IPトラフィックのセキュリティ保護
第1のアクセスポイントに接続される第1のホストから第2のアクセスポイントに接続される第2のホストに送出されるIPトラフィックをセキュリティ保護する方法である。方法は、前記第1のホストと前記第2のホストとの間に共有シークレットを確立することと、送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用することとを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットプロトコルトラフィックのセキュリティ保護に関し、特に、セキュリティ上安全で効率的な方法によるインターネットプロトコルトラフィックの暗号化、並びに/あるいは送信機及び受信機への匿名性の提供に関するが、必ずしもそれらに限定されない。
【背景技術】
【0002】
インターネットプロトコル(IP)は、単独では固有のセキュリティを提供しない。特に送信元アドレス及び宛先アドレスを含むパケットヘッダ、及び、ペイロードデータとの双方が平文で送出される。セキュリティを提供するために、基本IPプロトコルに加えて他の機構が必要とされる。最も一般的に使用されるセキュリティ機構はIPSecであり、これは、両者間のセキュリティアソシエーションをネゴシエートする(共有シークレットを規定する)ためのプロトコル及びデータを暗号化するためのプロトコルを含むプロトコルスイートから構成される。IPSecは、IPv6に対して必須であるがIPv4に対してはオプションである。IPSecは、トランスポートモード又はトンネルモードで動作可能である。トランスポートモードにおいては、IPパケットのペイロードのみが暗号化される。一方、トンネルモードにおいては、ペイロード及び元のIPヘッダが暗号化され、パケットのルーティングを可能にするために更なる外部ヘッダが追加される。
【0003】
トンネルモードの場合、IPv6ヘッダの追加により、少なくとも2つの128ビットフィールドが全てのパケットに追加される。IPv4の場合、2つの64ビットフィールドが追加される。追加のビットは、帯域幅を占有するだけでなく、トランシーバの消費電力に関して、パケットがエアインタフェースを介して送信される際の大きなオーバヘッドを表す。これは、バッテリ駆動の移動デバイスの場合に特に問題となる。更に、IPSecはコンプライアンスに関して「厳格」であり、暗号化するもの及び暗号化しないものに対して融通性がない。ヘッダを含む全ての元のパケットが暗号化される必要がある。
【0004】
トランスポートモードの場合、ペイロードのみが暗号化される必要がある。トンネルモードと同様に、トランスポートモードはこの点に関して融通性がない。例えば、パケットヘッダの部分を選択的に暗号化できない。
【0005】
従来のセキュリティ機構は、パケット送信機又は受信機のアイデンティティ及び/又は場所に関する情報を漏洩する可能性があり、非常に不完全である。例えば、第三者は、同一の送信元IPアドレス又は宛先IPアドレスを繰り返し使用することを観察することにより、パケットのストリームが同一の送信機又は受信機と関連付けられることを判定できる可能性がある。
【0006】
米国特許第6,104,811号公報において、TCP/IPペイロードデータをセキュリティ保護するために適用可能な暗号化機構が説明される。擬似乱数発生器は、ワンタイムパッド暗号化データのパッドとして使用されるビットストリングを生成するために使用される。ワンタイムパッド暗号化は、二者間で交換されるデータを暗号化する周知の技術である。これは、両者が利用可能な乱数列から構成されるパッドを作成することを含む。送信側は、暗号化しようとしているデータとパッドのブロックとのXORをとり、暗号化データを生成する。一方、受信側は、同一のパッドブロックと暗号化データとのXORをとることにより暗号化データを暗号復号できる。パッドが第三者に利用可能にされない場合、ワンタイムパッド変換は優れたセキュリティを提供する。
【0007】
国際公開第WO2006/084895号において、例えば移動端末のユーザの動きを追跡するために、パケットのシーケンスをリンクするのに攻撃者により使用される可能性があるIPパケットヘッダ内の反復データ又は連続データを「隠す」ための機構が説明される。機構は、ユーザが共通鍵(例えば、IPSecのIKEセットアップ段階中にネゴシエートされる)を共有し、その鍵を使用して共通擬似乱数列を生成することを必要とする。送信機は、隠される各データ項目を乱数列の次の値と置換する。同一の乱数列にアクセスできる受信機は、シーケンス内の受信パケットの位置を識別でき、マッピング関数を使用して隠されたデータを元のデータと置換する。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、パケット内のデータの選択的暗号化を可能にし且つパケットサイズをそれ程増加しないIPパケットをセキュリティ保護する機構を提供することである。更に本発明の目的は、IPセッションに匿名性を導入する機構を提供することであり、特に送信元IPアドレス及び/又は宛先IPアドレスが1つのパケットから次のパケットにランダムに変更されるようにそれらのアドレスの「符号化」を提供することである。
【課題を解決するための手段】
【0009】
本発明の第1の面によると、第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、セッションのパケットをリンクするために使用されてもよく、第1のホスト及び第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホスト及び前記第2のアクセスポイントに周知の宛先グループ鍵及び宛先ホスト識別子を使用して生成されるインタフェース識別子を送信元アドレス内のインタフェース識別子として使用するステップと;
前記第1のアクセスルータのネットワーク接頭語と、前記宛先ホストのアイデンティティと、前記第2のホストのローカルアクセスネットワークアドレスとの間のマッピングを前記第2のホストにおいて維持するステップと;
前記第2のアクセスポイントにおいて前記第1のホストからパケットを受信すると、パケット送信元アドレスのネットワーク接頭語を使用して前記宛先グループ鍵を識別し、宛先グループ鍵及び宛先ホストアドレスを使用して送信元アドレスのインタフェース識別子部分をローカルアクセスネットワークアドレスにマップするステップと;
前記第2のホストにパケットを転送するために前記ローカルアクセスネットワークアドレスを使用するステップとを有する方法が提供される。
【0010】
インタフェース識別子を生成するステップは:
擬似乱数を生成するステップと;
擬似ランダムインタフェース識別子を生成するために暗号化関数を使用して擬似乱数を前記宛先グループ鍵と組み合わせるステップと;
可逆関数を使用して前記擬似ランダムインタフェース識別子を前記宛先ホスト識別子と組み合わせるステップとを含むのが好ましい。
【0011】
前記可逆関数は、XOR関数であるのが更に好ましい。暗号化関数は、例えばストリーム暗号又はブロック暗号であってもよい。
【0012】
前記擬似乱数は、パケットヘッダに含まれるのが好ましい。
【0013】
パケットの受信時に前記第2のアクセスポイントで実行されるステップは:
擬似ランダムインタフェース識別子を生成するために、前記暗号化関数を使用して擬似乱数及び宛先グループ鍵を組み合わせるステップと;
前記可逆関数を使用してこの擬似ランダムインタフェース識別子をパケット送信元アドレスのインタフェース識別子部分と組み合わせるステップと;
結果が第2のアクセスポイントにおいてキャッシュされる宛先ホストのアイデンティティに適合することを検査するステップとを含むのが好ましい。
【0014】
本発明の第2の面によると、第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、セッションのパケットをリンクするのに使用されてもよく、第1のホスト及び第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホストにおいて、前記第2のホストから宛先グループ鍵を受信し且つ宛先ホスト識別子を生成するステップと;
前記宛先グループ鍵及び前記宛先ホスト識別子を前記第2のアクセスポイントに提供し且つ宛先ホスト識別子を前記第2のホストのアクセスネットワークアドレスにマップするステップと;
第1のホストから第2のホストに送出されるパケット毎に、第1のホストにおいて、擬似乱数を生成し、前記擬似乱数及び前記宛先グループ鍵を使用して擬似ランダム識別子を生成し、可逆関数を使用して前記擬似乱数を前記宛先ホスト識別子と組み合わせて新しいインタフェース識別子を生成し、新しいインタフェース識別子をパケット送信元アドレスに含め、前記擬似乱数をパケットヘッダに含めるステップと;
前記第2のアクセスルータにおいて、前記第1のホストにより送出されるパケットを受信し、送信元アドレスのネットワーク接頭語を使用して前記宛先グループ鍵を識別し、前記擬似乱数及び前記宛先グループ鍵を使用して擬似ランダム識別子を生成し、前記可逆関数を使用して前記擬似乱数を前記新しいインタフェース識別子と組み合わせ、キャッシュされたホスト識別子に適合し且つ対応するローカルネットワークアドレスを識別するものとして結果を検査し、前記ローカルネットワークアドレスを使用してパケットを第2のホストに転送するステップとを有する方法が提供される。
【0015】
本発明の第3の面によると、第2のホストに対するアクセスポイントとしての役割を果たすように構成されるネットワークノードであって:
第1のホストからパケットを受信する入力部と;
パケット送信元アドレスのネットワーク接頭語を使用して宛先グループ鍵を識別し且つ宛先グループ鍵及び宛先ホストアドレスを使用して宛先アドレスのインタフェース識別子部分をローカルアクセスネットワークアドレスにマップする手段とを具備するノードが提供される。
【0016】
本発明の第4の面によると、第1のアクセスポイントに接続される第1のホストから第2のアクセスポイントに接続される第2のホストに送出されるIPトラフィックをセキュリティ保護する方法であって:
前記第1のホストと前記第2のホストとの間に共有シークレットを確立するステップと;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用するステップとを有する方法が提供される。
【0017】
本発明の第5の面によると、端末であって:
端末とピア端末との間に共有シークレットを確立する手段と;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用する手段とを具備する端末が提供される。
【0018】
本発明の第6の面によると、IPネットワークを介して送信されるIPパケットをセキュリティ保護する方法であって:
送出されるパケット毎に、共通鍵と共に擬似乱数列の次の数字を使用してパッドを生成し、可逆関数を使用してパッドをパケットと組み合わせ、使用した擬似乱数をパケットヘッダに含めるステップを有する方法が提供される。
【0019】
本発明の実施形態により、暗号化データの受信機は、共有シークレットと共に使用できる「シーケンス番号」、すなわち送出された擬似乱数が提供され、要求されたパッドのコピーを生成できる。このようにシーケンス番号を使用することにより、ピア・トゥ・ピア通信を傍受する第三者による反射攻撃の成功を防止する。更に、シーケンス番号は擬似乱数列に属するため、送出されたパケットを傍受する第三者は共通セッションに属するものとしてパケットを相互に関連付けることは不可能である。
【0020】
本発明の好適な一実施形態において、カウンタは維持され、パッドの生成後に増分される。カウンタ値は、更なる共通鍵と組み合わされ、前記擬似乱数列中の次の値を生成する。
【0021】
本発明の一実施形態において、前記パッドは、パケットとの組合せがパケットの特定の事前定義済み部分を変更しないようにするように構成される。特にパッドは、パケットヘッダの送信元アドレスフィールド及び宛先アドレスフィールドが変更されないように構成される。
【0022】
本発明の好適な一実施形態において、前記可逆関数はXOR又はNOT XOR関数である。XOR関数の場合、変更されないパケットビットに対応するパッドビットは「0」に設定される。NOT XOR関数の場合、それらのビットは「1」に設定される。
【0023】
本発明の第7の面によると、使用中、ピア端末にIPパケットを送出するように構成される端末であって:
擬似乱数列発生器と;
送出されるパケット毎に、パッドを生成するために共用鍵と共に前記列の次の数字を使用し、可逆関数を使用してパッドをパケットと組み合わせ、使用された擬似乱数をパケットヘッダに含めるように構成されるプロセッサとを具備する端末が提供される。
【0024】
端末は、使用中、ピア端末からIPパケットを受信するように構成されてもよい。端末は:
パケットヘッダから擬似乱数を抽出する手段と;
共通鍵及び前記擬似乱数を使用してパッドを生成し、前記可逆関数を使用してパッドをパケットと組み合わせるように構成されるプロセッサとを具備する。
【図面の簡単な説明】
【0025】
【図1】IPパケットを暗号化する関数を概略的に示す図である。
【図2】アドレスの匿名性を容易にするための鍵交換プロトコル信号伝送を概略的に示す図である。
【図3】匿名の送信元アドレスインタフェース識別子をパケットヘッダに含める関数を概略的に示す図である。
【図4】元の送信元アドレスインタフェース識別子を回復する関数を概略的に示す図である。
【発明を実施するための形態】
【0026】
IPパケット送信機において実現される「ワンタイムパッド暗号化(One Time Pad Encryption)」(OTPE)関数のシステムレベルの構成を図1に示す。この関数は、送信機においてIP層の下に実現される。ストリーム暗号(stream cipher)1は、第1のセッション鍵(Session key 1)を第1の入力として受信し、64ビット擬似乱数を第2の入力として受信する。擬似乱数は、第1の入力として第2のセッション鍵(Session key 2)及びカウンタ値(Counter)を受信するブロック暗号2により生成される。ブロック暗号は、AES暗号化関数(例えば、EBCモード)であるのが好ましいが、必ずしもこれに限らない。第1のセッション鍵及び第2のセッション鍵は128ビット鍵であり、パケット送信機とパケット受信機との間で共有される。一般的な例において、そのような共有される鍵は、例えばインターネット鍵交換(IKE)プロトコルを使用して通信者間でネゴシエートされるセキュリティアソシエーション(SA)に属する。あるいは、セッション鍵は、例えばハッシュ関数をネゴシエートされたIKE鍵に適用することによりIKE鍵から導出されてもよい。より高いプロトコル層からパケットを受信すると、OTPE層はパケットヘッダ内に含まれる宛先アドレスを使用してSession Key 1を取得する。
【0027】
カウンタ値は、OTPEを使用してセキュリティ保護されるパケット毎に1増分される。ブロック暗号2の出力は新しい擬似乱数である。これは、適切な長さのパッドを生成してヘッダ及びペイロードを含むIPパケットをセキュリティ保護するためにクロック制御されるストリーム暗号に供給される。ルーティング可能なアドレスを含む更なるヘッダを追加する必要性をなくすために、パケットに適用する前に、暗号化されないパケットの位置に対応するパッドのビット位置は「0」に再設定される。
【0028】
XOR関数3により出力されるパッドは、第2のXOR関数4の第1の入力に適用され、第2のXOR関数4はセキュリティ保護されるIPパケットを第2の入力として受信する。第2のXOR関数の出力は、暗号化によりセキュリティ保護された元のIPパケットの表現である。受信機がパケットを復号化できるようにするために、パケットは使用した擬似乱数を含む必要がある。従って、これは「スタンプ」としてパケットヘッダに追加される。一般に、これは新しいヘッダの指定を必要とする。しかし、以下に説明するように、匿名性機構が採用される場合、送信元IPv6アドレスのインタフェース識別子部分としてスタンプを含むことができる。
【0029】
スタンプは、64ビット擬似乱数に加えて更なる情報を含んでもよい。特にスタンプは、パッド暗号化を使用してセキュリティ保護されたフィールドを識別する等、例えば秘密性の範囲を示す別の64ビットを含んでもよい。
【0030】
パケットを受信すると、受信機は、パケットヘッダ内に含まれる送信元アドレスを使用して正確なセキュリティアソシエーションを識別し、正確なセッション鍵(Session Key 1及びSession Key 2)を取得する。各パケットは受信機に適用され、ユニット5がパケットヘッダからスタンプを抽出する。
【0031】
反射攻撃を回避するために、スタンプ内の擬似乱数及びSession Key 2をブロック暗号への入力として使用することにより初期チェックが実行される。その結果はカウンタ値に対応する。受信機はカウンタ値ウィンドウを維持し、パケットは、判定されたカウンタ値がそのウィンドウ内に入る場合にのみ受け入れられる。カウンタ値がウィンドウ内であると仮定すると、パケットの擬似乱数部分がストリーム暗号6の第1の入力に適用される一方で、第1のセッション鍵は第2の入力に適用される。ストリーム暗号の出力は元のパッドである。暗号化されないパケットビットに対応するパッドビットは、「0」に設定される。[パケットのスタンプの秘密性の範囲は、「0」に設定されるビットを判定するために使用されてもよい。]その後、変更されたパッドは更なるXOR関数の第1の入力に適用され、第2の入力はセキュリティ保護されたパケットを受信する。XOR関数の出力は暗号復号されたパケットを表す。
【0032】
上述の基本OTPEプロトコルによると、IPパケットヘッダ内の送信元アドレス及び宛先アドレスは暗号化されず、パケットのルーティングを可能にする。パケットを傍受する第三者は、それらのアドレスの一方又は双方を使用してパケットのシーケンスをリンクできる。可能な限りリンクの危険性を低減するために、各データパケット中の送信元アドレスを変更する一方で、匿名の送信機が宛先とデータパケットを交換することを可能にする「匿名性」機能をOTPEプロトコルに導入するのが望ましい。これは、64ビットインタフェース識別子(IID)接尾語(suffix)及び64ビットネットワーク接頭語(prefix)を有するIPアドレスを提供するIPv6により可能になる。一般にIIDは、接続手順中、ホスト端末により選択され、ホストが接続されるアクセスルータ(AR)に送出される。ARは、IID衝突を検出するために同一ルータに接続される他の全てのホストに選択したIIDを得る。IPアドレスのネットワーク接頭語部分はARの固定アドレスであり、ホストはそれをAR広告メッセージ(AR Advertisement message)で通知される。ホストが宛先に送出される各データパケットのIIDをリフレッシュすることを可能にすることにより、匿名性が可能になる。これは、特定のIIDが進行しているセッション中に2つ以上のデータパケットにおいて開示されないことを意味する。
【0033】
本明細書で説明する手順は、同一アクセスネットワークに接続されるホストに対して匿名性を保証できないこと、すなわち共通のARを共有することを受け入れることに依存する。これは、ローカルリンクを介して送出されるパケットにおいて使用される送信元アドレス及び宛先アドレスに関わらず、使用されるMedia Access Control(MAC)アドレスが静的なままである必要があるためである。第1のARに接続され且つ第2のARに接続されるホストの集合と通信するホストの集合の場合にこれを適用することは、IIDの匿名性を提供するのに使用される鍵がホストの2つの集合間で共有される場合にセキュリティレベルが低下しないことを意味する。匿名性は、2つのAR間を移動するトラフィックを解析する第三者に関してのみ提供される。
【0034】
上述の基本OTPEプロトコルは、受信機が送信機の鍵(Session Key 1)を取り出し且つ固有パケットにアクセスするための対応するパッドを生成することを可能にするために静的なIPv6送信元アドレス/擬似アドレスを使用することに依存する。各データパケットにおいてランダムにIPv6送信元アドレスを単に変更した結果、パケットは受信機側でドロップされる。従って、送信機側におけるIPv6送信元アドレスIIDのランダムな変更のために、常に、受信機が対応する鍵を容易に取り出せるようにする必要がある。
【0035】
各データパケットにおける送信機のIIDの変更に加え、受信機の(すなわち、宛先)IPv6アドレスも変更するのが非常に望ましい。これは、受信機に転送する前に各データパケットを検査する際、受信機側に位置する一般的にはARである追加のノードを含むことを必要とする。
【0036】
例として、宛先ホストDとの接続を確立しようとする送信元ホストSを考慮する。SがアクセスルータAR(S)に接続され、DがアクセスルータAR(D)に接続されると仮定する。各アクセスルータ接続手順の一部として、Sはネットワーク接頭語SPをAR(S)から取得し、Dはネットワーク接頭語DPをAR(D)から取得する。Dに対して鍵交換プロトコル(例えば、IKE)を実行する前に、Sはグループ鍵SGKをAR(S)に要求する。このグループ鍵は、Dにより使用されるネットワーク接頭語、すなわちDPに対してAR(S)により割り当てられる鍵である。同一のグループ鍵は、ネットワーク接頭語DPを使用する宛先ホストと通信するためにネットワーク接頭語SPを使用する全てのホストにより提供される。すなわち、結合{SGK, SP, DP}が行なわれる。AR(S)は、グループ鍵ディストリビュータとしての役割を果たす。グループ鍵の配信は、例えばOptiSENDプロトコル(IETFdraft-haddad-mipshop-optisend-02を参照)を使用してセキュリティ上安全に実行される。グループ鍵は制限された寿命を有する。
【0037】
Sは、静的な擬似IPv6アドレスを使用してDに対する鍵交換プロトコルを開始する。開始メッセージがDにより受信されると、DはAR(D)にグループ鍵DGKを要求する。この鍵は、同様にDP及びSPと結合される。すなわち、{DGK, DP, SP}である。D及びSは、鍵交換プロトコルの間にSGK及びDGKをセキュリティ上安全に交換する。SからSGKを受信すると、Dは固有の送信機ホストのアイデンティティ(SHID)を生成し、それをSと共有する。その後、SHIDはSにより使用され、Dから受信されるパケットを識別する。Sは、SHIDをAR(S)に提供する必要がある。同様に、SにおいてDGKを受信すると、Sは固有の宛先ホストのアイデンティティ(DHID)を生成し、それをDと共有する。Dは、DHIDをAR(D)に提供する。[S及びDは、SHID及びDHIDを交換するのではなく、各ホストが個別に同一の識別子を生成できる機構に同意してもよいことが理解されるだろう。]
以下の表1は、各ホストがn個の異なるピアホストに対する結合を確立したと仮定して、S及びDにおいて維持される結合を示す(Sの場合はDP1,DP2...DPn及びDの場合はSP1,SP2,...SPn)。以下の表2は、n個のホストがMACアドレス1〜n及びインタフェース識別子IID1〜IIDnを使用して現在接続されていると仮定して、AR(S)において維持される結合を示す。対応する結合の集合は、AR(D)において維持される。図2は、鍵交換プロトコル前及び鍵交換プロトコル内で行なわれる必要なメッセージ交換を概略的に示す。当然、鍵交換プロトコルの終了時、ホストのアイデンティティDHID及びSHID、並びにグループ鍵SGK及びDGKの共有に加え、ホストS及びDは2つのOTPE鍵、すなわち図1のSession Key 1及びSession Key 2を共有する。
【0038】
匿名性を達成するために、SによりDに送出されるパケット毎に、新しいIPv6 IIDが以下のようにSに対して使用される。
・パケットはSにおいて生成され、固定のIPv6送信元/宛先アドレスを含む。
・Sは、ペイロード及び宛先アドレスのIID部分を含むパケットヘッダの部分を暗号化するためにOTPEプロトコルを適用する。送信元アドレス及び宛先アドレスのネットワーク接頭語は暗号化されない。図1に示すように、この手順の一部として、Sは64ビット擬似シーケンス番号(PSN)を計算する。PSNは、送信元ネットワーク接頭語SPと連結され、完全なIPv6送信元アドレスを生成する。
【0039】
新しいIPv6 IIDは、以下のようにDに対して使用される。
・PRID = fsc(PSN, SGK)であるPRIDと呼ばれるランダムな識別子を生成するために、SはPSNを生成するのに適用される同一のモードを使用する。ここで、fscはストリーム暗号を表す。
・PRIDの生成後、SはPRID及びSHIDのXORをとることにより新しい宛先IPv6 IIDを計算する。すなわち、新しいIID = PRID XOR SHIDである。新しいIIDは、宛先ネットワーク接頭語DPと連結され、完全なIPv6送信元アドレスを生成する。
【0040】
この機構を図3に示す。
【0041】
Sにより送出されるパケットは、MACアドレスを取り除くのではなく、パケットヘッダ中のアドレスを変更しないAR(S)を介してルーティングされる。
【0042】
Dに向けられたパケットは、宛先アドレスのネットワーク接頭語の結果としてAR(D)に到着する。AR(D)は、以下のように検査手順を実行する。
・AR(D)は、送信元アドレスネットワーク接頭語がキャッシュメモリに格納されているかをチェックする。その後、図4に示すように、AR(D)は送信元IIDとして含まれるPSNと共に対応するSGKを使用してPRIDを生成する。
・PRIDを生成した後の次のステップは、そのPRIDと宛先アドレスIIDとのXORをとり、SHIDを生成することである。AR(D)のキャッシュメモリは、結果として得られる64ビット値を鍵として使用して探索される。SHIDがキャッシュ内で見つけられると、AR(D)は元の宛先アドレスIIDをSHIDと置換する。しかし、これは、ローカルリンクにおいて匿名性を維持することが必要とされた場合には実行されなくてもよい。
・AR(D)は、検査されたSHIDを使用してDのMACアドレスを識別できる。AR(D)は、MACアドレスを使用してパケットをDに転送する。
【0043】
Dにおいてパケットを受信すると、Dは、正確なSHIDを識別する手順を繰り返す。検査されたSHIDを使用して、Dは正確なSession Key 2を識別する。Dは、PSN(送信元アドレスIIDとして含まれる)及びSession Key 2を適用し、カウンタ値を識別する。カウンタ値が現在のウィンドウ内に入る場合、パケットは受け入れられる。Session Key 1及びPSNは、上述のようにOTPEプロトコルを使用してパケットを暗号復号するために使用される。
【0044】
Dがパケット送信機であり且つSがパケット受信機である場合、手順を逆にするのが有効であることは容易に理解されるだろう。この場合、AR(S)においてパケットが受信されると、AR(S)はDHIDを回復及び検査し、必要な置換を実行する。AR(S)は、DHIDに対応するMACアドレスを識別し、ローカルリンクを介してパケットをSに転送する。
【0045】
上述の手順は、PSNを送信元アドレスIIDとしてIPv6パケットヘッダに含むため多くの点において最適である。しかし、別の方法は、宛先アドレスアドレスIIDを生成するのに使用された手順と同様の手順を使用して送信元アドレスIIDを生成することである。すなわち、PRID2 = fsc(PSN,DGK)及び新しいIID = PRID2 XOR SHIDである。この場合、PSNを別個の(新しい)ヘッダフィールドに含む必要がある。
【0046】
本発明の範囲から逸脱せずに上述の実施形態に対して種々の変更が行なわれてもよいことは、当業者には理解されるだろう。例えば、アクセスルータがSHID及びDHIDの知識を得ないように、ホストS及びDは、IIDを生成するためにSHID及びDHIDのハッシュを使用し、ハッシュ値のみをアクセスルータに提供してもよい。
【0047】
【表1】
【0048】
【表2】
【技術分野】
【0001】
本発明は、インターネットプロトコルトラフィックのセキュリティ保護に関し、特に、セキュリティ上安全で効率的な方法によるインターネットプロトコルトラフィックの暗号化、並びに/あるいは送信機及び受信機への匿名性の提供に関するが、必ずしもそれらに限定されない。
【背景技術】
【0002】
インターネットプロトコル(IP)は、単独では固有のセキュリティを提供しない。特に送信元アドレス及び宛先アドレスを含むパケットヘッダ、及び、ペイロードデータとの双方が平文で送出される。セキュリティを提供するために、基本IPプロトコルに加えて他の機構が必要とされる。最も一般的に使用されるセキュリティ機構はIPSecであり、これは、両者間のセキュリティアソシエーションをネゴシエートする(共有シークレットを規定する)ためのプロトコル及びデータを暗号化するためのプロトコルを含むプロトコルスイートから構成される。IPSecは、IPv6に対して必須であるがIPv4に対してはオプションである。IPSecは、トランスポートモード又はトンネルモードで動作可能である。トランスポートモードにおいては、IPパケットのペイロードのみが暗号化される。一方、トンネルモードにおいては、ペイロード及び元のIPヘッダが暗号化され、パケットのルーティングを可能にするために更なる外部ヘッダが追加される。
【0003】
トンネルモードの場合、IPv6ヘッダの追加により、少なくとも2つの128ビットフィールドが全てのパケットに追加される。IPv4の場合、2つの64ビットフィールドが追加される。追加のビットは、帯域幅を占有するだけでなく、トランシーバの消費電力に関して、パケットがエアインタフェースを介して送信される際の大きなオーバヘッドを表す。これは、バッテリ駆動の移動デバイスの場合に特に問題となる。更に、IPSecはコンプライアンスに関して「厳格」であり、暗号化するもの及び暗号化しないものに対して融通性がない。ヘッダを含む全ての元のパケットが暗号化される必要がある。
【0004】
トランスポートモードの場合、ペイロードのみが暗号化される必要がある。トンネルモードと同様に、トランスポートモードはこの点に関して融通性がない。例えば、パケットヘッダの部分を選択的に暗号化できない。
【0005】
従来のセキュリティ機構は、パケット送信機又は受信機のアイデンティティ及び/又は場所に関する情報を漏洩する可能性があり、非常に不完全である。例えば、第三者は、同一の送信元IPアドレス又は宛先IPアドレスを繰り返し使用することを観察することにより、パケットのストリームが同一の送信機又は受信機と関連付けられることを判定できる可能性がある。
【0006】
米国特許第6,104,811号公報において、TCP/IPペイロードデータをセキュリティ保護するために適用可能な暗号化機構が説明される。擬似乱数発生器は、ワンタイムパッド暗号化データのパッドとして使用されるビットストリングを生成するために使用される。ワンタイムパッド暗号化は、二者間で交換されるデータを暗号化する周知の技術である。これは、両者が利用可能な乱数列から構成されるパッドを作成することを含む。送信側は、暗号化しようとしているデータとパッドのブロックとのXORをとり、暗号化データを生成する。一方、受信側は、同一のパッドブロックと暗号化データとのXORをとることにより暗号化データを暗号復号できる。パッドが第三者に利用可能にされない場合、ワンタイムパッド変換は優れたセキュリティを提供する。
【0007】
国際公開第WO2006/084895号において、例えば移動端末のユーザの動きを追跡するために、パケットのシーケンスをリンクするのに攻撃者により使用される可能性があるIPパケットヘッダ内の反復データ又は連続データを「隠す」ための機構が説明される。機構は、ユーザが共通鍵(例えば、IPSecのIKEセットアップ段階中にネゴシエートされる)を共有し、その鍵を使用して共通擬似乱数列を生成することを必要とする。送信機は、隠される各データ項目を乱数列の次の値と置換する。同一の乱数列にアクセスできる受信機は、シーケンス内の受信パケットの位置を識別でき、マッピング関数を使用して隠されたデータを元のデータと置換する。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目的は、パケット内のデータの選択的暗号化を可能にし且つパケットサイズをそれ程増加しないIPパケットをセキュリティ保護する機構を提供することである。更に本発明の目的は、IPセッションに匿名性を導入する機構を提供することであり、特に送信元IPアドレス及び/又は宛先IPアドレスが1つのパケットから次のパケットにランダムに変更されるようにそれらのアドレスの「符号化」を提供することである。
【課題を解決するための手段】
【0009】
本発明の第1の面によると、第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、セッションのパケットをリンクするために使用されてもよく、第1のホスト及び第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホスト及び前記第2のアクセスポイントに周知の宛先グループ鍵及び宛先ホスト識別子を使用して生成されるインタフェース識別子を送信元アドレス内のインタフェース識別子として使用するステップと;
前記第1のアクセスルータのネットワーク接頭語と、前記宛先ホストのアイデンティティと、前記第2のホストのローカルアクセスネットワークアドレスとの間のマッピングを前記第2のホストにおいて維持するステップと;
前記第2のアクセスポイントにおいて前記第1のホストからパケットを受信すると、パケット送信元アドレスのネットワーク接頭語を使用して前記宛先グループ鍵を識別し、宛先グループ鍵及び宛先ホストアドレスを使用して送信元アドレスのインタフェース識別子部分をローカルアクセスネットワークアドレスにマップするステップと;
前記第2のホストにパケットを転送するために前記ローカルアクセスネットワークアドレスを使用するステップとを有する方法が提供される。
【0010】
インタフェース識別子を生成するステップは:
擬似乱数を生成するステップと;
擬似ランダムインタフェース識別子を生成するために暗号化関数を使用して擬似乱数を前記宛先グループ鍵と組み合わせるステップと;
可逆関数を使用して前記擬似ランダムインタフェース識別子を前記宛先ホスト識別子と組み合わせるステップとを含むのが好ましい。
【0011】
前記可逆関数は、XOR関数であるのが更に好ましい。暗号化関数は、例えばストリーム暗号又はブロック暗号であってもよい。
【0012】
前記擬似乱数は、パケットヘッダに含まれるのが好ましい。
【0013】
パケットの受信時に前記第2のアクセスポイントで実行されるステップは:
擬似ランダムインタフェース識別子を生成するために、前記暗号化関数を使用して擬似乱数及び宛先グループ鍵を組み合わせるステップと;
前記可逆関数を使用してこの擬似ランダムインタフェース識別子をパケット送信元アドレスのインタフェース識別子部分と組み合わせるステップと;
結果が第2のアクセスポイントにおいてキャッシュされる宛先ホストのアイデンティティに適合することを検査するステップとを含むのが好ましい。
【0014】
本発明の第2の面によると、第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、セッションのパケットをリンクするのに使用されてもよく、第1のホスト及び第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホストにおいて、前記第2のホストから宛先グループ鍵を受信し且つ宛先ホスト識別子を生成するステップと;
前記宛先グループ鍵及び前記宛先ホスト識別子を前記第2のアクセスポイントに提供し且つ宛先ホスト識別子を前記第2のホストのアクセスネットワークアドレスにマップするステップと;
第1のホストから第2のホストに送出されるパケット毎に、第1のホストにおいて、擬似乱数を生成し、前記擬似乱数及び前記宛先グループ鍵を使用して擬似ランダム識別子を生成し、可逆関数を使用して前記擬似乱数を前記宛先ホスト識別子と組み合わせて新しいインタフェース識別子を生成し、新しいインタフェース識別子をパケット送信元アドレスに含め、前記擬似乱数をパケットヘッダに含めるステップと;
前記第2のアクセスルータにおいて、前記第1のホストにより送出されるパケットを受信し、送信元アドレスのネットワーク接頭語を使用して前記宛先グループ鍵を識別し、前記擬似乱数及び前記宛先グループ鍵を使用して擬似ランダム識別子を生成し、前記可逆関数を使用して前記擬似乱数を前記新しいインタフェース識別子と組み合わせ、キャッシュされたホスト識別子に適合し且つ対応するローカルネットワークアドレスを識別するものとして結果を検査し、前記ローカルネットワークアドレスを使用してパケットを第2のホストに転送するステップとを有する方法が提供される。
【0015】
本発明の第3の面によると、第2のホストに対するアクセスポイントとしての役割を果たすように構成されるネットワークノードであって:
第1のホストからパケットを受信する入力部と;
パケット送信元アドレスのネットワーク接頭語を使用して宛先グループ鍵を識別し且つ宛先グループ鍵及び宛先ホストアドレスを使用して宛先アドレスのインタフェース識別子部分をローカルアクセスネットワークアドレスにマップする手段とを具備するノードが提供される。
【0016】
本発明の第4の面によると、第1のアクセスポイントに接続される第1のホストから第2のアクセスポイントに接続される第2のホストに送出されるIPトラフィックをセキュリティ保護する方法であって:
前記第1のホストと前記第2のホストとの間に共有シークレットを確立するステップと;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用するステップとを有する方法が提供される。
【0017】
本発明の第5の面によると、端末であって:
端末とピア端末との間に共有シークレットを確立する手段と;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用する手段とを具備する端末が提供される。
【0018】
本発明の第6の面によると、IPネットワークを介して送信されるIPパケットをセキュリティ保護する方法であって:
送出されるパケット毎に、共通鍵と共に擬似乱数列の次の数字を使用してパッドを生成し、可逆関数を使用してパッドをパケットと組み合わせ、使用した擬似乱数をパケットヘッダに含めるステップを有する方法が提供される。
【0019】
本発明の実施形態により、暗号化データの受信機は、共有シークレットと共に使用できる「シーケンス番号」、すなわち送出された擬似乱数が提供され、要求されたパッドのコピーを生成できる。このようにシーケンス番号を使用することにより、ピア・トゥ・ピア通信を傍受する第三者による反射攻撃の成功を防止する。更に、シーケンス番号は擬似乱数列に属するため、送出されたパケットを傍受する第三者は共通セッションに属するものとしてパケットを相互に関連付けることは不可能である。
【0020】
本発明の好適な一実施形態において、カウンタは維持され、パッドの生成後に増分される。カウンタ値は、更なる共通鍵と組み合わされ、前記擬似乱数列中の次の値を生成する。
【0021】
本発明の一実施形態において、前記パッドは、パケットとの組合せがパケットの特定の事前定義済み部分を変更しないようにするように構成される。特にパッドは、パケットヘッダの送信元アドレスフィールド及び宛先アドレスフィールドが変更されないように構成される。
【0022】
本発明の好適な一実施形態において、前記可逆関数はXOR又はNOT XOR関数である。XOR関数の場合、変更されないパケットビットに対応するパッドビットは「0」に設定される。NOT XOR関数の場合、それらのビットは「1」に設定される。
【0023】
本発明の第7の面によると、使用中、ピア端末にIPパケットを送出するように構成される端末であって:
擬似乱数列発生器と;
送出されるパケット毎に、パッドを生成するために共用鍵と共に前記列の次の数字を使用し、可逆関数を使用してパッドをパケットと組み合わせ、使用された擬似乱数をパケットヘッダに含めるように構成されるプロセッサとを具備する端末が提供される。
【0024】
端末は、使用中、ピア端末からIPパケットを受信するように構成されてもよい。端末は:
パケットヘッダから擬似乱数を抽出する手段と;
共通鍵及び前記擬似乱数を使用してパッドを生成し、前記可逆関数を使用してパッドをパケットと組み合わせるように構成されるプロセッサとを具備する。
【図面の簡単な説明】
【0025】
【図1】IPパケットを暗号化する関数を概略的に示す図である。
【図2】アドレスの匿名性を容易にするための鍵交換プロトコル信号伝送を概略的に示す図である。
【図3】匿名の送信元アドレスインタフェース識別子をパケットヘッダに含める関数を概略的に示す図である。
【図4】元の送信元アドレスインタフェース識別子を回復する関数を概略的に示す図である。
【発明を実施するための形態】
【0026】
IPパケット送信機において実現される「ワンタイムパッド暗号化(One Time Pad Encryption)」(OTPE)関数のシステムレベルの構成を図1に示す。この関数は、送信機においてIP層の下に実現される。ストリーム暗号(stream cipher)1は、第1のセッション鍵(Session key 1)を第1の入力として受信し、64ビット擬似乱数を第2の入力として受信する。擬似乱数は、第1の入力として第2のセッション鍵(Session key 2)及びカウンタ値(Counter)を受信するブロック暗号2により生成される。ブロック暗号は、AES暗号化関数(例えば、EBCモード)であるのが好ましいが、必ずしもこれに限らない。第1のセッション鍵及び第2のセッション鍵は128ビット鍵であり、パケット送信機とパケット受信機との間で共有される。一般的な例において、そのような共有される鍵は、例えばインターネット鍵交換(IKE)プロトコルを使用して通信者間でネゴシエートされるセキュリティアソシエーション(SA)に属する。あるいは、セッション鍵は、例えばハッシュ関数をネゴシエートされたIKE鍵に適用することによりIKE鍵から導出されてもよい。より高いプロトコル層からパケットを受信すると、OTPE層はパケットヘッダ内に含まれる宛先アドレスを使用してSession Key 1を取得する。
【0027】
カウンタ値は、OTPEを使用してセキュリティ保護されるパケット毎に1増分される。ブロック暗号2の出力は新しい擬似乱数である。これは、適切な長さのパッドを生成してヘッダ及びペイロードを含むIPパケットをセキュリティ保護するためにクロック制御されるストリーム暗号に供給される。ルーティング可能なアドレスを含む更なるヘッダを追加する必要性をなくすために、パケットに適用する前に、暗号化されないパケットの位置に対応するパッドのビット位置は「0」に再設定される。
【0028】
XOR関数3により出力されるパッドは、第2のXOR関数4の第1の入力に適用され、第2のXOR関数4はセキュリティ保護されるIPパケットを第2の入力として受信する。第2のXOR関数の出力は、暗号化によりセキュリティ保護された元のIPパケットの表現である。受信機がパケットを復号化できるようにするために、パケットは使用した擬似乱数を含む必要がある。従って、これは「スタンプ」としてパケットヘッダに追加される。一般に、これは新しいヘッダの指定を必要とする。しかし、以下に説明するように、匿名性機構が採用される場合、送信元IPv6アドレスのインタフェース識別子部分としてスタンプを含むことができる。
【0029】
スタンプは、64ビット擬似乱数に加えて更なる情報を含んでもよい。特にスタンプは、パッド暗号化を使用してセキュリティ保護されたフィールドを識別する等、例えば秘密性の範囲を示す別の64ビットを含んでもよい。
【0030】
パケットを受信すると、受信機は、パケットヘッダ内に含まれる送信元アドレスを使用して正確なセキュリティアソシエーションを識別し、正確なセッション鍵(Session Key 1及びSession Key 2)を取得する。各パケットは受信機に適用され、ユニット5がパケットヘッダからスタンプを抽出する。
【0031】
反射攻撃を回避するために、スタンプ内の擬似乱数及びSession Key 2をブロック暗号への入力として使用することにより初期チェックが実行される。その結果はカウンタ値に対応する。受信機はカウンタ値ウィンドウを維持し、パケットは、判定されたカウンタ値がそのウィンドウ内に入る場合にのみ受け入れられる。カウンタ値がウィンドウ内であると仮定すると、パケットの擬似乱数部分がストリーム暗号6の第1の入力に適用される一方で、第1のセッション鍵は第2の入力に適用される。ストリーム暗号の出力は元のパッドである。暗号化されないパケットビットに対応するパッドビットは、「0」に設定される。[パケットのスタンプの秘密性の範囲は、「0」に設定されるビットを判定するために使用されてもよい。]その後、変更されたパッドは更なるXOR関数の第1の入力に適用され、第2の入力はセキュリティ保護されたパケットを受信する。XOR関数の出力は暗号復号されたパケットを表す。
【0032】
上述の基本OTPEプロトコルによると、IPパケットヘッダ内の送信元アドレス及び宛先アドレスは暗号化されず、パケットのルーティングを可能にする。パケットを傍受する第三者は、それらのアドレスの一方又は双方を使用してパケットのシーケンスをリンクできる。可能な限りリンクの危険性を低減するために、各データパケット中の送信元アドレスを変更する一方で、匿名の送信機が宛先とデータパケットを交換することを可能にする「匿名性」機能をOTPEプロトコルに導入するのが望ましい。これは、64ビットインタフェース識別子(IID)接尾語(suffix)及び64ビットネットワーク接頭語(prefix)を有するIPアドレスを提供するIPv6により可能になる。一般にIIDは、接続手順中、ホスト端末により選択され、ホストが接続されるアクセスルータ(AR)に送出される。ARは、IID衝突を検出するために同一ルータに接続される他の全てのホストに選択したIIDを得る。IPアドレスのネットワーク接頭語部分はARの固定アドレスであり、ホストはそれをAR広告メッセージ(AR Advertisement message)で通知される。ホストが宛先に送出される各データパケットのIIDをリフレッシュすることを可能にすることにより、匿名性が可能になる。これは、特定のIIDが進行しているセッション中に2つ以上のデータパケットにおいて開示されないことを意味する。
【0033】
本明細書で説明する手順は、同一アクセスネットワークに接続されるホストに対して匿名性を保証できないこと、すなわち共通のARを共有することを受け入れることに依存する。これは、ローカルリンクを介して送出されるパケットにおいて使用される送信元アドレス及び宛先アドレスに関わらず、使用されるMedia Access Control(MAC)アドレスが静的なままである必要があるためである。第1のARに接続され且つ第2のARに接続されるホストの集合と通信するホストの集合の場合にこれを適用することは、IIDの匿名性を提供するのに使用される鍵がホストの2つの集合間で共有される場合にセキュリティレベルが低下しないことを意味する。匿名性は、2つのAR間を移動するトラフィックを解析する第三者に関してのみ提供される。
【0034】
上述の基本OTPEプロトコルは、受信機が送信機の鍵(Session Key 1)を取り出し且つ固有パケットにアクセスするための対応するパッドを生成することを可能にするために静的なIPv6送信元アドレス/擬似アドレスを使用することに依存する。各データパケットにおいてランダムにIPv6送信元アドレスを単に変更した結果、パケットは受信機側でドロップされる。従って、送信機側におけるIPv6送信元アドレスIIDのランダムな変更のために、常に、受信機が対応する鍵を容易に取り出せるようにする必要がある。
【0035】
各データパケットにおける送信機のIIDの変更に加え、受信機の(すなわち、宛先)IPv6アドレスも変更するのが非常に望ましい。これは、受信機に転送する前に各データパケットを検査する際、受信機側に位置する一般的にはARである追加のノードを含むことを必要とする。
【0036】
例として、宛先ホストDとの接続を確立しようとする送信元ホストSを考慮する。SがアクセスルータAR(S)に接続され、DがアクセスルータAR(D)に接続されると仮定する。各アクセスルータ接続手順の一部として、Sはネットワーク接頭語SPをAR(S)から取得し、Dはネットワーク接頭語DPをAR(D)から取得する。Dに対して鍵交換プロトコル(例えば、IKE)を実行する前に、Sはグループ鍵SGKをAR(S)に要求する。このグループ鍵は、Dにより使用されるネットワーク接頭語、すなわちDPに対してAR(S)により割り当てられる鍵である。同一のグループ鍵は、ネットワーク接頭語DPを使用する宛先ホストと通信するためにネットワーク接頭語SPを使用する全てのホストにより提供される。すなわち、結合{SGK, SP, DP}が行なわれる。AR(S)は、グループ鍵ディストリビュータとしての役割を果たす。グループ鍵の配信は、例えばOptiSENDプロトコル(IETFdraft-haddad-mipshop-optisend-02を参照)を使用してセキュリティ上安全に実行される。グループ鍵は制限された寿命を有する。
【0037】
Sは、静的な擬似IPv6アドレスを使用してDに対する鍵交換プロトコルを開始する。開始メッセージがDにより受信されると、DはAR(D)にグループ鍵DGKを要求する。この鍵は、同様にDP及びSPと結合される。すなわち、{DGK, DP, SP}である。D及びSは、鍵交換プロトコルの間にSGK及びDGKをセキュリティ上安全に交換する。SからSGKを受信すると、Dは固有の送信機ホストのアイデンティティ(SHID)を生成し、それをSと共有する。その後、SHIDはSにより使用され、Dから受信されるパケットを識別する。Sは、SHIDをAR(S)に提供する必要がある。同様に、SにおいてDGKを受信すると、Sは固有の宛先ホストのアイデンティティ(DHID)を生成し、それをDと共有する。Dは、DHIDをAR(D)に提供する。[S及びDは、SHID及びDHIDを交換するのではなく、各ホストが個別に同一の識別子を生成できる機構に同意してもよいことが理解されるだろう。]
以下の表1は、各ホストがn個の異なるピアホストに対する結合を確立したと仮定して、S及びDにおいて維持される結合を示す(Sの場合はDP1,DP2...DPn及びDの場合はSP1,SP2,...SPn)。以下の表2は、n個のホストがMACアドレス1〜n及びインタフェース識別子IID1〜IIDnを使用して現在接続されていると仮定して、AR(S)において維持される結合を示す。対応する結合の集合は、AR(D)において維持される。図2は、鍵交換プロトコル前及び鍵交換プロトコル内で行なわれる必要なメッセージ交換を概略的に示す。当然、鍵交換プロトコルの終了時、ホストのアイデンティティDHID及びSHID、並びにグループ鍵SGK及びDGKの共有に加え、ホストS及びDは2つのOTPE鍵、すなわち図1のSession Key 1及びSession Key 2を共有する。
【0038】
匿名性を達成するために、SによりDに送出されるパケット毎に、新しいIPv6 IIDが以下のようにSに対して使用される。
・パケットはSにおいて生成され、固定のIPv6送信元/宛先アドレスを含む。
・Sは、ペイロード及び宛先アドレスのIID部分を含むパケットヘッダの部分を暗号化するためにOTPEプロトコルを適用する。送信元アドレス及び宛先アドレスのネットワーク接頭語は暗号化されない。図1に示すように、この手順の一部として、Sは64ビット擬似シーケンス番号(PSN)を計算する。PSNは、送信元ネットワーク接頭語SPと連結され、完全なIPv6送信元アドレスを生成する。
【0039】
新しいIPv6 IIDは、以下のようにDに対して使用される。
・PRID = fsc(PSN, SGK)であるPRIDと呼ばれるランダムな識別子を生成するために、SはPSNを生成するのに適用される同一のモードを使用する。ここで、fscはストリーム暗号を表す。
・PRIDの生成後、SはPRID及びSHIDのXORをとることにより新しい宛先IPv6 IIDを計算する。すなわち、新しいIID = PRID XOR SHIDである。新しいIIDは、宛先ネットワーク接頭語DPと連結され、完全なIPv6送信元アドレスを生成する。
【0040】
この機構を図3に示す。
【0041】
Sにより送出されるパケットは、MACアドレスを取り除くのではなく、パケットヘッダ中のアドレスを変更しないAR(S)を介してルーティングされる。
【0042】
Dに向けられたパケットは、宛先アドレスのネットワーク接頭語の結果としてAR(D)に到着する。AR(D)は、以下のように検査手順を実行する。
・AR(D)は、送信元アドレスネットワーク接頭語がキャッシュメモリに格納されているかをチェックする。その後、図4に示すように、AR(D)は送信元IIDとして含まれるPSNと共に対応するSGKを使用してPRIDを生成する。
・PRIDを生成した後の次のステップは、そのPRIDと宛先アドレスIIDとのXORをとり、SHIDを生成することである。AR(D)のキャッシュメモリは、結果として得られる64ビット値を鍵として使用して探索される。SHIDがキャッシュ内で見つけられると、AR(D)は元の宛先アドレスIIDをSHIDと置換する。しかし、これは、ローカルリンクにおいて匿名性を維持することが必要とされた場合には実行されなくてもよい。
・AR(D)は、検査されたSHIDを使用してDのMACアドレスを識別できる。AR(D)は、MACアドレスを使用してパケットをDに転送する。
【0043】
Dにおいてパケットを受信すると、Dは、正確なSHIDを識別する手順を繰り返す。検査されたSHIDを使用して、Dは正確なSession Key 2を識別する。Dは、PSN(送信元アドレスIIDとして含まれる)及びSession Key 2を適用し、カウンタ値を識別する。カウンタ値が現在のウィンドウ内に入る場合、パケットは受け入れられる。Session Key 1及びPSNは、上述のようにOTPEプロトコルを使用してパケットを暗号復号するために使用される。
【0044】
Dがパケット送信機であり且つSがパケット受信機である場合、手順を逆にするのが有効であることは容易に理解されるだろう。この場合、AR(S)においてパケットが受信されると、AR(S)はDHIDを回復及び検査し、必要な置換を実行する。AR(S)は、DHIDに対応するMACアドレスを識別し、ローカルリンクを介してパケットをSに転送する。
【0045】
上述の手順は、PSNを送信元アドレスIIDとしてIPv6パケットヘッダに含むため多くの点において最適である。しかし、別の方法は、宛先アドレスアドレスIIDを生成するのに使用された手順と同様の手順を使用して送信元アドレスIIDを生成することである。すなわち、PRID2 = fsc(PSN,DGK)及び新しいIID = PRID2 XOR SHIDである。この場合、PSNを別個の(新しい)ヘッダフィールドに含む必要がある。
【0046】
本発明の範囲から逸脱せずに上述の実施形態に対して種々の変更が行なわれてもよいことは、当業者には理解されるだろう。例えば、アクセスルータがSHID及びDHIDの知識を得ないように、ホストS及びDは、IIDを生成するためにSHID及びDHIDのハッシュを使用し、ハッシュ値のみをアクセスルータに提供してもよい。
【0047】
【表1】
【0048】
【表2】
【特許請求の範囲】
【請求項1】
第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、前記セッションのパケットをリンクするために使用されてもよく、前記第1のホスト及び前記第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホスト及び前記第2のアクセスポイントに周知のグループ鍵及びホストのアイデンティティを使用して生成されるインタフェース識別子を、送信元アドレス及び/又は宛先アドレス内のインタフェース識別子として使用するステップと;
前記第1のアクセスルータのネットワーク接頭語と、前記ホストのアイデンティティと、前記第2のホストのローカルアクセスネットワークアドレスとの間のマッピングを前記第2のホストにおいて維持するステップと;
前記第2のアクセスポイントにおいて前記第1のホストからパケットを受信すると、前記パケット送信元アドレスの前記ネットワーク接頭語を使用して前記グループ鍵を識別し、前記グループ鍵及び前記ホストアドレスを使用して前記送信元アドレス及び/又は前記宛先アドレスの前記インタフェース識別子部分をローカルアクセスネットワークアドレスにマップするステップと;
前記第2のホストに前記パケットを転送するために前記ローカルアクセスネットワークアドレスを使用するステップと
を有することを特徴とする方法。
【請求項2】
前記第2のアクセスポイントは、前記グループ鍵及び前記ホストアドレスを使用して、前記送信元アドレス及び/又は前記宛先アドレスの前記インタフェース識別子部分をマップし、それによりホストのアイデンティティを回復し、前記回復されたホストのアイデンティティが前記第2のアクセスポイントに周知のアイデンティティと適合する場合、前記第2のアクセスポイントは前記ローカルアクセスネットワークアドレスを識別して前記パケットを転送することを特徴とする請求項1記載の方法。
【請求項3】
インタフェース識別子を生成する前記ステップは:
擬似乱数を生成するステップと;
擬似ランダムインタフェース識別子を生成するために暗号化関数を使用して前記擬似乱数を前記グループ鍵と組み合わせるステップと;
可逆関数を使用して前記擬似ランダムインタフェース識別子を前記ホスト識別子と組み合わせるステップと
を含むことを特徴とする請求項1又は2記載の方法。
【請求項4】
前記可逆関数はXOR関数であることを特徴とする請求項3記載の方法。
【請求項5】
前記暗号化関数はストリーム暗号又はブロック暗号であることを特徴とする請求項3又は4記載の方法。
【請求項6】
前記擬似乱数はパケットヘッダに含まれることを特徴とする請求項3乃至5のいずれか1項に記載の方法。
【請求項7】
パケットの受信時に前記第2のアクセスポイントで実行されるステップは:
擬似ランダムインタフェース識別子を生成するために、前記暗号化関数を使用して前記擬似乱数及び前記グループ鍵を組み合わせるステップと;
前記可逆関数を使用して前記擬似ランダムインタフェース識別子を前記パケット送信元アドレスの前記インタフェース識別子部分と組み合わせるステップと;
結果が前記第2のアクセスポイントにおいてキャッシュされるホストのアイデンティティに適合することを検査するステップと
を含むことを特徴とする請求項3乃至6のいずれか1項に記載の方法。
【請求項8】
前記の各ステップは、前記宛先アドレスに関してのみ実行されることを特徴とする請求項1乃至7のいずれか1項に記載の方法。
【請求項9】
前記第1のホストと前記第2のホストとの間で共有される鍵を使用して擬似乱数列を生成し、送出される次のパケットに対する送信元アドレスを生成するために前記列中の次の擬似乱数を前記第1のアクセスルータの前記ネットワーク接頭語と連結するステップを含むことを特徴とする請求項8記載の方法。
【請求項10】
第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、前記セッションのパケットをリンクするのに使用されてもよく、前記第1のホスト及び前記第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホストにおいて、前記第2のホストからグループ鍵を受信し且つホスト識別子を生成するステップと;
前記グループ鍵及び前記ホスト識別子を前記第2のアクセスポイントに提供し且つ前記ホスト識別子を前記第2のホストのアクセスネットワークアドレスにマップするステップと;
前記第1のホストから前記第2のホストに送出されるパケット毎に、前記第1のホストにおいて、擬似乱数を生成し、前記擬似乱数及び前記グループ鍵を使用して擬似ランダム識別子を生成し、可逆関数を使用して前記擬似乱数を前記ホスト識別子と組み合わせて新しいインタフェース識別子を生成し、前記新しいインタフェース識別子をパケット送信元又は宛先アドレスに含め、前記擬似乱数をパケットヘッダに含めるステップと;
前記第2のアクセスルータにおいて、前記第1のホストにより送出されるパケットを受信し、前記送信元アドレスのネットワーク接頭語を使用して前記グループ鍵を識別し、前記擬似乱数及び前記グループ鍵を使用して擬似ランダム識別子を生成し、前記可逆関数を使用して前記擬似乱数を前記新しいインタフェース識別子と組み合わせ、キャッシュされたホスト識別子に適合し且つ対応するローカルネットワークアドレスを識別するものとして結果を検査し、前記ローカルネットワークアドレスを使用して前記パケットを前記第2のホストに転送するステップと
を有することを特徴とする方法。
【請求項11】
第2のホストに対するアクセスポイントとしての役割を果たすように構成されるネットワークノードであって:
第1のホストからパケットを受信する入力部と;
パケット送信元アドレスのネットワーク接頭語を使用して宛先グループ鍵を識別し且つ前記宛先グループ鍵及び宛先ホストアドレスを使用して前記宛先アドレスのインタフェース識別子部分をローカルアクセスネットワークアドレスにマップする手段と
を具備することを特徴とするノード。
【請求項12】
第1のアクセスポイントに接続される第1のホストから第2のアクセスポイントに接続される第2のホストに送出されるIPトラフィックをセキュリティ保護する方法であって:
前記第1のホストと前記第2のホストとの間に共有シークレットを確立するステップと;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用するステップと
を有することを特徴とする方法。
【請求項13】
端末であって:
前記端末とピア端末との間に共有シークレットを確立する手段と;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用する手段と
を具備することを特徴とする端末。
【請求項14】
IPネットワークを介して送信されるIPパケットをセキュリティ保護する方法であって:
送出されるパケット毎に、共通鍵と共に擬似乱数列の次の数字を使用してパッドを生成し、可逆関数を使用して前記パッドを前記パケットと組み合わせ、前記使用した擬似乱数をパケットヘッダに含めるステップを有することを特徴とする方法。
【請求項15】
カウンタを維持し、パッドの生成後に前記カウンタを増分し、前記カウンタ値を更なる共通鍵と組み合わせて前記擬似乱数列中の次の値を生成するステップを含むことを特徴とする請求項14記載の方法。
【請求項16】
前記パッドは、前記パケットとの組合せが前記パケットの特定の事前定義済み部分を変更しないようにするように構成されることを特徴とする請求項14又は15記載の方法。
【請求項17】
前記パッドは、前記送信元アドレスフィールド及び前記宛先アドレスフィールドが変更されないように構成される請求項16記載の方法。
【請求項18】
前記可逆関数はXOR、又は、NOT XOR関数であり、XOR関数の場合には変更されないパケットビットに対応する前記パッドビットが「0」に設定され、NOT XOR関数の場合にはそれらのビットは「1」に設定されることを特徴とする請求項14乃至17のいずれか1項に記載の方法。
【請求項19】
使用中、ピア端末にIPパケットを送出するように構成される端末であって:
擬似乱数列発生器と;
送出されるパケット毎に、パッドを生成するために共用鍵と共に前記列の次の数字を使用し、可逆関数を使用して前記パッドを前記パケットと組み合わせ、前記使用された擬似乱数をパケットヘッダに含めるように構成されるプロセッサと
を具備することを特徴とする端末。
【請求項20】
使用中、ピア端末からIPパケットを受信するように構成され、
パケットヘッダから擬似乱数を抽出する手段と;
共通鍵及び前記擬似乱数を使用してパッドを生成し、前記可逆関数を使用して前記パッドを前記パケットと組み合わせるように構成されるプロセッサと
を具備することを特徴とする請求項19記載の端末。
【請求項1】
第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、前記セッションのパケットをリンクするために使用されてもよく、前記第1のホスト及び前記第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホスト及び前記第2のアクセスポイントに周知のグループ鍵及びホストのアイデンティティを使用して生成されるインタフェース識別子を、送信元アドレス及び/又は宛先アドレス内のインタフェース識別子として使用するステップと;
前記第1のアクセスルータのネットワーク接頭語と、前記ホストのアイデンティティと、前記第2のホストのローカルアクセスネットワークアドレスとの間のマッピングを前記第2のホストにおいて維持するステップと;
前記第2のアクセスポイントにおいて前記第1のホストからパケットを受信すると、前記パケット送信元アドレスの前記ネットワーク接頭語を使用して前記グループ鍵を識別し、前記グループ鍵及び前記ホストアドレスを使用して前記送信元アドレス及び/又は前記宛先アドレスの前記インタフェース識別子部分をローカルアクセスネットワークアドレスにマップするステップと;
前記第2のホストに前記パケットを転送するために前記ローカルアクセスネットワークアドレスを使用するステップと
を有することを特徴とする方法。
【請求項2】
前記第2のアクセスポイントは、前記グループ鍵及び前記ホストアドレスを使用して、前記送信元アドレス及び/又は前記宛先アドレスの前記インタフェース識別子部分をマップし、それによりホストのアイデンティティを回復し、前記回復されたホストのアイデンティティが前記第2のアクセスポイントに周知のアイデンティティと適合する場合、前記第2のアクセスポイントは前記ローカルアクセスネットワークアドレスを識別して前記パケットを転送することを特徴とする請求項1記載の方法。
【請求項3】
インタフェース識別子を生成する前記ステップは:
擬似乱数を生成するステップと;
擬似ランダムインタフェース識別子を生成するために暗号化関数を使用して前記擬似乱数を前記グループ鍵と組み合わせるステップと;
可逆関数を使用して前記擬似ランダムインタフェース識別子を前記ホスト識別子と組み合わせるステップと
を含むことを特徴とする請求項1又は2記載の方法。
【請求項4】
前記可逆関数はXOR関数であることを特徴とする請求項3記載の方法。
【請求項5】
前記暗号化関数はストリーム暗号又はブロック暗号であることを特徴とする請求項3又は4記載の方法。
【請求項6】
前記擬似乱数はパケットヘッダに含まれることを特徴とする請求項3乃至5のいずれか1項に記載の方法。
【請求項7】
パケットの受信時に前記第2のアクセスポイントで実行されるステップは:
擬似ランダムインタフェース識別子を生成するために、前記暗号化関数を使用して前記擬似乱数及び前記グループ鍵を組み合わせるステップと;
前記可逆関数を使用して前記擬似ランダムインタフェース識別子を前記パケット送信元アドレスの前記インタフェース識別子部分と組み合わせるステップと;
結果が前記第2のアクセスポイントにおいてキャッシュされるホストのアイデンティティに適合することを検査するステップと
を含むことを特徴とする請求項3乃至6のいずれか1項に記載の方法。
【請求項8】
前記の各ステップは、前記宛先アドレスに関してのみ実行されることを特徴とする請求項1乃至7のいずれか1項に記載の方法。
【請求項9】
前記第1のホストと前記第2のホストとの間で共有される鍵を使用して擬似乱数列を生成し、送出される次のパケットに対する送信元アドレスを生成するために前記列中の次の擬似乱数を前記第1のアクセスルータの前記ネットワーク接頭語と連結するステップを含むことを特徴とする請求項8記載の方法。
【請求項10】
第1のホストと第2のホストとの間のIPセッションのパケット内のデータを隠蔽する方法であり、前記セッションのパケットをリンクするのに使用されてもよく、前記第1のホスト及び前記第2のホストが第1のアクセスポイント及び第2のアクセスポイントにそれぞれ接続される方法であって:
前記第1のホストにおいて、前記第2のホストからグループ鍵を受信し且つホスト識別子を生成するステップと;
前記グループ鍵及び前記ホスト識別子を前記第2のアクセスポイントに提供し且つ前記ホスト識別子を前記第2のホストのアクセスネットワークアドレスにマップするステップと;
前記第1のホストから前記第2のホストに送出されるパケット毎に、前記第1のホストにおいて、擬似乱数を生成し、前記擬似乱数及び前記グループ鍵を使用して擬似ランダム識別子を生成し、可逆関数を使用して前記擬似乱数を前記ホスト識別子と組み合わせて新しいインタフェース識別子を生成し、前記新しいインタフェース識別子をパケット送信元又は宛先アドレスに含め、前記擬似乱数をパケットヘッダに含めるステップと;
前記第2のアクセスルータにおいて、前記第1のホストにより送出されるパケットを受信し、前記送信元アドレスのネットワーク接頭語を使用して前記グループ鍵を識別し、前記擬似乱数及び前記グループ鍵を使用して擬似ランダム識別子を生成し、前記可逆関数を使用して前記擬似乱数を前記新しいインタフェース識別子と組み合わせ、キャッシュされたホスト識別子に適合し且つ対応するローカルネットワークアドレスを識別するものとして結果を検査し、前記ローカルネットワークアドレスを使用して前記パケットを前記第2のホストに転送するステップと
を有することを特徴とする方法。
【請求項11】
第2のホストに対するアクセスポイントとしての役割を果たすように構成されるネットワークノードであって:
第1のホストからパケットを受信する入力部と;
パケット送信元アドレスのネットワーク接頭語を使用して宛先グループ鍵を識別し且つ前記宛先グループ鍵及び宛先ホストアドレスを使用して前記宛先アドレスのインタフェース識別子部分をローカルアクセスネットワークアドレスにマップする手段と
を具備することを特徴とするノード。
【請求項12】
第1のアクセスポイントに接続される第1のホストから第2のアクセスポイントに接続される第2のホストに送出されるIPトラフィックをセキュリティ保護する方法であって:
前記第1のホストと前記第2のホストとの間に共有シークレットを確立するステップと;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用するステップと
を有することを特徴とする方法。
【請求項13】
端末であって:
前記端末とピア端末との間に共有シークレットを確立する手段と;
送出されるパケット毎に、擬似乱数列中の次の値を送信元IPアドレスのインタフェース識別子部分として使用する手段と
を具備することを特徴とする端末。
【請求項14】
IPネットワークを介して送信されるIPパケットをセキュリティ保護する方法であって:
送出されるパケット毎に、共通鍵と共に擬似乱数列の次の数字を使用してパッドを生成し、可逆関数を使用して前記パッドを前記パケットと組み合わせ、前記使用した擬似乱数をパケットヘッダに含めるステップを有することを特徴とする方法。
【請求項15】
カウンタを維持し、パッドの生成後に前記カウンタを増分し、前記カウンタ値を更なる共通鍵と組み合わせて前記擬似乱数列中の次の値を生成するステップを含むことを特徴とする請求項14記載の方法。
【請求項16】
前記パッドは、前記パケットとの組合せが前記パケットの特定の事前定義済み部分を変更しないようにするように構成されることを特徴とする請求項14又は15記載の方法。
【請求項17】
前記パッドは、前記送信元アドレスフィールド及び前記宛先アドレスフィールドが変更されないように構成される請求項16記載の方法。
【請求項18】
前記可逆関数はXOR、又は、NOT XOR関数であり、XOR関数の場合には変更されないパケットビットに対応する前記パッドビットが「0」に設定され、NOT XOR関数の場合にはそれらのビットは「1」に設定されることを特徴とする請求項14乃至17のいずれか1項に記載の方法。
【請求項19】
使用中、ピア端末にIPパケットを送出するように構成される端末であって:
擬似乱数列発生器と;
送出されるパケット毎に、パッドを生成するために共用鍵と共に前記列の次の数字を使用し、可逆関数を使用して前記パッドを前記パケットと組み合わせ、前記使用された擬似乱数をパケットヘッダに含めるように構成されるプロセッサと
を具備することを特徴とする端末。
【請求項20】
使用中、ピア端末からIPパケットを受信するように構成され、
パケットヘッダから擬似乱数を抽出する手段と;
共通鍵及び前記擬似乱数を使用してパッドを生成し、前記可逆関数を使用して前記パッドを前記パケットと組み合わせるように構成されるプロセッサと
を具備することを特徴とする請求項19記載の端末。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2010−521846(P2010−521846A)
【公表日】平成22年6月24日(2010.6.24)
【国際特許分類】
【出願番号】特願2009−553017(P2009−553017)
【出願日】平成19年3月16日(2007.3.16)
【国際出願番号】PCT/EP2007/052542
【国際公開番号】WO2008/113405
【国際公開日】平成20年9月25日(2008.9.25)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成22年6月24日(2010.6.24)
【国際特許分類】
【出願日】平成19年3月16日(2007.3.16)
【国際出願番号】PCT/EP2007/052542
【国際公開番号】WO2008/113405
【国際公開日】平成20年9月25日(2008.9.25)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]