JP3749679B2 - 無線マルチホップネットワークの不正パケット防止方法及び防止装置 - Google Patents
無線マルチホップネットワークの不正パケット防止方法及び防止装置 Download PDFInfo
- Publication number
- JP3749679B2 JP3749679B2 JP2001258323A JP2001258323A JP3749679B2 JP 3749679 B2 JP3749679 B2 JP 3749679B2 JP 2001258323 A JP2001258323 A JP 2001258323A JP 2001258323 A JP2001258323 A JP 2001258323A JP 3749679 B2 JP3749679 B2 JP 3749679B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- wireless
- inspection data
- wireless terminal
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
【発明の属する技術分野】
本発明は、無線マルチホップネットワークの不正パケット防止方法及び防止装置に関する。
【0002】
【従来の技術】
無線マルチホップネットワークは、例えば図15のように構成される。すなわち、複数の無線端末WTと基地局BSとを備える。また、各無線端末WTは送信機能,受信機能及び中継機能を備える。基地局BSは、無線端末WTとの間で無線回線を介して通信を行い、無線端末WTと有線ネットワークとの間で信号の中継を行う。
【0003】
図15に示す例では、無線端末WT(1)−WT(2)の間、無線端末WT(1)−WT(3)の間、無線端末WT(2)−WT(3)の間、無線端末WT(4)−WT(5)の間、無線端末WT(1)−基地局BSの間、無線端末WT(4)−基地局BSの間にそれぞれ無線回線が形成されている。
例えば、無線端末WT(2)が無線端末WT(4)宛で情報を送信する場合、無線端末WT(2)の送出した情報は無線回線を介してまず無線端末WT(1)に届く。無線端末WT(1)は情報の中継を行い、受信した情報を無線回線を介して隣の基地局BSに送る。同様に、基地局BSは情報の中継を行い受信した情報を無線回線を介して無線端末WT(4)に送る。すなわち、中継により複数の無線回線を経由して情報が宛先まで伝達される。
【0004】
このような通信システムにおいては、予め許可を受けた無線端末以外の不正な無線端末がシステムを利用するのを防止する必要がある。その理由は次の通りである。
無線マルチホップネットワークに含まれる各無線端末は、自局宛でないパケットを受信した場合にはそれを他の無線端末へ転送する。従って、不正な無線端末がシステムを利用するとシステムの無線回線が不正に利用され、無線回線のトラヒックが増大する。また、中継を行う各無線端末の処理負荷も増大する。
【0005】
特に、不正な無線端末が無線マルチホップネットワークに対してブロードキャストで不正なパケットを送信すると、図16に示すように不正なパケットがネットワークの全体に転送されることになるため影響が極めて大きい。
また、無線マルチホップネットワーク上に許可を受けない不正な無線端末が存在しない場合であっても、通信経路上で中継を行う任意の無線端末が中継の際に転送されるパケットの改ざんを行う可能性がある。
【0006】
システムの安全性を高めるために、例えば携帯電話や無線LANのような無線アクセスシステムにおいては、従来より互いに対向する基地局と各無線端末との間で共通の秘密情報(鍵)を保持し、この秘密情報を用いて作成した検査データを利用して伝送されるパケットの検証を行っている。
このような検査データ用いて検証を行うことは、無線マルチホップネットワークのシステムでは行われていない。
【0007】
【発明が解決しようとする課題】
仮に、上記のような検査データの作成及び検証を無線マルチホップネットワークで採用する場合には、無線回線毎に独立した秘密鍵が必要になるので、図17に示すように各無線端末には隣接する無線端末の数だけ互いに異なる秘密鍵を保持し管理する必要がある。
【0008】
また、図18に示すように無線回線を経由する度に検査データの作成及び受信した検査データの検証を行う必要があり、中継を行う無線端末は受信した検査データの検証及び検査データの作成を行うことになり、処理上の負荷が大きい。また、無線回線を経由する回数が増えるに従って、伝送遅延時間が大幅に増大する。
また、図19に示すように、ある無線端末の近くに他の無線端末が移動してきたり新規の無線端末を無線マルチホップネットワークに加える場合には、新規の無線端末と隣接する無線端末はそれぞれ新たな秘密情報を新規の無線端末との間で共有するための手続きを行う必要がある。
【0009】
無線マルチホップネットワークにおいては、このようなトポロジー変更の頻度が高くなる可能性があり、秘密情報を共有するために必要な処理の負担及び時間が増大する。
また、検査データの作成及び検証に必要とされる秘密情報が無線端末に保持されていない場合にはパケットの検査を実行することができない。従って、認証を完了していない無線端末をネットワークに加える際には、パケット検査を省略せざるを得ない。そのため、認証のための手続きを利用して、許可を受けていない不正な無線端末が不正なパケットを無線マルチホップネットワークに流入させることが可能である。
【0010】
また、従来と同様なパケット検査を実施する場合には、中継を行う無線端末が中継の際に新たな検査パケットを作成するので、中継する無線端末が中継の際にパケットの内容を改ざんした場合であっても、改ざんの有無を受信側で識別できない。
本発明は、無線マルチホップネットワークにおいて、不正な無線端末が送信するパケットがネットワーク上の無線回線や認証済の正規な無線端末に及ぼす悪影響を低減することを目的とする。
【0011】
【課題を解決するための手段】
請求項1は、情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止方法であって、情報の送信を行う第1の無線端末では、無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成するとともに、自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成し、作成した前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを送信し、パケットを受信した第2の無線端末では、受信パケット中の前記第1のパケット検査データを自局の保持する前記第1の秘密情報を用いて検証し、検証結果が誤りの場合にはその受信パケットを破棄し、検証結果が正しい場合には自局が受信パケットの宛先か否かを識別し、宛先でなければ受信パケットを他の無線端末に送信し、自局が宛先である場合には受信パケット中の第2のパケット検査データを自局の保持する前記第2の秘密情報を用いて検査し、検査結果が誤りの場合はその受信パケットを破棄し、検査結果が正しい場合には受信パケットを受け取ることを特徴とする。
【0012】
請求項1においては、認証済の全ての無線端末で共有される第1の秘密情報を用いて作成された第1のパケット検査データを送信するので、正規な認証された無線端末は、中継の際に自局が保持する第1の秘密情報を用いてパケットを検証することができる。また、中継の際には新たな検査データを作成することなく、受信したパケットをそのまま送信すればよいので中継の処理に要する負担は比較的小さい。
【0013】
宛先の無線端末では、送信元の無線端末との間で共有している第2の秘密情報を用いて第2のパケット検査データを検証することができる。仮に送信元と宛先との間で中継を行う無線端末が、中継の際にデータの改ざんを行った場合には、第2のパケット検査データを検証する際に、宛先の無線端末は受信したパケットに改ざんの可能性があることを検出することができる。
【0014】
また、認証を受けていない不正な無線端末は第1の秘密情報を所持していないので、その無線端末は無線マルチホップネットワークに対して不正なパケットを流入させることができない。
請求項2は、情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止方法であって、情報の送信を行う第1の無線端末では、予め配布された公開鍵暗号における自局の秘密鍵を用いてパケット検査データを作成し、作成したパケット検査データを付加したパケットを送信し、パケットを受信した第2の無線端末では、受信パケット中の前記パケット検査データを送信元の無線端末の公開鍵を用いて検証し、検証結果が誤りの場合には前記受信パケットを破棄し、検証結果が正しい場合には自局が受信パケットの宛先か否かを識別し、宛先でなければ受信パケットを他の無線端末に送信し、自局が宛先である場合には受信パケットを受け取ることを特徴とする。
【0015】
請求項2においては、公開鍵暗号方式を利用してパケットの検証を行うので、ネットワーク上で認証が済んでいない無線端末が送信したパケットについても、中継する端末及び宛先の端末で公開鍵を用いてパケット検査データの検証を行うことができる。
パケット検査データの検証に用いる送信元の公開鍵については、証明書として送信パケットに添付できるので、それぞれの無線端末に送信元の公開鍵を保持しておく必要はない。
【0016】
また、送信元が作成したパケット検査データがそのまま宛先の無線端末まで届くので、仮に転送の途中で中継を行う無線端末がパケットの改ざんを行った場合、宛先の無線端末はパケット検査データの検証により受信したパケットに改ざんの可能性があることを検出できる。
請求項3は、情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止方法であって、情報の送信を行う第1の無線端末では、状況に応じて送信するパケット種別を少なくとも2種類の中から選択し、第1のパケット種別を選択した場合には、無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成するとともに、自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成し、作成した前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを送信し、第2のパケット種別を選択した場合には、予め配布された公開鍵暗号における自局の秘密鍵を用いて第3のパケット検査データを作成し、作成した第3のパケット検査データを付加したパケットを送信し、パケットを受信した第2の無線端末では、受信パケットのパケット種別を識別し、受信パケットのパケット種別に応じて複数種類のパケット検査手続きのいずれかを選択し、選択したパケット検査手続きに従って受信パケットの検証を行い、検証結果が誤りの場合には受信パケットを破棄することを特徴とする。
【0017】
請求項3においては、送信元の無線端末は、状況に応じて請求項1と同様に第1のパケット検査データ及び第2のパケット検査データを作成するか、又は請求項2と同様にパケット検査データを作成するかを選択し、受信側の無線端末においても受信パケットのパケット種別に応じて複数種類のパケット検査手続きのいずれかを選択して受信パケットの検証を行うので、請求項1の方法と請求項2の方法とを使い分けることができる。
【0018】
すなわち、送信元の無線端末が無線マルチホップネットワークにおいて認証済でない場合には、第1の秘密情報を保持していないので第1のパケット検査データを作成できない。しかし、公開鍵暗号方式における自局の秘密鍵を保持している場合には、送信元の無線端末は第3のパケット検査データを作成し、それを含めた認証用のパケットを送信することができる。
【0019】
新たに加わる無線端末の認証が完了した後は、その無線端末も第1の秘密情報を保持できるので、第1のパケット検査データ及び第2のパケット検査データを作成することができる。
請求項4は、情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止装置であって、情報の送信を行う第1の無線端末には、無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成する第1の検査データ作成手段と、自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成する第2の検査データ作成手段と、前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを送信するパケット送信手段とを設け、パケットを受信する第2の無線端末には、受信パケット中の前記第1のパケット検査データを自局の保持する前記第1の秘密情報を用いて検査し、検査結果が誤りの場合にはその受信パケットを破棄する第1のパケット検査手段と、前記第1のパケット検査手段の検査結果が正しい場合には自局が受信パケットの宛先か否かを識別する宛先識別手段と、自局が宛先でなければ受信パケットを他の無線端末に送信するパケット中継手段と、自局が宛先である場合には受信パケット中の第2のパケット検査データを自局の保持する前記第2の秘密情報を用いて検査し検査結果が誤りの場合はその受信パケットを破棄する第2のパケット検査手段とを設けたことを特徴とする。
【0020】
請求項4の装置を用いることにより、請求項1に記載の無線マルチホップネットワークの不正パケット防止方法を実施できる。
請求項5は、情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止装置であって、情報の送信を行う第1の無線端末には、予め配布された公開鍵暗号における自局の秘密鍵を用いてパケット検査データを作成する検査データ作成手段と、作成したパケット検査データを付加したパケットを送信するパケット送信手段とを設け、パケットを受信する第2の無線端末には、受信パケット中の前記パケット検査データを送信元の無線端末の公開鍵を用いて検査し検査結果が誤りの場合には前記受信パケットを破棄するパケット検査手段と、前記パケット検査手段の検査結果が正しい場合には自局が受信パケットの宛先か否かを識別する宛先識別手段と、自局が宛先でなければ受信パケットを他の無線端末に送信するパケット中継手段とを設けたことを特徴とする。
【0021】
請求項5の装置を用いることにより、請求項2に記載の無線マルチホップネットワークの不正パケット防止方法を実施できる。
請求項6は、情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止装置であって、情報の送信を行う第1の無線端末には、状況に応じて送信するパケット種別を少なくとも2種類の中から選択するパケット種別選択手段と、前記パケット種別選択手段が第1のパケット種別を選択した場合に無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成する第1の検査データ作成手段と、前記パケット種別選択手段が第1のパケット種別を選択した場合に自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成する第2の検査データ作成手段と、前記パケット種別選択手段が第2のパケット種別を選択した場合に予め配布された公開鍵暗号における自局の秘密鍵を用いて第3のパケット検査データを作成する第3の検査データ作成手段と、前記第1のパケット検査データ及び第2のパケット検査データを付加した第1のパケット種別のパケット又は前記第3のパケット検査データを付加した第2のパケット種別のパケットを送信するパケット送信手段と、を設け、パケットを受信する第2の無線端末には、受信パケットのパケット種別を識別し、受信パケットのパケット種別に応じて複数種類のパケット検査手続きのいずれかを選択する検査手続き選択手段と、前記検査手続き選択手段の選択したパケット検査手続きに従って受信パケットの検証を行い、検証結果が誤りの場合には受信パケットを破棄するパケット検査手段とを設けたことを特徴とする。
【0022】
請求項6の装置を用いることにより、請求項3に記載の無線マルチホップネットワークの不正パケット防止方法を実施できる。
【0023】
【発明の実施の形態】
(第1の実施の形態)
本発明の無線マルチホップネットワークの不正パケット防止方法及び防止装置の1つの実施の形態について、図1,図2,図8,図9及び図15を参照して説明する。この形態は、請求項1及び請求項4に対応する。
【0024】
図1はこの形態の送信処理を示すフローチャートである。図2はこの形態の受信処理を示すフローチャートである。図8はこの形態の各端末が保持する鍵情報の例を示すブロック図である。図9はこの形態の無線マルチホップネットワークの動作例を示すブロック図である。図15は無線マルチホップネットワークの構成例を示すブロック図である。
【0025】
この形態では、請求項4の第1の検査データ作成手段,第2の検査データ作成手段,パケット送信手段,第1のパケット検査手段,宛先識別手段,パケット中継手段及び第2のパケット検査手段は、それぞれステップS11,S12,S14,S22,S24,S25及びS27に対応する。また、請求項4の第1の秘密情報及び第2の秘密情報は、それぞれネットワーク鍵NK及び秘密鍵Ksdに対応する。
【0026】
この形態では、図15に示すような構成の無線マルチホップネットワークに本発明を適用する場合を想定している。この無線マルチホップネットワークは、複数の無線端末WTと基地局BSとを備えている。また、各無線端末WTは送信機能,受信機能及び中継機能を備える。基地局BSは、無線端末WTとの間で無線回線を介して通信を行い、無線端末WTと有線ネットワークとの間で信号の中継を行う。
【0027】
図15に示す例では、無線端末WT(1)−WT(2)の間、無線端末WT(1)−WT(3)の間、無線端末WT(2)−WT(3)の間、無線端末WT(4)−WT(5)の間、無線端末WT(1)−基地局BSの間、無線端末WT(4)−基地局BSの間にそれぞれ無線回線が形成されている。
この無線マルチホップネットワークにおける基本的な動作は次の通りである。例えば、無線端末WT(2)が無線端末WT(4)宛で情報を送信する場合、無線端末WT(2)の送出した情報は無線回線を介してまず無線端末WT(1)に届く。無線端末WT(1)は情報の中継を行い、受信した情報を無線回線を介して隣の基地局BSに送る。同様に、基地局BSは情報の中継を行い受信した情報を無線回線を介して無線端末WT(4)に送る。すなわち、中継により複数の無線回線を経由して情報が宛先まで伝達される。
【0028】
しかし、各無線端末WTが単純に送信,中継及び受信を行う場合には、前述のように様々な問題が発生する。
そこで、この形態では各無線端末WTに図1に示すような送信処理の機能と図2に示すような受信処理の機能とを備えている。また、無線マルチホップネットワーク上の各無線端末WTは、図8に示すような鍵情報を保持する。なお、基地局BSも各無線端末WTと同様の機能を備えている。
【0029】
図8に示すように、この無線マルチホップネットワークにおいて認証済の全ての無線端末WT(1)〜WT(5)及び基地局BSは、共通のネットワーク鍵NKをそれぞれ保持している。また、パケットの送信元となる無線端末WT及び宛先となる無線端末WTは、それらの間で共通の秘密鍵Ksdをそれぞれ保持している。
図8の例では無線端末WT(2)と無線端末WT(4)との間でパケットを転送する場合を想定しているので、無線端末WT(2),WT(4)はネットワーク鍵NKの他に秘密鍵Ksd(2,4)を保持している。
【0030】
この無線マルチホップネットワークを利用する予定のある全ての無線端末WTにネットワーク鍵NKを予め配布しておくことにより、認証時であってもその無線端末WTが送信したパケットをネットワーク鍵NKを用いて検証することができる。また、秘密鍵Ksdについては送信元の無線端末WTと宛先の無線端末WTとの間のみで共有すればよいので、各々の無線端末WTは隣接する全ての他の無線端末WTとの間で特別な鍵を共有するための処理を行う必要がない。
【0031】
パケットの送信元となる無線端末WTにおいては、パケットを送信する際に図1に示す送信処理を実行する。この送信処理について以下に説明する。
ステップS10では、送信対象のパケットデータDTを入力する。
ステップS11では、ステップS10で入力したパケットデータDTと自局が保持しているネットワーク鍵NKとを用いて検査データPCD1を生成する。具体的には、ネットワーク鍵NKと鍵付きハッシュ関数HKとを用いてパケットデータDTをハッシュする。その結果得られるハッシュ値を、検査データPCD1として利用する。
【0032】
ステップS12では、ステップS10で入力したパケットデータDTと自局が保持している秘密鍵Ksdとを用いて検査データPCD2を生成する。具体的には、秘密鍵Ksdと鍵付きハッシュ関数HKとを用いてパケットデータDTをハッシュする。その結果得られるハッシュ値を、検査データPCD2として利用する。
【0033】
ステップS13では、パケットデータDT,検査データPCD1,PCD2を含むパケットPTを生成する。パケットPTは、実際には図1に示すようにヘッダ,ペイロード,検査データPCD2及びPCD1で構成されている。パケットの本体であるペイロードにパケットデータDTが格納される。ヘッダには送信元や宛先を示す情報が含まれている。
【0034】
ステップS14では、ステップS13で生成したパケットPTを送信する。このパケットPTは、自局の周囲に存在する他の無線端末WT(自局との間で無線回線が形成されている端末)に向けて送信される。
このパケットを受信する各無線端末WTは、図2に示す受信処理を実行する。この受信処理について説明する。
【0035】
ステップS20では、他の無線端末WTから送信されたパケットPTを受信する。
ステップS21では、自局の保持するネットワーク鍵NK及び鍵付きハッシュ関数HKを用いて、受信したパケットPTに含まれるパケットデータDTをハッシュする。その結果得られるハッシュ値を、検証データCC1として利用する。
【0036】
ステップS22では、受信したパケットPTに含まれる検査データPCD1をステップS21の検証データCC1と比較する。
ステップS22で比較結果が一致しない場合には、ステップS23でパケットPTを廃棄する。これにより、ネットワーク鍵NKを持たない不正な無線端末から送出されたパケットがネットワークに流入するのを防止することができる。
【0037】
ステップS22で比較結果が一致した場合には、ステップS24でパケットPTのヘッダに含まれる宛先の情報を自局の識別情報と比較する。
受信したパケットPTが自局宛でない場合には、ステップS22からS25に進み、受信したパケットPTをそのまま他の無線端末WTに向けて送信する。この場合、自局は検査データPCD1の検証に成功したパケットPTについて単なる中継を行うことになる。従って、中継の際に新たな検査データを作成する必要はない。
【0038】
受信したパケットPTが自局宛である場合には、ステップS22からS26に進み、検証データCC2を生成する。すなわち、自局の保持する秘密鍵Ksd及び鍵付きハッシュ関数HKを用いて、受信したパケットPTに含まれるパケットデータDTをハッシュする。その結果得られるハッシュ値を、検証データCC2として利用する。
【0039】
ステップS27では、受信したパケットPTに含まれる検査データPCD2をステップS26の検証データCC2と比較する。
ステップS27で比較結果が一致しない場合には、ステップS28でパケットPTを廃棄する。
通常は検査データPCD2と検証データCC2とが一致するはずであるが、送信元の無線端末WTと宛先の無線端末WTとの間で中継を行う無線端末WTが中継の際にデータの改ざんを行うと一致しなくなる。つまり、改ざんされた可能性のあるパケットPTをステップS28で廃棄する。
【0040】
ステップS29では、受信したパケットPTを受け取り、そのペイロードに含まれるパケットデータDTに対して所定の処理を実行する。実際には、上位レイヤの処理に受信したパケットを渡す。
図8に示す無線マルチホップネットワークにおいて無線端末WT(2)から無線端末WT(4)にパケットPTを転送する場合の動作は図9に示す通りである。
【0041】
すなわち、送信元の無線端末WT(2)は、ネットワーク鍵NKを用いて検査データPCD1を生成し、秘密鍵Ksd(2,4)を用いて検査データPCD2を生成し、それらを含むパケットを隣接する無線端末WT(1)に対して無線回線を介して送信する。
パケットを受信した無線端末WT(1)は、ネットワーク鍵NKを用いて受信パケット中の検査データPCD1を検証し、問題がなければパケットを隣接する基地局BSに送信する。
【0042】
基地局BSにおいても、ネットワーク鍵NKを用いて受信パケット中の検査データPCD1を検証し、問題がなければパケットを隣接する無線端末WT(4)に送信する。
無線端末WT(4)は宛先であるので、ネットワーク鍵NKを用いて受信パケット中の検査データPCD1を検証し、更に秘密鍵Ksd(2,4)を用いて検査データPCD2を検証する。
【0043】
従って、無線端末WT(4)は転送経路の途中で改ざんされていない正規のパケットのみを受け取ることができる。
(第2の実施の形態)
本発明の無線マルチホップネットワークの不正パケット防止方法及び防止装置の1つの実施の形態について、図3,図4,図10及び図11を参照して説明する。この形態は、請求項2及び請求項5に対応する。
【0044】
図3はこの形態の送信処理を示すフローチャートである。図4はこの形態の受信処理を示すフローチャートである。図10はこの形態の各端末が保持する鍵情報の例を示すブロック図である。図11はこの形態の無線マルチホップネットワークの動作例を示すブロック図である。
この形態では、請求項5の検査データ作成手段,パケット送信手段,パケット検査手段,宛先識別手段及びパケット中継手段は、それぞれステップS41,S43,S55,S57及びS58に対応する。
【0045】
この形態は、第1の実施の形態の変形例であり、図15に示すような構成の無線マルチホップネットワークに本発明を適用する場合を想定している。第1の実施の形態と同一の部分については以下の説明を省略する。
この形態では、各無線端末WTに図3に示すような送信処理の機能と図4に示すような受信処理の機能とを備えている。また、無線マルチホップネットワーク上の各無線端末WTは、図10に示すような鍵情報を保持する。なお、基地局BSも各無線端末WTと同様の機能を備えている。
【0046】
この形態では、公開鍵暗号方式の鍵情報を利用している。すなわち、各無線端末WTは、予め配布された自局の秘密鍵SK及び公開鍵PKをそれぞれ保持している。また、公開鍵PKを含む証明書も保持している。
【0047】
公開鍵暗号方式の鍵情報を利用する場合、特定の秘密鍵SKで暗号化された情報は秘密鍵SKに対応する公開鍵PKを用いて復号化することができる。送信元の無線端末WTで暗号化された検査データPCDを復号化するためには、送信元の無線端末WTの公開鍵PKが必要になる。この公開鍵PKは、証明書として送信元の無線端末WTが送信するパケットに添付して転送することができる。
【0048】
この形態では、公開鍵PKを用いるので、通信する無線端末WT同士の間で同じ鍵情報を共有する必要がなく、各無線端末WTが隣接する他の無線端末WTとの間で鍵情報を共有するための処理を行う必要もない。また、認証が完了していない新たな無線端末WTが送信したパケットについてもその検証を行うことができる。
【0049】
パケットの送信元となる無線端末WTにおいては、パケットを送信する際に図3に示す送信処理を実行する。この送信処理について以下に説明する。
ステップS40では、送信対象のパケットデータDTを入力する。
ステップS41では、ステップS40で入力したパケットデータDTと自局が保持しているそれ自身の秘密鍵SKsとを用いて検査データPCDを生成する。具体的には、ハッシュ関数Hを用いてパケットデータDTをハッシュし、その結果得られるハッシュ値を、自局の秘密鍵SKs及び公知の公開鍵暗号アルゴリズムを用いて暗号化する。その結果得られる暗号化データを、検査データPCDとして利用する。なお、「E」は暗号化を表す。
【0050】
ステップS42では、パケットデータDTと、ステップS41で生成された検査データPCDと、自局の証明書CTsを含むパケットPTを生成する。この証明書CTsには、自局の公開鍵PKの情報が含まれている。
ステップS43では、ステップS42で生成したパケットPTを隣接する他の無線端末WTに向けて無線回線を介して送信する。
【0051】
送信するパケットPTは、図3に示すようにヘッダ,ペイロード及び検査データPCDを備えている。ペイロードには、パケットデータDT及び証明書CTsの情報が格納される。
一方、パケットPTを受信する無線端末WTは図4に示す受信処理を実行する。この受信処理について、以下に説明する。
【0052】
ステップS50では、他の無線端末WTから送信されたパケットPTを無線回線を介して受信する。
ステップS51では、受信したパケットPTに含まれるパケットデータDTをハッシュ関数Hを用いてハッシュし、その結果得られるハッシュ値を検証データCC1として利用する。
【0053】
ステップS52では、受信したパケットPTに添付されている証明書CTsについて正当性を確認する。
証明書CTsが正しくないパケットPTを受信した場合には、ステップS52からS56に進み、そのパケットPTを廃棄する。
証明書CTsの正当性が確認できた場合には、ステップS52からS53に進み、証明書CTsから送信元の公開鍵PKsを取り出す。
【0054】
ステップS54では、ステップS53で証明書CTsから取り出した送信元の公開鍵PKsを用いて検査データPCDを復号化する。ステップS54の「D」は復号化を表す。復号化の結果を検査データCDとする。
ステップS55では、ステップS54で得られた検査データCDをステップS51の検証データCC1と比較する。もしも検査データCDと検証データCC1とが一致しない場合には、ステップS56でパケットPTを廃棄する。一致した場合にはステップS57に進む。
【0055】
この処理によって、不正な無線端末WTから送信されたパケットのネットワーク内への流入を防止することができる。
また、送信元の無線端末WTの秘密鍵SKsを保持する無線端末WTは送信元以外には存在しないので、送信元以外の無線端末WTが検査データPCDを生成することはできない。このため、例えば転送経路上で中継を行ういずれかの無線端末WTがパケットの改ざんを行った場合、ステップS57で不一致が検出されるため改ざんの有無を識別することができる。
【0056】
ステップS58では、隣接する他の無線端末WTに対してパケットPTを無線回線を介して送出する。
ステップS59では、受信したパケットPTを受け取り、そのペイロードに含まれるパケットデータDTに対して所定の処理を実行する。実際には、上位レイヤの処理に受信したパケットを渡す。
【0057】
図8に示す無線マルチホップネットワークにおいて無線端末WT(2)から無線端末WT(4)にパケットPTを転送する場合の動作は図11に示す通りである。
すなわち、送信元の無線端末WT(2)は、秘密鍵SK(2)(=SKs)を用いて検査データPCDを生成し、それを含むパケットを隣接する無線端末WT(1)に対して無線回線を介して送信する。
【0058】
パケットを受信した無線端末WT(1)は、受信したパケットに添付された証明書CTsから公開鍵PK(2)(=PKs)を取り出し、それを用いて受信パケット中の検査データPCDを検証し、問題がなければパケットを隣接する基地局BSに送信する。
基地局BSにおいても、公開鍵PK(2)を用いて受信パケット中の検査データPCDを検証し、問題がなければパケットを隣接する無線端末WT(4)に送信する。
【0059】
無線端末WT(4)は宛先であるので、公開鍵PK(2)を用いて受信パケット中の検査データPCDを検証した後、受信したパケットPTを処理する。
但し、不正な無線端末WTがパケットを送信した場合や、中継の際に改ざんが行われた場合には、途中の無線端末WTもしくは宛先の無線端末WT(4)においてPTが廃棄される。
【0060】
また、公開鍵暗号を用いているので、中継を行う無線端末WTにおいてはパケットを送出する際に検査データを新たに生成する必要がない。
(第3の実施の形態)
本発明の無線マルチホップネットワークの不正パケット防止方法及び防止装置の1つの実施の形態について、図5〜図7及び図12〜図14を参照して説明する。この形態は、請求項3及び請求項6に対応する。
【0061】
図5はこの形態の送信処理を示すフローチャートである。図6はこの形態の受信処理を示すフローチャートである。図7はパケットの構成を示す模式図である。図12はこの形態の各端末が保持する鍵情報の例(1)を示すブロック図である。図13はこの形態の各端末が保持する鍵情報の例(2)を示すブロック図である。図14はこの形態の無線マルチホップネットワークの動作例を示すブロック図である。
【0062】
この形態では、請求項6のパケット種別選択手段,第1の検査データ作成手段,第2の検査データ作成手段,第3の検査データ作成手段,パケット送信手段及び検査手続き選択手段はそれぞれステップS71,S74,S75,S72,S77及びS81に対応する。また、請求項6のパケット検査手段はステップS82〜S90に対応する。
【0063】
この形態は、第1の実施の形態の処理及び第2の実施の形態の処理を選択的に実行するように構成してある。この形態においても、図15に示すような構成の無線マルチホップネットワークに本発明を適用する場合を想定している。前記各実施の形態と同一の部分については以下の説明を省略する。
この形態では、各無線端末WTに図5に示すような送信処理の機能と図6に示すような受信処理の機能とを備えている。また、無線マルチホップネットワーク上の各無線端末WTは、図12に示すような鍵情報を保持する。なお、基地局BSも各無線端末WTと同様の機能を備えている。
【0064】
図12に示すように、この無線マルチホップネットワークにおいて認証済の全ての無線端末WT(1)〜WT(5)及び基地局BSは、共通のネットワーク鍵NKをそれぞれ保持している。また、パケットの送信元となる無線端末WT及び宛先となる無線端末WTは、それらの間で共通の秘密鍵Ksdをそれぞれ保持している。
更に、各々の無線端末WTは公開鍵暗号方式の鍵情報である予め配布された自局の秘密鍵SK及び公開鍵PKをそれぞれ保持している。また、公開鍵PKを含む証明書も保持している。
【0065】
図12の例では無線端末WT(2)と無線端末WT(4)との間でパケットを転送する場合を想定しているので、無線端末WT(2),WT(4)はそれらの間で共有される秘密鍵Ksd(2,4)を保持している。
ネットワーク鍵NKについては、認証前の無線端末WTは保持していない。図13の例では、この無線マルチホップネットワークに加わろうとする新しい無線端末WT(6)はネットワーク鍵NKを保持していない。
【0066】
この例では、基地局BS又は専用の認証サーバに認証機能を設けて各無線端末WTの認証を行うことを想定している。従って、ネットワーク鍵NKを保持していない認証前の無線端末WTは、図14に示すように特別な認証用パケットを基地局BSに対して送信する。図14の例では無線端末WT(2)が認証用パケットを送信する場合を示している。認証用パケットを送信した無線端末WTは、基地局BS又は認証サーバで認証を受け、同時にネットワーク鍵NKを取得する。
【0067】
また、認証用パケットを送信する際には、公開鍵暗号方式を用いてパケットの検査を行う。これにより、不正な無線端末から送信されたパケットのネットワークへの流入を阻止することができる。
公開鍵PK又はネットワーク鍵NKを用いてパケットの検査を行うことにより、各無線端末WTは隣接する他の全ての無線端末WTとの間で独立した鍵情報を共有する必要がなく、処理が簡素化される。
【0068】
パケットの送信元となる無線端末WTにおいては、パケットを送信する際に図5に示す送信処理を実行する。この送信処理について以下に説明する。
ステップS70では、送信対象のパケットデータDTを入力する。
ステップS71では、これから送信しようとするパケットの種別を識別する。この形態では、図7に示す構成のパケットPT(1)又はPT(2)をネットワーク上で伝送する。図7に示すように、このパケットPTにはパケット種別「Type」の情報が含まれている。パケット種別「Type」には、認証用パケットか否かを示す情報が含まれている。
【0069】
ステップS71では、パケット種別「Type」から認証用パケットか否かを識別する。認証用パケットを送信するときには、自局がネットワーク鍵NKを保持していないと判断できる。
この結果に基づき、パケット検査で用いる2種類のアルゴリズムのいずれか一方を選択する。すなわち、ステップS71で認証用パケットであると識別した場合にはステップS72に進み第2の実施の形態と同様の処理でパケットPTを作成する。また、認証用でないパケットであると識別した場合にはステップS74に進み、第1の実施の形態と同様の処理でパケットPTを作成する。
【0070】
ステップS72では、ステップS70で入力したパケットデータDTと自局が保持しているそれ自身の秘密鍵SKsとを用いて検査データPCD3を生成する。具体的には、ハッシュ関数Hを用いてパケットデータDTをハッシュし、その結果得られるハッシュ値を、自局の秘密鍵SKs及び公開鍵暗号アルゴリズムを用いて暗号化する。その結果得られる暗号化データを、検査データPCD3として利用する。なお、「E」は暗号化を表す。
【0071】
ステップS73では、パケットデータDTと、ステップS72で生成された検査データPCD3と、自局の証明書CTsを含むパケットPTを生成する。この証明書CTsには、自局の公開鍵PKの情報が含まれている。
【0072】
ステップS77では、ステップS73で生成したパケットPTを隣接する他の無線端末WTに向けて無線回線を介して送信する。
ステップS73で生成されたパケットPT(1)は、図7に示すようにヘッダ,パケット種別「Type」,ペイロード及び検査データPCD3を備えている。ペイロードには、パケットデータDT及び証明書CTsの情報が格納される。
【0073】
一方、パケットを送信する無線端末WTが認証済みでありネットワーク鍵NKを保持している場合にはネットワーク鍵NKを利用して次のように検査データを作成する。
ステップS74では、ステップS70で入力したパケットデータDTと自局が保持しているネットワーク鍵NKとを用いて検査データPCD1を生成する。具体的には、ネットワーク鍵NKと鍵付きハッシュ関数HKとを用いてパケットデータDTをハッシュする。その結果得られるハッシュ値を、検査データPCD1として利用する。
【0074】
ステップS75では、ステップS70で入力したパケットデータDTと自局が保持している秘密鍵Ksdとを用いて検査データPCD2を生成する。具体的には、秘密鍵Ksdと鍵付きハッシュ関数HKとを用いてパケットデータDTをハッシュする。その結果得られるハッシュ値を、検査データPCD2として利用する。
【0075】
ステップS76では、パケットデータDT,検査データPCD1,PCD2を含むパケットPT(2)を生成する。パケットPTは、実際には図1に示すようにヘッダ,パケット種別「Type」,ペイロード,検査データPCD2及びPCD1で構成されている。パケットの本体であるペイロードにパケットデータDTが格納される。ヘッダには送信元や宛先を示す情報が含まれている。
【0076】
ステップS76で生成されたパケットPT(2)は、ステップS77で送信される。このパケットPTは、自局の周囲に存在する他の無線端末WT(自局との間で無線回線が形成されている端末)に向けて送信される。
パケットPTを受信した無線端末WTは、図6に示す受信処理を実行する。この受信処理について以下に説明する。
【0077】
ステップS80では、他の無線端末WTから送信されたパケットPTを無線回線を介して受信する。
ステップS81では、受信したパケットPTに含まれるパケット種別「Type」を参照し、そのパケットが認証用パケットか否かを識別する。認証用パケットPT(1)を受信した場合にはステップS81からS82に進み、第2の実施の形態と同様の処理を実行する。また、認証用以外のパケットPT(2)を受信した場合にはステップS91に進み、第1の実施の形態と同様の処理を行う。
【0078】
ステップS82では、受信したパケットPTに含まれるパケットデータDTをハッシュ関数Hを用いてハッシュし、その結果得られるハッシュ値を検証データCC3として利用する。
ステップS83では、受信したパケットPTに添付されている証明書CTsについて正当性を確認する。
【0079】
証明書CTsが正しくないパケットPT(1)を受信した場合には、ステップS83からS89に進み、そのパケットPTを廃棄する。
証明書CTsの正当性が確認できた場合には、ステップS83からS84に進み、証明書CTsから送信元の公開鍵PKsを取り出す。
ステップS85では、ステップS84で証明書CTsから取り出した送信元の公開鍵PKsを用いて検査データPCD3を復号化する。ステップS85の「D」は復号化を表す。復号化の結果を検査データCDとする。
【0080】
ステップS86では、ステップS85で得られた検査データCDをステップS82の検証データCC3と比較する。もしも検査データCDと検証データCC3とが一致しない場合には、ステップS89でパケットPTを廃棄する。一致した場合にはステップS87に進む。
この処理によって、不正な無線端末WTから送信されたパケットのネットワーク内への流入を防止することができる。
【0081】
また、送信元の無線端末WTの秘密鍵SKsを保持する無線端末WTは送信元以外には存在しないので、送信元以外の無線端末WTが検査データPCD3を生成することはできない。このため、例えば転送経路上で中継を行ういずれかの無線端末WTがパケットの改ざんを行った場合、ステップS86で不一致が検出されるため改ざんの有無を識別することができる。
【0082】
ステップS90では、隣接する他の無線端末WTに対してパケットPTを無線回線を介して送出する。
ステップS88では、受信したパケットPTを受け取り、そのペイロードに含まれるパケットデータDTに対して所定の処理を実行する。実際には、上位レイヤの処理に受信したパケットを渡す。
【0083】
一方、認証用以外のパケットPT(2)を受信した場合にはネットワーク鍵NKを用いて次のようにパケットの検証を行う。
ステップS91では、自局の保持するネットワーク鍵NK及び鍵付きハッシュ関数HKを用いて、受信したパケットPTに含まれるパケットデータDTをハッシュする。その結果得られるハッシュ値を、検証データCC1として利用する。
【0084】
ステップS92では、受信したパケットPTに含まれる検査データPCD1をステップS91の検証データCC1と比較する。
ステップS92で比較結果が一致しない場合には、ステップS89でパケットPTを廃棄する。これにより、ネットワーク鍵NKを持たない不正な無線端末から送出されたパケットがネットワークに流入するのを防止することができる。
【0085】
ステップS92で比較結果が一致した場合には、ステップS93でパケットPTのヘッダに含まれる宛先の情報を自局の識別情報と比較する。
受信したパケットPTが自局宛でない場合には、ステップS93からS90に進み、受信したパケットPTをそのまま他の無線端末WTに向けて送信する。この場合、自局は検査データPCD1の検証に成功したパケットPTについて単なる中継を行うことになる。従って、中継の際に新たな検査データを作成する必要はない。
【0086】
受信したパケットPTが自局宛である場合には、ステップS93からS94に進み、検証データCC2を生成する。すなわち、自局の保持する秘密鍵Ksd及び鍵付きハッシュ関数HKを用いて、受信したパケットPTに含まれるパケットデータDTをハッシュする。その結果得られるハッシュ値を、検証データCC2として利用する。
【0087】
ステップS95では、受信したパケットPTに含まれる検査データPCD2をステップS94の検証データCC2と比較する。
ステップS95で比較結果が一致しない場合には、ステップS89でパケットPTを廃棄する。
通常は検査データPCD2と検証データCC2とが一致するはずであるが、送信元の無線端末WTと宛先の無線端末WTとの間で中継を行う無線端末WTが中継の際にデータの改ざんを行うと一致しなくなる。つまり、改ざんされた可能性のあるパケットPTをステップS89で廃棄する。
【0088】
例えば、無線端末WT(2)が認証用パケットを基地局BSに送信する場合には、図14に示すような動作が行われる。
すなわち、無線端末WT(2)ネットワーク鍵NKを保持していないので、秘密鍵SK(2)(=SKs)を用いて暗号化した検査データPCD3を作成し、それを含むパケットPT(1)を公開鍵PK(2)を含む証明書CTsとともに送信する。
【0089】
中継を行う無線端末WT(1)は、受信したパケットの検査データPCD3を証明書CTsから取り出した公開鍵PK(2)を用いて検証する。問題がなければそのパケットを変更を加えることなく基地局BSに送信する。
基地局BSでは、受信したパケットの検査データPCD3を証明書CTsから取り出した公開鍵PK(2)を用いて検証する。問題がなければそのパケットの送信元の無線端末WT(2)について認証を実施する。その結果、ネットワーク鍵NKが無線端末WT(2)に配信される。
【0090】
このように、認証時の認証用パケットについては予め配布された公開鍵PKを用いてパケット検査を行い、認証後には認証時に配布されたネットワーク鍵NKを用いることができる。ネットワーク鍵NKを用いることにより、公開鍵PKを用いる場合と比べて高速でパケットの検査を実行することができる。
【0091】
【発明の効果】
以上のように、本発明では無線マルチホップネットワークにおいて次のような効果が得られる。
【0092】
(1)不正な無線端末から送信されたパケットの流入を阻止できる。
(2)認証済の正規の無線端末によるパケットの改ざんを検出できる。
(3)通信経路中の無線端末によるパケット検証処理の負担を低減できる。
(4)様々な種類のパケットに対してパケット検査を実行することができる。
(5)ネットワークのトポロジーに変化があってもパケット検査に必要な情報の更新が不要になる。
【0093】
次の表1に、パケット検査に関する本発明と従来方式との比較結果を示す。
【表1】
ここでは従来方式として端末間のパス毎に異なる鍵を用意し、その鍵で端末間用の検査データ(ICD)を生成する場合を想定している。本発明及び従来方式のいずれも不正なデータパケット流入を防止可能である。また、本発明では端末の認証時にICDの検証に証明書を利用することにより、端末認証を装ったDoS(Denial of Service)攻撃による不正パケットを防止できる。しかし、従来方式では端末認証時にICDの検査に必要な情報がないので防止できない。
【0094】
また、不正パケットによるパケットの改ざんについては、本発明及び従来方式のいずれも中継端末で検出可能である。しかし、従来方式では正規端末による不正行為の検出は不可能である。本発明では、送信元と宛先との間でのパケット検査もできるので、正規端末による不正行為は宛先端末で検出できる。
また、パケット認証処理に必要な処理数については、本発明では従来方式の半分に減らすことができる。一方、管理する鍵の数は本発明の方が多くなるが、鍵の検索自体は中継端末で行う必要がなく、送信元及び宛先の端末のみで行われるので、全体の処理量は本発明の方が遙かに少ない。
【図面の簡単な説明】
【図1】第1の実施の形態の送信処理を示すフローチャートである。
【図2】第1の実施の形態の受信処理を示すフローチャートである。
【図3】第2の実施の形態の送信処理を示すフローチャートである。
【図4】第2の実施の形態の受信処理を示すフローチャートである。
【図5】第3の実施の形態の送信処理を示すフローチャートである。
【図6】第3の実施の形態の受信処理を示すフローチャートである。
【図7】パケットの構成を示す模式図である。
【図8】第1の実施の形態の各端末が保持する鍵情報の例を示すブロック図である。
【図9】第1の実施の形態の無線マルチホップネットワークの動作例を示すブロック図である。
【図10】第2の実施の形態の各端末が保持する鍵情報の例を示すブロック図である。
【図11】第2の実施の形態の無線マルチホップネットワークの動作例を示すブロック図である。
【図12】第3の実施の形態の各端末が保持する鍵情報の例(1)を示すブロック図である。
【図13】第3の実施の形態の各端末が保持する鍵情報の例(2)を示すブロック図である。
【図14】第3の実施の形態の無線マルチホップネットワークの動作例を示すブロック図である。
【図15】無線マルチホップネットワークの構成例を示すブロック図である。
【図16】無線マルチホップネットワークの動作例を示すブロック図である。
【図17】無線マルチホップネットワークの構成例を示すブロック図である。
【図18】無線マルチホップネットワークの動作例を示すブロック図である。
【図19】無線マルチホップネットワークの構成例を示すブロック図である。
【符号の説明】
WT 無線端末
BS 基地局
NK ネットワーク鍵
Ksd 秘密鍵
PK 公開鍵
SK 秘密鍵
PT パケット
DT パケットデータ
PCD,PCD1,PCD2,PCD3 検査データ
Claims (6)
- 情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止方法であって、
情報の送信を行う第1の無線端末では、無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成するとともに、自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成し、作成した前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを送信し、
パケットを受信した第2の無線端末では、受信パケット中の前記第1のパケット検査データを自局の保持する前記第1の秘密情報を用いて検証し、検証結果が誤りの場合にはその受信パケットを破棄し、検証結果が正しい場合には自局が受信パケットの宛先か否かを識別し、宛先でなければ受信パケットを他の無線端末に送信し、自局が宛先である場合には受信パケット中の第2のパケット検査データを自局の保持する前記第2の秘密情報を用いて検査し、検査結果が誤りの場合はその受信パケットを破棄し、検査結果が正しい場合には受信パケットを受け取る
ことを特徴とする無線マルチホップネットワークの不正パケット防止方法。 - 情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止方法であって、
情報の送信を行う第1の無線端末では、予め配布された公開鍵暗号における自局の秘密鍵を用いてパケット検査データを作成し、作成したパケット検査データを付加したパケットを送信し、
パケットを受信した第2の無線端末では、受信パケット中の前記パケット検査データを送信元の無線端末の公開鍵を用いて検証し、検証結果が誤りの場合には前記受信パケットを破棄し、検証結果が正しい場合には自局が受信パケットの宛先か否かを識別し、宛先でなければ受信パケットを他の無線端末に送信し、自局が宛先である場合には受信パケットを受け取る
ことを特徴とする無線マルチホップネットワークの不正パケット防止方法。 - 情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止方法であって、
情報の送信を行う第1の無線端末では、状況に応じて送信するパケット種別を少なくとも2種類の中から選択し、第1のパケット種別を選択した場合には、無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成するとともに、自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成し、作成した前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを送信し、第2のパケット種別を選択した場合には、予め配布された公開鍵暗号における自局の秘密鍵を用いて第3のパケット検査データを作成し、作成した第3のパケット検査データを付加したパケットを送信し、
パケットを受信した第2の無線端末では、受信パケットのパケット種別を識別し、受信パケットのパケット種別に応じて複数種類のパケット検査手続きのいずれかを選択し、選択したパケット検査手続きに従って受信パケットの検証を行い、検証結果が誤りの場合には受信パケットを破棄する
ことを特徴とする無線マルチホップネットワークの不正パケット防止方法。 - 情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止装置であって、
情報の送信を行う第1の無線端末には、
無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成する第1の検査データ作成手段と、
自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成する第2の検査データ作成手段と、
前記第1のパケット検査データ及び第2のパケット検査データを付加したパケットを送信するパケット送信手段と
を設け、
パケットを受信する第2の無線端末には、
受信パケット中の前記第1のパケット検査データを自局の保持する前記第1の秘密情報を用いて検査し、検査結果が誤りの場合にはその受信パケットを破棄する第1のパケット検査手段と、
前記第1のパケット検査手段の検査結果が正しい場合には自局が受信パケットの宛先か否かを識別する宛先識別手段と、
自局が宛先でなければ受信パケットを他の無線端末に送信するパケット中継手段と、
自局が宛先である場合には受信パケット中の第2のパケット検査データを自局の保持する前記第2の秘密情報を用いて検査し検査結果が誤りの場合はその受信パケットを破棄する第2のパケット検査手段と
を設けたことを特徴とする無線マルチホップネットワークの不正パケット防止装置。 - 情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止装置であって、
情報の送信を行う第1の無線端末には、
予め配布された公開鍵暗号における自局の秘密鍵を用いてパケット検査データを作成する検査データ作成手段と、
作成したパケット検査データを付加したパケットを送信するパケット送信手段と
を設け、
パケットを受信する第2の無線端末には、
受信パケット中の前記パケット検査データを送信元の無線端末の公開鍵を用いて検査し検査結果が誤りの場合には前記受信パケットを破棄するパケット検査手段と、
前記パケット検査手段の検査結果が正しい場合には自局が受信パケットの宛先か否かを識別する宛先識別手段と、
自局が宛先でなければ受信パケットを他の無線端末に送信するパケット中継手段と
を設けたことを特徴とする無線マルチホップネットワークの不正パケット防止装置。 - 情報の送信及び受信機能をそれぞれ有する複数の無線端末と、前記無線端末との間で無線回線を介して通信を行うとともに前記無線端末と有線ネットワークとの間で信号の中継を行う無線基地局とを備え、少なくとも1つの無線端末が他の無線端末との間の無線中継機能を備える無線マルチホップネットワークにおいて不正パケットの流入を防止するための無線マルチホップネットワークの不正パケット防止装置であって、
情報の送信を行う第1の無線端末には、
状況に応じて送信するパケット種別を少なくとも2種類の中から選択するパケット種別選択手段と、
前記パケット種別選択手段が第1のパケット種別を選択した場合に無線マルチホップネットワークにおいて認証済の全ての無線端末で共有される第1の秘密情報を用いて第1のパケット検査データを作成する第1の検査データ作成手段と、
前記パケット種別選択手段が第1のパケット種別を選択した場合に自局と宛先の無線端末との間で共有される第2の秘密情報を用いて第2のパケット検査データを作成する第2の検査データ作成手段と、
前記パケット種別選択手段が第2のパケット種別を選択した場合に予め配布された公開鍵暗号における自局の秘密鍵を用いて第3のパケット検査データを作成する第3の検査データ作成手段と、
前記第1のパケット検査データ及び第2のパケット検査データを付加した第1のパケット種別のパケット又は前記第3のパケット検査データを付加した第2のパケット種別のパケットを送信するパケット送信手段と、
を設け、
パケットを受信する第2の無線端末には、
受信パケットのパケット種別を識別し、受信パケットのパケット種別に応じて複数種類のパケット検査手続きのいずれかを選択する検査手続き選択手段と、
前記検査手続き選択手段の選択したパケット検査手続きに従って受信パケットの検証を行い、検証結果が誤りの場合には受信パケットを破棄するパケット検査手段と
を設けたことを特徴とする無線マルチホップネットワークの不正パケット防止装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001258323A JP3749679B2 (ja) | 2001-08-28 | 2001-08-28 | 無線マルチホップネットワークの不正パケット防止方法及び防止装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001258323A JP3749679B2 (ja) | 2001-08-28 | 2001-08-28 | 無線マルチホップネットワークの不正パケット防止方法及び防止装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003069581A JP2003069581A (ja) | 2003-03-07 |
JP3749679B2 true JP3749679B2 (ja) | 2006-03-01 |
Family
ID=19085866
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001258323A Expired - Fee Related JP3749679B2 (ja) | 2001-08-28 | 2001-08-28 | 無線マルチホップネットワークの不正パケット防止方法及び防止装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3749679B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005012710A (ja) | 2003-06-20 | 2005-01-13 | Sony Corp | 無線通信方法及び装置 |
KR101137340B1 (ko) * | 2005-10-18 | 2012-04-19 | 엘지전자 주식회사 | 릴레이 스테이션의 보안 제공 방법 |
JP4222403B2 (ja) | 2006-10-16 | 2009-02-12 | 沖電気工業株式会社 | 不正端末推定システム、不正端末推定装置及び通信端末装置 |
WO2011121713A1 (ja) * | 2010-03-29 | 2011-10-06 | 富士通株式会社 | ノード、転送方法、および転送プログラム |
JP5664104B2 (ja) | 2010-10-08 | 2015-02-04 | 沖電気工業株式会社 | 通信システム、並びに、通信装置及びプログラム |
WO2013072973A1 (ja) * | 2011-11-18 | 2013-05-23 | 富士通株式会社 | 通信ノード、通信制御方法、および通信ノードの制御プログラム |
JPWO2013145026A1 (ja) * | 2012-03-30 | 2015-08-03 | 富士通株式会社 | ネットワークシステム、ノード、検証ノードおよび通信方法 |
WO2013145026A1 (ja) * | 2012-03-30 | 2013-10-03 | 富士通株式会社 | ネットワークシステム、ノード、検証ノードおよび通信方法 |
-
2001
- 2001-08-28 JP JP2001258323A patent/JP3749679B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2003069581A (ja) | 2003-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9924366B2 (en) | Platform validation and management of wireless devices | |
KR101883437B1 (ko) | 요구되는 노드 경로들 및 암호 서명들을 이용한 보안 패킷 전송을 위한 정책 | |
US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
US8913747B2 (en) | Secure configuration of a wireless sensor network | |
US8307202B2 (en) | Methods and systems for using PKCS registration on mobile environment | |
CN110572418A (zh) | 车辆身份认证的方法、装置、计算机设备及存储介质 | |
TW201313040A (zh) | 家佣節點b裝置及安全協定 | |
EP1032176A2 (en) | Detecting and locating a misbehaving device in a network domain | |
US20080244716A1 (en) | Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof | |
CN101145915B (zh) | 一种可信路由器认证系统和方法 | |
CN106888092A (zh) | 信息处理方法及装置 | |
JP2019195229A (ja) | 路側機、路側機が実行する方法、サービス提供者装置、移動局 | |
KR100563611B1 (ko) | 안전한 패킷 무선통신망 | |
JP4222403B2 (ja) | 不正端末推定システム、不正端末推定装置及び通信端末装置 | |
JP3749679B2 (ja) | 無線マルチホップネットワークの不正パケット防止方法及び防止装置 | |
KR101341206B1 (ko) | 제2 장치에 신뢰 및 식별을 승인하기 위해 보안 장치를레버리지하는 방법 | |
CN114520726A (zh) | 基于区块链数据的处理方法和装置、处理器及电子设备 | |
CN113115309B (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 | |
CN114760046A (zh) | 一种身份鉴别方法和装置 | |
CN110492989A (zh) | 私钥的处理方法、访问方法和对应方法的介质、装置 | |
JP2003087232A (ja) | 複製端末発見方法 | |
KR101204648B1 (ko) | 무선 통신 네트워크와 유선 통신 네트워크가 공존하는 통신 네트워크에서 안전하게 비밀키를 교환하는 방법 | |
JP2006252441A (ja) | 携帯端末、及び、認証方法 | |
JP2005065004A (ja) | 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム | |
JP6856271B1 (ja) | 通信システム、通信経路確立方法、および経路確立プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051129 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051202 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091209 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101209 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101209 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111209 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111209 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121209 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121209 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131209 Year of fee payment: 8 |
|
LAPS | Cancellation because of no payment of annual fees |