通信ネットワークにおける信用性の発見
通信ネットワーク内の2つのノード間で信用性を確立するための方法及び装置。第1のノードは、ネットワークノードから、前記第1のノードに特有の認証データを受信する。前記認証データは、前記第1のノードについての検証データのコンパクト表現を導出するために使用可能である。前記第1のノードはまた前記ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現も受信する。前記第1のノードは、前記ノードについての前記認証データから信用性情報を導出し、第2のノードへ、前記信用性情報と前記認証データの少なくとも一部とを含むメッセージを送信する。前記第2のノードは、前記ネットワーク内のすべてのノードの検証データの前記証明付きコンパクト表現の自分用のコピーを有しており、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と、前記受信した信用性情報および認証データとを用いて、前記第1のノードからの前記メッセージの真正性を検証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークにおける信用性の発見の分野に関する。
【背景技術】
【0002】
ワイヤレスアドホックネットワークは、ある意味では、分散型のワイヤレスネットワークである。基地局との間で通信するのに用いるのと同じかまたはそれに類似した無線インタフェースを用いて、ネットワーク内の端末同士が相互に通信する。これを「直接モード」通信と呼ぶこともある。完全なアドホックワイヤレスネットワークの場合、既存のネットワークインフラ、例えば基地局等に頼る必要はない。その代わりに、個々のノードが、他のノードへのデータを転送することによってルーティングに参加し、それゆえ、どのノードがデータを転送するかという判定は、ネットワークの接続性に基づいて動的に行なわれる。もう少しコントロールされたアドホックネットワークでは、端末は、相互に通信することもできるし、および/または、既存のネットワークインフラと通信することもできる。これは、ネットワークインフラから何らかの支援を受けるアドホックネットワークとみなしてもよいだろう。典型的には、ワイヤレスアドホックネットワークは、直接モードを用いる場合、例えば数十メートルまたは数百メートルというように、距離が限定されている。もっと長い距離も可能だが、アドホック(移動)ノードとインフラをベースにした(固定)ノードとがいずれも同じスペクトルを用いる場合、干渉による問題を引き起こす可能性がある。
【0003】
図1は、3つの例示するアドホックネットワークのシナリオを示す図である。図1aは、ネットワーク制御によるローカルブレークアウトを示しており、ここで端末1は、端末3との通信を開始するためにネットワークインフラ2にコンタクトする。図1bは、「中継」シナリオを示しており、ここで端末1と3とは、相互に通信を確立するが、端末1だけがネットワーク2と通信する。図1cは、本当のアドホックネットワークシナリオを示し、ここで3つの端末1、3、4は、ネットワークインフラ2と通信することなく、直接、相互に通信する。典型的には、このシナリオの前に、最初の2つのシナリオのうちの1つが先行する。以下の記述は、LTE(Long Term Evolution)ネットワークを想定しているが、それらの概念が他のタイプのセルラーネットワークにも適用されることは理解されるであろう。
【0004】
端末がアドホックネットワークを確立するには、或る程度の信用性が必要である。これは、典型的には、強固な認証と鍵の交換とを用いて達成されるが、このステップが行われる前に、迅速かつ双方の「隣接者の信用性の発見」が必要である。典型的には、或る端末(広告側ノード)が、その存在を広告し、もう1つの端末(応答側ノード)が応答してもよい。迅速な隣接者信用性発見のための軽い事前認証段階がない場合、2つの端末は、DoS(denial−of service)攻撃にさらされてしまい、例えば、セキュリティの関連付けを確立する場合に電池残量を不要に浪費してしまう。
【0005】
LTE端末のことをユーザ装置(UE)と呼ぶ。この例では、アドホックワイヤレスネットワークは、展開されたLTEインフラの派生物である。アドホックワイヤレスネットワークによって、LTEインフラを用いることなく、使用可能なUEの集合が互いの存在を感知し、および/または、多様な公的および私的サービスを広告することができるようになる。加えて、これらの使用可能なUEは、それらの周辺環境を常に感知することができ、従って、例えばレストランのメニュー/献立、公共交通の時刻表といった、近接性に基づくサービスからの広告を受信することができる。社会的活動に加えて、これらのサービスは、商業活動、マルチメディア、近接性に基づく広告、友達のプレゼンス等を含んでいてもよい。
【0006】
UE1を使用中のユーザ(ボブ)がチェスのゲームをすることを希望していると広告し、UE3を使用中の興味を持ったユーザがボブの広告を検出して、彼とチェスのゲームの約束をすることにするというシナリオを考えよう。アリスとボブは、赤の他人であって、彼らの間にも彼らのUEの間にも信頼関係は存在しないことがありうる。第1のステップは、アリスが「隣接者信用性発見」プロトコルを開始することであり、それによって、アリスとボブは、お互いの正当性を相互にチェックすることができる。これが完了した後、鍵の交換を含めて、もっとセキュアな認証を行うことができる。
【0007】
このタイプの環境では、アリスがボブの正当性をチェックすることは簡単ではない。さらに、そのような交換をするとすれば、いずれのUEも、近隣の悪意のあるノードによって送信される、なりすましによる鍵交換プロトコルメッセージの形でのDoS攻撃にさらされることを意味するであろう。また、鍵交換を始めた2つのノードが、それを完了したノードと同じであることを保証することもできない。
【0008】
隣接者信用性の発見の問題に対する1つの解決策は、ネットワークインフラが、従来の公開鍵証明書を個々のユーザに提供することである。プライバシの理由で、これらの証明書は、長期のIDではなく、「仮名」を持つ短期のものであるべきである。ネットワークがすべての公開鍵を証明することが必要となることから、これは、ネットワークに多大なオーバヘッドを生じさせるであろう。また、個々の端末は、他のすべてのノード、または少なくとも、端末がアドホックネットワークを確立しうる他のすべてのノードの証明書を記憶(または、必要に応じて、取得)することが必要となりうるため、それは、端末にかかるオーバヘッドも意味するであろう。
【発明の概要】
【0009】
発明者らは、隣接者信用性発見に関連する諸問題に気付き、DoS攻撃のリスクを最小化しながら、ノードが接続の確立と鍵交換とに先立って隣接者信用性発見を行うことを可能にする、セキュアで効率的なやり方を考案した。
【0010】
本発明の第1の態様によって、通信ネットワーク内の2つのノード間で信用性を確立するための方法を提供する。第1のノードが、第1のノード特有の認証データをネットワークノードから受信する。この認証データを用いて、第1のノードについての検証データのコンパクト表現を導出することができる。また、第1のノードは、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現も受信する。第1のノードは、第2のノードとの間でアドホックネットワークをセットアップすることを望んだ場合、そのノードについての認証データから信用性情報を導出し、信用性情報と少なくとも認証データの一部とを含むメッセージを第2のノードに送信する。第2のノードは、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現の自分用のコピーを有しており、ネットワーク内のすべてのノードの検証データのコンパクト表現と、受信された信用性情報および認証データとを用いて、第1のノードからのメッセージの真正性を検証する。検証データの証明付きコンパクト表現を両方のノードがネットワークから受信したのだから、それらは、さらにネットワークと通信する必要なしに、鍵交換の前に或る程度の信用性を確立することができる。
【0011】
1つの選択肢として、第1のノードの検証データのコンパクト表現は、第1のノード特有の認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたマークル木のルートを含む。また、基準時間を用いることによって、第2のノードは、メッセージの真正性を検証する際に、時間を用いて支援することができる。
【0012】
別の選択肢として、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワーク内のすべてのノードの検証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む。
【0013】
方法は、任意で、第1のノードにおいて、第1のノード特有の認証データと、第1のノードにおける時計から取得された情報から導出された単一の基準時間とから、マークル木の葉を導出することを含んでおり、ここで、導出された葉から信用性情報が導出される。これによって、第2のノードが、第2のノードにおいて時計から導出された情報を用いてメッセージの真正性を検証することが可能になる。第2のノードは任意で、認証データと、第2のノードにおける時計から取得された情報から導出された基準時間とから、マークル木の葉を導出し、信用性情報を検証し、第1のノードの検証データの第2のコンパクト表現を導出し、そして、第1のノードの検証データの第2のコンパクト表現が、ネットワーク内のすべてのノードの検証データのコンパクト表現と調和することを検証することによって、第1のノードからのメッセージの真正性を検証する。
【0014】
別の選択肢として、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ブルームフィルタを含んでおり、そして、第1のノードの検証データの第2のコンパクト表現は、検証データの第2のコンパクト表現がブルームフィルタのメンバとして示されている場合、ネットワーク内のすべてのノードの検証データのコンパクト表現と調和する。あるいは、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワーク内のすべてのノードの検証データから導出されたマークル木のルートを含んでおり、そして、第1のノードの検証データの第2のコンパクト表現は、マークル木のルートが第1のノードの検証データの第2のコンパクト表現から導出されうる場合、ネットワーク内のすべてのノードの検証データのコンパクト表現と調和する。
【0015】
セキュリティをさらに向上させるため、方法は、任意で、さらに、第1のノードが、或るグループに属するすべてのネットワークノードが利用可能なグループ鍵をネットワークノードから受信することと、第1のノードが、メッセージを第2のノードに送信する前にメッセージの少なくとも一部をグループ鍵を用いて暗号化することとを含む。このようにして、メッセージの一部が暗号化され、グループの他のメンバだけがアクセスできるようにされてもよい。
【0016】
メッセージは任意で、第1のノードによって送信された広告メッセージに応じて送信された、第2のノードからのクエリに応じて送信される。
【0017】
本発明の第2の態様によって、通信ネットワークで用いる移動通信ノードを提供する。ノードは、ノードについての検証データのコンパクト表現がそこから導出されうるノード特有の認証データと、ネットワーク内のすべてのノードの検証データのコンパクト表現とを、ネットワークノードから受信するための受信器を備えており、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワークノードによって証明されている。また、ノードは、認証データから信用性情報を導出するためのプロセッサと、信用性情報と認証データの少なくとも一部とを第2のノードに送信するための送信器とを備えている。第2のノードは、信用性情報を利用することができ、それによって、ネットワーク内のすべてのノードの検証データのコンパクト表現と、受信された信用性情報および認証データとを用いてメッセージの真正性を検証することができる。
【0018】
移動通信ノードは、任意で、さらに、時計を含み、ここで、プロセッサは、ノード特有の認証データと時計から取得された情報から導出された単一の基準時間とからマークル木の葉を導出するように構成されており、ここで信用性情報が、導出された葉から導出される。
【0019】
1つの選択肢として、移動通信ノードはさらにグループ鍵を記憶するためのメモリを備え、ここで、プロセッサは、メッセージの少なくとも一部を、それを第2のノードに送信する前にグループ鍵を用いて暗号化するように構成される。
【0020】
検証データのコンパクト表現は、任意で、ノード特有の認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたマークル木のルートを含む。別の選択肢として、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワーク内のすべてのノードの認証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む。
【0021】
本発明の第3の態様によって、通信ネットワークで用いる移動通信ノードを提供する。ノードは、ネットワークノードによって証明された、ネットワーク内のすべてのノードの検証データのコンパクト表現を、ネットワークノードから受信するための受信器を備えている。ネットワークノードによって証明された、ネットワーク内のすべてのノードの検証データの、受信されたコンパクト表現を記憶するため、メモリが設けられている。受信器はさらに、広告側ノードからメッセージを受信するように構成されており、そのメッセージは、認証データと、広告側ノードについての認証データから導出された信用性情報とを含んでいる。ネットワーク内のすべてのノードの検証データのコンパクト表現と、受信された信用性情報と、広告側ノードについての受信された認証データと、を用いてメッセージの真正性を検証するプロセッサが設けられている。
【0022】
移動通信ノードは、任意で、時計を備えており、ここで、プロセッサは、信用性情報を、マークル木の葉から導出された情報と比較することによって検証するように構成され、その葉は、認証データと、時計から取得された時刻から導出された情報とから導出され、プロセッサは、さらに、ネットワーク内のすべてのノードの検証データの第2のコンパクト表現を導出するように構成されていて、すべてのノードの検証データの第2のコンパクト表現が、ネットワーク内のすべてのノードの検証データの記憶されたコンパクト表現と調和するかどうかを検証する。
【0023】
本発明の第4の態様によって、通信ネットワークで用いるネットワークノードを提供する。ネットワークノードは、通信ネットワークに関連付けられた複数のノードの各々について、個々のノード特有の認証データを導出すると共に、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現を導出するためのプロセッサを備えている。また、個々のノード特有の認証データと、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現とを複数のノードの各々に送信するため、送信器も設けられている。
【0024】
本発明の第5の態様によって、移動通信ノード上で実行された場合に移動通信ノードを本発明の第2または第3の態様のいずれかの中で上述した移動通信ノードとして動作させるようなコンピュータ可読コードを含む、コンピュータプログラムを提供する。
【0025】
本発明の第6の態様によって、ネットワークノード上で実行された場合にネットワークノードを本発明の第4の態様の中で上述したネットワークノードとして動作させるようなコンピュータ可読コードを含む、コンピュータプログラムを提供する。
【0026】
本発明の第7の態様によって、コンピュータ可読媒体と、本発明の第5または第6の態様の中で上述したコンピュータプログラムとを含む、コンピュータプログラムプロダクトを提供し、ここで、コンピュータプログラムは、コンピュータ可読媒体上に記憶される。
【図面の簡単な説明】
【0027】
【図1】例示的なネットワークシナリオをブロック図として略示する図である。
【図2】ハッシュキーで生成されたマークル木を略示する図である。
【図3】本発明の一実施形態によるシグナリングを示すシグナリング図である。
【図4】本発明の第1の実施形態のステップを示すフロー図である。
【図5】本発明の一実施形態による広告側端末をブロック図として略示する図である。
【図6】本発明の一実施形態による受信側端末をブロック図として略示する図である。
【図7】本発明の一実施形態によるネットワークノードをブロック図として略示する図である。
【発明を実施するための形態】
【0028】
以下の記述は、ネットワーク内の個々のノードが、(アドホックネットワークを構築するために)ネットワークを介して通信することなく、中央ネットワークノードと、あるいは相互に、通信することができると仮定している。LTEネットワークを仮定しているが、同様の方法がいかなるタイプの通信ネットワークにおいても用いられうるであろうということは理解されるであろう。LTEインフラは、ユニキャストおよび/またはマルチキャストチャネル、例えば「ページング」またはセル同報を用いて、いつでもどこでもいかなるアドホック対応ノードにも達することができる。また、個々のノードは、内部時計を有し、かつ、それらはすべて、時刻が同期していると仮定する。この時刻同期は、ウインドウメカニズムが用いられる場合、厳密である必要はない。
【0029】
或るノードが別のノードとの間でアドホックネットワークを形成することを望む時、そのノードは、広告を送信する。以下のような3つの広告カテゴリが考えられる。
・主にビジネス向けの広告を扱う「パブリック」広告(例えば、公共交通/民間交通など)
・主に特別のノード集合に対するプレゼンスと近接性の公表を扱う「プライベート」広告(例えば、自分と自分の友達との間で)
・社会的および安全性向けの広告を扱う「セミ・パブリック」広告(例えば、ゲーム、医療サービス、社会的サービス、車両用メッセージなど)
【0030】
LTEネットワーク2にアタッチしているUE1は、LTEインフラ、例えばMME(モビリティ管理エンティティ)によって生成された「セキュリティパラメータ」セットをセキュアな形で取得し、それらがUE1に対して送信される。この送信についてのセキュリティは、典型的には、既存のUE対ネットワークへのシグナリングプロトコルによって提供されるであろう。第1の実施形態では、セキュリティパラメータは、マークル木を用いて実装される。これらのパラメータは、発信広告を認証するのに用いられるパラメータセットと、着信広告を検証するのに用いられる(単一の)パラメータとの2つのカテゴリに分類することができる。これは、LTEインフラが、例えばDoS攻撃のような、何らかの悪意のある動作を、送信者まで遡って追跡し、いずれかの必要な行動を取る(例えば、そのユーザをネットワークから締め出す)ことができることを意味する。
【0031】
セキュリティパラメータのコンパクト表現が、ネットワーク内の個々のUEに対して送信される。本発明の第1の実施形態によると、コンパクト表現は、マークル木に基づいており、本発明の第2の実施形態によると、コンパクト表現は、ブルームフィルタに基づいている。UEがいずれかの他のUEからの広告を検証する必要がありうるため、このコンパクト表現が必要となる。ネットワーク内には他のUEが何千も存在することがあり、そのため、コンパクトでない表現を送信するという正攻法のやり方を行えば、実行不可能なほど多くの帯域幅を消費するであろう。
【0032】
プライベートのカテゴリではそれ自身のプライバシとセキュリティとが必須であるため、以下に記述する方法は、主に、広告のセミ・パブリックのカテゴリに関する。しかし、個々のパブリック広告についてインフラにクエリする必要性をなくすことによってLTE帯域幅の利用を著しく最適化しうることから、この方法は、パブリック広告のカテゴリに適用されてもよい。
【0033】
下記のような、アドホックネットワークにおいて信頼関係を確立する方法は、「初期の」信用性メカニズムとしての動作であると考えられており、鍵交換プロトコルに対する前触れであることが意図されている。広告側UEと応答側UEとの間の迅速な信用性の発見を可能にすることによって、両方のノードが、普通ならペアリング手順の最中に開始されるかもしれない、見込まれるDoS攻撃から確実に保護される。
【0034】
UE同士が対話することを決めると、典型的には、発見(ディスカバリー)に続いて、例えばDiffie−Hellmanに基づく、ペアを成す鍵の確立も行われるであろう。しかしながら、これは本発明の範囲外である。ただし、本発明は、送信されたDiffie−Hellmanパラメータを認証するのにも適用可能であろうということに留意されたい。
【0035】
本発明の第1の実施形態をよりよく記述するため、図2を参照しながら、マークル木について以下に説明する。
【0036】
マークル木とは、ラベル付きの二分木である。葉のラベルは、L1=H(R1)、L2=H(R2)、・・・、Ln=H(Rn)という形をしており、ここでHは(例えばSHA−256を用いて、またはWhirlpoolハッシュ関数を用いて実装される)(一方通行の)暗号化ハッシュ関数であり、Rjは任意の値であってもよい。内部の頂点のラベルvは、「子孫」に対するラベルから再帰的に定義され、すなわち、
Label(v)=H(Label(left(v))||Label(right(v)))
ここで、left(v)とright(v)とは、vの左右の子に対応し、||は、連結を表す。木は、ルートのラベルによって関連付けられ/識別されてもよい。
【0037】
Hのようなハッシュ関数を用いて、単一のメッセージが認証または「署名」されてもよい。ユーザは、メッセージmおよびH(H(R)||m)を公開し、ここでRは何らかのランダムな値である。検証を可能にするため、ユーザはRを開示する。検証器が、Rは、上記の式によるメッセージを使ってハッシュした場合、同じ結果を生じることをチェックする。不利点は、Rは開示された瞬間に消費されるため、セキュアな形で署名されるのは、1つのメッセージだけである可能性があることである。
【0038】
図2の例では、キー000乃至キー003からルート値のハッシュ0が生成される。個々のキーの値は、マークル木の1つの葉である。
【0039】
マークル木によって、複数のメッセージの認証が可能になる。個々の葉は、1つのメッセージの「公開鍵」であって、(木の深さにおける)幾何学級数的な数のメッセージを認証する手段を提供すると考えることができる。マークル木を用いる場合、ユーザは、葉を示すだけではなく、葉からルートまでのパスに沿った「パスの外の」兄弟姉妹たちも示さなければならないことに留意されたい。(木の大きさにおける)対数的な数の兄弟姉妹たちが存在する。
【0040】
本発明の第2の実施形態をより良く記述するため、ブルームフィルタは、所定の長さmのビットベクトルであり、それと共に、k個のハッシュ関数h1、h2、・・・、hkの集合が、集合{1、2、・・・、m}にマッピングされる。データ項目xをブルームフィルタに挿入する場合、ビットベクトルのビット位置h1(x)、h2(x)、・・・hk(x)はすべて「1」に設定される。逆に、或るデータ項目の候補yが、ブルームフィルタによって符号化されたデータ集合のメンバであるかどうか判定するため、ビット位置h1(y)、h2(y)、・・・hk(y)がチェックされ、そして、これらのビット位置がすべて「1」である場合、yはデータ集合のメンバであると仮定することができる。結果として、ビット位置は、yとは異なる何らかの他の要素によって「1」に設定されうるのだから、ブルームフィルタは、いわゆる「偽陽性」を与えうる。しかし、偽陽性の割合は、mとkの適切な値を選択することによって、コントロールすることができる。例えば、ブルームフィルタのサイズが少なくともm=1.44×t×Nであるならば、偽陽性率2^(−t)を有するブルームフィルタを作成することができ、ここでNは、挿入される要素の数である。
【0041】
次に本発明の第1の実施形態について記述するが、MMEは、基本時間枠を基準にして複数の時間枠を決める。例えば、基本時間枠が真夜中である場合に最小時間枠が6秒であると仮定すると、複数の時間枠のうちの個々の時間枠は、真夜中+6秒、真夜中+12秒、真夜中+18秒というようになる。個々の時間枠を用いて、ノードが広告を送信してもよい。個々の広告に、認証データと信用性情報と呼ばれる2つの特別パラメータが割り当てられ、それらは少なくとも部分的には、広告側ノードの中に事前に記憶されている。従って、24時間の時間枠は、上記の精度を持つ14400個の異なる信用性パラメータを必要とすることになる。パラメータの数は、nと呼ばれる(この例では、n=14400がデフォルトである)。
【0042】
またMMEは、サービス提供されるユーザの最大数Nも判定する。そのような個々のユーザu=1、2、・・・Nと、個々の時間枠j=1、2、・・・nとについて、ネットワークは、対応する時間枠Tjについての認証データとして機能する(疑似)ランダム値Sujを割り振る。
【0043】
MMEは、マークル木を算出し、それを個々の正当なユーザ/UEについて(例えば、ネットワークアタッチの際に)証明する。マークル木の個々の葉は、14400個の時間枠の各々を使ってそのUEに関連するランダムな認証データSujをハッシュすることによって、演算される。これは、leaf(j)すなわちL(j)=First[128,H(Suj|Tj)]を意味し、ここでSujは、Tjに関連付けられた上記の秘密であって、ネットワークによって選択されたものであり、かつ、ユーザにも知られており、そして、Tjは、特定の時間枠に相当する。話を簡単にするために、すべてのTjは同じ持続時間を有すると仮定するが、異なる持続時間のTjを用いることも可能である。これは、所与の時間枠の中により多くのTjを許容するような、ネットワーク内のピーク時のトラヒックを考慮に入れてもよい。
【0044】
LTEネットワークのような典型的な事例では、個々のSujは、例えばSuj=H(Su,j)によってネットワークとUEとの間で共有されるキーであるSuから生成されてもよいだろうということに留意されたい。次いでSuは、UEとネットワークとに限って利用可能であるようになされなければならず、他のUEに対して開示されてはならない。
【0045】
個々のUEに特有で、かつ、その後の24時間をカバーするマークル木が、LTEによって生成され、記憶される。LTEネットワークは、それゆえ、ユーザuのマークル木のルートR(u)を(ユーザが接続する前に)事前に演算する。これが、すべてのN個のユーザについて繰り返される。留意すべきことだが、木全体ではなく、SuとT0とnとR(u)とを記憶するだけでよく、必要に応じて、T0とnとSuとから、いずれかの内部頂点を再構築することができる。これには、O(N*n)のハッシュ演算が含まれる。
【0046】
いずれかの時点で、UE1が、LTEによる認証と許可とを介してアドホック・ソーシャル・エコシステムに接続し、その間に、ネットワークから認証データSuj(またはSu)およびnをセキュアな形で受信する。UE1は、自分自身のハッシュ木の主要パラメータを作成することができるが、それは、UE1とLTEネットワークとが、いかなる特定の葉も交換する必要がないことを意味し、なぜなら、UE1とLTEネットワークとがいずれも、必要な場合にはいつでもそれらを、T1とnと共有するSuと一方通行のハッシュHとを用いて生成することができるからである。また、UE1は、少なくとも現在接続されているすべてのユーザの集合を表す1枚のシステム証明書を受信する。(また、証明書は、下記のように、未接続のユーザを表すこともできる。)このシステム証明書は、以下に説明する、すべてのユーザのマークル木のルートのコンパクトで検証可能な表現である。
【0047】
UE1が、ネットワーク2をさらに含めることなく、別のUE3とアドホックネットワークを形成することを望む場合、UE1は、認証データSujと、トランザクションの現行の時間間隔Tjとに関連付けられた、対応する葉Ljに基づく信用性情報とを含む広告を送信する。例えば、Ljはメッセージ認証コード(MAC)を演算するためのキー、例えばハッシュ(Lj,メッセージ)として用いられてもよい。
【0048】
Suj(および場合によっては、必要に応じて兄弟姉妹)を送信することによって、受信側UE3は、ルートを演算し、その有効性を、UE3がネットワークから以前に受信していたシステム証明書のローカルなコピーを介してチェックすることができる。受信器は、葉が木の一部であるかどうかをチェックする必要はない。代わりに、パラメータの集合が、有効なパラメータであるルートに至るかどうか、言い換えれば、システム証明書によって証明されているかどうかをチェックする。
【0049】
システム証明書は、受信側ノードがネットワーク内のいずれかのノードを検証することを可能にすべきである。上記のように、ネットワークに登録されている個々のUEに関連するルートを分配することは、それらが非常に多数でありうるという理由から、望ましくない。従ってネットワークは、個々の登録されたUEのルートR(1)、R(2)、・・・R(N)を入力葉として用いて、第2のマークル木を作成する。システム全体のルートをRと名づける。ネットワークは、従来の署名メカニズム、例えばRSA公開鍵暗号化を用いてRに署名し、それを分配する。個々のユーザuについて、ネットワークは、「パスの外の」兄弟姉妹を含めてパスの情報をR(u)からルートRへと送信する。ゆえに、ユーザの数をN=2^tと仮定すると、個々のユーザは、O(log N)=O(t)の加算値を得る。この集合をSib(u)と名付ける。留意すべきことだが、この分配はネットワークから個々のUEへのユニキャストであることから、RSAを用いる代わりに、代替として、前から存在するLTE(共有)キーを用いてRおよびこの情報が「署名」されてもよい。
【0050】
留意されるべきだが、Rを構築するためのネットワークの全演算作業は、O(N*(n+1))ハッシュ関数評価であり、すなわち、すべてのR(u)を構築するためのO(N*n)と、その後それらをRと結合させるためのO(N)とである。
【0051】
ワイヤレスアドホックネットワーク内の2つのノード間のその後の隣接者信用性の発見の交換の間、受信側ノードは、例えばMMEのようないかなる中央ネットワークノードとも通信することなく、広告側ノードによって送信された認証データおよび信用性情報を検査しなければならない。広告を認証するため、広告側ノードUE1は、自分の木の中の(UE1の内部時計から取得された時間枠Tjに関連する)1つの葉と、それに対応するルートR(u)に至るパスの外の情報とを、すなわち、d=log nである場合のO(d)の値を、リリースする。また、広告側ユーザも、Sib(u)、すなわちO(t)の値を送信する。「署名」は今、サイズO(d+t)を有する。留意すべきことだが、Sib(u)は、記憶スペースに余裕がある場合、今後の利用のためにキャッシュされてもよい。
【0052】
また、受信側ノードUE3が広告を検証するために行わなければならないハッシュ演算の回数も、O(d+t)である。これは、最初に再構築R(u)を再構築し、次いで、R(u)とSib(u)とからRを再構築することによって行われる。
【0053】
留意されるべきだが、受信側ノードは、広告メッセージに応答する場合、認証データと信用性情報とを含めることによって、UE1とUE3とがいずれも正当であることを相互に確信できるようにするべきである。
【0054】
2つのノードUE1とUE3との間の鍵交換プロトコルは、隣接者信用性の発見プロトコルの間に信用性が表示されることを包含すべきであるが、ノードの身元を決して開示すべきではない。このために、Diffie−Hellman交換を行うのに必要な最初の2つのメッセージは、マルチキャストモードで送信されてもよいだろうし、そして、2つのノード間で交換される「信用性パラメータ」からかまたは隣接者信用性の発見交換の間に生成される、追加のパラメータを搬送するべきである。
【0055】
図3に関して、以下のステップで本発明の概要を記述するが、以下の番号は図の番号に対応している。
【0056】
S1およびS2.MME2が、個々のノードに関係する認証データSu(またはSuj)および署名されたシステム証明書を、(UE1とUE3とを含めて)ネットワーク内のすべてのノードに対して送信する。これは典型的には、個々のノードがネットワークに接続する際に行われる。
【0057】
S3.UE1が、別のノードとの間でアドホックネットワークをセットアップすることを望む場合、現在時刻Tjに関連するそのマークル木の葉Ljと、その内部時計から判定された、対応する認証データSujとを含む信用性情報を判定する。信用性情報と認証データとは、広告mを認証するために用いられる。
【0058】
S4.UE1が、信用性情報と認証データとを、広告の中でUE3に対して送信する。それゆえ、送信された情報は、「メッセージ」、H(Lj、「メッセージ」)、Suj(すなわち、広告自体と、MACおよび認証データを含む信用性情報)を含んでいる。
【0059】
S5.UE3が、Lj=H(Suj|Tj)を演算し、H(Lj,「メッセージ」)を検証し、次いでUE1についてのマークル木のルートを判定し、次いでUE1についてのルートとSib(u)とからルートRが導出されうることを判定することによって、広告を検証する。
【0060】
図4は、第1の特定の実施形態を詳細に示す図であり、以下の番号は、図4の番号に対応している。
【0061】
S6.UE1が、その認証情報(Suj)と、ネットワーク内のすべてのノードの認証データから導出された証明付きマークル木とを受信する。
【0062】
S7.UE1が、その認証データ(Suj)と、その内部時計から間接的に取得された時刻(Tj)とを用いて、マークル木の1つの葉(Lj)を導出する。導出された葉Ljを用いて、信用性情報の残余部分H(Lj,「メッセージ」)を導出する。
【0063】
S8.UE1が、UE2に対して、信用性情報を含むメッセージを送信する。
【0064】
S9.UE3が、認証データと、自分自身の内部時計から間接的に取得された基準時間とを用いて、マークル木の1つの葉を導出する。理解されるであろうが、UE1とUE3との内部時計は、合理的に緊密に同期されるべきであるが、受信されたメッセージをキャッシュするUE3についてはいくらかの差は許容されてもよい。信用性情報の残余部分H(Lj,「メッセージ」)も検証される。
【0065】
S10.UE3が、導出された葉を用いて、第1のノードについてのマークル木のルートを導出する。
【0066】
S11.UE3が、ネットワーク内のすべてのノードの検証データから導出された証明付きマークル木のルートは、自分が導出した第1のノードについてのマークル木のルートから導出されうるかどうかを判定する。もしそうなら、メッセージが検証される。
【0067】
以下の例は、mビットの出力、例えばm=128、を生じるハッシュ関数Hが用いられることを仮定する。システムは、N人のユーザを有しており、nの時間枠が必要である(例えば、n=14400)。
【0068】
システムの初期化
1.ネットワークノード2(例えばMME)が、現行の時間枠T1(またはその直前)でパラメータNおよびnを決める。
【0069】
2.個々のu=1,2,・・・N,について、ネットワークノード2が、ランダムなSu(または疑似ランダムSuj)を選び、SuおよびT1,T2,・・・TnからR(u)を構築し、SuとR(u)とを記憶する。
【0070】
3.R(1),R(2),・・・R(N)からRが判定されて、記憶される。
【0071】
4.ネットワークがRに署名し、それをネットワーク内のすべてのノードに対して送信する。
【0072】
参加
これは、uで示す新たなUEがアタッチする場合に実行される。
【0073】
1.通常のLTEアクセスセキュリティが行われる。
【0074】
2.ネットワークが、T1、n、SuおよびR(u)を、LTEアクセスセキュリティによって保護されているUEに対して送信する(約2mビット)。あるいは、UEが、Suを選択して、ネットワークに対して送信してもよい。
【0075】
3.(ネットワークは信用できると仮定されているため)選択が任意の実施形態で、UEが、R(u)が適切に作成されていることを検証するため「サンプル」を採取してもよく、すなわち、何らかの(ランダムな)パスを葉からルートまで評価してもよい。
【0076】
4.ネットワークが、Sib(u)、すなわち、RにおけるR(u)のO(log N)のパスの外の兄弟姉妹を、LTEアクセスセキュリティによって保護されているuに対して送信する。
【0077】
オプションの実施形態で、UEが、Rが正確であることを検証する(O(log N)のハッシュ演算を必要とする)。
【0078】
広告を認証する
1.UE1が、Sujと現行の時間枠Tjとに対応する、正確な葉Ljを導出する。
【0079】
2.UE1が、Ljと、認証データSujと、LjのO(log n)のパスの外の兄弟姉妹およびR(u)のO(log N)のパスの外の兄弟姉妹とによって認証された(Ljによる認証は、LjをHについてのキーとして利用する。従ってHの演算は1度だけでよい)広告を、UE3に対して行う。ステップ2の代替としては、UEは、メッセージおよびMACだけを送信する。次いで、広告を受信するノードUE3は、UE1に、認証データと兄弟姉妹とを要求する必要がある。いずれの場合でも、他の誰よりも前に、送信者からの通信全体が、(第1の)広告はO(m*(1+log n+log N))であることを検証することができる(次のセクションを参照のこと)。
【0080】
広告を検証する
1.UE3が、UE1から(第1の)広告を受信し、(UE1に対応する)認証データと兄弟姉妹とを、上記で論じたように、広告の一部としてかまたはUEがそれらを要求することによって、取得する。
【0081】
2.UE3が、MACが正確であり、かつ、Ljおよび兄弟姉妹がルートR(u)に至るということをチェックするが、ここではHのO(1+log N)評価が用いられる。
【0082】
3.正確であるならば、UE3が、R(u)および(現行の)システム全体の木Rの兄弟姉妹が、Rのルートに至ることを検証し、すなわち、HのO(log N)評価を行う。
【0083】
ステップ2の後で、受信側UEは、その後のメッセージがR(u)およびRの生存時間の間に受信される場合にはステップ1および2だけ行われればよいように、R(u)をキャッシュしてもよい。
【0084】
第2の特定の実施形態によると、個々のユーザuは、そのルートR(u)によって識別されるマークル木を有する。原理は、他者がルートまでのパスを演算することを可能にするためにユーザが葉と兄弟姉妹とを示し、それによって広告を認証するという点で、第1の実施形態と同じである。第2の実施形態の違いは、すべてのユーザの公開鍵の「コンパクト表現」が取得されるやり方にある。第1の特定の実施形態では、このためのもう1つのマークル木が用いられたが、他方、第2の特定の実施形態では、ブルームフィルタが用いられる。
【0085】
個々のユーザのマークル木のルート{R(1),R(2),R(u),・・・,R(N)}が、ブルームフィルタの中に挿入される。LTEネットワークが、例えばRSAを用いて、ブルームフィルタに署名する。ユーザが広告を認証することを望む場合には、ユーザuの(候補)ルートR(u)を計算した後、検証側ユーザが、R(u)は署名されたシステム全体のブルームフィルタのメンバであるかどうかをチェックする。
【0086】
ブルームフィルタの利用に際しては、利点と不利点とがいくつかある。第1に、LTEネットワークがシステムパラメータを初期化する場合、未接続のユーザについてマークル木を生成する必要はない。これは、後になって任意の要素がブルームフィルタの中に挿入されることがあるからである。新たなユーザが追加されると、ネットワークノードは、ブルームフィルタを更新し、それに再署名する。システム全体のマークル木は、ハッシュ関数Hの「一方通行」の性質のため、この特性を有しておらず、葉は、「後で」追加されることはできず、木は、最初に葉からルートまで生成されなければならない。また、関連する木の深さは、システム内のユーザの総数に依存するのではなく、個々のユーザによって行われる広告の数だけに依存するため、ブルームフィルタを用いた広告の検証は、より効率的である。言い換えると、マークル木の実施形態は、ブルームフィルタを用いる場合には、深度の合計がO(log n)よりむしろO(log n+log N)である木を増加させるであろう。ユーザuのマークル木のルートが与えられている場合、ブルームフィルタをチェックすることは、本質的に瞬時に行われる。特に、ブルームフィルタがk個のハッシュ関数を有すると仮定すると、ブルームフィルタをチェックすることは、k回のハッシュ演算に対応する。
【0087】
ブルームフィルタによる手法の欠点は、上述したブルームフィルタの偽陽性率である。ルートR(u)がブルームフィルタに挿入されない場合でさえ、そのように見えることもありうる。しかし、これは、BFパラメータを選ぶことによってコントロールすることができる。
【0088】
ブルームフィルタを用いる下記の例は、第1の特定の実施形態を記述する際に行ったのと同じ仮定を行う。
【0089】
システムの初期化
1.ネットワークノード2が、パラメータNを決める。現在の時間枠はT1(またはその直前)であると仮定する。システムが、(Nおよび所望の偽陽性率に基づいて)適切なサイズかつ適切なkを持つブルームフィルタを選ぶ。ブルームフィルタは空であるように初期化される。
【0090】
2.ネットワークがブルームフィルタに署名し、それをネットワーク内のすべてのノードに対して送信し始める(例えば同報する)。
【0091】
参加
これは、uで示す新たなUEが接続する場合に実行される。
1.通常のLTEアクセスセキュリティが行われる。
【0092】
2.UE1が、n個の葉を選び、マークル木R(u)を形成し、それが、LTEアクセスセキュリティによって保護されているネットワークノード2に対して送信される。(あるいは、ネットワークノード2が、上述したようにSu/Sujの値に基づいて、木/葉を選ぶこともできる。)
【0093】
3.任意で、木を生成していない当事者が、R(u)が適切に作成されていることを検証するためサンプルを採取してもよく、すなわち、何らかの(ランダムな)パスを葉からルートまで評価してもよい。
【0094】
4.ネットワークが、R(u)をブルームフィルタに追加し、ブルームフィルタに再署名し、そして、新たな値を同報し始める。
【0095】
広告を認証する
1.UE1が、現在の時間枠Tjに対応する、正確な認証データSuj(それゆえ、対応する葉Lj)を見つける。
【0096】
2.UE1が、Ljと、認証データと、LiのO(log n)のパスの外の兄弟姉妹とによって認証された(Ljによる認証は、例えばLjをHについてのキーとして利用する。従ってHの演算は1度だけでよい)広告を行う。
【0097】
ステップ2の代替として、UEは、メッセージおよびMACだけを送信する。次いで、広告を受信するユーザは、認証データと兄弟姉妹とを要求する必要がある。いずれの場合でも、他の誰よりも前に、送信者からの通信全体が、(第1の)広告はO(m*(1+log n+log N))であることを検証することができる(以下を参照のこと)。
【0098】
広告を検証する
1.UE1からの(第1の)広告を受信するUE3は、最初に、認証データと兄弟姉妹とを、上記で論じたように、広告の一部としてかまたはUE1がそれらを要求することによって、取得する必要がある。UE3は、最近同報され(署名され)たブルームフィルタのコピーを有すると仮定する。
【0099】
2.受信側UE3は、ルートR(u)を導出し、そして、MACが正確であり、かつ、Ljおよび兄弟姉妹がルートR(u)に至るということをチェックした後、R(u)が、同報されたブルームフィルタの中にあることをチェックし、すなわち、HのO(1+log N)評価を行う。
【0100】
2の後で、受信側UEは、その後のメッセージがR(u)およびRの生存時間の間に送信される場合にはステップ1および2だけ行われればよいように、R(u)をキャッシュしてもよい。
【0101】
次に図5を参照するが、ここでは広告メッセージを送信するUE1のブロック図を略示する。UE1は、その認証情報と証明付きマークル木(または、第2の実施形態が用いられる場合には、ブルームフィルタ。上記のブルームフィルタが用いられうるだろうということを当業者であれば理解するであろうが、本記述では、マークル木について述べよう。)を受信するための受信器5を備えている。認証データと基準時間とを用いてUE1のマークル木の1つの葉を導出し、そして、その葉から信用性情報を導出するため、プロセッサ6が設けられている。時間は、直接的または間接的に時計8から取得される。信用性情報と認証データとをUE3に対して送信するため、送信器7が設けられている。グループ鍵を記憶するため、メモリ9が設けられており、その場合、プロセッサ6は、メッセージの少なくとも一部を、それをUE3に対して送信する前に、(第3の特定の実施形態の中で以下に述べるように)グループ鍵を用いて暗号化するように構成されている。また、メモリ9は、UE1を上記のように動作させるコンピュータプログラム10を記憶するために用いられてもよい。
【0102】
図6は、ブロック図の中に、例えばUE3のような受信側ノードを略示する図である。UE3は、証明付きマークル木を受信するための受信器11を備えている。これは、メモリ12の中に記憶される。また、受信器11は、UE1から、認証データと導出された信用性情報とを含むメッセージを受信するように構成されている。証明付きマークル木と、受信された認証データおよび信用性情報とを用いてメッセージの真正性を検証するために、プロセッサ13が設けられている。また、プロセッサ13が上記のように信用性情報を検証できるようにするため、時計14が設けられている。また、UE3を上記のように動作させるコンピュータプログラム15を記憶するために、メモリ12が用いられてもよい。
【0103】
図7は、ブロック図の中に例えばMMEのようなネットワークノード2を略示する図である。MMEは、ネットワーク内の個々のノードに関連付けられた認証データからマークル木(またはブルームフィルタ)を導出して証明するためのプロセッサ16を備えている。証明付きマークル木(またはブルームフィルタ)を、個々のノード特有の認証データと共に、ネットワーク内の複数のノードの各々に対して送信するための送信器17が設けられている。また、データと、MMEを上記のように動作させるコンピュータプログラム19とを記憶するために、メモリ18が設けられている。
【0104】
以下の記述は、2つの実施形態の利点と不利点との分析を提供する。
【0105】
セキュリティの観点から、2つの「攻撃」を考慮しなければならない。
【0106】
1.「ニセモノの」ユーザを作成する確率
2.正当なユーザに成り代わった「ニセモノ」の広告の確率
いずれの実施形態においても、攻撃2の確率は、ユーザ毎のマークル木で用いられるハッシュ関数のサイズによって決まり、例えばt=128または256のようなtビットのハッシュ関数を用いる場合、例えば2^(−t)のように、非常に小さくすることができる。
【0107】
しかし、攻撃1の確率は、コンパクト表現用にマークル木またはブルームフィルタが用いられるかどうかに依存する。
【0108】
マークル木を用いる場合、確率は、ハッシュ関数のサイズ、すなわちtにも依存する。従って、マークル木を用いる場合、攻撃1と2とが同じ(低い)確率を有することを保証することは容易である。
【0109】
しかし、ブルームフィルタを用いる場合、攻撃1の確率は、ブルームフィルタの偽陽性率と同じである。上記のように、これを2^(−t)まで低下させるには、ブルームフィルタは、m=1.44*t*Nのサイズを有しなければならず、この場合、Nはユーザの数である。留意すべきだが、これは、単一のシステム全体のルートについてtビットしか必要でないマークル木の実施形態より悪い。確かに、このmの値は、すべてのユーザの個別のマークル木のルートをただ連結しただけの「些細な」解決策より、実際に44%大きくなっているのだが、これは「コンパクト」表現についてはサイズt*Nに達するであろう。2^(−t/1.44)という偽陽性率を犠牲にすれば、この些細な解決策より小さいブルームフィルタが達成されうるであろう。例えば、t=128の場合、偽陽性率は、およそ2^(−88)であろう。一般に、ささいな解決策に比べてc倍の「圧縮」を達成するには、2^(−t/(1.44*c))の偽陽性率を容認する必要があるであろう。
【0110】
ブルームフィルタを用いる場合に攻撃1の確率の上昇を容認する必要性があるにもかかわらず、それでもやはりブルームフィルタは、検証の複雑性がユーザの数Nに依存しないという点で有利であり、他方、マークル木だけを用いた場合、検証の複雑性はNと共に対数的に増加する。また、当初の広告の認証に続く第2の(強力な、相互の)ユーザ認証段階によって補完されるならば、偽陽性率の上昇も容認されうる。
【0111】
最初の2つの実施形態の中で記述したように、ユーザは自分のパラメータ(例えば、ルートR(u))を示すことを介して追跡されることがあるため、システムは完全に秘密であるとはいえない。ユーザのアイデンティティは知られないままであるが、このタイプの追跡は望ましくないであろう。
【0112】
第3の特定の実施形態によって、これは第1および第2の特定の実施形態のいずれかと互換性があるのだが、プライバシを向上させるため、共有される秘密鍵が、「友達グループ」の中のすべてのユーザの間に導入されてもよい。この鍵は、KBと名付けられており、ネットワークノード2によって選ばれて、ユーザが接続する際にユーザに通信されてもよい。LTEネットワークノード2は、ユーザがどのグループに属するかを知っていると仮定する。
【0113】
ボブが広告を行う場合、すべてのものがKBを用いて暗号化される。グループのメンバだけが解読できるのだが、留意されるべきだが、彼らは、ボブの木を再構築することを試行する前に、広告が彼らを対象としたものだったとは確信できない。従って、ボブは、自分の木のルートR(u)を暗号化するだけでなく、「メッセージはこの友達グループを対象としていると言う(暗号化されていない)テキストによって、それに「プレフィックス」を付ける。グループの個々のメンバは、メッセージが彼らを対象にしているかどうか、そして、木を再構築するために何らかのポイントがあるかどうかをチェックするのに、メッセージの最初の部分だけを解読すればよい。
【0114】
理解されるであろうが、第2の実施形態と共に第3の実施形態を用いる場合、kを増やす代わりに、複数のブルームフィルタを使ってもよいだろう。この場合、個々の友達グループは、(署名された)ブルームフィルタの形で証明書を有するが、それは、その具体的な友達グループのマークル木だけを含んでいる。
【0115】
当業者には理解されるであろうが、本発明の範囲から逸脱することなく、上記の実施形態に対して各種の修正形態が行われうる。特に、本発明は、いかなるタイプの通信ネットワークに適用されてもよい。さらに、理解されるであろうが、上記の記述は、第1のノードから送信されたメッセージの真正性を非依存的に検証することを支援するために時計から取得された時間を用いているが、代わりの非依存の変数が用いられてもよい。
【0116】
上記の記述においては以下の略語が用いられる。
DoS サービス拒否攻撃(Denial−of−Service)
LTE (Long Term Evolution)
UE ユーザ装置(User Equipment)
MME モビリティ管理エンティティ(Mobility Management Entity)
CA 認証局(Certifying Authority)
【技術分野】
【0001】
本発明は、通信ネットワークにおける信用性の発見の分野に関する。
【背景技術】
【0002】
ワイヤレスアドホックネットワークは、ある意味では、分散型のワイヤレスネットワークである。基地局との間で通信するのに用いるのと同じかまたはそれに類似した無線インタフェースを用いて、ネットワーク内の端末同士が相互に通信する。これを「直接モード」通信と呼ぶこともある。完全なアドホックワイヤレスネットワークの場合、既存のネットワークインフラ、例えば基地局等に頼る必要はない。その代わりに、個々のノードが、他のノードへのデータを転送することによってルーティングに参加し、それゆえ、どのノードがデータを転送するかという判定は、ネットワークの接続性に基づいて動的に行なわれる。もう少しコントロールされたアドホックネットワークでは、端末は、相互に通信することもできるし、および/または、既存のネットワークインフラと通信することもできる。これは、ネットワークインフラから何らかの支援を受けるアドホックネットワークとみなしてもよいだろう。典型的には、ワイヤレスアドホックネットワークは、直接モードを用いる場合、例えば数十メートルまたは数百メートルというように、距離が限定されている。もっと長い距離も可能だが、アドホック(移動)ノードとインフラをベースにした(固定)ノードとがいずれも同じスペクトルを用いる場合、干渉による問題を引き起こす可能性がある。
【0003】
図1は、3つの例示するアドホックネットワークのシナリオを示す図である。図1aは、ネットワーク制御によるローカルブレークアウトを示しており、ここで端末1は、端末3との通信を開始するためにネットワークインフラ2にコンタクトする。図1bは、「中継」シナリオを示しており、ここで端末1と3とは、相互に通信を確立するが、端末1だけがネットワーク2と通信する。図1cは、本当のアドホックネットワークシナリオを示し、ここで3つの端末1、3、4は、ネットワークインフラ2と通信することなく、直接、相互に通信する。典型的には、このシナリオの前に、最初の2つのシナリオのうちの1つが先行する。以下の記述は、LTE(Long Term Evolution)ネットワークを想定しているが、それらの概念が他のタイプのセルラーネットワークにも適用されることは理解されるであろう。
【0004】
端末がアドホックネットワークを確立するには、或る程度の信用性が必要である。これは、典型的には、強固な認証と鍵の交換とを用いて達成されるが、このステップが行われる前に、迅速かつ双方の「隣接者の信用性の発見」が必要である。典型的には、或る端末(広告側ノード)が、その存在を広告し、もう1つの端末(応答側ノード)が応答してもよい。迅速な隣接者信用性発見のための軽い事前認証段階がない場合、2つの端末は、DoS(denial−of service)攻撃にさらされてしまい、例えば、セキュリティの関連付けを確立する場合に電池残量を不要に浪費してしまう。
【0005】
LTE端末のことをユーザ装置(UE)と呼ぶ。この例では、アドホックワイヤレスネットワークは、展開されたLTEインフラの派生物である。アドホックワイヤレスネットワークによって、LTEインフラを用いることなく、使用可能なUEの集合が互いの存在を感知し、および/または、多様な公的および私的サービスを広告することができるようになる。加えて、これらの使用可能なUEは、それらの周辺環境を常に感知することができ、従って、例えばレストランのメニュー/献立、公共交通の時刻表といった、近接性に基づくサービスからの広告を受信することができる。社会的活動に加えて、これらのサービスは、商業活動、マルチメディア、近接性に基づく広告、友達のプレゼンス等を含んでいてもよい。
【0006】
UE1を使用中のユーザ(ボブ)がチェスのゲームをすることを希望していると広告し、UE3を使用中の興味を持ったユーザがボブの広告を検出して、彼とチェスのゲームの約束をすることにするというシナリオを考えよう。アリスとボブは、赤の他人であって、彼らの間にも彼らのUEの間にも信頼関係は存在しないことがありうる。第1のステップは、アリスが「隣接者信用性発見」プロトコルを開始することであり、それによって、アリスとボブは、お互いの正当性を相互にチェックすることができる。これが完了した後、鍵の交換を含めて、もっとセキュアな認証を行うことができる。
【0007】
このタイプの環境では、アリスがボブの正当性をチェックすることは簡単ではない。さらに、そのような交換をするとすれば、いずれのUEも、近隣の悪意のあるノードによって送信される、なりすましによる鍵交換プロトコルメッセージの形でのDoS攻撃にさらされることを意味するであろう。また、鍵交換を始めた2つのノードが、それを完了したノードと同じであることを保証することもできない。
【0008】
隣接者信用性の発見の問題に対する1つの解決策は、ネットワークインフラが、従来の公開鍵証明書を個々のユーザに提供することである。プライバシの理由で、これらの証明書は、長期のIDではなく、「仮名」を持つ短期のものであるべきである。ネットワークがすべての公開鍵を証明することが必要となることから、これは、ネットワークに多大なオーバヘッドを生じさせるであろう。また、個々の端末は、他のすべてのノード、または少なくとも、端末がアドホックネットワークを確立しうる他のすべてのノードの証明書を記憶(または、必要に応じて、取得)することが必要となりうるため、それは、端末にかかるオーバヘッドも意味するであろう。
【発明の概要】
【0009】
発明者らは、隣接者信用性発見に関連する諸問題に気付き、DoS攻撃のリスクを最小化しながら、ノードが接続の確立と鍵交換とに先立って隣接者信用性発見を行うことを可能にする、セキュアで効率的なやり方を考案した。
【0010】
本発明の第1の態様によって、通信ネットワーク内の2つのノード間で信用性を確立するための方法を提供する。第1のノードが、第1のノード特有の認証データをネットワークノードから受信する。この認証データを用いて、第1のノードについての検証データのコンパクト表現を導出することができる。また、第1のノードは、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現も受信する。第1のノードは、第2のノードとの間でアドホックネットワークをセットアップすることを望んだ場合、そのノードについての認証データから信用性情報を導出し、信用性情報と少なくとも認証データの一部とを含むメッセージを第2のノードに送信する。第2のノードは、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現の自分用のコピーを有しており、ネットワーク内のすべてのノードの検証データのコンパクト表現と、受信された信用性情報および認証データとを用いて、第1のノードからのメッセージの真正性を検証する。検証データの証明付きコンパクト表現を両方のノードがネットワークから受信したのだから、それらは、さらにネットワークと通信する必要なしに、鍵交換の前に或る程度の信用性を確立することができる。
【0011】
1つの選択肢として、第1のノードの検証データのコンパクト表現は、第1のノード特有の認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたマークル木のルートを含む。また、基準時間を用いることによって、第2のノードは、メッセージの真正性を検証する際に、時間を用いて支援することができる。
【0012】
別の選択肢として、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワーク内のすべてのノードの検証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む。
【0013】
方法は、任意で、第1のノードにおいて、第1のノード特有の認証データと、第1のノードにおける時計から取得された情報から導出された単一の基準時間とから、マークル木の葉を導出することを含んでおり、ここで、導出された葉から信用性情報が導出される。これによって、第2のノードが、第2のノードにおいて時計から導出された情報を用いてメッセージの真正性を検証することが可能になる。第2のノードは任意で、認証データと、第2のノードにおける時計から取得された情報から導出された基準時間とから、マークル木の葉を導出し、信用性情報を検証し、第1のノードの検証データの第2のコンパクト表現を導出し、そして、第1のノードの検証データの第2のコンパクト表現が、ネットワーク内のすべてのノードの検証データのコンパクト表現と調和することを検証することによって、第1のノードからのメッセージの真正性を検証する。
【0014】
別の選択肢として、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ブルームフィルタを含んでおり、そして、第1のノードの検証データの第2のコンパクト表現は、検証データの第2のコンパクト表現がブルームフィルタのメンバとして示されている場合、ネットワーク内のすべてのノードの検証データのコンパクト表現と調和する。あるいは、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワーク内のすべてのノードの検証データから導出されたマークル木のルートを含んでおり、そして、第1のノードの検証データの第2のコンパクト表現は、マークル木のルートが第1のノードの検証データの第2のコンパクト表現から導出されうる場合、ネットワーク内のすべてのノードの検証データのコンパクト表現と調和する。
【0015】
セキュリティをさらに向上させるため、方法は、任意で、さらに、第1のノードが、或るグループに属するすべてのネットワークノードが利用可能なグループ鍵をネットワークノードから受信することと、第1のノードが、メッセージを第2のノードに送信する前にメッセージの少なくとも一部をグループ鍵を用いて暗号化することとを含む。このようにして、メッセージの一部が暗号化され、グループの他のメンバだけがアクセスできるようにされてもよい。
【0016】
メッセージは任意で、第1のノードによって送信された広告メッセージに応じて送信された、第2のノードからのクエリに応じて送信される。
【0017】
本発明の第2の態様によって、通信ネットワークで用いる移動通信ノードを提供する。ノードは、ノードについての検証データのコンパクト表現がそこから導出されうるノード特有の認証データと、ネットワーク内のすべてのノードの検証データのコンパクト表現とを、ネットワークノードから受信するための受信器を備えており、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワークノードによって証明されている。また、ノードは、認証データから信用性情報を導出するためのプロセッサと、信用性情報と認証データの少なくとも一部とを第2のノードに送信するための送信器とを備えている。第2のノードは、信用性情報を利用することができ、それによって、ネットワーク内のすべてのノードの検証データのコンパクト表現と、受信された信用性情報および認証データとを用いてメッセージの真正性を検証することができる。
【0018】
移動通信ノードは、任意で、さらに、時計を含み、ここで、プロセッサは、ノード特有の認証データと時計から取得された情報から導出された単一の基準時間とからマークル木の葉を導出するように構成されており、ここで信用性情報が、導出された葉から導出される。
【0019】
1つの選択肢として、移動通信ノードはさらにグループ鍵を記憶するためのメモリを備え、ここで、プロセッサは、メッセージの少なくとも一部を、それを第2のノードに送信する前にグループ鍵を用いて暗号化するように構成される。
【0020】
検証データのコンパクト表現は、任意で、ノード特有の認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたマークル木のルートを含む。別の選択肢として、ネットワーク内のすべてのノードの検証データのコンパクト表現は、ネットワーク内のすべてのノードの認証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む。
【0021】
本発明の第3の態様によって、通信ネットワークで用いる移動通信ノードを提供する。ノードは、ネットワークノードによって証明された、ネットワーク内のすべてのノードの検証データのコンパクト表現を、ネットワークノードから受信するための受信器を備えている。ネットワークノードによって証明された、ネットワーク内のすべてのノードの検証データの、受信されたコンパクト表現を記憶するため、メモリが設けられている。受信器はさらに、広告側ノードからメッセージを受信するように構成されており、そのメッセージは、認証データと、広告側ノードについての認証データから導出された信用性情報とを含んでいる。ネットワーク内のすべてのノードの検証データのコンパクト表現と、受信された信用性情報と、広告側ノードについての受信された認証データと、を用いてメッセージの真正性を検証するプロセッサが設けられている。
【0022】
移動通信ノードは、任意で、時計を備えており、ここで、プロセッサは、信用性情報を、マークル木の葉から導出された情報と比較することによって検証するように構成され、その葉は、認証データと、時計から取得された時刻から導出された情報とから導出され、プロセッサは、さらに、ネットワーク内のすべてのノードの検証データの第2のコンパクト表現を導出するように構成されていて、すべてのノードの検証データの第2のコンパクト表現が、ネットワーク内のすべてのノードの検証データの記憶されたコンパクト表現と調和するかどうかを検証する。
【0023】
本発明の第4の態様によって、通信ネットワークで用いるネットワークノードを提供する。ネットワークノードは、通信ネットワークに関連付けられた複数のノードの各々について、個々のノード特有の認証データを導出すると共に、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現を導出するためのプロセッサを備えている。また、個々のノード特有の認証データと、ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現とを複数のノードの各々に送信するため、送信器も設けられている。
【0024】
本発明の第5の態様によって、移動通信ノード上で実行された場合に移動通信ノードを本発明の第2または第3の態様のいずれかの中で上述した移動通信ノードとして動作させるようなコンピュータ可読コードを含む、コンピュータプログラムを提供する。
【0025】
本発明の第6の態様によって、ネットワークノード上で実行された場合にネットワークノードを本発明の第4の態様の中で上述したネットワークノードとして動作させるようなコンピュータ可読コードを含む、コンピュータプログラムを提供する。
【0026】
本発明の第7の態様によって、コンピュータ可読媒体と、本発明の第5または第6の態様の中で上述したコンピュータプログラムとを含む、コンピュータプログラムプロダクトを提供し、ここで、コンピュータプログラムは、コンピュータ可読媒体上に記憶される。
【図面の簡単な説明】
【0027】
【図1】例示的なネットワークシナリオをブロック図として略示する図である。
【図2】ハッシュキーで生成されたマークル木を略示する図である。
【図3】本発明の一実施形態によるシグナリングを示すシグナリング図である。
【図4】本発明の第1の実施形態のステップを示すフロー図である。
【図5】本発明の一実施形態による広告側端末をブロック図として略示する図である。
【図6】本発明の一実施形態による受信側端末をブロック図として略示する図である。
【図7】本発明の一実施形態によるネットワークノードをブロック図として略示する図である。
【発明を実施するための形態】
【0028】
以下の記述は、ネットワーク内の個々のノードが、(アドホックネットワークを構築するために)ネットワークを介して通信することなく、中央ネットワークノードと、あるいは相互に、通信することができると仮定している。LTEネットワークを仮定しているが、同様の方法がいかなるタイプの通信ネットワークにおいても用いられうるであろうということは理解されるであろう。LTEインフラは、ユニキャストおよび/またはマルチキャストチャネル、例えば「ページング」またはセル同報を用いて、いつでもどこでもいかなるアドホック対応ノードにも達することができる。また、個々のノードは、内部時計を有し、かつ、それらはすべて、時刻が同期していると仮定する。この時刻同期は、ウインドウメカニズムが用いられる場合、厳密である必要はない。
【0029】
或るノードが別のノードとの間でアドホックネットワークを形成することを望む時、そのノードは、広告を送信する。以下のような3つの広告カテゴリが考えられる。
・主にビジネス向けの広告を扱う「パブリック」広告(例えば、公共交通/民間交通など)
・主に特別のノード集合に対するプレゼンスと近接性の公表を扱う「プライベート」広告(例えば、自分と自分の友達との間で)
・社会的および安全性向けの広告を扱う「セミ・パブリック」広告(例えば、ゲーム、医療サービス、社会的サービス、車両用メッセージなど)
【0030】
LTEネットワーク2にアタッチしているUE1は、LTEインフラ、例えばMME(モビリティ管理エンティティ)によって生成された「セキュリティパラメータ」セットをセキュアな形で取得し、それらがUE1に対して送信される。この送信についてのセキュリティは、典型的には、既存のUE対ネットワークへのシグナリングプロトコルによって提供されるであろう。第1の実施形態では、セキュリティパラメータは、マークル木を用いて実装される。これらのパラメータは、発信広告を認証するのに用いられるパラメータセットと、着信広告を検証するのに用いられる(単一の)パラメータとの2つのカテゴリに分類することができる。これは、LTEインフラが、例えばDoS攻撃のような、何らかの悪意のある動作を、送信者まで遡って追跡し、いずれかの必要な行動を取る(例えば、そのユーザをネットワークから締め出す)ことができることを意味する。
【0031】
セキュリティパラメータのコンパクト表現が、ネットワーク内の個々のUEに対して送信される。本発明の第1の実施形態によると、コンパクト表現は、マークル木に基づいており、本発明の第2の実施形態によると、コンパクト表現は、ブルームフィルタに基づいている。UEがいずれかの他のUEからの広告を検証する必要がありうるため、このコンパクト表現が必要となる。ネットワーク内には他のUEが何千も存在することがあり、そのため、コンパクトでない表現を送信するという正攻法のやり方を行えば、実行不可能なほど多くの帯域幅を消費するであろう。
【0032】
プライベートのカテゴリではそれ自身のプライバシとセキュリティとが必須であるため、以下に記述する方法は、主に、広告のセミ・パブリックのカテゴリに関する。しかし、個々のパブリック広告についてインフラにクエリする必要性をなくすことによってLTE帯域幅の利用を著しく最適化しうることから、この方法は、パブリック広告のカテゴリに適用されてもよい。
【0033】
下記のような、アドホックネットワークにおいて信頼関係を確立する方法は、「初期の」信用性メカニズムとしての動作であると考えられており、鍵交換プロトコルに対する前触れであることが意図されている。広告側UEと応答側UEとの間の迅速な信用性の発見を可能にすることによって、両方のノードが、普通ならペアリング手順の最中に開始されるかもしれない、見込まれるDoS攻撃から確実に保護される。
【0034】
UE同士が対話することを決めると、典型的には、発見(ディスカバリー)に続いて、例えばDiffie−Hellmanに基づく、ペアを成す鍵の確立も行われるであろう。しかしながら、これは本発明の範囲外である。ただし、本発明は、送信されたDiffie−Hellmanパラメータを認証するのにも適用可能であろうということに留意されたい。
【0035】
本発明の第1の実施形態をよりよく記述するため、図2を参照しながら、マークル木について以下に説明する。
【0036】
マークル木とは、ラベル付きの二分木である。葉のラベルは、L1=H(R1)、L2=H(R2)、・・・、Ln=H(Rn)という形をしており、ここでHは(例えばSHA−256を用いて、またはWhirlpoolハッシュ関数を用いて実装される)(一方通行の)暗号化ハッシュ関数であり、Rjは任意の値であってもよい。内部の頂点のラベルvは、「子孫」に対するラベルから再帰的に定義され、すなわち、
Label(v)=H(Label(left(v))||Label(right(v)))
ここで、left(v)とright(v)とは、vの左右の子に対応し、||は、連結を表す。木は、ルートのラベルによって関連付けられ/識別されてもよい。
【0037】
Hのようなハッシュ関数を用いて、単一のメッセージが認証または「署名」されてもよい。ユーザは、メッセージmおよびH(H(R)||m)を公開し、ここでRは何らかのランダムな値である。検証を可能にするため、ユーザはRを開示する。検証器が、Rは、上記の式によるメッセージを使ってハッシュした場合、同じ結果を生じることをチェックする。不利点は、Rは開示された瞬間に消費されるため、セキュアな形で署名されるのは、1つのメッセージだけである可能性があることである。
【0038】
図2の例では、キー000乃至キー003からルート値のハッシュ0が生成される。個々のキーの値は、マークル木の1つの葉である。
【0039】
マークル木によって、複数のメッセージの認証が可能になる。個々の葉は、1つのメッセージの「公開鍵」であって、(木の深さにおける)幾何学級数的な数のメッセージを認証する手段を提供すると考えることができる。マークル木を用いる場合、ユーザは、葉を示すだけではなく、葉からルートまでのパスに沿った「パスの外の」兄弟姉妹たちも示さなければならないことに留意されたい。(木の大きさにおける)対数的な数の兄弟姉妹たちが存在する。
【0040】
本発明の第2の実施形態をより良く記述するため、ブルームフィルタは、所定の長さmのビットベクトルであり、それと共に、k個のハッシュ関数h1、h2、・・・、hkの集合が、集合{1、2、・・・、m}にマッピングされる。データ項目xをブルームフィルタに挿入する場合、ビットベクトルのビット位置h1(x)、h2(x)、・・・hk(x)はすべて「1」に設定される。逆に、或るデータ項目の候補yが、ブルームフィルタによって符号化されたデータ集合のメンバであるかどうか判定するため、ビット位置h1(y)、h2(y)、・・・hk(y)がチェックされ、そして、これらのビット位置がすべて「1」である場合、yはデータ集合のメンバであると仮定することができる。結果として、ビット位置は、yとは異なる何らかの他の要素によって「1」に設定されうるのだから、ブルームフィルタは、いわゆる「偽陽性」を与えうる。しかし、偽陽性の割合は、mとkの適切な値を選択することによって、コントロールすることができる。例えば、ブルームフィルタのサイズが少なくともm=1.44×t×Nであるならば、偽陽性率2^(−t)を有するブルームフィルタを作成することができ、ここでNは、挿入される要素の数である。
【0041】
次に本発明の第1の実施形態について記述するが、MMEは、基本時間枠を基準にして複数の時間枠を決める。例えば、基本時間枠が真夜中である場合に最小時間枠が6秒であると仮定すると、複数の時間枠のうちの個々の時間枠は、真夜中+6秒、真夜中+12秒、真夜中+18秒というようになる。個々の時間枠を用いて、ノードが広告を送信してもよい。個々の広告に、認証データと信用性情報と呼ばれる2つの特別パラメータが割り当てられ、それらは少なくとも部分的には、広告側ノードの中に事前に記憶されている。従って、24時間の時間枠は、上記の精度を持つ14400個の異なる信用性パラメータを必要とすることになる。パラメータの数は、nと呼ばれる(この例では、n=14400がデフォルトである)。
【0042】
またMMEは、サービス提供されるユーザの最大数Nも判定する。そのような個々のユーザu=1、2、・・・Nと、個々の時間枠j=1、2、・・・nとについて、ネットワークは、対応する時間枠Tjについての認証データとして機能する(疑似)ランダム値Sujを割り振る。
【0043】
MMEは、マークル木を算出し、それを個々の正当なユーザ/UEについて(例えば、ネットワークアタッチの際に)証明する。マークル木の個々の葉は、14400個の時間枠の各々を使ってそのUEに関連するランダムな認証データSujをハッシュすることによって、演算される。これは、leaf(j)すなわちL(j)=First[128,H(Suj|Tj)]を意味し、ここでSujは、Tjに関連付けられた上記の秘密であって、ネットワークによって選択されたものであり、かつ、ユーザにも知られており、そして、Tjは、特定の時間枠に相当する。話を簡単にするために、すべてのTjは同じ持続時間を有すると仮定するが、異なる持続時間のTjを用いることも可能である。これは、所与の時間枠の中により多くのTjを許容するような、ネットワーク内のピーク時のトラヒックを考慮に入れてもよい。
【0044】
LTEネットワークのような典型的な事例では、個々のSujは、例えばSuj=H(Su,j)によってネットワークとUEとの間で共有されるキーであるSuから生成されてもよいだろうということに留意されたい。次いでSuは、UEとネットワークとに限って利用可能であるようになされなければならず、他のUEに対して開示されてはならない。
【0045】
個々のUEに特有で、かつ、その後の24時間をカバーするマークル木が、LTEによって生成され、記憶される。LTEネットワークは、それゆえ、ユーザuのマークル木のルートR(u)を(ユーザが接続する前に)事前に演算する。これが、すべてのN個のユーザについて繰り返される。留意すべきことだが、木全体ではなく、SuとT0とnとR(u)とを記憶するだけでよく、必要に応じて、T0とnとSuとから、いずれかの内部頂点を再構築することができる。これには、O(N*n)のハッシュ演算が含まれる。
【0046】
いずれかの時点で、UE1が、LTEによる認証と許可とを介してアドホック・ソーシャル・エコシステムに接続し、その間に、ネットワークから認証データSuj(またはSu)およびnをセキュアな形で受信する。UE1は、自分自身のハッシュ木の主要パラメータを作成することができるが、それは、UE1とLTEネットワークとが、いかなる特定の葉も交換する必要がないことを意味し、なぜなら、UE1とLTEネットワークとがいずれも、必要な場合にはいつでもそれらを、T1とnと共有するSuと一方通行のハッシュHとを用いて生成することができるからである。また、UE1は、少なくとも現在接続されているすべてのユーザの集合を表す1枚のシステム証明書を受信する。(また、証明書は、下記のように、未接続のユーザを表すこともできる。)このシステム証明書は、以下に説明する、すべてのユーザのマークル木のルートのコンパクトで検証可能な表現である。
【0047】
UE1が、ネットワーク2をさらに含めることなく、別のUE3とアドホックネットワークを形成することを望む場合、UE1は、認証データSujと、トランザクションの現行の時間間隔Tjとに関連付けられた、対応する葉Ljに基づく信用性情報とを含む広告を送信する。例えば、Ljはメッセージ認証コード(MAC)を演算するためのキー、例えばハッシュ(Lj,メッセージ)として用いられてもよい。
【0048】
Suj(および場合によっては、必要に応じて兄弟姉妹)を送信することによって、受信側UE3は、ルートを演算し、その有効性を、UE3がネットワークから以前に受信していたシステム証明書のローカルなコピーを介してチェックすることができる。受信器は、葉が木の一部であるかどうかをチェックする必要はない。代わりに、パラメータの集合が、有効なパラメータであるルートに至るかどうか、言い換えれば、システム証明書によって証明されているかどうかをチェックする。
【0049】
システム証明書は、受信側ノードがネットワーク内のいずれかのノードを検証することを可能にすべきである。上記のように、ネットワークに登録されている個々のUEに関連するルートを分配することは、それらが非常に多数でありうるという理由から、望ましくない。従ってネットワークは、個々の登録されたUEのルートR(1)、R(2)、・・・R(N)を入力葉として用いて、第2のマークル木を作成する。システム全体のルートをRと名づける。ネットワークは、従来の署名メカニズム、例えばRSA公開鍵暗号化を用いてRに署名し、それを分配する。個々のユーザuについて、ネットワークは、「パスの外の」兄弟姉妹を含めてパスの情報をR(u)からルートRへと送信する。ゆえに、ユーザの数をN=2^tと仮定すると、個々のユーザは、O(log N)=O(t)の加算値を得る。この集合をSib(u)と名付ける。留意すべきことだが、この分配はネットワークから個々のUEへのユニキャストであることから、RSAを用いる代わりに、代替として、前から存在するLTE(共有)キーを用いてRおよびこの情報が「署名」されてもよい。
【0050】
留意されるべきだが、Rを構築するためのネットワークの全演算作業は、O(N*(n+1))ハッシュ関数評価であり、すなわち、すべてのR(u)を構築するためのO(N*n)と、その後それらをRと結合させるためのO(N)とである。
【0051】
ワイヤレスアドホックネットワーク内の2つのノード間のその後の隣接者信用性の発見の交換の間、受信側ノードは、例えばMMEのようないかなる中央ネットワークノードとも通信することなく、広告側ノードによって送信された認証データおよび信用性情報を検査しなければならない。広告を認証するため、広告側ノードUE1は、自分の木の中の(UE1の内部時計から取得された時間枠Tjに関連する)1つの葉と、それに対応するルートR(u)に至るパスの外の情報とを、すなわち、d=log nである場合のO(d)の値を、リリースする。また、広告側ユーザも、Sib(u)、すなわちO(t)の値を送信する。「署名」は今、サイズO(d+t)を有する。留意すべきことだが、Sib(u)は、記憶スペースに余裕がある場合、今後の利用のためにキャッシュされてもよい。
【0052】
また、受信側ノードUE3が広告を検証するために行わなければならないハッシュ演算の回数も、O(d+t)である。これは、最初に再構築R(u)を再構築し、次いで、R(u)とSib(u)とからRを再構築することによって行われる。
【0053】
留意されるべきだが、受信側ノードは、広告メッセージに応答する場合、認証データと信用性情報とを含めることによって、UE1とUE3とがいずれも正当であることを相互に確信できるようにするべきである。
【0054】
2つのノードUE1とUE3との間の鍵交換プロトコルは、隣接者信用性の発見プロトコルの間に信用性が表示されることを包含すべきであるが、ノードの身元を決して開示すべきではない。このために、Diffie−Hellman交換を行うのに必要な最初の2つのメッセージは、マルチキャストモードで送信されてもよいだろうし、そして、2つのノード間で交換される「信用性パラメータ」からかまたは隣接者信用性の発見交換の間に生成される、追加のパラメータを搬送するべきである。
【0055】
図3に関して、以下のステップで本発明の概要を記述するが、以下の番号は図の番号に対応している。
【0056】
S1およびS2.MME2が、個々のノードに関係する認証データSu(またはSuj)および署名されたシステム証明書を、(UE1とUE3とを含めて)ネットワーク内のすべてのノードに対して送信する。これは典型的には、個々のノードがネットワークに接続する際に行われる。
【0057】
S3.UE1が、別のノードとの間でアドホックネットワークをセットアップすることを望む場合、現在時刻Tjに関連するそのマークル木の葉Ljと、その内部時計から判定された、対応する認証データSujとを含む信用性情報を判定する。信用性情報と認証データとは、広告mを認証するために用いられる。
【0058】
S4.UE1が、信用性情報と認証データとを、広告の中でUE3に対して送信する。それゆえ、送信された情報は、「メッセージ」、H(Lj、「メッセージ」)、Suj(すなわち、広告自体と、MACおよび認証データを含む信用性情報)を含んでいる。
【0059】
S5.UE3が、Lj=H(Suj|Tj)を演算し、H(Lj,「メッセージ」)を検証し、次いでUE1についてのマークル木のルートを判定し、次いでUE1についてのルートとSib(u)とからルートRが導出されうることを判定することによって、広告を検証する。
【0060】
図4は、第1の特定の実施形態を詳細に示す図であり、以下の番号は、図4の番号に対応している。
【0061】
S6.UE1が、その認証情報(Suj)と、ネットワーク内のすべてのノードの認証データから導出された証明付きマークル木とを受信する。
【0062】
S7.UE1が、その認証データ(Suj)と、その内部時計から間接的に取得された時刻(Tj)とを用いて、マークル木の1つの葉(Lj)を導出する。導出された葉Ljを用いて、信用性情報の残余部分H(Lj,「メッセージ」)を導出する。
【0063】
S8.UE1が、UE2に対して、信用性情報を含むメッセージを送信する。
【0064】
S9.UE3が、認証データと、自分自身の内部時計から間接的に取得された基準時間とを用いて、マークル木の1つの葉を導出する。理解されるであろうが、UE1とUE3との内部時計は、合理的に緊密に同期されるべきであるが、受信されたメッセージをキャッシュするUE3についてはいくらかの差は許容されてもよい。信用性情報の残余部分H(Lj,「メッセージ」)も検証される。
【0065】
S10.UE3が、導出された葉を用いて、第1のノードについてのマークル木のルートを導出する。
【0066】
S11.UE3が、ネットワーク内のすべてのノードの検証データから導出された証明付きマークル木のルートは、自分が導出した第1のノードについてのマークル木のルートから導出されうるかどうかを判定する。もしそうなら、メッセージが検証される。
【0067】
以下の例は、mビットの出力、例えばm=128、を生じるハッシュ関数Hが用いられることを仮定する。システムは、N人のユーザを有しており、nの時間枠が必要である(例えば、n=14400)。
【0068】
システムの初期化
1.ネットワークノード2(例えばMME)が、現行の時間枠T1(またはその直前)でパラメータNおよびnを決める。
【0069】
2.個々のu=1,2,・・・N,について、ネットワークノード2が、ランダムなSu(または疑似ランダムSuj)を選び、SuおよびT1,T2,・・・TnからR(u)を構築し、SuとR(u)とを記憶する。
【0070】
3.R(1),R(2),・・・R(N)からRが判定されて、記憶される。
【0071】
4.ネットワークがRに署名し、それをネットワーク内のすべてのノードに対して送信する。
【0072】
参加
これは、uで示す新たなUEがアタッチする場合に実行される。
【0073】
1.通常のLTEアクセスセキュリティが行われる。
【0074】
2.ネットワークが、T1、n、SuおよびR(u)を、LTEアクセスセキュリティによって保護されているUEに対して送信する(約2mビット)。あるいは、UEが、Suを選択して、ネットワークに対して送信してもよい。
【0075】
3.(ネットワークは信用できると仮定されているため)選択が任意の実施形態で、UEが、R(u)が適切に作成されていることを検証するため「サンプル」を採取してもよく、すなわち、何らかの(ランダムな)パスを葉からルートまで評価してもよい。
【0076】
4.ネットワークが、Sib(u)、すなわち、RにおけるR(u)のO(log N)のパスの外の兄弟姉妹を、LTEアクセスセキュリティによって保護されているuに対して送信する。
【0077】
オプションの実施形態で、UEが、Rが正確であることを検証する(O(log N)のハッシュ演算を必要とする)。
【0078】
広告を認証する
1.UE1が、Sujと現行の時間枠Tjとに対応する、正確な葉Ljを導出する。
【0079】
2.UE1が、Ljと、認証データSujと、LjのO(log n)のパスの外の兄弟姉妹およびR(u)のO(log N)のパスの外の兄弟姉妹とによって認証された(Ljによる認証は、LjをHについてのキーとして利用する。従ってHの演算は1度だけでよい)広告を、UE3に対して行う。ステップ2の代替としては、UEは、メッセージおよびMACだけを送信する。次いで、広告を受信するノードUE3は、UE1に、認証データと兄弟姉妹とを要求する必要がある。いずれの場合でも、他の誰よりも前に、送信者からの通信全体が、(第1の)広告はO(m*(1+log n+log N))であることを検証することができる(次のセクションを参照のこと)。
【0080】
広告を検証する
1.UE3が、UE1から(第1の)広告を受信し、(UE1に対応する)認証データと兄弟姉妹とを、上記で論じたように、広告の一部としてかまたはUEがそれらを要求することによって、取得する。
【0081】
2.UE3が、MACが正確であり、かつ、Ljおよび兄弟姉妹がルートR(u)に至るということをチェックするが、ここではHのO(1+log N)評価が用いられる。
【0082】
3.正確であるならば、UE3が、R(u)および(現行の)システム全体の木Rの兄弟姉妹が、Rのルートに至ることを検証し、すなわち、HのO(log N)評価を行う。
【0083】
ステップ2の後で、受信側UEは、その後のメッセージがR(u)およびRの生存時間の間に受信される場合にはステップ1および2だけ行われればよいように、R(u)をキャッシュしてもよい。
【0084】
第2の特定の実施形態によると、個々のユーザuは、そのルートR(u)によって識別されるマークル木を有する。原理は、他者がルートまでのパスを演算することを可能にするためにユーザが葉と兄弟姉妹とを示し、それによって広告を認証するという点で、第1の実施形態と同じである。第2の実施形態の違いは、すべてのユーザの公開鍵の「コンパクト表現」が取得されるやり方にある。第1の特定の実施形態では、このためのもう1つのマークル木が用いられたが、他方、第2の特定の実施形態では、ブルームフィルタが用いられる。
【0085】
個々のユーザのマークル木のルート{R(1),R(2),R(u),・・・,R(N)}が、ブルームフィルタの中に挿入される。LTEネットワークが、例えばRSAを用いて、ブルームフィルタに署名する。ユーザが広告を認証することを望む場合には、ユーザuの(候補)ルートR(u)を計算した後、検証側ユーザが、R(u)は署名されたシステム全体のブルームフィルタのメンバであるかどうかをチェックする。
【0086】
ブルームフィルタの利用に際しては、利点と不利点とがいくつかある。第1に、LTEネットワークがシステムパラメータを初期化する場合、未接続のユーザについてマークル木を生成する必要はない。これは、後になって任意の要素がブルームフィルタの中に挿入されることがあるからである。新たなユーザが追加されると、ネットワークノードは、ブルームフィルタを更新し、それに再署名する。システム全体のマークル木は、ハッシュ関数Hの「一方通行」の性質のため、この特性を有しておらず、葉は、「後で」追加されることはできず、木は、最初に葉からルートまで生成されなければならない。また、関連する木の深さは、システム内のユーザの総数に依存するのではなく、個々のユーザによって行われる広告の数だけに依存するため、ブルームフィルタを用いた広告の検証は、より効率的である。言い換えると、マークル木の実施形態は、ブルームフィルタを用いる場合には、深度の合計がO(log n)よりむしろO(log n+log N)である木を増加させるであろう。ユーザuのマークル木のルートが与えられている場合、ブルームフィルタをチェックすることは、本質的に瞬時に行われる。特に、ブルームフィルタがk個のハッシュ関数を有すると仮定すると、ブルームフィルタをチェックすることは、k回のハッシュ演算に対応する。
【0087】
ブルームフィルタによる手法の欠点は、上述したブルームフィルタの偽陽性率である。ルートR(u)がブルームフィルタに挿入されない場合でさえ、そのように見えることもありうる。しかし、これは、BFパラメータを選ぶことによってコントロールすることができる。
【0088】
ブルームフィルタを用いる下記の例は、第1の特定の実施形態を記述する際に行ったのと同じ仮定を行う。
【0089】
システムの初期化
1.ネットワークノード2が、パラメータNを決める。現在の時間枠はT1(またはその直前)であると仮定する。システムが、(Nおよび所望の偽陽性率に基づいて)適切なサイズかつ適切なkを持つブルームフィルタを選ぶ。ブルームフィルタは空であるように初期化される。
【0090】
2.ネットワークがブルームフィルタに署名し、それをネットワーク内のすべてのノードに対して送信し始める(例えば同報する)。
【0091】
参加
これは、uで示す新たなUEが接続する場合に実行される。
1.通常のLTEアクセスセキュリティが行われる。
【0092】
2.UE1が、n個の葉を選び、マークル木R(u)を形成し、それが、LTEアクセスセキュリティによって保護されているネットワークノード2に対して送信される。(あるいは、ネットワークノード2が、上述したようにSu/Sujの値に基づいて、木/葉を選ぶこともできる。)
【0093】
3.任意で、木を生成していない当事者が、R(u)が適切に作成されていることを検証するためサンプルを採取してもよく、すなわち、何らかの(ランダムな)パスを葉からルートまで評価してもよい。
【0094】
4.ネットワークが、R(u)をブルームフィルタに追加し、ブルームフィルタに再署名し、そして、新たな値を同報し始める。
【0095】
広告を認証する
1.UE1が、現在の時間枠Tjに対応する、正確な認証データSuj(それゆえ、対応する葉Lj)を見つける。
【0096】
2.UE1が、Ljと、認証データと、LiのO(log n)のパスの外の兄弟姉妹とによって認証された(Ljによる認証は、例えばLjをHについてのキーとして利用する。従ってHの演算は1度だけでよい)広告を行う。
【0097】
ステップ2の代替として、UEは、メッセージおよびMACだけを送信する。次いで、広告を受信するユーザは、認証データと兄弟姉妹とを要求する必要がある。いずれの場合でも、他の誰よりも前に、送信者からの通信全体が、(第1の)広告はO(m*(1+log n+log N))であることを検証することができる(以下を参照のこと)。
【0098】
広告を検証する
1.UE1からの(第1の)広告を受信するUE3は、最初に、認証データと兄弟姉妹とを、上記で論じたように、広告の一部としてかまたはUE1がそれらを要求することによって、取得する必要がある。UE3は、最近同報され(署名され)たブルームフィルタのコピーを有すると仮定する。
【0099】
2.受信側UE3は、ルートR(u)を導出し、そして、MACが正確であり、かつ、Ljおよび兄弟姉妹がルートR(u)に至るということをチェックした後、R(u)が、同報されたブルームフィルタの中にあることをチェックし、すなわち、HのO(1+log N)評価を行う。
【0100】
2の後で、受信側UEは、その後のメッセージがR(u)およびRの生存時間の間に送信される場合にはステップ1および2だけ行われればよいように、R(u)をキャッシュしてもよい。
【0101】
次に図5を参照するが、ここでは広告メッセージを送信するUE1のブロック図を略示する。UE1は、その認証情報と証明付きマークル木(または、第2の実施形態が用いられる場合には、ブルームフィルタ。上記のブルームフィルタが用いられうるだろうということを当業者であれば理解するであろうが、本記述では、マークル木について述べよう。)を受信するための受信器5を備えている。認証データと基準時間とを用いてUE1のマークル木の1つの葉を導出し、そして、その葉から信用性情報を導出するため、プロセッサ6が設けられている。時間は、直接的または間接的に時計8から取得される。信用性情報と認証データとをUE3に対して送信するため、送信器7が設けられている。グループ鍵を記憶するため、メモリ9が設けられており、その場合、プロセッサ6は、メッセージの少なくとも一部を、それをUE3に対して送信する前に、(第3の特定の実施形態の中で以下に述べるように)グループ鍵を用いて暗号化するように構成されている。また、メモリ9は、UE1を上記のように動作させるコンピュータプログラム10を記憶するために用いられてもよい。
【0102】
図6は、ブロック図の中に、例えばUE3のような受信側ノードを略示する図である。UE3は、証明付きマークル木を受信するための受信器11を備えている。これは、メモリ12の中に記憶される。また、受信器11は、UE1から、認証データと導出された信用性情報とを含むメッセージを受信するように構成されている。証明付きマークル木と、受信された認証データおよび信用性情報とを用いてメッセージの真正性を検証するために、プロセッサ13が設けられている。また、プロセッサ13が上記のように信用性情報を検証できるようにするため、時計14が設けられている。また、UE3を上記のように動作させるコンピュータプログラム15を記憶するために、メモリ12が用いられてもよい。
【0103】
図7は、ブロック図の中に例えばMMEのようなネットワークノード2を略示する図である。MMEは、ネットワーク内の個々のノードに関連付けられた認証データからマークル木(またはブルームフィルタ)を導出して証明するためのプロセッサ16を備えている。証明付きマークル木(またはブルームフィルタ)を、個々のノード特有の認証データと共に、ネットワーク内の複数のノードの各々に対して送信するための送信器17が設けられている。また、データと、MMEを上記のように動作させるコンピュータプログラム19とを記憶するために、メモリ18が設けられている。
【0104】
以下の記述は、2つの実施形態の利点と不利点との分析を提供する。
【0105】
セキュリティの観点から、2つの「攻撃」を考慮しなければならない。
【0106】
1.「ニセモノの」ユーザを作成する確率
2.正当なユーザに成り代わった「ニセモノ」の広告の確率
いずれの実施形態においても、攻撃2の確率は、ユーザ毎のマークル木で用いられるハッシュ関数のサイズによって決まり、例えばt=128または256のようなtビットのハッシュ関数を用いる場合、例えば2^(−t)のように、非常に小さくすることができる。
【0107】
しかし、攻撃1の確率は、コンパクト表現用にマークル木またはブルームフィルタが用いられるかどうかに依存する。
【0108】
マークル木を用いる場合、確率は、ハッシュ関数のサイズ、すなわちtにも依存する。従って、マークル木を用いる場合、攻撃1と2とが同じ(低い)確率を有することを保証することは容易である。
【0109】
しかし、ブルームフィルタを用いる場合、攻撃1の確率は、ブルームフィルタの偽陽性率と同じである。上記のように、これを2^(−t)まで低下させるには、ブルームフィルタは、m=1.44*t*Nのサイズを有しなければならず、この場合、Nはユーザの数である。留意すべきだが、これは、単一のシステム全体のルートについてtビットしか必要でないマークル木の実施形態より悪い。確かに、このmの値は、すべてのユーザの個別のマークル木のルートをただ連結しただけの「些細な」解決策より、実際に44%大きくなっているのだが、これは「コンパクト」表現についてはサイズt*Nに達するであろう。2^(−t/1.44)という偽陽性率を犠牲にすれば、この些細な解決策より小さいブルームフィルタが達成されうるであろう。例えば、t=128の場合、偽陽性率は、およそ2^(−88)であろう。一般に、ささいな解決策に比べてc倍の「圧縮」を達成するには、2^(−t/(1.44*c))の偽陽性率を容認する必要があるであろう。
【0110】
ブルームフィルタを用いる場合に攻撃1の確率の上昇を容認する必要性があるにもかかわらず、それでもやはりブルームフィルタは、検証の複雑性がユーザの数Nに依存しないという点で有利であり、他方、マークル木だけを用いた場合、検証の複雑性はNと共に対数的に増加する。また、当初の広告の認証に続く第2の(強力な、相互の)ユーザ認証段階によって補完されるならば、偽陽性率の上昇も容認されうる。
【0111】
最初の2つの実施形態の中で記述したように、ユーザは自分のパラメータ(例えば、ルートR(u))を示すことを介して追跡されることがあるため、システムは完全に秘密であるとはいえない。ユーザのアイデンティティは知られないままであるが、このタイプの追跡は望ましくないであろう。
【0112】
第3の特定の実施形態によって、これは第1および第2の特定の実施形態のいずれかと互換性があるのだが、プライバシを向上させるため、共有される秘密鍵が、「友達グループ」の中のすべてのユーザの間に導入されてもよい。この鍵は、KBと名付けられており、ネットワークノード2によって選ばれて、ユーザが接続する際にユーザに通信されてもよい。LTEネットワークノード2は、ユーザがどのグループに属するかを知っていると仮定する。
【0113】
ボブが広告を行う場合、すべてのものがKBを用いて暗号化される。グループのメンバだけが解読できるのだが、留意されるべきだが、彼らは、ボブの木を再構築することを試行する前に、広告が彼らを対象としたものだったとは確信できない。従って、ボブは、自分の木のルートR(u)を暗号化するだけでなく、「メッセージはこの友達グループを対象としていると言う(暗号化されていない)テキストによって、それに「プレフィックス」を付ける。グループの個々のメンバは、メッセージが彼らを対象にしているかどうか、そして、木を再構築するために何らかのポイントがあるかどうかをチェックするのに、メッセージの最初の部分だけを解読すればよい。
【0114】
理解されるであろうが、第2の実施形態と共に第3の実施形態を用いる場合、kを増やす代わりに、複数のブルームフィルタを使ってもよいだろう。この場合、個々の友達グループは、(署名された)ブルームフィルタの形で証明書を有するが、それは、その具体的な友達グループのマークル木だけを含んでいる。
【0115】
当業者には理解されるであろうが、本発明の範囲から逸脱することなく、上記の実施形態に対して各種の修正形態が行われうる。特に、本発明は、いかなるタイプの通信ネットワークに適用されてもよい。さらに、理解されるであろうが、上記の記述は、第1のノードから送信されたメッセージの真正性を非依存的に検証することを支援するために時計から取得された時間を用いているが、代わりの非依存の変数が用いられてもよい。
【0116】
上記の記述においては以下の略語が用いられる。
DoS サービス拒否攻撃(Denial−of−Service)
LTE (Long Term Evolution)
UE ユーザ装置(User Equipment)
MME モビリティ管理エンティティ(Mobility Management Entity)
CA 認証局(Certifying Authority)
【特許請求の範囲】
【請求項1】
通信ネットワーク内の2つのノード間で信用性を確立するための方法であって、
第1のノードにおいて、ネットワークノードから、前記第1のノードに特有の認証データと、前記ネットワーク内のすべてのノードの検証データのコンパクト表現と、を受信するステップであって、前記認証データから前記第1のノードについての検証データのコンパクト表現を導出可能であり、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は前記ネットワークノードによって証明される、ステップと、
前記ノードについての前記認証データから信用性情報を導出するステップと、
前記第1のノードから第2のノードへ、前記信用性情報と前記認証データの少なくとも一部とを含むメッセージを送信するステップであって、前記第2のノードも前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現を受信済みである、ステップと、
前記第2のノードにおいて、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と、前記受信した信用性情報および認証データとを用いて、前記第1のノードからの前記メッセージの真正性を検証するステップと、
を備えることを特徴とする方法。
【請求項2】
前記第1のノードの前記検証データの前記コンパクト表現はマークル木のルートを含み、前記マークル木は、前記第1のノードに特有の前記認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたものである
ことを特徴とする請求項1に記載の方法。
【請求項3】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、前記ネットワーク内のすべてのノードの前記検証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む
ことを特徴とする請求項1又は2に記載の方法。
【請求項4】
前記第1のノードにおいて、前記第1のノードに特有の前記認証データと、前記第1のノードにおける時計から取得された情報から導出された単一の基準時間とから、マークル木の葉を導出するステップを更に備え、
前記信用性情報は、前記導出された葉から導出される
ことを特徴とする請求項1乃至3のいずれか1項に記載の方法。
【請求項5】
前記第2のノードは、
前記認証データと、前記第2のノードにおける時計から取得された情報から導出された基準時間とから、マークル木の葉を導出し、
前記信用性情報を検証し、
前記第1のノードの検証データの第2のコンパクト表現を導出し、
前記第1のノードの検証データの前記第2のコンパクト表現が、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と調和することを検証する
ことによって、前記第1のノードからの前記メッセージの真正性を検証する
ことを特徴とする請求項4に記載の方法。
【請求項6】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、ブルームフィルタを含んでおり、
検証データの前記第2のコンパクト表現が前記ブルームフィルタのメンバとして示されている場合に、前記第1のノードの検証データの前記第2のコンパクト表現は、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と調和する
ことを特徴とする請求項5に記載の方法。
【請求項7】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、前記ネットワーク内のすべてのノードの認証データから導出されたマークル木のルートを含んでおり、
前記マークル木のルートが前記第1のノードの検証データの前記第2のコンパクト表現から導出可能である場合に、前記第1のノードの検証データの前記第2のコンパクト表現は、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と調和する
ことを特徴とする請求項5に記載の方法。
【請求項8】
前記第1のノードにおいて、或るグループに属するすべてのネットワークノードが利用可能なグループ鍵を前記ネットワークノードから受信するステップと、
前記第1のノードにおいて、前記メッセージを前記第2のノードに送信する前に、前記メッセージの少なくとも一部を前記グループ鍵を用いて暗号化するステップと、
を更に備えることを特徴とする請求項1乃至7のいずれか1項に記載の方法。
【請求項9】
前記メッセージは、前記第2のノードからのクエリに応じて送信され、前記第2のノードからの前記クエリは、前記第1のノードによって送信された広告メッセージに応じて送信されたものである
ことを特徴とする請求項1乃至8のいずれか1項に記載の方法。
【請求項10】
通信ネットワークで用いる移動通信ノードであって、
ネットワークノードから、前記ノードに特有の認証データと、前記ネットワーク内のすべてのノードの検証データのコンパクト表現と、を受信する受信器であって、前記認証データから前記ノードについての検証データのコンパクト表現を導出可能であり、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は前記ネットワークノードによって証明される、受信器と、
前記認証データから信用性情報を導出するプロセッサと、
前記信用性情報と前記認証データの少なくとも一部とを第2のノードに送信する送信器と、を備え、
前記第2のノードが、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と、受信された前記信用性情報および認証データとを用いてメッセージの真正性を検証するために、前記信用性情報を使用可能である
ことを特徴とする移動通信ノード。
【請求項11】
時計を更に含み、
前記プロセッサは、前記ノードに特有の前記認証データと前記時計から取得された情報から導出された単一の基準時間とからマークル木の葉を導出するように構成され、
前記信用性情報は、前記導出された葉から導出される
ことを特徴とする請求項10に記載の移動通信ノード。
【請求項12】
グループ鍵を記憶するためのメモリを更に備え、
前記プロセッサは、前記メッセージを前記第2のノードに送信する前に、前記メッセージの少なくとも一部を前記グループ鍵を用いて暗号化するように構成される
ことを特徴とする請求項10又は11に記載の移動通信ノード。
【請求項13】
前記検証データの前記コンパクト表現は、マークル木のルートを含み、前記マークル木は、前記ノードに特有の前記認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたものである
ことを特徴とする請求項10乃至12のいずれか1項に記載の移動通信ノード。
【請求項14】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、前記ネットワーク内のすべてのノードの前記認証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む
ことを特徴とする請求項10乃至13のいずれか1項に記載の移動通信ノード。
【請求項15】
通信ネットワークで用いる移動通信ノードであって、
ネットワークノードによって証明された、前記ネットワーク内のすべてのノードの検証データのコンパクト表現を、前記ネットワークノードから受信する受信器と、
前記ネットワークノードによって証明された、前記ネットワーク内のすべてのノードの検証データの前記受信したコンパクト表現を記憶するメモリと、
を備え、
前記受信器は更に、広告側ノードからメッセージを受信するように構成されており、前記メッセージは、認証データと、前記広告側ノードについての認証データから導出された信用性情報と、を含み、
前記移動通信ノードは更に、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と、前記受信した信用性情報と、前記広告側ノードについての前記受信した認証データと、を用いて前記メッセージの真正性を検証するプロセッサを備える
ことを特徴とする移動通信ノード。
【請求項16】
時計を更に備え、
前記プロセッサは、前記信用性情報をマークル木の葉から導出された情報と比較することにより、前記信用性情報を検証するように構成され、
前記葉は、前記認証データと、前記時計から取得された時刻から導出された情報とから導出され、
前記プロセッサは更に、前記ネットワーク内のすべてのノードの検証データの第2のコンパクト表現を導出するように構成されていて、すべてのノードの検証データの前記第2のコンパクト表現が前記ネットワーク内のすべてのノードの検証データの前記記憶したコンパクト表現と調和するかどうかを検証する
ことを特徴とする請求項15に記載の移動通信ノード。
【請求項17】
通信ネットワークで用いるネットワークノードであって、
前記通信ネットワークに関連付けられた複数のノードの各々について、個々のノードに特有の認証データを導出すると共に、前記ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現を導出するプロセッサと、
個々のノードに特有の前記認証データと、前記ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現とを前記複数のノードの各々に送信する送信器と、
を備えることを特徴とするネットワークノード。
【請求項18】
移動通信ノード上で実行された場合に、前記移動通信ノードを請求項10乃至16のいずれか1項に記載の移動通信ノードとして動作させるコンピュータ可読コードを含む、コンピュータプログラム。
【請求項19】
ネットワークノード上で実行された場合に、前記ネットワークノードを請求項17に記載のネットワークノードとして動作させるコンピュータ可読コードを含む、コンピュータプログラム。
【請求項20】
コンピュータ可読媒体と、請求項18又は19に記載のコンピュータプログラムとを含むコンピュータプログラム製品であって、前記コンピュータプログラムは前記コンピュータ可読媒体上に記憶される
ことを特徴とするコンピュータプログラム製品。
【請求項1】
通信ネットワーク内の2つのノード間で信用性を確立するための方法であって、
第1のノードにおいて、ネットワークノードから、前記第1のノードに特有の認証データと、前記ネットワーク内のすべてのノードの検証データのコンパクト表現と、を受信するステップであって、前記認証データから前記第1のノードについての検証データのコンパクト表現を導出可能であり、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は前記ネットワークノードによって証明される、ステップと、
前記ノードについての前記認証データから信用性情報を導出するステップと、
前記第1のノードから第2のノードへ、前記信用性情報と前記認証データの少なくとも一部とを含むメッセージを送信するステップであって、前記第2のノードも前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現を受信済みである、ステップと、
前記第2のノードにおいて、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と、前記受信した信用性情報および認証データとを用いて、前記第1のノードからの前記メッセージの真正性を検証するステップと、
を備えることを特徴とする方法。
【請求項2】
前記第1のノードの前記検証データの前記コンパクト表現はマークル木のルートを含み、前記マークル木は、前記第1のノードに特有の前記認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたものである
ことを特徴とする請求項1に記載の方法。
【請求項3】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、前記ネットワーク内のすべてのノードの前記検証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む
ことを特徴とする請求項1又は2に記載の方法。
【請求項4】
前記第1のノードにおいて、前記第1のノードに特有の前記認証データと、前記第1のノードにおける時計から取得された情報から導出された単一の基準時間とから、マークル木の葉を導出するステップを更に備え、
前記信用性情報は、前記導出された葉から導出される
ことを特徴とする請求項1乃至3のいずれか1項に記載の方法。
【請求項5】
前記第2のノードは、
前記認証データと、前記第2のノードにおける時計から取得された情報から導出された基準時間とから、マークル木の葉を導出し、
前記信用性情報を検証し、
前記第1のノードの検証データの第2のコンパクト表現を導出し、
前記第1のノードの検証データの前記第2のコンパクト表現が、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と調和することを検証する
ことによって、前記第1のノードからの前記メッセージの真正性を検証する
ことを特徴とする請求項4に記載の方法。
【請求項6】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、ブルームフィルタを含んでおり、
検証データの前記第2のコンパクト表現が前記ブルームフィルタのメンバとして示されている場合に、前記第1のノードの検証データの前記第2のコンパクト表現は、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と調和する
ことを特徴とする請求項5に記載の方法。
【請求項7】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、前記ネットワーク内のすべてのノードの認証データから導出されたマークル木のルートを含んでおり、
前記マークル木のルートが前記第1のノードの検証データの前記第2のコンパクト表現から導出可能である場合に、前記第1のノードの検証データの前記第2のコンパクト表現は、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と調和する
ことを特徴とする請求項5に記載の方法。
【請求項8】
前記第1のノードにおいて、或るグループに属するすべてのネットワークノードが利用可能なグループ鍵を前記ネットワークノードから受信するステップと、
前記第1のノードにおいて、前記メッセージを前記第2のノードに送信する前に、前記メッセージの少なくとも一部を前記グループ鍵を用いて暗号化するステップと、
を更に備えることを特徴とする請求項1乃至7のいずれか1項に記載の方法。
【請求項9】
前記メッセージは、前記第2のノードからのクエリに応じて送信され、前記第2のノードからの前記クエリは、前記第1のノードによって送信された広告メッセージに応じて送信されたものである
ことを特徴とする請求項1乃至8のいずれか1項に記載の方法。
【請求項10】
通信ネットワークで用いる移動通信ノードであって、
ネットワークノードから、前記ノードに特有の認証データと、前記ネットワーク内のすべてのノードの検証データのコンパクト表現と、を受信する受信器であって、前記認証データから前記ノードについての検証データのコンパクト表現を導出可能であり、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は前記ネットワークノードによって証明される、受信器と、
前記認証データから信用性情報を導出するプロセッサと、
前記信用性情報と前記認証データの少なくとも一部とを第2のノードに送信する送信器と、を備え、
前記第2のノードが、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と、受信された前記信用性情報および認証データとを用いてメッセージの真正性を検証するために、前記信用性情報を使用可能である
ことを特徴とする移動通信ノード。
【請求項11】
時計を更に含み、
前記プロセッサは、前記ノードに特有の前記認証データと前記時計から取得された情報から導出された単一の基準時間とからマークル木の葉を導出するように構成され、
前記信用性情報は、前記導出された葉から導出される
ことを特徴とする請求項10に記載の移動通信ノード。
【請求項12】
グループ鍵を記憶するためのメモリを更に備え、
前記プロセッサは、前記メッセージを前記第2のノードに送信する前に、前記メッセージの少なくとも一部を前記グループ鍵を用いて暗号化するように構成される
ことを特徴とする請求項10又は11に記載の移動通信ノード。
【請求項13】
前記検証データの前記コンパクト表現は、マークル木のルートを含み、前記マークル木は、前記ノードに特有の前記認証データと、所定の時間枠の中の基本基準時間に関係する複数の基準時間とから導出されたものである
ことを特徴とする請求項10乃至12のいずれか1項に記載の移動通信ノード。
【請求項14】
前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現は、前記ネットワーク内のすべてのノードの前記認証データから導出された、ブルームフィルタとマークル木のルートとのうちの一方を含む
ことを特徴とする請求項10乃至13のいずれか1項に記載の移動通信ノード。
【請求項15】
通信ネットワークで用いる移動通信ノードであって、
ネットワークノードによって証明された、前記ネットワーク内のすべてのノードの検証データのコンパクト表現を、前記ネットワークノードから受信する受信器と、
前記ネットワークノードによって証明された、前記ネットワーク内のすべてのノードの検証データの前記受信したコンパクト表現を記憶するメモリと、
を備え、
前記受信器は更に、広告側ノードからメッセージを受信するように構成されており、前記メッセージは、認証データと、前記広告側ノードについての認証データから導出された信用性情報と、を含み、
前記移動通信ノードは更に、前記ネットワーク内のすべてのノードの検証データの前記コンパクト表現と、前記受信した信用性情報と、前記広告側ノードについての前記受信した認証データと、を用いて前記メッセージの真正性を検証するプロセッサを備える
ことを特徴とする移動通信ノード。
【請求項16】
時計を更に備え、
前記プロセッサは、前記信用性情報をマークル木の葉から導出された情報と比較することにより、前記信用性情報を検証するように構成され、
前記葉は、前記認証データと、前記時計から取得された時刻から導出された情報とから導出され、
前記プロセッサは更に、前記ネットワーク内のすべてのノードの検証データの第2のコンパクト表現を導出するように構成されていて、すべてのノードの検証データの前記第2のコンパクト表現が前記ネットワーク内のすべてのノードの検証データの前記記憶したコンパクト表現と調和するかどうかを検証する
ことを特徴とする請求項15に記載の移動通信ノード。
【請求項17】
通信ネットワークで用いるネットワークノードであって、
前記通信ネットワークに関連付けられた複数のノードの各々について、個々のノードに特有の認証データを導出すると共に、前記ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現を導出するプロセッサと、
個々のノードに特有の前記認証データと、前記ネットワーク内のすべてのノードの検証データの証明付きコンパクト表現とを前記複数のノードの各々に送信する送信器と、
を備えることを特徴とするネットワークノード。
【請求項18】
移動通信ノード上で実行された場合に、前記移動通信ノードを請求項10乃至16のいずれか1項に記載の移動通信ノードとして動作させるコンピュータ可読コードを含む、コンピュータプログラム。
【請求項19】
ネットワークノード上で実行された場合に、前記ネットワークノードを請求項17に記載のネットワークノードとして動作させるコンピュータ可読コードを含む、コンピュータプログラム。
【請求項20】
コンピュータ可読媒体と、請求項18又は19に記載のコンピュータプログラムとを含むコンピュータプログラム製品であって、前記コンピュータプログラムは前記コンピュータ可読媒体上に記憶される
ことを特徴とするコンピュータプログラム製品。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2013−520070(P2013−520070A)
【公表日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願番号】特願2012−552833(P2012−552833)
【出願日】平成22年2月12日(2010.2.12)
【国際出願番号】PCT/SE2010/050167
【国際公開番号】WO2011/099904
【国際公開日】平成23年8月18日(2011.8.18)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願日】平成22年2月12日(2010.2.12)
【国際出願番号】PCT/SE2010/050167
【国際公開番号】WO2011/099904
【国際公開日】平成23年8月18日(2011.8.18)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]