JP2019016841A - 基地局装置、通信システム、及び通信方法 - Google Patents
基地局装置、通信システム、及び通信方法 Download PDFInfo
- Publication number
- JP2019016841A JP2019016841A JP2017130797A JP2017130797A JP2019016841A JP 2019016841 A JP2019016841 A JP 2019016841A JP 2017130797 A JP2017130797 A JP 2017130797A JP 2017130797 A JP2017130797 A JP 2017130797A JP 2019016841 A JP2019016841 A JP 2019016841A
- Authority
- JP
- Japan
- Prior art keywords
- base station
- terminal
- processing unit
- unique number
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】セキュリティを確保するようにした基地局装置、通信システム、及び通信方法を提供すること。また、端末装置に対して低消費電力化を図るようにした基地局装置、通信システム、及び通信方法を提供すること。【解決手段】固定設置された端末装置と無線通信を行う基地局装置において、前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する暗号化処理部とを備える。【選択図】図6
Description
本発明は、基地局装置、通信システム、及び通信方法に関する。
近年、パーソナルコンピュータやスマートフォンのみならず、あらゆるものがインターネットに接続されるようになってきている。そのため、IoT(Internet of Things)が注目されている。IoTとは、例えば、様々な「モノ(物)」がインターネットに接続され、情報交換することにより、相互に制御する仕組みである、とされる。ここでいう「物」とは、例えば、IP(Internet Protocol)アドレスを持つスマートフォン、IPアドレスを持つセンサで検知可能な商品、IPアドレスを持つ機器に格納されたコンテンツなどがある。IoTの例としては、例えば、各家庭において電力計で測定された電力量を、電力計の無線通信機能を利用してサーバなどに送信するスマートメータがある。IoTによって、例えば、大量の情報が円滑に流通することが可能となり、国民生活における生産性や効率性が向上し、新しい社会システムが実現され得るものと考えられている。
一方、インターネットでは様々なデータが流通している。そのため、ユーザは、暗号化技術を利用して、セキュリティを確保するようにしている。暗号化技術としては、例えば、IPsec(Security Architecture for the Internet Protocol)や3GPP AKA(The Third Generation Partnership Project Authentication and Key Agreement)などがある。
IPsecは、例えば、IP(Internet Protocol)パケット単位でデータの改ざん防止や秘匿機能などを提供するプロトコルである。IPsecは、例えば、AH(Authentication Header)による認証機構とデータの安全性を保証するプロトコルや、ESP(Encapsulated Security Payload)によるデータ暗号化のセキュリティプロトコルなど、複数のプロトコルが組み合わされて利用される。
IPSecに含まれるプロトコルの1つに、IKE(Internet Key Exchange Protocol)がある。IKEは、例えば、送信側と受信側で鍵情報を交換する鍵交換プロトコルである。送信側と受信側は、IKEで交換された鍵情報を利用して同一の共有鍵を生成し、生成した共有鍵を利用して、送信側は暗号化、受信側は復号化を行う。IKEv2(IKE Version 2)は、RFC(Request for Comments)7296として規格化されている。
他方、3GPP AKAは、例えば、移動体通信で利用される相互認証と鍵交換を行うプロコトルである。3GPP AKAでは、例えば、SIM(Subscriber Identifier Module)カードに記憶されたK値(K-value)と呼ばれる共有鍵情報を利用して認証と鍵交換とが行われる。
このような暗号化や認証に関する技術として、例えば、以下がある。すなわち、基地局との認証過程で獲得したキーパラメータを用いて認証キーを生成し、基地局識別子などを含む第1保安材料と第1ノンスとを基地局から受信し、第1ノンス、認証キー、及び第1保安材料のうち一つ以上を用いてトラフィック暗号化キーを作成する技術がある。
この技術によれば、機密性の保持されたデータを遅延無しで効率的に送受信することができ、ハンドオフ時に保安を維持しながら途切れなくデータサービスを提供したり受けたりすることができる、とされる。
また、RA(Remote Access)−AKAでは、RTT(Round Trip Time)やTTL(Time to Live)の制限を外し、RA−Sinkの事前登録、利用数制限、鍵供給数制限の際にはRTTやTLLの制限を課し、不特定多数のユーザからのリモートアクセスを制限する技術がある。
この技術によれば、RTTやTTLの制限を超えつつ、WAN(Wide Area Network)などの外部ネットワークを経由したリモートアクセスを通じてコンテンツを安全に伝送することができる、とされる。
しかしながら、IoTを利用した端末装置において暗号化や認証が行われない場合、偽装端末により、データの改ざんなどが行われる場合がある。そのため、端末装置に対するセキュリティを確保することができない。
他方、IKEや3GPP AKAなどの鍵交換プロトコルが利用される場合、送信側と受信側とで一定のメッセージを交換した後、同一の共有鍵を作成し、作成した共有鍵を利用してデータに対する暗号化や復号化を行う。そのため、送信側と受信側では、メッセージの交換や暗号化、復号化などの処理により、このような鍵交換プロコトルを利用しない場合と比較して、消費電力が増加する。
上述した、第1ノンス、認証キー、及び第1保安材料のうち一つ以上を用いてトラフィック暗号化キーを作成する技術は、例えば、移動局においてトラヒック暗号化キーを作成するようにしている。そのため、移動局において、このような暗号化キーが作成されない場合と比較して、消費電力が増加する。
また、RA−AKAではRTTやTTLの制限を外し、RA−Sinkの事前登録、利用数制限、鍵供給数制限の際に制限を課す技術は、RA−AKAの際に制限を外しているためセキュリティを確保することができない場合がある。また、RA−Sinkの事前登録などの際に制限を課しており、このような制限を課さない場合と比較して、端末装置において処理が増加し、消費電力が増加する場合がある。
そこで、一つの側面は、セキュリティを確保するようにした基地局装置、通信システム、及び通信方法を提供することにある。
また、一つの側面は、端末装置に対して低消費電力化を図るようにした基地局装置、通信システム、及び通信方法を提供することにある。
一つの態様では、固定設置された端末装置と無線通信を行う基地局装置において、前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する暗号化処理部とを備える。
一つの側面では、セキュリティを確保することが可能となる。また、一つの側面では、端末装置に対して低消費電力化を図ることが可能となる。
以下、本実施の形態について図面を参照して詳細に説明する。本明細書における課題及び実施例は一例であり、本願の権利範囲を限定するものではない。そして、各実施の形態は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。また、本明細書で使用している用語や記載した技術的内容は、RFCや3GPPなど、暗号化や無線通信に関する規格として仕様書に記載された用語や技術的内容が適宜用いられてもよい。
[第1の実施の形態]
<通信システムの構成例>
図1は、本第1の実施の形態における通信システム10の構成例を表す図である。
<通信システムの構成例>
図1は、本第1の実施の形態における通信システム10の構成例を表す図である。
通信システム10は、基地局装置(以下、「基地局」と称する場合がある。)100とIoT端末装置(又は端末装置。以下、「端末」と称する場合がある。)200、及びサーバ装置(以下、「サーバ」と称する場合がある。)300を備える。
基地局100は、自局の通信可能範囲に在圏する端末200と無線通信を行うことが可能な無線通信装置である。また、基地局100は、サーバ300と接続され、端末200から送信されたデータをサーバ300へ送信したり、サーバ300から送信されたデータを端末200へ送信したりすることが可能である。
本第1の実施の形態では、基地局100は、端末200から送信されたデータに対して、暗号化を行う。その際、基地局100は、端末200が在圏するセルのセル固有番号と、端末200に対するTA(Timing Advance)値とに基づいて暗号化を行う。そして、基地局100は、暗号化したデータをサーバ300へ送信する。詳細については後述する。
端末200は、基地局100の通信可能範囲において基地局100と無線通信を行うことが可能な無線通信装置である。端末200は、例えば、スマートメータ、タブレット端末、パーソナルコンピュータ、ゲーム装置などでもよいが、ある地点において固定設置される。例えば、端末200は、センサを備え、又はセンサと接続して、センサで測定されたセンサデータを基地局100へ送信する。
なお、基地局100の通信可能範囲は、例えば、セル(又はセル範囲)であってもよい。セルは、セル固有の番号により端末200において識別可能となっている。セル固有番号(又は固有番号)としては、例えば、セルID(Identification)がある。基地局100は、1又は複数のアンテナを備えており、例えば、1つのアンテナにより通信可能な範囲がセルであり、各通信可能範囲がセルIDにより識別可能となっている。或いは、1つのアンテナにより利用される周波数帯域毎に1つのセルIDが割り当てられ、どのアンテナによりどのような周波数帯域を利用して無線通信を行ったかにより、セルIDが異なっていてもよい。
サーバ300は、基地局100を介して端末200との間でデータなどを送受信する。例えば、サーバ300は、端末200から送信されたセンサデータを、基地局100を介して受信する。サーバ300では、受信したセンサデータに基づいて、各家庭の月ごとの電力使用量やガス使用量などを集計してもよい。
<基地局装置の構成例>
図2は基地局100の構成例を表す図である。
図2は基地局100の構成例を表す図である。
基地局100は、無線処理部101、ベースバンド処理部102、制御信号処理部103、ユーザデータ伝送路処理部104、有線側送受信部105を備える。また、基地局100は、端末ID(Identification)抽出及び判定部(以下、「端末ID抽出部」と称する場合がある。)106、セル固有番号及びTA情報抽出部(以下、「セル固有番号抽出部」と称する場合がある。)107、及び暗号化処理部108を備える。
無線処理部101は、端末200から送信された無線信号を受信し、受信した無線信号に対して、周波数変換処理やA/D(Analogue to Digital)変換処理などを施して、無線帯域の無線信号を、ベースバンド帯域のベースバンド信号へ変換する。無線処理部101は、変換後のベースバンド信号をベースバンド処理部102へ出力する。また、無線処理部101は、ベースバンド処理部102から出力されたベースバンド信号に対して、D/A(Digital to Analogue)変換処理や周波数変換処理などを施して、ベースバンド帯域のベースバンド信号を、無線帯域の無線信号へ変換する。無線処理部101は、変換後の無線信号を端末200へ送信する。
ベースバンド処理部102は、無線処理部101から出力されたベースバンド信号に対して復調処理や誤り訂正復号化処理などを施して、ベースバンド信号からユーザデータと制御信号、プリアンブル信号などを抽出する。ベースバンド処理部102は、制御信号を制御信号処理部103へ、ユーザデータをユーザデータ伝送路処理部104へ、プリアンブル信号などをセル固有番号抽出部107へ夫々出力する。
また、ベースバンド処理部102は、制御信号処理部103から出力された制御信号と、ユーザデータ伝送路処理部104から出力されたユーザデータとに対して、誤り訂正符号化処理や変調処理などを施して、ベースバンド信号へ変換する。ベースバンド処理部102は、変換後のベースバンド信号を無線処理部101へ出力する。
制御信号処理部103は、ベースバンド処理部102から出力された制御信号に対して、例えば、再送制御などの無線区間における制御に関連した処理を行う。この際、制御信号処理部103は、例えば、端末200から送信された無線信号をどのアンテナを利用して受信したかを確認し、どのアンテナで受信したかを示す信号を、セル固有番号抽出部107へ出力する。
また、制御信号処理部103は、例えば、スケジューリングを行って、端末200に対して無線リソースの割り当てや変調方式などを決定し、スケジューリング結果を示す制御信号を生成してもよい。この場合、制御信号処理部103は、生成した制御信号をベースバンド処理部102へ出力する。
さらに、制御信号処理部103は、サーバ300と通信を行う際に制御信号を生成し、生成した制御信号を、有線側送受信部105を介してサーバ300へ送信したり、サーバ300から送信された制御信号を、有線側送受信部105を介して受信したりする。
ユーザデータ伝送路処理部104は、ベースバンド処理部102から出力されたユーザデータ(以下、「データ」と称する場合がある。)を端末ID抽出部106と暗号化処理部108へ出力する。ユーザデータ伝送路処理部104は、暗号化処理部108から暗号化されたデータを受け取ると、例えば、暗号化されたデータをカプセリングしたパケットデータを作成し、作成したパケットデータを有線側送受信部105へ出力する。
また、ユーザデータ伝送路処理部104は、暗号化処理部108から暗号化に関するメッセージなどを受け取ると、受け取ったメッセージなどを有線側送受信部105へ出力する。さらに、ユーザデータ伝送路処理部104は、端末ID抽出部106から端末IDを受け取ると、受け取った端末IDを有線側送受信部105へ出力する。なお、ユーザデータ伝送路処理部104は、例えば、端末IDを受け取ると、サーバ300に対する接続要求などの各種メッセージを生成し、生成した各種メッセージを有線側送受信部105へ出力する。ユーザデータ伝送路処理部104は、有線側送受信部105を介して、サーバ300との間で接続要求や応答などのメッセージを交換する。端末IDは、例えば、端末200を他の端末と識別する識別情報である。
さらに、ユーザデータ伝送路処理部104は、有線側送受信部105からパケットデータを受け取ると、受け取ったパケットデータから暗号化されたデータを抽出し、抽出した暗号化データを暗号化処理部108へ出力する。ユーザデータ伝送路処理部104は、復号化されたデータを暗号化処理部108から受け取ると、受け取ったデータをベースバンド処理部102へ出力する。
有線側送受信部105は、制御信号処理部103から出力された制御信号や、ユーザデータ伝送路処理部104から出力されたパケットデータや各種メッセージなどに対して、有線側のネットワークプロトコルに従うパケットデータを生成する。有線側送受信部105は、生成したパケットデータをサーバ300へ送信する。
また、有線側送受信部105は、サーバ300から送信されたパケットデータを受信すると、受信したパケットデータから制御信号やパケットデータ、各種メッセージなどを抽出し、制御信号を制御信号処理部103、パケットデータや各種メッセージなどをユーザデータ伝送路処理部104へそれぞれ出力する。
端末ID抽出部106は、ユーザデータ伝送路処理部104から受け取ったユーザデータから端末IDを抽出する。そして、端末ID抽出部106は、抽出した端末IDに基づいて、端末IDを有する端末200が暗号化対象の端末か否かを判定する。端末ID抽出部106は、暗号化対象の端末のときは、暗号化処理部108に対して暗号化を指示する信号を出力する。端末ID抽出部106は、暗号化対象の端末ではないときは、暗号化を行わないことを指示する信号を暗号化処理部108に出力してもよいし、とくに信号を出力しないようにしてもよい。なお、端末ID抽出部106は、端末200から送信された制御信号を制御信号処理部103から受け取り、受け取った制御信号に基づいて端末IDを抽出してもよい。
セル固有番号抽出部107は、制御信号処理部103から、どのアンテナを利用して無線信号を受信したかを示す信号を受け取ると、この信号に基づいて、セル固有番号を抽出する。セル固有番号は、例えば、端末200が基地局100の通信可能範囲において基地局100と無線通信を行っているときの基地局100の通信可能範囲における固有の番号を表す。セル固有番号は、例えば、アンテナ毎に異なる番号となっている。そのため、セル固有番号抽出部107は、例えば、無線信号を受信した際のアンテナの識別番号に基づいて、セル固有番号を決定することが可能である。
また、セル固有番号抽出部107は、ベースバンド処理部102から受け取ったプリアンブル信号などに基づいてTA情報を抽出する。TA情報は、例えば、端末200から送信された無線信号が基地局100で受信するときのタイミングを他の端末から送信された無線信号が基地局100で受信するときのタイミングと一致させるタイミングを表すタイミング情報である。TA情報は、例えば、3GPP TS36.300 V10.3.0(2011−03)などにおいて規格化されている。TA情報には、TA値が含まれ、このTA値は正規化された値でもよい。セル固有番号抽出部107は、例えば、端末200から送信された無線信号に含まれるプリアンブル信号などに基づいてTA情報を抽出する。詳細については動作例で説明する。セル固有番号抽出部107は、セル固有番号とTA情報とを暗号化処理部108へ出力する。
暗号化処理部108は、端末ID抽出部106から暗号化を指示する信号を受け取ると、セル固有番号抽出部107から受け取ったセル固有番号とTA情報とに基づいて、ユーザデータ伝送路処理部104から受け取ったデータに対して暗号化処理を施す。暗号化処理部108は、暗号化したデータをユーザデータ伝送路処理部104へ出力する。
また、暗号化処理部108は、ユーザデータ伝送路処理部104などを介して、サーバ300との間で暗号化に関するメッセージを交換する。このようなメッセージに交換により、基地局100はサーバ300との間で暗号化伝送路を作成したり、作成した暗号化伝送路を解放したりする。暗号化伝送路の作成処理などは動作例で説明する。
さらに、暗号化処理部108は、ユーザデータ伝送路処理部104から、暗号化されたデータを受け取ると、セル固有番号とTA情報とに基づいて、暗号化されたデータに対して復号化処理を施す。暗号化処理部108は、復号化したデータをユーザデータ伝送路処理部104へ出力する。
<サーバの構成例>
図3はサーバ300の構成例を表す図である。サーバ300は、ネットワークIF(Interface)301、暗号化伝送路及び復号化処理部(以下、「暗号化伝送路処理部」と称する場合がある。)302、登録済リスト検索及び抽出部(以下、「登録済リスト検索部」と称する場合がある。)303を備える。また、サーバ300は、ユーザIF304、ワンタイムパスワード発行部305、アプリケーション処理部306、及び登録済テーブル307を備える。
図3はサーバ300の構成例を表す図である。サーバ300は、ネットワークIF(Interface)301、暗号化伝送路及び復号化処理部(以下、「暗号化伝送路処理部」と称する場合がある。)302、登録済リスト検索及び抽出部(以下、「登録済リスト検索部」と称する場合がある。)303を備える。また、サーバ300は、ユーザIF304、ワンタイムパスワード発行部305、アプリケーション処理部306、及び登録済テーブル307を備える。
ネットワークIF301は、基地局100から送信されたパケットデータを受信し、受信したパケットデータから、暗号化されたデータや暗号化に関するメッセージ、端末IDなどを抽出する。ネットワークIF301は、暗号化されたデータや暗号化伝送路に関するメッセージなどを暗号化伝送路処理部302へ出力し、端末IDや接続要求などを登録済リスト検索部303へ出力し、端末200との間で交換されるメッセージなどをユーザIF304へ出力する。
また、ネットワークIF301は、暗号化伝送路処理部302から、暗号化されたユーザデータや制御信号、暗号化に関するメッセージを受け取る。さらに、ネットワークIF301は、登録済リスト検索部303から、応答メッセージなどを受け取る。さらに、ネットワークIF301は、ユーザIF304から、端末200へ送信するメッセージなどを受け取る。ネットワークIF301は、これら受け取ったデータやメッセージなどを、有線側のネットワークプロトコルに従うパケットデータに変換して、変換後のパケットデータを基地局100へ送信する。
暗号化伝送路処理部302は、ネットワークIF301から受け取った、暗号化されたデータや制御信号に対して、登録済リスト検索部303から受け取ったセル固有番号とTA情報とに基づいて、復号化処理を施す。暗号化伝送路処理部302は、復号化した制御信号とデータとをアプリケーション処理部306へ出力する。
また、暗号化伝送路処理部302は、例えば、ネットワークIF301から受け取った暗号化に関するメッセージに対して応答メッセージなどを作成する。暗号化伝送路処理部302は、作成した応答メッセージなどを、ネットワークIF301を介して基地局100へ送信する。暗号化伝送路処理部302は、基地局100の暗号化処理部108との間で、暗号化に関するメッセージを交換する。このようなメッセージの交換により、暗号化伝送路の作成や解放が行われる。
さらに、暗号化伝送路処理部302は、例えば、アプリケーション処理部306から出力されたユーザデータと制御信号とに対して、登録済リスト検索部303から受け取ったセル固有番号とTA情報とに基づいて、暗号化処理を施す。暗号化伝送路処理部302は、暗号化したユーザデータと制御信号をネットワークIF301へ出力する。
登録済リスト検索部303は、ネットワークIF301から接続要求と端末IDとを受け取ると、端末IDに対応する登録済リストを、登録済テーブル307から検索する。登録済リストの例は後述する。登録済リスト検索部303は、接続要求に対する応答を表す応答メッセージを作成し、作成した応答メッセージをネットワークIF301へ出力する。
なお、登録済リスト検索部303は、端末IDに対応する登録済リストがない場合、基地局100からセル固有番号とTA情報とを受け取り、端末IDとともにセル固有番号とTA情報とを登録済リストに登録する。この場合は、初回登録となる。
ユーザIF304は、例えば、端末200の設置者や登録担当者向けにWebページを提供し、Webページを通じて、ワンタイムパスワード発行部305から受け取ったワンタイムパスワードを、端末200へ送信する。
例えば、ユーザIF304は、以下の処理を行う。すなわち、ユーザIF304は、設置者や登録担当者が利用するパーソナルコンピュータからWebページの閲覧要求を受けて、Webページに含まれる情報を端末200へ送信する。ユーザIF304は、ネットワークIF301を介して、パーソナルコンピュータからワンタイムパスワードの発行要求を受けると、発行要求をワンタイムパスワード発行部305へ出力する。そして、ユーザIF304は、ワンタイムパスワード発行部305からワンタイムパスワードを受け取ると、受け取ったワンタイムパスワードを、ネットワークIF301を介して、パーソナルコンピュータへ送信する。これにより、設置者や登録担当者は、サーバ300で発行されたワインタイムパスワードを受け取ることが可能となる。
ワンタイムパスワード発行部305は、ユーザIF304から、ワンタイムパスワードの発行要求を受け取ると、ワンタイムパスワードを発行し、発行したワンタイムパスワードをユーザIF304へ出力する。ワンタイムパスワードは、例えば、サーバ300にアクセス可能な一度限り有効なパスワードである。本第1の実施の形態では、ワンタイムパスワードは、例えば、基地局100がセル固有番号とTA情報とをサーバ300へ送信する際に使用される。詳細は動作例で説明する。なお、ワンタイムパスワード発行部305は、発行したワンタイムパスワードを、ユーザIF304と登録済リスト検索部303へ出力する。この場合、登録済リスト検索部303では、ワンタイムパスワードに基づいて登録済リストへの仮登録を行う。詳細については動作例で説明する。
アプリケーション処理部306は、暗号化伝送路処理部302からユーザデータと制御信号を受け取ると、制御信号に従ってユーザデータに対する処理を行う。また、アプリケーション処理部306は、ユーザデータと制御信号とを作成して、暗号化伝送路処理部302へ出力する。
登録済テーブル307は、例えば、メモリに記憶されたテーブルであって、登録済リストが記憶される。なお、以下では、登録済テーブルと登録リストとを区別しないで用いる場合がある。
図4は登録済テーブル307に記憶された登録済リストの例を表す図である。登録済テーブル307は、端末IDごとに、セル固有番号とTA情報とが記憶される。登録済テーブル307には、更に、「仮登録フラグ」の領域がある。「仮登録フラグ」が「1」のとき、「セル固有番号」と「TA情報」には、セル固有番号とTA情報とが登録されておらず、ワンタイムパスワードが登録される。図4の例では、ワンタイムパスワードとして、「abcd1234efgh」が登録されている。登録済リスト検索部303は、初回登録の際に、基地局100からセル固有番号とTA情報とを受信すると、登録済テーブル307の該当するエントリに、受信したセル固有番号とTA情報とを記憶し、「仮登録フラグ」を「1」から「0」に変更する。
<動作例>
次に動作例について説明する。動作例は、全体として、サーバ300においてセル固有番号とTA情報とを初回登録する動作例と、その後、通常時の動作として、基地局100とサーバ300において暗号化や復号化を行う動作例とがある。初回登録時の動作例を先に説明し、次に、通常時の動作例について説明する。
次に動作例について説明する。動作例は、全体として、サーバ300においてセル固有番号とTA情報とを初回登録する動作例と、その後、通常時の動作として、基地局100とサーバ300において暗号化や復号化を行う動作例とがある。初回登録時の動作例を先に説明し、次に、通常時の動作例について説明する。
<1.初回登録時の動作例>
図5は、初回登録時の動作例を表すシーケンス図である。
図5は、初回登録時の動作例を表すシーケンス図である。
端末200の設置者や登録担当者は、例えば、パーソナルコンピュータなどを介して、サーバ300へアクセスする。サーバ300は、パーソナルコンピュータから受信した、端末200の端末IDを含む発行要求に対して、ワンタイムパスワードを発行する(S01)。サーバ300ではワンタイムパスワードを発行し、発行要求に含まれる端末IDを仮登録する。例えば、図4に示すように、サーバ300では、登録済リストにおいて、端末ID「55556666」に対してワンタイムパスワード「abcd1234efgh」を登録する。この仮登録により、サーバ300は自身が発行したワンタイムパスワードを保持することが可能となる。
次に、設置者や登録担当者による端末200の操作により、端末200は、端末IDとワンタイムパスワードとを基地局100へ送信する(S10)。
次に、基地局100は、端末IDに基づいて判定処理を行い、セル固有番号とTA情報とを抽出する(S11)。
例えば、基地局100は、以下の処理により判定処理を行う。すなわち、端末ID抽出部106は、S10により送信された端末IDを含むユーザデータを、ユーザデータ伝送路処理部104から受け取り、受け取ったユーザデータから端末IDを抽出する。端末ID抽出部106は、例えば、内部メモリにIoT端末の端末IDを保持しており、抽出した端末IDと内部メモリに保持した端末IDが一致すれば、暗号化対象の端末であると判定し、一致しなければ暗号化対象外の端末と判定する。基地局100では、抽出した端末IDが対象の端末のときは以降の処理を行い、そうでないときは以降の処理を行わないようにしてもよい。
また、基地局100は、例えば、以下の処理によりセル固有番号を抽出する。すなわち、セル固有番号抽出部107は、S10により端末200から送信された無線信号を受信したアンテナに基づいて、セル固有番号を抽出する。
さらに、基地局100は、例えば、以下の処理によりTA情報を抽出する。すなわち、セル固有番号抽出部107は、端末200がS10で送信する無線信号の無線リソースの情報を受け取り、プリアンブル信号の送信時間を確認する。また、セル固有番号抽出部107は、ベースバンド処理部102からプリアンブル信号を受け取ったときの時間を受信時間とする。セル固有番号抽出部107は、受信時間と送信時間との差分を、伝送遅延時間として計算する。セル固有番号抽出部107は、更に、内部メモリから基準時間を読み出し、基準時間と伝送遅延時間との差分を計算する。セル固有番号抽出部107は、この差分時間を、TA値とする。この際、セル固有番号抽出部107は、差分時間を正規化した値をTA値としてもよい。セル固有番号抽出部107は、計算したTA値をTA情報とする。
次に、基地局100は、端末IDと接続要求とをサーバ300へ送信する(S12)。基地局100は、例えば、以下の処理を行う。すなわち、端末ID抽出部106は、端末IDが暗号化対象の端末であることの判定結果と抽出した端末IDとを、ユーザデータ伝送路処理部104へ出力する。ユーザデータ伝送路処理部104は、この判定結果を受け取ると接続要求メッセージを作成し、作成した接続要求メッセージと端末IDとを、有線側送受信部105を介してサーバ300へ送信する。この場合、ユーザデータ伝送路処理部104は、端末IDを含む接続要求メッセージを作成してもよい。
次に、サーバ300は、接続要求を受信すると、受信した端末IDが登録済リストに登録されていないことを確認する(S13)。サーバ300では、例えば、以下の処理を行う。すなわち、登録済リスト検索部303は、ネットワークIF301を介して基地局100から接続要求を受信すると、受信した端末IDを検索キーにして、登録済テーブル307に登録された登録済リストを検索する。この場合、登録済リスト検索部303は、端末IDそのものが登録済リストに登録されていない場合や、端末IDは登録済リストに登録されているものの、「仮登録フラグ」が「1」になっている場合、登録済リストに登録されていないと判定する。図4の例では、端末IDが「55556666」の場合、登録済リスト検索部303は、この端末IDは登録済リストには登録されていないと判定する。
次に、サーバ300は、端末IDは登録済リストには登録されていないことを示す結果応答を基地局100へ送信する(S14)。例えば、登録済リスト検索部303は、受信した端末IDが登録済リストには登録されていないことを判定すると、登録済リストには登録されていないことを示す結果応答メッセージを生成し、ネットワークIF301を介して基地局100へ送信する。
次に、基地局100は、セル固有番号とTA情報とを暗号化して送信する(S15)。基地局100では、例えば、以下の処理を行う。すなわち、ユーザデータ伝送路処理部104は、結果応答(S14)を受信すると、その旨を示す信号を暗号化処理部108へ出力する。暗号化処理部108は、この信号を受け取ると、ワンタイムパスワードを共有秘密鍵として、S11で抽出したセル固有番号とTA情報とに対して、暗号化処理を施す。具体的には、暗号化処理部108は、S10において受信した際に内部メモリに保持したワンタイムパスワードを読み出し、ワンタイムパスワードとセル固有番号との排他的論理和を計算する。また、暗号化処理部108は、ワンタイムパスワードとTA情報との排他的論理和を計算する。暗号化処理部108は、計算した2つの計算結果を、暗号化したセル固有番号とTA情報として、ユーザデータ伝送路処理部104などを介して、サーバ300へ送信する。この際、ユーザデータ伝送路処理部104は、端末ID抽出部106から受け取った端末IDも、サーバ300へ送信する。
次に、サーバ300は、暗号化されたセル固有番号とTA情報とを復号化し、復号化したセル固有番号とTA情報、及び端末IDを、登録済リストへ登録する(S16)。サーバ300は、例えば、以下の処理を行う。すなわち、暗号化伝送路処理部302は、ネットワークIF301を介して、基地局100から送信された、暗号化されたセル固有番号とTA情報とを復号化する。この際、暗号化伝送路処理部302は、ワンタイムパスワードを、登録済リスト検索部303を介して、ワンタイムパスワード発行部305から受け取る。そして、暗号化伝送路処理部302は、ワンタイムパスワードを、共有秘密鍵として、暗号化されたセル固有番号とTA情報とに対して復号化処理を行う。具体的には、暗号化伝送路処理部302は、暗号化されたセル固有番号とワンタイムパスワードとで、排他的論理和による演算を行う。また、暗号化伝送路処理部302は、暗号化されたTA情報とワンタイムパスワードとで、排他的論理和による演算を行う。暗号化伝送路処理部302は、復号化したセル固有番号とTA情報とを登録済リスト検索部303へ出力する。登録済リスト検索部303は、ネットワークIF301を介して、端末IDを受け取ると、端末IDに対応する登録済リストのエントリのうち「仮登録フラグ」を「1」から「0」に変更する。そして、登録済リスト検索部303は、該当するエントリの「セル固有番号」と「TA情報」に、暗号化伝送路処理部302から受け取ったセル固有番号とTA情報とをそれぞれ登録する。
次に、サーバ300は、受領応答を基地局100へ送信する(S17)。例えば、登録済リスト検索部303は、セル固有番号とTA情報とを登録済リストへの登録が完了すると、受領応答メッセージを生成し、ネットワークIF301を介して基地局100へ送信する。
次に、サーバ300は、完了応答を端末200へ送信する(S18)。例えば、ユーザデータ伝送路処理部104は、有線側送受信部105を介してサーバ300から受領応答メッセージを受信すると、完了応答メッセージを生成し、ベースバンド処理部102などを介して端末200へ送信する。
以上の処理により、基地局100とサーバ300は、セル固有番号とTA情報とを共有することが可能となる。
<2.通常時の動作例>
図6は、通常時の動作例を表すシーケンス図である。
図6は、通常時の動作例を表すシーケンス図である。
端末200は、端末IDとデータとを基地局100へ送信する(S20)。データとしては、例えば、端末200内のセンサ(又は端末200に接続されたセンサ)により測定されたセンサデータなどがある。
次に、基地局100は、端末IDに基づいて判定処理を行い、セル固有番号とTA情報とを抽出する(S21)。例えば、基地局100は、図5のS11と同様に、端末IDが暗号化対象の端末か否かにより判別する。また、基地局100は、例えば、図5のS11と同様に、端末IDとデータとを含む無線信号(S20)を端末200から受信した際のアンテナの番号に基づいてセル固有番号を抽出する。さらに、基地局100は、例えば、図5のS11と同様に、端末IDとデータとを含む無線信号(S20)に含まれるプリアンブル信号に基づいてTA情報を抽出する。
次に、基地局100は、端末IDと接続要求とをサーバ300へ送信する(S22)。この場合も、基地局100は、図5のS12と同様にして、端末IDと接続要求とをサーバ300へ送信する。
次に、サーバ300は、端末IDが登録済リストに登録済であることを確認し、端末IDに対応するセル固有番号とTA情報とを登録済リストから抽出する(S23)。例えば、登録済リスト検索部303は、登録済リストに登録IDが登録され、かつ、「仮登録フラグ」が「0」になっているかを確認する。そして、登録済リスト検索部303は、登録済リストから、端末IDに対応するセル固有番号とTA情報とを抽出する。
次に、サーバ300は、許可応答を基地局100へ送信する(S24)。例えば、登録済リスト検索部303は、セル固有番号とTA情報とが登録済リストに登録されていることを確認すると、暗号化データの送信を許可することを示す許可応答メッセージを生成し、基地局100へ送信する。この許可応答により、基地局100は、暗号化伝送路を作成し、暗号化したデータをサーバ300へ送信することが可能となる。
次に、基地局100とサーバ300は、セル固有番号とTA情報とを用いた暗号化伝送路を作成する(S25)。例えば、基地局100のユーザデータ伝送路処理部104は、サーバ300から送信された許可応答メッセージを受信すると、許可応答メッセージを受信した旨を示す信号を暗号化処理部108へ出力する。暗号化処理部108は、この信号を受け取ると、暗号化伝送路の作成を開始する。
暗号化伝送路の作成方法としては、例えば、IKE(又はIKEv2)を利用する場合と、3GPP AKAを利用する場合の2つがある。以下、この2つの暗号化伝送路の作成方法について説明する。
<2.1 IKEを利用した暗号化伝送路の作成>
図7は、IKEを利用した場合の暗号化伝送路の作成例を表すシーケンス図である。図7の各処理は、例えば、基地局100の暗号化処理部108、サーバ300の暗号化伝送路処理部302において行われる。
図7は、IKEを利用した場合の暗号化伝送路の作成例を表すシーケンス図である。図7の各処理は、例えば、基地局100の暗号化処理部108、サーバ300の暗号化伝送路処理部302において行われる。
基地局100は、IKE_SA_INIT requestをサーバ300へ送信する(S250)。例えば、暗号化処理部108は、サーバ300からデータ送信の許可応答(図6のS24)を受信すると、暗号化アルゴリズムの提案、鍵生成のための情報(又は鍵生成情報。以下では、「鍵生成のための情報」と称する場合がある。)などを含むIKE_SA_INIT requestメッセージを生成し、サーバ300へ送信する。暗号化アルゴリズムとしては、例えば、DES(Data Encryption Standard)、3DES(Triple DES)、AES(Advanced Encryption Standard)などがある。また、鍵生成のための情報としては、例えば、DH(Diffie Hellman)グループの提案や鍵計算に使用する値などがある。この場合、暗号化処理部108は、例えば、以下により鍵計算に使用する値を計算してもよい。
すなわち、暗号化処理部108は、図6のS21で抽出したセル固有番号とTA情報とを用いて数値を生成する。そして、暗号化処理部108は、生成した数値を利用して計算した値(例えば、生成した数値x1に対する2のべき乗(2x1)をDHグループのグループ毎に決められた既知の値で除算した余り)を、鍵計算に使用する値としてもよい。
次に、サーバ300は、IKE_SA_INIT responseを基地局100へ送信する(S251)。例えば、暗号化伝送路処理部302は、IKE_SA_INIT requestにより提案された暗号化アルゴリズムの中から選択した暗号化アルゴリズムや鍵生成のための情報などを含むIKE_SA_INIT responseメッセージを生成する。そして、暗号化伝送路処理部302は、生成したIKE_SA_INIT responseメッセージを、基地局100へ送信する。鍵生成のための情報としては、例えば、選択したDHグループの番号や鍵計算に使用する値などがある。この場合、暗号化伝送路処理部302は、図6のS23で抽出したセル固有番号とTA情報とを、登録済リスト検索部303から受け取り、セル固有番号とTA情報と用いて数値x2を生成する。そして、暗号化伝送路処理部302は、生成した数値x2を利用して計算した値(例えば、生成した数値x2に対する2のべき乗(2x2)を、選択したDHグループのグループ毎に決められた既知の値で除算した余り)を、鍵計算に使用する値としてもよい。
次に、基地局100は、フェーズ2で使用する暗号鍵を生成する(S252)。暗号化処理部108は、例えば、セル固有番号とTA情報とを利用して、フェーズ2で使用する暗号鍵を生成する。暗号化処理部108は、例えば、以下により暗号鍵を生成する。すなわち、暗号化処理部108は、S250と同様に、セル固有番号とTA情報とを利用して数値x1を生成する。そして、暗号化処理部108は、生成した数値x1と、IKE_SA_INIT responseに含まれる鍵計算に使用する値と、を利用して計算した値を、フェーズ2で使用する暗号鍵とする。すなわち、暗号化処理部108は、生成した数値x1に対して、IKE_SA_INIT responseに含まれる鍵計算に使用する値y1のべき乗(y1x1)を計算し、その値をDHグループ毎に決められた既知の値で除算した余りを、フェーズ2で使用する暗号鍵としてもよい。
次に、サーバ300は、フェーズ2で使用する暗号鍵を生成する(S253)。この場合も、暗号化伝送路処理部302は、セル固有番号とTA情報とを利用して、フェーズ2で使用する暗号鍵を生成する。暗号化伝送路処理部302は、例えば、以下により暗号鍵を生成する。すなわち、暗号化伝送路処理部302は、S251と同様に、セル固有番号とTA情報とを利用して数値x2を生成し、生成した数値x2と、IKE_SA_INIT requestに含まれる鍵計算に使用する値とを利用して計算した値を、フェーズ2で使用する暗号鍵とする。すなわち、暗号化伝送路処理部302は、生成した数値x2に対して、IKE_SA_INIT requestに含まれる鍵計算に使用する値y2のべき乗(y2x2)を計算し、その値をDHグループ毎に決められた既知の値で除算した余りを、フェーズ2で使用する暗号鍵としてもよい。
次に、基地局100は、IKE_AUTH requestをサーバ300へ送信する(S255)。例えば、暗号化処理部108は、以下の処理を行う。すなわち、暗号化処理部108は、ユーザデータに対する暗号化アルゴリズムの提案や認証情報、鍵生成のための情報などを、S252で生成した暗号鍵とS251で選択された暗号化アルゴリズムを利用して暗号化する。そして、暗号化処理部108は、暗号化したこれらの情報を含むIKE_AUTH requestを生成し、サーバ300へ送信する。暗号化の際の暗号化アルゴリズムは、S251により、サーバ300において選択された暗号化アルゴリズムが用いられる。また、鍵生成のための情報としては、S250の場合と同様に、ユーザデータの暗号化の際に利用するDHグループの提案、ユーザデータの暗号化の際に利用する暗号鍵に用いる鍵計算に使用する値などがある。この場合も、暗号化処理部108は、S250の場合と同様に、セル固有番号とTA情報とに基づいて数値x3を生成し、生成した数値x3を利用して鍵計算に使用する値を計算してもよい。
次に、サーバ300は、IKE_AUTH responseを基地局100へ送信する(S256)。例えば、暗号化伝送路処理部302は、以下の処理を行う。すなわち、暗号化伝送路処理部302は、S253で生成した暗号鍵と、S251で選択した暗号化アルゴリズムとを利用して、暗号化されたIKE_AUTH requestに含まれる情報を復号化する。そして、暗号化伝送路処理部302は、暗号化アルゴリズムやDHグループの中から1つを選択したり、鍵計算に使用する値を計算したりする。この場合も、暗号化伝送路処理部302は、鍵計算に使用する値の計算も、S251と同様に、セル固有番号とTA情報とに基づいて数値x4を生成し、生成した数値x4を利用して鍵計算に使用する値を計算してもよい。そして、暗号化伝送路処理部302は、選択した暗号化アルゴリズムや鍵生成のための情報などに対して、S253で生成した暗号鍵とS251で選択した暗号化アルゴリズムとを利用して暗号化する。暗号化伝送路処理部302は、暗号化されたこれらの情報を含むIKE_AUTH responseを生成して、基地局100へ送信する。
次に、基地局100は、ユーザデータに対する暗号鍵を生成する(S256)。例えば、暗号化処理部108は、以下の処理を行う。すなわち、暗号化処理部108は、S252で生成した暗号鍵と、S251で選択された暗号化アルゴリズムとを利用して、IKE_AUTH responseに含まれる各情報を復号化する。暗号化処理部108は、S252と同様に、セル固有番号とTA情報とを利用して、暗号鍵を生成する。この際、暗号化処理部108は、S252と同様に、セル固有番号とTA情報とを利用して数値x3を生成し、生成した数値x3と、IKE_AUTH responseに含まれる鍵計算に使用する値とを利用して計算した値を、暗号鍵としてもよい。
次に、サーバ300は、ユーザデータに対する暗号鍵を生成する(S257)。例えば、暗号化伝送路処理部302は、以下の処理を行う。すなわち、暗号化伝送路処理部302は、S253で生成した暗号鍵とS251で選択した暗号化アルゴリズムとを利用して、IKE_AUTH responseに含まれる各情報を復号化する。そして、暗号化伝送路処理部302は、S253と同様に、セル固有番号とTA情報とを利用して暗号鍵を生成する。この際、暗号化伝送路処理部302は、S253と同様に、セル固有番号とTA情報とを利用して数値x4を生成し、生成した数値x4と、IKE_AUTH requestに含まれる鍵計算に使用する値とを利用して計算した値を、暗号鍵としてもよい。
<2.2 3GPP AKAを利用した暗号化伝送路の作成>
図8は、3GPP AKAを利用した暗号化伝送路の作成例を表すシーケンス図である。図8に示す各処理も、例えば、基地局100の暗号化処理部108とサーバ300の暗号化伝送路処理部302とで行われる。
図8は、3GPP AKAを利用した暗号化伝送路の作成例を表すシーケンス図である。図8に示す各処理も、例えば、基地局100の暗号化処理部108とサーバ300の暗号化伝送路処理部302とで行われる。
サーバ300は、認証リクエストを生成して基地局100へ送信する(S260)。認証リクエストには、ネットワーク認証トークンAUTNと、ランダムチャレンジRANDとを含む。ランダムチャレンジRANDは、例えば、乱数である。例えば、暗号化伝送路処理部302は、許可応答(図5のS24)を送信後、ネットワーク認証トークンAUTNとランダムチャレンジRANDとを含む認証リクエストを生成し、基地局100へ送信する。
次に、基地局100は、認証を行い、認証応答RESを生成してサーバ300へ送信する(S261)。例えば、暗号化処理部108では、以下の処理を行う。すなわち、暗号化処理部108は、共有秘密鍵であるK値と、認証リクエスト(S260)のシーケンス番号とを利用して、ネットワーク認証トークンAUTNを検証する。暗号化処理部108は、検証が成功すると、ネットワークから認証されていることを確認し、内部メモリから読み出した共有秘密鍵K値と、受信したランダムチャレンジRANDと、を使用して認証応答RESの計算やその他の演算を行う。暗号化処理部108は、認証応答RESと演算結果とをサーバ300へ送信する。
次に、基地局100は暗号鍵を生成する(S262)。例えば、暗号化処理部108は、図5のS21で抽出したセル固有番号とTA情報とを、K値の代わりに、共有秘密鍵として利用する。そして、暗号化処理部108は、セル固有番号とTA情報とを利用して暗号鍵を生成する。
次に、サーバ300は暗号鍵を生成する(S263)。例えば、暗号化伝送路処理部302は、S23で抽出したセル固有番号とTA情報とを、K値の代わりに、共有秘密鍵として利用する。そして、暗号化伝送路処理部302は、セル固有番号とTA情報とを利用して暗号鍵を生成する。
以上が、暗号化伝送路の作成処理(S25)の例である。これにより、基地局100とサーバ300は、暗号鍵を生成する。
なお、サーバ300は暗号化伝送路を作成したときにタイマを起動する。例えば、暗号化伝送路処理部302は、暗号鍵を生成したとき(S257,S263)に内部のタイマを起動する。
図6に戻り、基地局100とサーバ300は暗号化伝送路を作成した後(S25)、基地局100は、端末200から送信されたデータ(S20)に対して、暗号化伝送路作成処理で作成した暗号鍵を利用して暗号化処理を行う。そして、基地局100は、暗号化したデータをサーバ300へ送信する(S27)。例えば、基地局100の暗号化処理部108は、生成した暗号鍵(S256,S262)を利用してデータを暗号化する。この場合、暗号化処理部108は、IKEを利用して暗号鍵を生成したときは、選択された暗号化アルゴリズム(例えば、DES、3DES、AESなど)を利用して暗号化を行ってもよい。また、暗号化処理部108は、3GPP AKAを利用して暗号化鍵を生成したときは、暗号鍵とデータとの排他的論理和を計算することで暗号化を行ってもよい。
次に、サーバ300は、暗号化されたデータを受信し、受領応答を基地局100へ送信する(S27)。例えば、サーバ300の暗号化伝送路処理部302は、暗号化されたデータに対して、生成した暗号鍵(S257,S263)を利用して復号化する。この場合、暗号化伝送路処理部302は、IKEを利用して暗号鍵を生成したときは、サーバ300が選択した暗号化アルゴリズムを利用して復号化してもよい。また、暗号化伝送路処理部302は、3GPP AKAを使用して暗号鍵を生成したときは、暗号鍵と暗号化データとの排他的論理和による演算を行うことで復号化を行ってもよい。暗号化伝送路処理部302は、データを復号化した後、受領応答メッセージを生成し、基地局100へ送信する。
次に、基地局100は、受領応答を端末200へ送信する(S29)。例えば、暗号化処理部108は、サーバ300から送信された受領応答メッセージを受信すると、受信した受領応答メッセージを端末200へ送信する。
端末200と基地局100、及びサーバ300は、タイマを起動後、一定時間内であれば、データの送信(S20,S27)と応答(S28,S29)を繰り返し実施する(S30)。
一定時間が経過すると、基地局100とサーバ300は、暗号化伝送路を解放する(S31)。
図9は暗号化伝送路の解放処理の例を表すシーケンス図である。
サーバ300は、一定時間が経過すると、解放要求を生成し、基地局100へ送信する(S310)。例えば、暗号化伝送路処理部302は、内部のタイマの時間が一定時間になることを確認すると、解放要求メッセージを生成し、基地局100へ送信する。
次に、基地局100は、解放応答を生成し、サーバ300へ送信する(S311)。例えば、暗号化処理部108は、解放要求メッセージを受信すると、解放応答メッセージを生成し、サーバ300へ送信する。
次に、基地局100は、生成した暗号鍵(S256、S262)を破棄する(S312)。例えば、暗号化処理部108は、解放応答メッセージを送信後、内部メモリに記憶した暗号鍵を内部メモリから削除し、暗号鍵に関する情報も記憶したときはこの情報を内部メモリから削除する。
次に、サーバ300は、生成した暗号鍵(S257,S263)を破棄する(S313)。例えば、暗号化伝送路処理部302は、解放応答メッセージを受信後、内部メモリに記憶した暗号鍵を内部メモリから削除し、暗号鍵に関する情報も削除する。
なお、図9において、基地局100がサーバ300よりも先に解放要求を送信してもよい。その場合、解放要求を受信したサーバ300が開放応答を基地局100へ送信する。
<3.基地局における処理>
図10は基地局100における動作例を表すフローチャートである。図10に示すフローチャートは、初回登録時の動作例と通常時の動作例とを合せたものであり、上述した説明と重複した説明となるため簡単に説明する。
図10は基地局100における動作例を表すフローチャートである。図10に示すフローチャートは、初回登録時の動作例と通常時の動作例とを合せたものであり、上述した説明と重複した説明となるため簡単に説明する。
基地局100は、処理を開始すると(S40)、端末200から送信された端末IDとデータとを受信する。そして、基地局100は、端末IDとデータとを送信した端末200が暗号化対象のIoT端末か否かを判別する(S41)。
基地局100は、端末200が暗号化対象のIoT端末のとき(S41でYes)、制御信号やプリアンブル信号などに基づいて、セル固有番号とTA情報とを抽出する(S42)。
次に、基地局100は、サーバ300に対して端末200の接続要求を送信し、端末200の端末IDが登録済リストに登録済か否かを問い合わせる(S43)。
基地局100は、端末IDが登録済リストに登録されていないとき(S44でNo)、セル固有番号とTA情報とを暗号化してサーバ300へ送信する(S45)。本処理は、上述した<1.初回登録時の動作例>における図5のS15に対応する処理である。基地局100は、例えば、ワンタイムパスワードを共有秘密鍵として、ワンタイムパスワードを利用して、セル固有番号とTA情報とを暗号化する。
そして、基地局100は、一連の処理を終了する(S46)。
一方、基地局100は、端末IDが登録済リストに登録されているとき(S44でYes)、抽出したセル固有番号とTA情報とを用いて暗号化伝送路を作成する(S50)。本処理は、上述した<2.通常時の動作例>における図6のS25に対応する処理である。上述したように、基地局100は、例えば、IKEを利用して暗号化伝送路を作成したり(<2.1 IKEを利用した暗号化伝送路の作成>)、3GPP AKAを利用して暗号化伝送路を作成したりしてもよい(<2.2 3GPP AKAを利用した暗号化伝送路の作成>)。いずれにしても、基地局100は、セル固有番号とTA情報とを用いて暗号鍵を作成する。
次に、基地局100は、端末200からのデータを暗号化してサーバ300へ送信する(S51)。基地局100は、暗号化伝送路の作成の際に作成した暗号鍵を用いて、端末200から送信されたデータに対して暗号化処理を施す。
基地局100は、例えば、暗号鍵を作成した後、一定時間内であれば、端末200から送信されたデータに対して、暗号化伝送路の作成(S50)の際に作成した暗号鍵を用いて暗号化処理を施す(S52)。
基地局100は、暗号鍵作成後、一定時間経過すると、暗号化伝送路を解放し、暗号化伝送路作成の際に作成した暗号鍵を破棄する(S53)。
そして、基地局100は、一連の処理を終了する(S46)。
一方、基地局100は、端末200が暗号化対象のIoT端末ではないとき(S41でNo)、暗号化処理を行うことなく、一連の処理を終了する(S46)。
<4.サーバにおける処理>
図11は、サーバ300における動作例を表すフローチャートである。図11に示すフローチャートも、初回登録時の動作例と通常時の動作例とを合せたものとなっている。
図11は、サーバ300における動作例を表すフローチャートである。図11に示すフローチャートも、初回登録時の動作例と通常時の動作例とを合せたものとなっている。
サーバ300は、処理を開始すると(S60)、基地局100から送信された接続要求を受信し、端末200の端末IDが登録済リストに登録済か否かを確認して(S61)、登録済であるか否かを判別する(S62)。
サーバ300は、端末IDが登録済リストに登録されていないとき(S62でNo)、初回登録を行う旨を基地局100へ応答する(S63)。S63〜S66の処理は、上述した<1.初回登録時の動作例>に対応する処理となっている。
次に、サーバ300は、暗号化されたセル固有番号とTA情報とを基地局100から受信する(S65)。この際、サーバ300は、ワンタイムパスワードを用いて、暗号化されたセル固有番号とTA情報とを復号化する。
次に、サーバ300は、セル固有番号とTA情報とを登録済リストに登録する(S66)。上述したように、ワンタイムパスワード発行の際(図5のS01)には、登録済リストには、図4に示すように、該当する端末IDのエントリにはワンタイムパスワードが登録され、仮登録されている。その後、本処理により、該当する端末IDに、セル固有番号とTA情報とが登録済リストに登録されることになる。
図11に戻り、そして、サーバ300は、一連の処理を終了する(S68)。
一方、サーバ300は、端末IDが登録済リストに登録されているとき(S62でYes)、データ送信の許可応答を基地局100へ送信する(S70)。S70〜S74の処理は、上述した<2.通常時の動作例>に対応する処理である。
次に、サーバ300は、登録済リストで登録済を確認したセル固有番号とTA情報と用いて暗号化伝送路を作成する(S71)。上述したように、サーバ300は、例えば、IKEを利用して暗号化伝送路を作成したり(<2.1 IKEを利用した暗号化伝送路の作成>)、3GPP AKAを利用して暗号化伝送路を作成したりしてもよい(<2.2 3GPP AKAを利用した暗号化伝送路の作成>)。いずれにしても、サーバ300は、セル固有番号とTA情報とを用いて暗号鍵を作成する。
次に、サーバ300は、暗号化されたデータを基地局100から受信し、暗号化伝送路の作成の際に作成した暗号鍵を用いて、暗号化されたデータを復号化する(S72)。
次に、サーバ300は、暗号鍵を作成後、一定時間経過するまでは、作成した暗号鍵を利用して、基地局100から受信した暗号化データを復号化する(S73)。
サーバ300は、暗号鍵を作成後、一定時間経過すると、暗号化伝送路を解放し、作成した暗号鍵を破棄する(S74)。
そして、サーバ300は一連の処理を終了する。
<5.効果について>
図12は、通信システム10の構成例を表す図である。図12を利用して本第1の実施の形態における効果について説明する。
図12は、通信システム10の構成例を表す図である。図12を利用して本第1の実施の形態における効果について説明する。
サーバ300の登録済リストには、端末200−1の端末ID#1が登録されているものとする。図12では、悪意を持った利用者が端末200−2を利用して、端末200−1の端末ID#1を利用して、偽のデータをサーバ300へ送信する例を表している。端末200−1は、なりすまし端末となっている。
この場合、なりすまし端末200−2は、端末200−1と同一の端末ID#を利用しても、通信する基地局100−2は、端末200−1が端末IDを登録した際に利用した基地局100−1とは異なる基地局となっている。この場合、基地局100−2は、セル固有番号を抽出して、サーバ300へ送信することになる。この際、基地局100−1のセル固有番号と基地局100−2のセル固有番号とは異なる。そのため、サーバ300では、暗号化伝送路作成の際に、基地局100−1のセル固有番号に基づく暗号鍵と、基地局100−2のセル固有番号に基づく暗号鍵との不一致を検出する。この場合、サーバ300は、例えば、暗号化伝送路を解放するなどして、基地局100−2のセル固有番号に基づく暗号鍵を使用しないようにする。基地局100−2は、暗号鍵を用いてデータを暗号化することができず、サーバ300への送信もできなくなる。従って、基地局100−2は、なりすまし端末200−2から送信されたデータをサーバ300へ送信することができなくなる。
このように、なりすまし端末200−2が基地局100−2へデータを送信しても、基地局100−2では、データの送信をサーバ300から許可されず、データをサーバ300へ送信しない。そのため、本通信システム10では、偽データが基地局100−2からサーバ300へ送信することがなくなり、なりすまし端末200−2に対してセキュリティを確保することが可能となる。
図13(A)は、登録済リストに登録された端末200を、悪意を持った利用者などが無許可で移動したり、持ち去ったりする場合の例である。この場合、端末200と基地局100との距離が変化することになる。この距離の変化により、移動後の端末200に対して基地局100が取得したTA情報は、移動前のTA情報と異なる。従って、サーバ300では、図12の場合と同様に、移動前後のIoT端末200のTA情報に基づいて作成した暗号鍵の不一致を検出する。そして、基地局100は、移動後のTA情報に基づいて作成した暗号鍵を使用することができなくなる。そのため、基地局100は、移動後のIoT端末200から受信したデータを暗号化してサーバ300へ送信することができなくなる。よって、端末200の無許可移動や持ち去りなどの場合でも、本通信システム10はセキュリティを確保することができる。
図13(B)は、端末200から基地局100を経由してサーバ300へ至る経路とは異なる別経路から、偽データが送信される例を表す図である。端末200に対するセル固有番号とTA情報は、サーバ300内部に登録済リストとして記憶された情報である。従って、サーバ300の外部から、セル固有番号とTA情報とを知ることができない。そのため、図13(B)に示すように別経路から偽データが送信されても、サーバ300は、セル固有番号とTA情報とに基づいて作成された暗号鍵と一致する暗号鍵を作成することはできない。そのため、サーバ300は、偽データに対して暗号鍵を用いて復号化を行うことはしない。これにより、本通信システム10においては、偽経路による偽装行為は行われることができなくなる。よって、本通信システム10は、セキュリティを確保することができる。
また、上述したように、端末200自身は暗号化伝送路を作成したり、暗号化処理や復号化処理を行ったりすることはしない。従って、端末200においてこのような処理が行われる場合と比較して、本通信システム10では、端末200に対する消費電力の削減を図ることが可能となる。
第1の実施の形態においては、<2.通常時の動作例>において暗号化伝送路を作成して暗号鍵を作成する例について説明した(例えば図6のS25)。本通信システム10においては、暗号化伝送路を作成しなくてもよい。この場合、基地局100は、セル固有番号とTA情報自体を、暗号鍵とし、例えば、暗号鍵とデータとの排他的論理和をとって暗号化処理を行ってもよい。一方、サーバ300は、セル固有番号とTA情報とを暗号鍵として、例えば、暗号化データを暗号鍵との排他的論理和の演算を行うことで、復号化処理を行ってもよい。
また、第1の実施の形態においては、<2.通常時の動作例>において、端末200からサーバ300へのデータ送信について説明した。例えば、サーバ300から端末200へのデータ送信についても、第1の実施の形態と同様に実施することが可能である。例えば、図6のS20においては、データが送信されず、S27の処理においては、サーバ300から基地局100へ暗号化データが送信されることになる。この場合、サーバ300において暗号化処理が行われ、基地局100において復号化処理が行われる。
<その他の実施の形態>
図14(A)は、基地局100のハードウェア構成例を表す図である。
図14(A)は、基地局100のハードウェア構成例を表す図である。
基地局100は、アンテナ120、無線回路121、ネットワークIF122、CPU(Central Processing Unit)123、DSP(Digital Signal Processor)124、及びメモリ125を備える。
CPU123は、メモリ125に記憶されたプログラムを読み出して実行することで、制御信号処理部103、ユーザデータ伝送路処理部104、端末ID抽出部106、セル固有番号抽出部107、及び暗号化処理部108の機能を実現する。CPU123は、例えば、制御信号処理部103、ユーザデータ伝送路処理部104、端末ID抽出部106、セル固有番号抽出部107、及び暗号化処理部108に対応する。
また、アンテナ120と無線回路121は、例えば、無線処理部101に対応する。さらに、DSP124は、例えば、ベースバンド処理部102に対応する。さらに、ネットワークIF122は、例えば、有線側送受信部105に対応する。
図14(B)は、サーバ300のハードウェア構成例を表す図である。
サーバ300は、CPU321、ネットワークIF301、及びメモリ323を備える。CPU321は、メモリ323に記憶されたプログラムを読み出して実行することで、暗号化伝送路処理部302、登録済リスト検索部303、ユーザIF304、ワンタイムパスワード発行部305、及びアプリケーション処理部306の機能を実現する。CPU321は、例えば、暗号化伝送路処理部302、登録済リスト検索部303、ユーザIF304、ワンタイムパスワード発行部305、及びアプリケーション処理部306に対応する。また、メモリ323は、例えば、登録済テーブル307に対応する。
図15は端末200の構成例を表す図である。端末200は、アンテナ220、無線回路221、ユーザIF222、モニタ223、入出力部224、CPU225、メモリ226、及びセンサ227を備える。
CPU225は、メモリ226に記憶されたプログラムを読み出して実行することで、端末IDとワンタイムパスワードを基地局100へ送信したり、端末IDとデータとを基地局100へ送信したりする。この際、CPU225は、入出力部224から入力されたワンタイムパスワードを、ユーザIF222を介して受け取り、メモリ226から端末IDを読み出して、端末IDとワンタイムパスワードとを送信することが可能となる。また、CPU225は、センサ227で生成されたデータ(センサデータなど)をセンサ227から受け取って、データを基地局100へ送信することが可能となる。また、CPU225は、プログラムを実行することで、基地局100から送信された完了応答や受領応答などを受信することが可能となる。
図16は、通信システム10の構成例を表す図である。通信システム10は、基地局100、端末200、及びサーバ300を備える。また、基地局100は、セル固有番号抽出部107と暗号化処理部108を備える。基地局100は、固定設置された端末200と無線通信を行う。
セル固有番号抽出部107は、端末200から送信された無線信号に基づいて、固有番号とタイミング情報とを抽出する。固有番号は、例えば、端末200が基地局100の通信可能範囲において基地局100と無線通信を行っているときの通信可能範囲の固有の番号を表す。固有番号は、例えば、セルIDである。また、タイミング情報は、例えば、端末200から送信された無線信号を基地局100で受信するときのタイミングを、他の端末から送信された無線信号を基地局100で受信するときのタイミングと一致させるタイミングを表す。タイミング情報は、例えば、TA情報である。
暗号化処理部108は、固有番号とタイミング情報とに基づいて、端末200から送信されたデータを暗号化し、暗号化したデータをサーバ300へ送信する。
サーバ300は、暗号化伝送路処理部302を備える。暗号化伝送路処理部302は、基地局100から送信された暗号化データを受信し、固有番号とタイミング情報とに基づいて、暗号化データを復号化する。
このように、通信システム10においては、固有番号とタイミング情報とに基づいてデータに対して暗号化を施している。従って、端末200が基地局100とは異なる基地局を介してデータを送信しても、固有番号が異なっているため、基地局100が生成する暗号化データとは異なる暗号化データとなる。サーバ装置300では、このような暗号化データを受信しても、固有番号が異なるため暗号化データを復号化することができない。従って、なりすまし端末によって異なる基地局からデータを送信しても、サーバ300では復号化できず、サーバ300では偽データを拒絶することが可能となる。よって、本通信システム10は、なりすまし端末に対するセキュリティを確保することが可能となる。
また、固定設置された端末200を無許可で移動させたりしても、移動前後で基地局100との距離が異なることから、移動後の端末200から送信される無線信号のタイミング情報は、移動前に固定設置された際のタイミング情報とは、異なるものとなる。従って、この場合も、移動後のタイミング情報でデータが暗号化されても、サーバ300では、タイミング情報が異なることから、暗号化データを復号化できない。よって、本通信システム10は、無許可で端末200を移動した場合でも、セキュリティを確保することが可能となる。
さらに、本通信システム10では、端末200において暗号化処理や復号化処理を行うことがない。従って、端末200に対して暗号化処理や復号化処理を行わせる場合と比較して、本通信システム10では、端末200に対する低消費電力化を図ることが可能となる。
以上まとめると付記のようになる。
(付記1)
固定設置された端末装置と無線通信を行う基地局装置において、
前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、
前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する暗号化処理部と
を備えることを特徴とする基地局装置。
固定設置された端末装置と無線通信を行う基地局装置において、
前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、
前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する暗号化処理部と
を備えることを特徴とする基地局装置。
(付記2)
前記暗号化処理部は、前記固有番号と前記タイミング情報とに基づいて作成した暗号鍵を用いて前記データを暗号化することを特徴とする付記1記載の基地局装置。
前記暗号化処理部は、前記固有番号と前記タイミング情報とに基づいて作成した暗号鍵を用いて前記データを暗号化することを特徴とする付記1記載の基地局装置。
(付記3)
前記暗号化処理部は、前記固有番号と前記タイミング情報とを暗号鍵として、前記固有番号と前記タイミング情報とを用いて前記データを暗号化することを特徴とする付記1記載の基地局装置。
前記暗号化処理部は、前記固有番号と前記タイミング情報とを暗号鍵として、前記固有番号と前記タイミング情報とを用いて前記データを暗号化することを特徴とする付記1記載の基地局装置。
(付記4)
前記暗号化処理部は、前記固有番号と前記タイミング情報、及び前記サーバ装置から受信した第1の鍵生成情報に基づいて第1の暗号鍵を生成し、前記固有番号と前記タイミング情報、及び前記サーバ装置から受信した、前記第1の暗号鍵を利用して復号化した第2の鍵生成情報に基づいて第2の暗号鍵を生成し、生成した前記第2の暗号鍵を用いて前記データを暗号化することを特徴とする付記2記載の基地局装置。
前記暗号化処理部は、前記固有番号と前記タイミング情報、及び前記サーバ装置から受信した第1の鍵生成情報に基づいて第1の暗号鍵を生成し、前記固有番号と前記タイミング情報、及び前記サーバ装置から受信した、前記第1の暗号鍵を利用して復号化した第2の鍵生成情報に基づいて第2の暗号鍵を生成し、生成した前記第2の暗号鍵を用いて前記データを暗号化することを特徴とする付記2記載の基地局装置。
(付記5)
前記暗号化処理部は、前記固有番号と前記タイミング情報とを、K値の代わりに、共有秘密鍵として利用し、前記固有番号と前記タイミング情報とに基づいて前記暗号鍵を作成し、作成した前記暗号鍵を用いて前記データを暗号化することを特徴とする付記2記載の基地局装置。
前記暗号化処理部は、前記固有番号と前記タイミング情報とを、K値の代わりに、共有秘密鍵として利用し、前記固有番号と前記タイミング情報とに基づいて前記暗号鍵を作成し、作成した前記暗号鍵を用いて前記データを暗号化することを特徴とする付記2記載の基地局装置。
(付記6)
前記暗号化処理部は、前記サーバ装置により発行され前記端末装置から送信されたワンタイムパスワードを利用して前記固有番号と前記タイミング情報とを暗号化し、暗号化した前記固有番号と前記タイミング情報とを前記サーバ装置へ送信することを特徴とする付記1記載の基地局装置。
前記暗号化処理部は、前記サーバ装置により発行され前記端末装置から送信されたワンタイムパスワードを利用して前記固有番号と前記タイミング情報とを暗号化し、暗号化した前記固有番号と前記タイミング情報とを前記サーバ装置へ送信することを特徴とする付記1記載の基地局装置。
(付記7)
更に、接続要求と前記端末装置から受信した前記端末装置の識別情報とを前記サーバ装置へ送信し、前記サーバ装置から前記識別情報が登録済リストに登録されていないことを表す結果応答を受信したとき、結果応答を受信したことを示す信号を前記暗号化処理部へ出力するユーザデータ伝送路処理部を備え、
前記暗号化処理部は、前記結果応答を受信したことを示す信号を受け取ったとき、前記ワンタイムパスワードを利用して前記固有暗号と前記タイミング情報とを暗号化することを特徴とする付記6記載の基地局装置。
更に、接続要求と前記端末装置から受信した前記端末装置の識別情報とを前記サーバ装置へ送信し、前記サーバ装置から前記識別情報が登録済リストに登録されていないことを表す結果応答を受信したとき、結果応答を受信したことを示す信号を前記暗号化処理部へ出力するユーザデータ伝送路処理部を備え、
前記暗号化処理部は、前記結果応答を受信したことを示す信号を受け取ったとき、前記ワンタイムパスワードを利用して前記固有暗号と前記タイミング情報とを暗号化することを特徴とする付記6記載の基地局装置。
(付記8)
更に、接続要求と前記端末装置から受信した前記端末装置の識別情報とを前記サーバ装置へ送信し、暗号化された前記データの送信を許可する許可応答を受信したとき、許可応答を受信したことを示す信号を前記暗号化処理部へ出力するユーザデータ伝送路処理部を備え、
前記暗号化処理部は、前記許可応答を受信したことを示す信号を受け取ったとき、前記固有番号と前記タイミング情報とに基づいて前記暗号鍵を作成することを特徴とする付記2記載の基地局装置。
更に、接続要求と前記端末装置から受信した前記端末装置の識別情報とを前記サーバ装置へ送信し、暗号化された前記データの送信を許可する許可応答を受信したとき、許可応答を受信したことを示す信号を前記暗号化処理部へ出力するユーザデータ伝送路処理部を備え、
前記暗号化処理部は、前記許可応答を受信したことを示す信号を受け取ったとき、前記固有番号と前記タイミング情報とに基づいて前記暗号鍵を作成することを特徴とする付記2記載の基地局装置。
(付記9)
前記暗号化処理部は、作成した暗号鍵を、作成後一定時間経過した後に破棄することを特徴とする付記1記載の基地局装置。
前記暗号化処理部は、作成した暗号鍵を、作成後一定時間経過した後に破棄することを特徴とする付記1記載の基地局装置。
(付記10)
固定設置された端末装置と、
前記端末装置と無線通信を行う基地局装置と、
サーバ装置とを備えた通信システムにおいて、
前記基地局装置は、
前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、
前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化したデータを前記サーバ装置へ送信する暗号化処理部とを備え、
前記サーバ装置は、前記固有番号と前記タイミング情報とに基づいて、前記基地局装置から受信した前記暗号化されたデータを復号化する暗号化伝送路処理部を備える、
ことを特徴とする通信システム。
固定設置された端末装置と、
前記端末装置と無線通信を行う基地局装置と、
サーバ装置とを備えた通信システムにおいて、
前記基地局装置は、
前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、
前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化したデータを前記サーバ装置へ送信する暗号化処理部とを備え、
前記サーバ装置は、前記固有番号と前記タイミング情報とに基づいて、前記基地局装置から受信した前記暗号化されたデータを復号化する暗号化伝送路処理部を備える、
ことを特徴とする通信システム。
(付記11)
セル固有番号抽出部と暗号化処理部とを有し、固定設置された端末装置と無線通信を行う基地局装置における通信方法であって、
前記セル固有番号抽出部により、前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出し、
前記暗号化処理部により、前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する
ことを特徴とする通信方法。
セル固有番号抽出部と暗号化処理部とを有し、固定設置された端末装置と無線通信を行う基地局装置における通信方法であって、
前記セル固有番号抽出部により、前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出し、
前記暗号化処理部により、前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する
ことを特徴とする通信方法。
10:通信システム 100(100−1,100−2):基地局装置
102:ベースバンド処理部 103:制御信号処理部
104:ユーザデータ伝送路処理部 105:有線側送受信部
106:端末ID抽出及び判定部 107:セル固有番号及びTA情報抽出部
108:暗号化処理部 200(200−1,200−2):端末装置
300:サーバ装置 302:暗号化伝送路及び復号化処理部
303:登録済リスト検索及び抽出部 305:ワンタイムパスワード発行部
307:登録済テーブル
102:ベースバンド処理部 103:制御信号処理部
104:ユーザデータ伝送路処理部 105:有線側送受信部
106:端末ID抽出及び判定部 107:セル固有番号及びTA情報抽出部
108:暗号化処理部 200(200−1,200−2):端末装置
300:サーバ装置 302:暗号化伝送路及び復号化処理部
303:登録済リスト検索及び抽出部 305:ワンタイムパスワード発行部
307:登録済テーブル
Claims (6)
- 固定設置された端末装置と無線通信を行う基地局装置において、
前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、
前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する暗号化処理部と
を備えることを特徴とする基地局装置。 - 前記暗号化処理部は、前記固有番号と前記タイミング情報とに基づいて作成した暗号鍵を用いて前記データを暗号化することを特徴とする請求項1記載の基地局装置。
- 前記暗号化処理部は、前記固有番号と前記タイミング情報とを暗号鍵として、前記固有番号と前記タイミング情報とを用いて前記データを暗号化することを特徴とする請求項1記載の基地局装置。
- 前記暗号化処理部は、前記サーバ装置により発行され前記端末装置から送信されたワンタイムパスワードを利用して前記固有番号と前記タイミング情報とを暗号化し、暗号化した前記固有番号と前記タイミング情報とを前記サーバ装置へ送信することを特徴とする請求項1記載の基地局装置。
- 固定設置された端末装置と、
前記端末装置と無線通信を行う基地局装置と、
サーバ装置とを備えた通信システムにおいて、
前記基地局装置は、
前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出するセル固有番号抽出部と、
前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化したデータを前記サーバ装置へ送信する暗号化処理部とを備え、
前記サーバ装置は、前記固有番号と前記タイミング情報とに基づいて、前記基地局装置から受信した前記暗号化されたデータを復号化する暗号化伝送路処理部を備える、
ことを特徴とする通信システム。 - セル固有番号抽出部と暗号化処理部とを有し、固定設置された端末装置と無線通信を行う基地局装置における通信方法であって、
前記セル固有番号抽出部により、前記端末装置から送信された無線信号に基づいて、前記端末装置が前記基地局装置の通信可能範囲において前記基地局装置と無線通信を行っているときの前記通信可能範囲の固有の番号を表す固有番号と、前記端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングを他の端末装置から送信された無線信号を前記基地局装置で受信するときのタイミングと一致させるタイミングを表すタイミング情報とを抽出し、
前記暗号化処理部により、前記固有番号と前記タイミング情報とに基づいて、前記端末装置から送信されたデータを暗号化し、暗号化した前記データをサーバ装置へ送信する
ことを特徴とする通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017130797A JP2019016841A (ja) | 2017-07-04 | 2017-07-04 | 基地局装置、通信システム、及び通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017130797A JP2019016841A (ja) | 2017-07-04 | 2017-07-04 | 基地局装置、通信システム、及び通信方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019016841A true JP2019016841A (ja) | 2019-01-31 |
Family
ID=65359363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017130797A Pending JP2019016841A (ja) | 2017-07-04 | 2017-07-04 | 基地局装置、通信システム、及び通信方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019016841A (ja) |
-
2017
- 2017-07-04 JP JP2017130797A patent/JP2019016841A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10601594B2 (en) | End-to-end service layer authentication | |
JP6262308B2 (ja) | リンク設定および認証を実行するシステムおよび方法 | |
US11178584B2 (en) | Access method, device and system for user equipment (UE) | |
CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
US10567428B2 (en) | Secure wireless ranging | |
JP4804983B2 (ja) | 無線端末、認証装置、及び、プログラム | |
KR100896365B1 (ko) | 모바일 디바이스 인증 방법 및 장치 | |
JP4805935B2 (ja) | 区別されたランダムチャレンジを用いて認証をブートストラップすること | |
CN109923830A (zh) | 用于配置无线网络接入设备的系统和方法 | |
WO2017091959A1 (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
JP2008512966A5 (ja) | ||
CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
KR101297648B1 (ko) | 서버와 디바이스간 인증방법 | |
WO2021103772A1 (zh) | 数据传输方法和装置 | |
US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
WO2019085659A1 (zh) | 一种信息交互方法及装置 | |
WO2020216047A1 (zh) | 一种认证信息处理方法、终端和网络设备 | |
JP2019016841A (ja) | 基地局装置、通信システム、及び通信方法 | |
CN102487505B (zh) | 一种传感器节点的接入认证方法、装置及系统 | |
WO2019024937A1 (zh) | 密钥协商方法、装置及系统 | |
US20230300615A1 (en) | Security authentication method and apparatus applied to wi-fi | |
WO2022109940A1 (zh) | 应用于WiFi的安全认证的方法和装置 | |
TWI514189B (zh) | 網路認證系統及其方法 | |
TW202037110A (zh) | 獲取無線網路中攻擊的方法和電子設備 | |
Sun | A Study of Wireless Network Security |