする課題】
【0010】
将来的には、かかる環境は、数十台のかかるデバイスを有するはずであると考えられる。したがって、どの時点においても、これらのデバイスは、他のデバイスとの対話を開始し、この対話に参加し、この対話を終了するはずである。これらの対話をする2つのデバイスが互いに他のすぐ近くに存在しない(すなわち、これらのデバイスが互いに他の無線伝送の範囲外にある)場合には、その後これらの対話は、それ自体が他のデバイスと対話することが可能な手段(ルータまたはリピータ)を介して行われる。これらのネットワークの管理におけるセキュリティ対策についての明確なニーズが存在する。
【0011】
本発明の一目的は、無線ネットワークにおける改善されたセキュリティを提供することである。
【課題を解決するための手段】
【0012】
一態様によれば、本発明は、それぞれの経路が、メッセージの伝搬のためにこのネットワーク内に配置された少なくとも1つのリピータを含む無線通信経路によってリンクされた少なくとも第1および第2のトランシーバを備える無線通信ネットワーク上での通信の方法であって、
このネットワークを介してこの第2のトランシーバに対して、メッセージを構成する複数の信号を伝送するステップと、
1つまたは複数のこれらの信号がタンパリングを受けているかどうかを受信された信号から決定するステップと
を含む方法を提供している。
【0013】
他の態様によれば、本発明は、無線通信ネットワーク上でメッセージを受信し、この無線ネットワーク中におけるこれらの信号のタンパリングを検出するためのレシーバであって、
このネットワークからメッセージを構成する複数の信号を受信する手段と、
これらの受信された信号から、1つまたは複数のこれらの信号が、タンパリングを受けているかどうかを決定する手段と
を備えるレシーバを提供している。
【0014】
他の態様によれば、本発明は、ネットワークに接続しようと試みる、許可されていないデバイスの存在を検出するための方法であって、
このネットワークに対するデバイスの接続を可能にし、または維持するデータであると主張するスプリアス・データを含む第1のメッセージをネットワーク上に伝送するステップと、
スプリアス・データの後続の使用を検出して、このネットワークに接続しようとする許可されていない試みを識別するステップと
を含む方法を提供している。
【0015】
他の態様によれば、本発明は、ネットワーク上で使用するためのデバイスであって、
このネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス・データを含む第1のメッセージをこのネットワーク上へと送信するためのトランスミッタと、
別のデバイスによってスプリアス・データの後続の使用を検出して、このネットワークに接続しようとする許可されていない試みを識別する検出手段と
を備えるデバイスを提供している。
【0016】
次に、例として添付図面を参照して、本発明の実施形態について説明することにする。
【発明を実施するための最良の形態】
【0017】
図1を参照すると、本発明の一実施形態によるアドホック無線通信ネットワーク10が示されている。ネットワーク10は、家庭環境内に配置されることが好ましいが、ネットワーク10は、他の環境内に配置されていてもよい。
【0018】
ネットワーク10は、2.4GHz(ジグビー)周波数帯域中で動作することが可能であるが、他の周波数帯域を使用してもよい、適切な短距離のどのような送受信デバイスとすることもできる少なくとも2つのトランシーバ1、2を含んでいる。これらの送受信デバイスは、ジグビー規格ベースの無線技術に準拠していることが好ましいが、ブルートゥース、802.11、および他の無線規格に準拠したものでもよい。
【0019】
トランシーバ1、2は、少なくとも2つの無線通信経路4、4’によってリンクされる。通信経路4、4’は、トランシーバ1、2の周波数帯域中で動作する。通信経路4、4’はそれぞれ、このネットワーク内に配置された、少なくとも1つの、ただし複数あることが好ましい異なるリピータ31...3n、31’...3n’によって定義される。これらのリピータは、トランシーバ1、2の周波数で動作することが可能な適切な短距離のどのような送受信デバイスであってもよく、トランシーバ1、2の好ましい無線技術規格に準拠している。ネットワーク10内で必要とされるリピータ31...3n、31’...3n’の数は、この家庭環境の大きさと、所望の異なる通信経路4、4’の数とに依存することになることが理解されよう。したがって、通信経路4、4’の数は、リピータ31...3n、31’...3n’の数に相互に関連する。
【0020】
好ましい構成においては、2つのトランシーバ1、2は、各経路がネットワーク10内に配置された少なくとも1つの異なるリピータ31...3n、31’...3n’によって定義される2つの通信経路4、4’によってリンクされる。一方のトランシーバ1は、ネットワーク10を介して他方のトランシーバ2に対してメッセージを構成する複数の信号を送信する。他方のトランシーバ2は、この受信された信号から、1つまたは複数のこれらの信号がタンパリングを受けているかどうか、またそれによってこのネットワークがその完全性(integrity)を保持しているか(すなわち、ネットワークが侵害されていないか)どうかを決定する。各経路4、4’は、同じ数のリピータ31...3n、31’...3n’を有していてもよく、あるいは異なる数のリピータを有していてもよい。
【0021】
一構成においては、一方のトランシーバ1は、2つの通信経路4、4’間のメッセージの信号を分割し、これらの信号のうちの一部分を一方の経路4上に、またこれらの信号のうちの残りを他方の経路4’上に送信する。このメッセージのこれらの信号は、等しい部分に分割されてもよく、または等しくない部分に分割されてもよい。これらの分割された信号は、連続的でもよく、ランダムに分割して非連続的にしてもよい。この同じ経路に送信されるこれらの分割された信号は、時間的に分離することもできる。
【0022】
この構成の重要な利点は、どの1つの通信経路も、このメッセージのすべての信号を伝えないことである。したがって、ある特定の経路上での盗聴は、このメッセージ中のすべての情報を提供することはなく、また妨害電波は、このメッセージのうちの一部分を受信できないようにするにすぎない。
【0023】
別の構成においては、一方のトランシーバ1は、一方の通信経路4上にこのメッセージの信号を送信し、他方の通信経路4’上に同じ信号を送信する。これらの信号は、同時に両方の経路4、4’上に送信してもよく、あるいは所定の時間間隔だけオーバーラップさせ、または分離して異なる時刻に送信してもよい。
【0024】
この構成の重要な利点は、特定の通信経路4の妨害電波により、他方のトランシーバ2が、他方の通信経路4’上でこのメッセージの信号を受信できないようにはならないことである。
【0025】
図2を参照すると、それぞれがノードNの集まり、例えばサブネット11中におけるノード31およびサブネット12中におけるノード32を備える2つのサブネット11、12を含む周囲ネットワーク10の周りに分散された複数のノードNを備える代替ネットワーク構成が示されている。その機能について以降でより詳細に説明することになるコントローラノード13も提供することができる。このネットワーク10に対して不正なアクセスを取得しようと試みる攻撃者ノード14についても示されている。サブネット12中の(メッセージ送信側としての機能を果たす)第1のトランシーバ・ノード1は、このネットワーク上で直接に、あるいはリピータとしての機能を果たす中間ノードNの任意の便宜的な組、例えばノード31および32を使用して(メッセージ受信側としての機能を果たす)第2のトランシーバ・ノード2と通信を行うことができる。
【0026】
これらのノードNのうちの任意のノードが、メッセージ発信側、メッセージ受信側、または他のノードのメッセージに対するリピータとしての機能を果たすことができることが理解されよう。
【0027】
2つの通信を行うトランシーバについてのリピータとしての機能を果たすことができる、このネットワーク中の多数のノードの存在が、これらのトランシーバの間の複数の可能な経路をもたらし、これらの経路のうちの多くは、完全に独立であり、これらの経路のうちの一部は、隣接するノード間の少なくとも一部の共通リンクを共有することが理解されよう。
【0028】
本発明の一態様は、伝送された信号に伴うタンパリングがこの受信デバイスによって検出することができることである。いくつかの方法がこれを達成するために実現される。
【0029】
タンパリングは、複数の経路上の、伝送または再伝送された信号の遅延、中断または終了により、あるいはメッセージ内におけるデータの改悪の存在、またはメッセージ内における不正なデータの使用により立証することができる。この不正のデータは、以降で説明するような、以前よりネットワーク上に故意に伝搬されたスプリアス・データでありうる。
【0030】
信号に伴うタンパリングによって引き起こされた遅延は、正常な通信経路中における予想される遅延についての予備知識をもつことにより検出することができる。例えば、リピータ31...3n、31’...3n’の存在は、この信号伝搬時間に知られている遅延を導入する。経路4、4’中におけるリピータ数を増大させることにより、このリピータ数に関連した長さだけ信号伝搬時間が増大することになる。これらのリピータ31...3n、31’...3n’が寄与する時間の長さは、受信側トランシーバ2における信号の予想された遅延に対応することになる。この予想された遅延よりも長い遅延は、セキュリティ侵害を示し得るので、この遅延についての知識により、受信側トランシーバ2は、信号タンパリングが行われているかどうかを決定することができるようになることもある。
【0031】
異なる経路上で伝送される信号の間に故意の遅延を導入することができ、またこれらの遅延については、タンパリングを検出する際に考慮することもできる。
【0032】
好ましい構成においては、ネットワーク10中の各トランシーバ1、2は、2つの通信経路4、4’上で受信されるこれらの信号を比較する信号処理モジュール(図示せず)を含んでいる。しかし、特定の経路4上で結局サービス拒否になる攻撃により、この経路4上で受信される信号がなくなってしまうか、または信号が、妨害電波が開始される瞬間に終了してしまうことが理解されよう。
【0033】
一構成においては、トランシーバ2が1つの通信経路4上でしか信号を受信しない場合、この信号処理モジュールは、受信側トランシーバ2に信号タンパリングについて通知することになる。この状態は、このメッセージの信号が分割されて、2つの通信経路4、4’に介して送信されるか、あるいはこれらの同じ信号が、2つの通信経路に介して送信される両方の構成に当てはまる。1つの通信経路4、4’上において仮にどの信号でも受信に失敗することは、その経路上でのサービス拒否攻撃を示すことになる。
【0034】
他の構成においては、トランシーバ2が一方の通信経路4上で、他の通信経路4’上で受信した信号と一致しない信号を受信し、トランシーバ2が両方の通信経路上で同じ信号を受信することを予想していた場合には、信号処理モジュールは、受信側トランシーバ2に信号タンパリングについて通知することになる。
【0035】
他の構成においては、トランシーバが、少なくとも一方の信号がなくなっていることを示す信号を両方の通信経路4、4’上で受信する場合には、信号処理モジュールは、受信側トランシーバ2に信号タンパリングについて通知することになる。この状態は、2つの通信経路4、4’に分割して送信された、メッセージの信号に当てはまる。この信号処理モジュールは、一方の通信経路4上で受信される信号の一部分を他方の通信経路4’上で受信される信号の一部分と組み合わせるようになっていることが好ましい。これらの組み合わされた部分が全体の送信されたメッセージを構成しない場合には、これらの信号に対する攻撃が指し示される。受信側トランシーバ2において1つまたは複数の信号を受信することができないようになることにより、結局サービス拒否攻撃ということになる。
【0036】
好ましい構成においては、信号タンパリングがこのメッセージの1つまたは複数の信号に対して行われているという趣旨の、受信側トランシーバ2に対するこの信号処理モジュールによる任意の通知により、トランシーバ2が結局ネットワーク10に対してセキュリティ侵害をアサートすることになることが好ましい。これは、ネットワーク10の各トランシーバ1、2に対してすべての通信経路4、4’に介して伝送される警報信号(図示せず)の形態を取ることができる。セキュリティ侵害をアサートすることは、攻撃の下にある通信経路4、4’をシャットダウンし(すなわち、このネットワークを部分的に禁止し)、またはすべての通信経路4、4’をシャットダウンする(すなわち、このネットワークを完全に禁止する)ことにより、一時的または無期限にさらなるネットワーク通信を禁止することができる。
【0037】
このシャットダウンは、さらなる信号の伝送を拒否し、または現在伝送されている信号を停止させる1つまたは複数のトランシーバ1、2またはリピータ31...3n、31’...3n’によって実現することができる。このシャットダウンは、所定の時間間隔の間、またはネットワーク10が認証されたユーザによって手動でリセットされるまで続くことができる。このシャットダウンは、タンパリングの証拠があるノードの分離しか含まないこともある。
【0038】
他の構成においては、ネットワーク10中の送受信デバイスはそれぞれ、ネットワーク10に対してセキュリティ侵害をアサートすることに応じてロックダウン状態を引き起こすことができる。たとえアクセス要求が信頼できることが知られていたとしても、このロックダウン状態は、この送受信デバイスに、任意のネットワーク・アクセス要求を一時的または無期限に拒絶させることができる。ネットワーク10は、その後にリセット認証コードを使用してリセットすることができるだけである。
【0039】
他の構成においては、攻撃の下にある通信経路4、4’を定義する1つまたは複数のリピータ31...3n、31’...3n’は、このセキュリティ侵害のアサートに応じて、この通信経路を動的に再経路指定して、この信号タンパリングの領域であると知られている経路の一部分を物理的に回避することができる。これらのリピータ31...3n、31’...3n’は、この経路の伝送信号と干渉しないように、次に使用可能な通信経路4、4’に沿ってこの伝送信号を再経路指定することができる。これが可能でない場合には、リピータ31...3n、31’...3n’は、伝送信号がないことが知られている次に使用可能な通信経路4、4’を選択することができる。この再経路指定された通信は、知られているセキュリティ上安全な経路に再経路指定することができる。
【0040】
かかる構成においては、ネットワーク10は、シャットダウンされず、受信側トランシーバ2は、この再経路指定された経路を介したこれらの伝搬のための追加時間を許容して、任意の再経路指定された信号について他の使用可能な通信経路4、4’を監視する。
【0041】
警報信号をアサートしまたは受信するトランシーバ1、2は、可聴警報または可視警報、あるいは両方の組合せの警報を出すことができることが好ましい。もちろん、セキュリティ侵害を示すために適切などのような形態の警報も使用することができることを理解されたい。その代わりにまたは追加して、認識されたセキュリティ侵害は、攻撃者のアクティビティをトレースするために使用することができるイベント・ログ中に詳述することができる。
【0042】
好ましい構成においては、通信経路4、4’のうちの少なくとも1つは、セキュリティ侵害に対して故意にセキュリティ上安全でなくてぜい弱であるように構成される。これは、この無線ネットワーク環境の末端に近いことが知られている場所において、通信経路4’を定義する1つまたは複数のリピータ31’...3n’を故意に配置することによって実現することができる。この家庭環境においては、例としては、それだけには限定されないが、家続きの庭、納屋(out−house)またはガレージになるはずである。このセキュリティ上安全でない通信経路4’上で伝送される信号は、特に盗聴およびサービス拒否攻撃に対してぜい弱なはずである。
【0043】
この信号処理モジュールは、タンパリングを立証するためにこのセキュリティ上安全でない通信経路4’上で受信されるこれらの信号を特に注意深く調べるように、または経路4’上のこれらの信号の妨害電波を高速に識別するようにされていることもある。
【0044】
他の構成においては、このメッセージのうちの少なくとも一部の信号は、故意のスプリアス情報または偽物の情報を含むようになっている可能性がある。このスプリアス情報は、例えば偽造のネットワーク認証の詳細、偽りのユーザID、または偽造のPIN(personal identification number個人識別番号)とすることができる。このスプリアス情報は、このメッセージの信号の一部分としてネットワーク10を介して伝送することができる。この構成の重要な利点は、このネットワークを盗聴することは、信頼できる情報を部分的にしか取得しないはずであるということである。スプリアス信号から取得されるどのようなスプリアス情報も、この故意の侵害者にとっては、役に立たないはずである。しかし、このスプリアス情報を使用してネットワーク10にアクセスし、ネットワーク10中の送受信デバイスに影響を及ぼすどのような試みも、偽物であり以前の信号タンパリングから生じたものとして懸念している受信側トランシーバ1、2によって簡単に識別されるはずであるので、スプリアス信号の使用は、このネットワークのセキュリティにとって有利である。
【0045】
他の構成においては、これらのスプリアス信号をこのメッセージのこれらの信号と別々に送信することができることも可能である。
【0046】
他の構成においては、これらのスプリアス信号は、セキュリティ上安全でない通信経路4’を介してしか送信することができない。このスプリアス情報と攻撃すべき経路4’のぜい弱性の組合せにより、悪意のない通りがかりの人または故意の侵害者は、ネットワーク10の送受信デバイスにとって偽物であると知られている情報をネットワーク10から簡単に取得することができるようになるはずである。
【0047】
他の構成においては、これらのスプリアス信号は、第1のトランシーバ1によって発信することができ、ネットワーク10を介して通信経路4、4’の一部またはすべてを介して第2のトランシーバ2へと伝送することができる。代わりに、これらのスプリアス信号は、第2のトランシーバ2によって発信することもでき、ネットワーク10を介して通信経路4、4’の一部またはすべてを介して第1のトランシーバ1へと伝送することもできる。代わりにこれらのスプリアス信号は、あるトランシーバによって発信することもでき、このネットワーク上の伝搬によってそのトランシーバ自体に返送することもできる。
【0048】
これらのスプリアス信号は、1つまたは複数のリピータ31...3n、31’...3n’によって発信することもでき、通信経路4、4’の一部またはすべてにわたって伝送することもできる。
【0049】
これらのスプリアス信号は、定期的にまたはランダムな時に送信することができる。これらのスプリアス信号は、セキュリティ侵害を受けている、すなわちタンパリングが検出されているものと以前に特定されている経路上に伝送することができる。この場合には、これらのスプリアス信号は、この検出されたタンパリングによって示されるこの警報状態により実際に再経路指定されているメッセージの明確な(ただし、偽物の)連続として明らかにすることができる。このようにして、攻撃者ノードには、人の介入なされうる後までその存在が検出されていることを知らされないでいることができる。
【0050】
これらのスプリアス信号は、選択されたデバイス、特にこのネットワークの比較的セキュリティ上安全でない部分に配置されたこれらのデバイスの間の偽の認証ハンドシェイクを含むことができる。
【0051】
スプリアス信号の許可されていない使用によるタンパリングを検出するためには、ネットワーク10中における少なくとも一部の許可されているデバイスが、このネットワークに対するアクセスを獲得しようと試みる許可されていないデバイス、または攻撃者から発信されるスプリアス信号から、許可されているデバイスによって故意に使用されているスプリアス信号(例えば、偽物の情報)を区別できる必要があることもある。
【0052】
これを達成するための一方法は、このネットワーク上のこれらのデバイス中に、スプリアス信号入力およびこれらの使用のための状態を含むLUT(Look−Up Tableルックアップ・テーブル)(図示せず)を保持することである。これらのテーブルおよび入力は、ネットワーク10全体にわたって共通にすることもでき、またある種のデバイスに特有にすることもできる。特定の送信デバイス1、2は、所定の使用状態に従って送信するためにこのLUTからランダムに、または所定の順序で入力を選択することができる。信号を受信するとすぐに、受信デバイス、例えばトランシーバ2は、このトランシーバ2上に記憶されるLUT中のこれらの入力に対してこの信号を比較し、この使用状態をチェックし、それによってこのスプリアス信号がタンパリングを示すかどうかを決定する。これらの使用状態は、(例えば、このスプリアス情報を通過させることができる時の)タイミング制約条件、ソースの身元および宛先の身元を含めて他のデータとの関連、あるいはこのスプリアス信号が、許可されているデバイスから発信されたか、または許可されていないデバイスから発信されたかを検証するために評価することができる他の任意の使用状態を含むことができる。
【0053】
LUTを使用するのではなくて、またはLUTを使用すると同時に、ネットワーク10の各送受信デバイスは、ネットワーク10全体にわたって共通な数学的アルゴリズムを使用してスプリアス信号を生成することができる。
【0054】
スプリアス信号が、このネットワーク上で1つのトランシーバによって伝搬され、それ自体に戻される場合には、このトランシーバだけしか、かかるスプリアス信号のステータスについて知っている必要があることが理解されよう。さらにまた、可能性のある攻撃者デバイス14に対するスプリアス情報の伝搬のためには、ネットワーク・ノードは、このネットワーク中の別の信頼できるノードに対してこのスプリアス情報を送信する必要さえない。それどころか、必要なことは、このネットワーク・ノードが、このネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス情報を送信することだけである。その後、このデータが、別のデバイスによってこのネットワークに接続しようとする試みで使用される場合には、タンパリングが、このスプリアス・データを発信したネットワーク・ノードによって検出されることになる。
【0055】
他の好ましい構成においては、ネットワーク10のリピータ31...3n、31’...3n’は、このメッセージの信号を伝送するのに先立ってトランシーバ1によってポーリングすることが好ましい。ネットワーク10中のこれらのリピータをポーリングすることにより、トランシーバ1は、これらのリピータの使用可能性を決定することができる。これらの使用可能なリピータは、どの通信経路4、4’が信号の伝搬のために使用可能であるかを示す。リピータ31...3n、31’...3n’は、トランシーバ1からの問合せメッセージを送信することにより、ポーリングすることが好ましい。
【0056】
トランシーバ1は、これらのポーリングされたリピータ31...3n、31’...3n’の応答に基づいて少なくとも2つの通信経路4、4’を選択することが好ましい。
【0057】
好ましい構成においては、トランシーバ1は、スプリアス信号を送信するために他の使用可能な通信経路4に優先して、セキュリティ上安全でない通信経路4’を定義するために知られているリピータ31’...3n’を選択することになる。
【0058】
他の構成においては、リピータ31...3n、31’...3n’は、このメッセージの信号にスプリアス信号を注入するようになっている。これらのリピータは、LUTまたはアルゴリズム、あるいはこれらの両方の組合せを使用して、以前の構成に従ってこのネットワークを介して送信するためのスプリアス信号を準備することができる。これらのリピータは、このメッセージの信号との干渉なしに定期的に、またはランダムにスプリアス信号を送信することができる。
【0059】
図2をさらに参照すると、他の構成では、中央コントローラノード13を使用して、このネットワーク・セキュリティを管理する。マスタ/スレーブ構成またはピアツーピア構成においては、他のノードよりも大容量のデータ・ストレージおよび高い処理機能が可能なデバイスに接続されるコントローラノードを提供することができる。このコントローラノードは、これらのネットワーク・セキュリティ対策を担うことができる。
【0060】
全体的なマスタコントローラが存在するように、階層的な方法で構成された1つの周囲環境中にいくつかのコントローラが存在し得る。ピアツーピア・ネットワーク構成においては、このコントローラは、認証または他のセキュリティに関連した詳細について照会されるノードとして指定することができる。
【0061】
アドホック・ネットワークは、たった1つのデバイスから構成することができる。他の有効になったデバイスが、その近くに存在し、このネットワークに参加するときに、このネットワークは、成長し始める。この最初のデバイスが、このコントローラノードであるべきことが好ましい。この近くに存在する第2の正当なデバイスがこのアドホック・ネットワークに参加しようと試みるときに、セキュリティ侵害が開始される可能性がある。盗聴デバイスは、コントローラと新しいデバイスの間で交換される細部を取り込むことができる。これらの細部は、後で攻撃デバイスが使用して、このネットワークにアクセスすることができる。
【0062】
提案される事前のセキュリティ対策の1つは、そのネットワークが最小のとき(ネットワークが、たった1つのデバイスから構成されるとき)でさえ、この周囲ネットワークは、スプリアス情報を生成することができることである。一例は、2つのデバイスの間で全体的に作り上げられる対話である(コントローラは、メッセージ送信側ノード1とメッセージ受信側ノード2の両方のふりをする)。これらの伝送をピックアップし、収集されたこの情報をその後に使用してこのネットワークにアクセスしようと試みる盗聴者は、この場合には識別されるはずである。この構成においては、コントローラ13だけがスプリアス・データを発信し(また対話の開始を制御し)、それ故にこのコントローラは、このスプリアス・データを使用しようと試みる攻撃者14を簡単に認識する。他の構成においては、2つの異なるコントローラが、ノード1および2のふりをする可能性がある。
【0063】
この攻撃パターン(および事前のセキュリティ対策)は、たとえ周囲ネットワークの規模がどのようであってもスケールアップ(scale−up)することができる。
【0064】
これらの説明した実施形態は、アドホック家庭無線通信ネットワーク中においてセキュリティを改善するために理想的であるが、この原理は、他のタイプの無線通信ネットワーク、例えば非家庭無線ネットワークにも拡張することができることが理解されよう。
【0065】
他の実施形態も、添付の特許請求の範囲の範囲内に含まれることを意図している。
【図面の簡単な説明】
【0066】
【図1】本発明の好ましい一実施形態によるアドホック無線通信ネットワークの概略図である。
【図2】本発明の第2の実施形態によるアドホック無線通信ネットワークの概略図である。
【特許請求の範囲】
【請求項1】
無線通信ネットワーク上の通信の方法であって、前記ネットワークが、無線通信経路によってリンクされた少なくとも第1のトランシーバおよび第2のトランシーバを含み、各経路が、メッセージの伝搬のための、前記ネットワーク内に配置された少なくとも1つのリピータを含み、前記方法が、
前記ネットワークを介して前記第2のトランシーバにメッセージを構成する複数の信号を伝送するステップと、
1つまたは複数の前記信号がタンパリングを受けているかどうかを受信された信号から決定するステップと
を含む方法。
【請求項2】
タンパリング状態の前記決定に応じてセキュリティ侵害状態をアサートするステップをさらに含む、請求項1に記載の方法。
【請求項3】
前記メッセージの前記信号が、2つの通信経路に介して分割されて送信される、請求項1に記載の方法。
【請求項4】
同じ通信経路上に送信される前記信号が、時間的に分離される、請求項3に記載の方法。
【請求項5】
1つの通信経路上に送信される前記信号が、別の通信経路上にも送信される、請求項1に記載の方法。
【請求項6】
前記信号が、同時に、または異なる時刻に両方の通信経路上に送信される、請求項5に記載の方法。
【請求項7】
前記決定するステップが、前記2つの通信経路上で受信される前記信号を比較する、請求項3または5に記載の方法。
【請求項8】
前記第2のトランシーバが一方の通信経路上だけで信号を受信する場合に、前記決定するステップが、信号タンパリングを識別する、請求項3または5に記載の方法。
【請求項9】
一方の通信経路上で受信された前記信号が他方の通信経路上で受信された前記信号とマッチングしない場合に、前記決定するステップが、信号タンパリングを識別する、請求項5に記載の方法。
【請求項10】
信号到着時刻の間の相対的な遅延が予想された遅延から逸脱する場合に、前記決定するステップが、タンパリングを識別する、請求項3に記載の方法。
【請求項11】
前記受信された信号が、少なくとも1つの信号がなくなっていることを示す場合に、前記決定するステップが、信号タンパリングを識別する、請求項3に記載の方法。
【請求項12】
前記通信経路のうちの1つが、セキュリティ侵害に対して比較的セキュリティ上安全でなくてぜい弱であるように構成される、請求項1に記載の方法。
【請求項13】
前記決定するステップが、前記セキュリティ上安全でない通信経路上で受信された前記信号を別の通信経路上で受信された信号と比較する、請求項12に記載の方法。
【請求項14】
前記メッセージの少なくとも一部の前記信号は、スプリアス情報を含むようになっている、請求項1に記載の方法。
【請求項15】
前記決定するステップは、前記スプリアス信号を識別し、前記スプリアス信号が許可されているデバイスから発信されているか、許可されていないデバイスから発信されているかを決定することを含む、請求項14に記載の方法。
【請求項16】
スプリアス信号が許可されているデバイスから発信されているか、許可されていないデバイスから発信されているかを決定する前記ステップは、使用状態をチェックすることを含む、請求項15に記載の方法。
【請求項17】
伝送するステップに先立って前記通信経路の1つをセキュリティ侵害に対してセキュリティ上安全でなくてぜい弱であるように構成するステップと、
前記メッセージの少なくとも一部の前記信号を、スプリアス情報を含むように適合させるステップと
をさらに含み、前記伝送するステップは、前記セキュリティ上安全でない通信経路上にしか前記スプリアス信号を送信しない、請求項1に記載の方法。
【請求項18】
前記スプリアス情報が、リピータによって挿入される、請求項14に記載の方法。
【請求項19】
セキュリティ侵害をアサートする前記ステップが、警報状態をアサートするステップを含む、請求項2に記載の方法。
【請求項20】
セキュリティ侵害をアサートする前記ステップが、前記ネットワーク上の少なくとも一部のデバイス間におけるメッセージ伝送を禁止するステップを含む、請求項19に記載の方法。
【請求項21】
無線通信ネットワーク上でメッセージを受信し、前記無線ネットワーク中における信号のタンパリングを検出するためのレシーバであって、
メッセージを構成する複数の信号を前記ネットワークから受信する手段と、
1つまたは複数の前記信号がタンパリングを受けているかどうかを前記受信された信号から決定する手段と
を備えるレシーバ。
【請求項22】
ネットワークに接続しようと試みる許可されていないデバイスの存在を検出するための方法であって、
前記ネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス・データを含む第1のメッセージをネットワーク上に伝送するステップと、
スプリアス・データの後続の使用を検出して、前記ネットワークに接続しようとする許可されていない試みを識別するステップと
を含む方法。
【請求項23】
前記第1のメッセージを伝送するステップが、第1のデバイスから前記ネットワーク上で前記第1のデバイスに戻る前記メッセージを送信することを含む、請求項22に記載の方法。
【請求項24】
スプリアス・データを含むメッセージを伝送する前記ステップが、所定の計画に従って第1のデバイスから第2のデバイスに前記メッセージを送信することを含む、請求項22に記載の方法。
【請求項25】
前記第1のメッセージに応じて前記ネットワークに接続し、または接続されたデバイスからの応答であると主張するスプリアス・データを含む第2のメッセージを伝送するステップをさらに含む、請求項22に記載の方法。
【請求項26】
前記第1および第2のメッセージが、同じデバイスによって伝送される請求項25に記載の方法。
【請求項27】
前記第1のメッセージが、比較的セキュリティ上安全でない場所におけるデバイスから伝送され、またはそれによって反復される、請求項22から26のいずれか一項に記載の方法。
【請求項28】
前記第1のメッセージを伝送するデバイスが、ネットワークコントローラである、請求項22から27のいずれか一項に記載の方法。
【請求項29】
ネットワーク上で使用するためのデバイスであって、
前記ネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス・データを含む第1のメッセージを前記ネットワーク上へと送信するためのトランスミッタと、
別のデバイスによってスプリアス・データの後続の使用を検出して、前記ネットワークに接続しようとする許可されていない試みを識別する検出手段と
を備えるデバイス。
【請求項1】
無線通信ネットワーク上の通信の方法であって、前記ネットワークが、無線通信経路によってリンクされた少なくとも第1のトランシーバおよび第2のトランシーバを含み、各経路が、メッセージの伝搬のための、前記ネットワーク内に配置された少なくとも1つのリピータを含み、前記方法が、
前記ネットワークを介して前記第2のトランシーバにメッセージを構成する複数の信号を伝送するステップと、
1つまたは複数の前記信号がタンパリングを受けているかどうかを受信された信号から決定するステップと
を含む方法。
【請求項2】
タンパリング状態の前記決定に応じてセキュリティ侵害状態をアサートするステップをさらに含む、請求項1に記載の方法。
【請求項3】
前記メッセージの前記信号が、2つの通信経路に介して分割されて送信される、請求項1に記載の方法。
【請求項4】
同じ通信経路上に送信される前記信号が、時間的に分離される、請求項3に記載の方法。
【請求項5】
1つの通信経路上に送信される前記信号が、別の通信経路上にも送信される、請求項1に記載の方法。
【請求項6】
前記信号が、同時に、または異なる時刻に両方の通信経路上に送信される、請求項5に記載の方法。
【請求項7】
前記決定するステップが、前記2つの通信経路上で受信される前記信号を比較する、請求項3または5に記載の方法。
【請求項8】
前記第2のトランシーバが一方の通信経路上だけで信号を受信する場合に、前記決定するステップが、信号タンパリングを識別する、請求項3または5に記載の方法。
【請求項9】
一方の通信経路上で受信された前記信号が他方の通信経路上で受信された前記信号とマッチングしない場合に、前記決定するステップが、信号タンパリングを識別する、請求項5に記載の方法。
【請求項10】
信号到着時刻の間の相対的な遅延が予想された遅延から逸脱する場合に、前記決定するステップが、タンパリングを識別する、請求項3に記載の方法。
【請求項11】
前記受信された信号が、少なくとも1つの信号がなくなっていることを示す場合に、前記決定するステップが、信号タンパリングを識別する、請求項3に記載の方法。
【請求項12】
前記通信経路のうちの1つが、セキュリティ侵害に対して比較的セキュリティ上安全でなくてぜい弱であるように構成される、請求項1に記載の方法。
【請求項13】
前記決定するステップが、前記セキュリティ上安全でない通信経路上で受信された前記信号を別の通信経路上で受信された信号と比較する、請求項12に記載の方法。
【請求項14】
前記メッセージの少なくとも一部の前記信号は、スプリアス情報を含むようになっている、請求項1に記載の方法。
【請求項15】
前記決定するステップは、前記スプリアス信号を識別し、前記スプリアス信号が許可されているデバイスから発信されているか、許可されていないデバイスから発信されているかを決定することを含む、請求項14に記載の方法。
【請求項16】
スプリアス信号が許可されているデバイスから発信されているか、許可されていないデバイスから発信されているかを決定する前記ステップは、使用状態をチェックすることを含む、請求項15に記載の方法。
【請求項17】
伝送するステップに先立って前記通信経路の1つをセキュリティ侵害に対してセキュリティ上安全でなくてぜい弱であるように構成するステップと、
前記メッセージの少なくとも一部の前記信号を、スプリアス情報を含むように適合させるステップと
をさらに含み、前記伝送するステップは、前記セキュリティ上安全でない通信経路上にしか前記スプリアス信号を送信しない、請求項1に記載の方法。
【請求項18】
前記スプリアス情報が、リピータによって挿入される、請求項14に記載の方法。
【請求項19】
セキュリティ侵害をアサートする前記ステップが、警報状態をアサートするステップを含む、請求項2に記載の方法。
【請求項20】
セキュリティ侵害をアサートする前記ステップが、前記ネットワーク上の少なくとも一部のデバイス間におけるメッセージ伝送を禁止するステップを含む、請求項19に記載の方法。
【請求項21】
無線通信ネットワーク上でメッセージを受信し、前記無線ネットワーク中における信号のタンパリングを検出するためのレシーバであって、
メッセージを構成する複数の信号を前記ネットワークから受信する手段と、
1つまたは複数の前記信号がタンパリングを受けているかどうかを前記受信された信号から決定する手段と
を備えるレシーバ。
【請求項22】
ネットワークに接続しようと試みる許可されていないデバイスの存在を検出するための方法であって、
前記ネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス・データを含む第1のメッセージをネットワーク上に伝送するステップと、
スプリアス・データの後続の使用を検出して、前記ネットワークに接続しようとする許可されていない試みを識別するステップと
を含む方法。
【請求項23】
前記第1のメッセージを伝送するステップが、第1のデバイスから前記ネットワーク上で前記第1のデバイスに戻る前記メッセージを送信することを含む、請求項22に記載の方法。
【請求項24】
スプリアス・データを含むメッセージを伝送する前記ステップが、所定の計画に従って第1のデバイスから第2のデバイスに前記メッセージを送信することを含む、請求項22に記載の方法。
【請求項25】
前記第1のメッセージに応じて前記ネットワークに接続し、または接続されたデバイスからの応答であると主張するスプリアス・データを含む第2のメッセージを伝送するステップをさらに含む、請求項22に記載の方法。
【請求項26】
前記第1および第2のメッセージが、同じデバイスによって伝送される請求項25に記載の方法。
【請求項27】
前記第1のメッセージが、比較的セキュリティ上安全でない場所におけるデバイスから伝送され、またはそれによって反復される、請求項22から26のいずれか一項に記載の方法。
【請求項28】
前記第1のメッセージを伝送するデバイスが、ネットワークコントローラである、請求項22から27のいずれか一項に記載の方法。
【請求項29】
ネットワーク上で使用するためのデバイスであって、
前記ネットワークに対するデバイスの接続を可能にし、維持するデータであると主張するスプリアス・データを含む第1のメッセージを前記ネットワーク上へと送信するためのトランスミッタと、
別のデバイスによってスプリアス・データの後続の使用を検出して、前記ネットワークに接続しようとする許可されていない試みを識別する検出手段と
を備えるデバイス。
【図1】
【図2】
【図2】
【公表番号】特表2007−501539(P2007−501539A)
【公表日】平成19年1月25日(2007.1.25)
【国際特許分類】
【出願番号】特願2006−520924(P2006−520924)
【出願日】平成16年7月15日(2004.7.15)
【国際出願番号】PCT/IB2004/002332
【国際公開番号】WO2005/011195
【国際公開日】平成17年2月3日(2005.2.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.ZIGBEE
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
【公表日】平成19年1月25日(2007.1.25)
【国際特許分類】
【出願日】平成16年7月15日(2004.7.15)
【国際出願番号】PCT/IB2004/002332
【国際公開番号】WO2005/011195
【国際公開日】平成17年2月3日(2005.2.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
2.ZIGBEE
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【氏名又は名称原語表記】Koninklijke Philips Electronics N.V.
【住所又は居所原語表記】Groenewoudseweg 1,5621 BA Eindhoven, The Netherlands
【Fターム(参考)】
[ Back to top ]