JP5486371B2 - 通信システム及びこの通信システムに用いる通信装置 - Google Patents

通信システム及びこの通信システムに用いる通信装置 Download PDF

Info

Publication number
JP5486371B2
JP5486371B2 JP2010071435A JP2010071435A JP5486371B2 JP 5486371 B2 JP5486371 B2 JP 5486371B2 JP 2010071435 A JP2010071435 A JP 2010071435A JP 2010071435 A JP2010071435 A JP 2010071435A JP 5486371 B2 JP5486371 B2 JP 5486371B2
Authority
JP
Japan
Prior art keywords
information
identification information
alternative
communication
alternative identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010071435A
Other languages
English (en)
Other versions
JP2011205450A (ja
Inventor
健司 安
尚弘 福田
智樹 高添
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2010071435A priority Critical patent/JP5486371B2/ja
Publication of JP2011205450A publication Critical patent/JP2011205450A/ja
Application granted granted Critical
Publication of JP5486371B2 publication Critical patent/JP5486371B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、秘密情報を送信する通信システム及びこの通信システムに用いる通信装置に関する。
従来より、個人のプライバシーに関する個人報等のユーザの秘密情報を送信しても、当該情報から個人が特定されることを回避する技術として、下記の特許文献1,2等が知られている。このような情報は、喩え単一の情報だけでは価値がなくても、特定のユーザのID情報とその履歴情報が収集されることで、プライバシーの侵害が発生する恐れが高かった。
これに対し、特許文献1に記載された発明では、HTTPプロトコルのクッキーの仕組みにより、ユーザの識別をしていた。具体的には、クッキーを変更することで、ポイントツーポイントの間でのみ特定のユーザのID情報とその履歴情報の紐つけを妨げることでユーザの特定をしにくくできた。また、特許文献2に記載された発明では、ユーザのID情報を暗号化し、別のID情報として通信を行うことにより、ユーザの特定をしにくくしていた。
特開平10−257048号公報 特開2000−231544号公報
上述した特許文献1,2等の技術では、各通信装置によってID情報と秘密情報との対応付けを困難としている。しかしながら、複数の通信装置から出力された複数の秘密情報を収集した場合に、当該秘密情報の集合が高い価値を有することがある。
例えば、機器Aが有している秘密情報と、機器Bが有している秘密情報とが同一ユーザ又は同一グループ(住宅)に関するものであるとする。この場合、特許文献1,2等の技術によれば、個々の秘密情報からユーザを特定することは困難である。しかし、秘密情報の集約によって各秘密情報の関連が推定され、個々の秘密情報の価値よりも、プライバシーの侵害の脅威が高まる恐れがあった。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、複数の秘密情報が漏洩したときにおいても、当該秘密情報からユーザを特定することを困難とすることができる通信システム及びこの通信システムに用いる通信装置を提供することを目的とする。
上記の課題を解決する第1の態様に係る通信システムは、複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量と、前記秘密情報の種類に対応して設定された重み付けとに基づいて、前記代替識別情報の更新間隔を変更することを特徴とするものである。
第2の態様に係る通信システムは、複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量と、前記通信手段に接続された通信装置のうち前記所定の送信先装置に対して下流側に接続された通信装置の接続数とに基づいて、前記代替識別情報の更新間隔を変更することを特徴とする。
態様に係る通信システムは、複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量と、前記所定の送信先装置までのホップ数に基づいて、前記代替識別情報の更新間隔を設定することを特徴とする。
態様に係る通信システムは、複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量に基づいて、前記代替識別情報を新たに生成する更新間隔を短くし、少なくとも前記秘密情報の情報量に基づいて生成した代替識別情報と、前記所定の送信先装置に対して下流側に接続された通信装置の代替識別情報との排他的論理和により得た値を、自己の代替識別情報に設定することを特徴とする。
5の態様に係る通信装置は、所定の送信先装置に対して秘密情報を送信する通信装置において、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量と、前記秘密情報の種類に対応して設定された重み付けとに基づいて、前記代替識別情報の更新間隔を変更することを特徴とする。
態様に係る通信装置は、所定の送信先装置に対して秘密情報を送信する通信装置において、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量と、前記通信手段に接続された通信装置のうち前記所定の送信先装置に対して下流側に接続された通信装置の接続数とに基づいて、前記代替識別情報の更新間隔を変更することを特徴とする。
第7の態様に係る通信装置は、所定の送信先装置に対して秘密情報を送信する通信装置において、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量と、前記所定の送信先装置までのホップ数に基づいて、前記代替識別情報の更新間隔を設定することを特徴とする。
第8の態様に係る通信装置は、所定の送信先装置に対して秘密情報を送信する通信装置において、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、前記代替識別情報生成手段は、前記秘密情報の情報量に基づいて、前記代替識別情報を新たに生成する更新間隔を短くし、少なくとも前記秘密情報の情報量に基づいて生成した代替識別情報と、前記所定の送信先装置に対して下流側に接続された通信装置の代替識別情報との排他的論理和により得た値を、自己の代替識別情報に設定することを特徴とする。
本発明によれば、秘密情報の情報量に基づいて、代替識別情報の更新間隔を短くすることができるので、多くの秘密情報が収集されることによりユーザが特定されやすくなる状況であっても、ユーザを特定することを困難とできる。
本発明の一実施形態として示す通信システムのブロック図である。 本発明の一実施形態として示す通信システムにおいて、サーバからセンサー機器に対するリクエストにより秘密情報を収集するときのシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、サーバからセンサー機器に対するリクエストに応じて、センサー機器にてイベントが発生したときに、秘密情報を収集するときのシーケンス図である。 本発明の一実施形態として示す通信システムにおける通信装置のブロック図である。 本発明の一実施形態として示す通信システムにおける通信装置が本来のID情報をハッシュする回数と代替ID情報との関係を示す図である。 本発明の一実施形態として示す通信システムにおいて、秘密情報の情報量と秘密情報の種類に応じた重みと、ID情報の更新間隔との関係を示す図である。 本発明の一実施形態として示す通信システムにおいて、通信装置に接続された下位ノード数とID情報の更新間隔との関係を示す図である。 本発明の一実施形態として示す通信システムにおいて、通信装置がサーバまでのホップ数を取得するときのシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、代替ID情報と誤り訂正/検出符号との排他的論理和により合成した値を、自己の代替ID情報にして秘密情報を収集するときのシーケンス図である。 本発明の一実施形態として示す通信システムにおいて、通信装置により秘密情報を送信するときのフローチャートである。 本発明の一実施形態として示す通信システムにおいて、通信装置によりサーバにID情報の更新間隔を送信するときのフローチャートである。
以下、本発明の実施の形態について図面を参照して説明する。
本発明の実施形態として示す通信システムについて、図1乃至図5を参照して説明する。この通信システムは、複数の秘密情報が漏洩したときにおいても、当該秘密情報からユーザを特定することを困難とすることができるものである。この秘密情報は、機微情報、個人情報を含む。機微情報は、個人情報保護の分野において、センシティブ情報と称される。この機微情報は、特に取り扱いに配慮が必要な個人情報である。機微情報は、例えば、銀行口座番号、クレジットカード番号、取引履歴、年間収入、顔写真など画像、電話や電子メールの通信記録、家族構成、現住所、メールアドレス、学歴、職歴、生年月日等を含む。すなわち、秘密情報としては、個人が特定できる個人情報に加え、個人が特定できなくてもユーザの個人に関する情報、複数の情報を組み合わせることにより個人が推定される情報も含む。
図1に示す通信システムは、サーバ1、中継装置2、複数のセンサー機器3,4を含む。この通信システムにおいて、中継装置2及びセンサー機器3,4は、双方間で通信可能に接続されている。中継装置2及びセンサー機器3,4は、それぞれが、所定の送信先装置であるサーバ1に対して秘密情報を送信するように構成されている。
センサー機器3,4は、例えば、住宅内に設置されたパーソナルコンピュータ、情報家電、人感センサ、テレビ受像機等である。このセンサー機器3,4は、サーバ1側(上流側)に、中継装置2及びサーバ1が接続されている。なお、この実施形態においては、センサー機器3,4は、サーバ1や他の装置からのリクエストを受信して又はイベント発生時、秘密情報を送信するものである。また、センサー機器3,4は、下流側に他の機器が接続されていないが、自らが秘密情報を検出し、且つ、他の機器の秘密情報を中継するものであっても良い。
中継装置2は、例えば、センサー機器3,4が設置された住宅内に設けられた情報送受信装置である。中継装置2は、少なくとも、センサー機器3,4からサーバ1への通信を中継するものである。中継装置2は、センサー機器3,4に対する上流側にサーバ1が接続され、サーバ1に対して下流側にセンサー機器3,4が接続されている。
センサー機器3は、自己の識別情報である本来のID情報が“O1”に設定されている。センサー機器4は、自己の識別情報である本来のID情報が“O2”に設定されている。中継装置2は、自己の識別情報である本来のID情報が“O3”に設定されている。各識別情報は、例えば、任意の符号数からなる符号列であっても良く、IPアドレス、MACアドレス等であっても良い。
このような通信システムは、例えば図2に示すように動作する。図2は、サーバ1からセンサー機器3,4により検出している秘密情報を取得するコマンドC1が発生したときのスロットS1における動作を示す。サーバ1から送信されたID情報(O3)を含むコマンドC1(O3)は、中継装置2に送信され、コマンドC2(O2)、コマンドC3(O3)として、中継装置2からセンサー機器3,4に送信される。これに応じ、センサー機器3は、秘密情報d1及び自己のID情報O1を含むレスポンスR1(O1,d1)を中継装置2に送信する。センサー機器4は、後述の中継装置2の代替ID情報の更新間隔T内に、秘密情報d2及び自己のID情報O2を含むレスポンスR1(O2,d2)を中継装置2に送信する。これに応じ、中継装置2h、スロットS1内に、自己のID情報(O3)とセンサー機器3,4から受信した秘密情報d1,d2を含むレスポンスR3(O3,{d1,d2})をサーバ1に送信する。これにより、サーバ1は、要求したセンサー機器3,4の秘密情報d1,d2を取得できる。なお、図2中のTは、センサー機器3,4における代替ID情報の更新間隔であるが、この代替ID情報の更新間隔については後述する。
しかし、図2に示すシーケンスを行う通信システムでは、不正端末10により、センサー機器3のID情報(O1)、センサー機器4のID情報(O2)及び中継装置2のID情報(O3)と秘密情報d1,d2とが関連付けられてしまう恐れがある。特に、中継装置2及びセンサー機器3,4が、継続して固定したID情報を使用していると、秘密情報d1,d2とID情報とが関連付けられやすい。したがって、本実施形態における通信システムは、例えば図3に示すように、中継装置2が、自己のID情報(O3)とは異なる代替ID情報である代替ID情報(O3’)を生成する。
図3に示すシーケンスは、サーバ1がセンサー機器3,4に対してイベント発生時に秘密情報d1,d2を送信するコマンドC1を送信し、中継装置2がコマンドC1を、コマンドC2,C3としてセンサー機器3,4に中継している。その後、イベント発生時に、センサー機器3,4が秘密情報d1,d2をサーバ1に対して送信する動作を示す。なお、図3中のTは、中継装置2における代替ID情報の更新間隔であるが、この代替ID情報の更新間隔については後述する。
センサー機器4は、秘密情報d2を送信するイベント(2)が発生すると、当該イベント(2)に応じた秘密情報d2を含むレスポンスR2(O2,d2)を中継装置2に送信する。これに応じ、中継装置2は、スロットS1において、自己のID情報に対する代替ID情報(O3’)を含むレスポンスR3(O3’,d2)をサーバ1に送信する。
センサー機器3は、秘密情報d1を送信するイベント(1)が発生すると、当該イベント(1)に応じた秘密情報d1を含むレスポンスR1(O1,d1)を中継装置2に送信する。これに応じ、中継装置2は、スロットS1において、自己のID情報に対する代替ID情報(O3’)を含むレスポンスR3(O3’,d1)をサーバ1に送信する。
このように、通信システムは、図2に示したように自己のID情報(O3)を含むレスポンスRを送信する状態から、図3に示したように自己のID情報(O3)に対する代替ID情報(O3’)を含むレスポンスRを送信する状態に切り換えることができる。これにより、喩え中継装置2とサーバ1との間に不正端末10が接続されていて、複数のレスポンスRが盗聴されても、ID情報がO3とO3’とで異なるので、当該秘密情報d1,d2から、中継装置2やセンサー機器3,4のユーザを特定することを困難とすることができる。
以下、中継装置2により、ID情報を代替ID情報の更新できる構成について説明する。なお、以下の説明は、中継装置2が代替ID情報の更新ができる例について説明するが、センサー機器3,4も、代替ID情報の更新ができることは勿論である。すなわち、中継装置2における後述の送信情報作成部13、代替ID情報生成部15、ID情報記憶部16、秘密情報解析部17を備えていれば、センサー機器3,4であっても、代替ID情報の更新できる。
このような中継装置2は、例えば図4に示すような機能的な構成を有する。中継装置2は、センサ側通信I/F部11、受信バッファ12、送信情報作成部13、サーバ側通信I/F部14、代替ID情報生成部15、ID情報記憶部16、秘密情報解析部17を有する。
センサ側通信I/F部11は、センサー機器3,4から送信された秘密情報d1,d2を受信し、当該秘密情報d1,d2を受信バッファ12に格納する。
秘密情報解析部17は、受信バッファ12に記憶された秘密情報d1,d2を読み出し、当該秘密情報d1,d2の情報量を解析する。このとき、秘密情報解析部17は、予め設定された所定時間毎の秘密情報d1,d2の情報量を求める。この所定時間毎の秘密情報d1,d2の情報量は、d1,d2の合計の情報量である。しかし、d1,d2の一方の情報量であっても良い。
代替ID情報生成部15は、ID情報記憶部16に記憶された自己のID情報に基づいて、代替ID情報を生成する。また、代替ID情報生成部15は、この代替ID情報を、代替ID情報の更新間隔Tごとに生成する。代替ID情報生成部15は、代替ID情報の更新間隔を変更できる。
代替ID情報生成部15は、秘密情報d1,d2の情報量に基づいて、代替ID情報を新たに生成する更新間隔を短くする。代替ID情報生成部15は、中継装置2に供給される秘密情報d1,d2の情報量が多いほど、代替ID情報の更新間隔を短くする。代替ID情報生成部15は、中継装置2に供給される秘密情報d1,d2の情報量が多くないほど、代替ID情報の更新間隔を長くする。
具体的には、代替ID情報生成部15は、下記の式1に示す算出式に従った処理を行って、代替ID情報の更新間隔を変更する。
Figure 0005486371
上記式1において、Tは代替ID情報の更新間隔、kは中継装置2からサーバ1までのホップ数、wは秘密情報ごとに設定される重み、wmaxはwの最大値、xは秘密情報d1,d2の個数(情報量)、mは中継装置2の下位に接続されたノード数、dは秘密情報である。
したがって、代替ID情報生成部15は、上記式1に従って代替ID情報の更新間隔Tを決定し、当該代替ID情報の更新間隔Tごとに新たな代替ID情報を生成できる。
また、代替ID情報生成部15による代替ID情報を生成する算出式は、下記の式2,式3のようになる。
Figure 0005486371
上記式2において、nx,iはi番目の代替ID情報の更新タイミングにおけるハッシュ回数であり、nx,i−1はi−1番目の代替ID情報の更新タイミングにおけるハッシュ回数である。式3において、Oは中継装置2の本来のID情報であり、O’は代替ID情報である。
代替ID情報生成部15は、代替ID情報の更新間隔ごとに、式3に従って、所定のハッシュ関数h(nx,i,(O))を用いて、中継装置2の本来のID情報Oを式2で示されるハッシュ回数nx,iに亘りハッシュ化した値を得る。これにより、代替ID情報生成部15は、当該ハッシュ化した値を、新たな代替ID情報O’に設定できる。その後、代替ID情報生成部15は、式2に従って、今回に代替ID情報O’を求めるためのハッシュ回数nx,i−1を、デクリメントして、次の代替ID情報O’の更新間隔におけるハッシュ回数nx,iを設定する。
これにより、代替ID情報生成部15は、図5に示すように、初期のハッシュ回数nx,0を100とし、代替ID情報の更新間隔ごとにハッシュ回数をデクリメントすることにより、100通りの代替ID情報O’〜O’99を生成できる。
送信情報作成部13は、受信バッファ12に格納されている秘密情報d1,d2を含む送信情報を作成する。送信情報作成部13は、代替ID情報生成部15から代替ID情報が供給される。送信情報作成部13は、送信情報を作成する度に代替ID情報生成部15から代替ID情報を取得する動作又は代替ID情報が更新される度に代替ID情報を取得する動作を行う。これにより、送信情報作成部13は、送信情報を作成する時に代替ID情報生成部15で作成された最新の代替ID情報を送信情報に含めることができる。
サーバ側通信I/F部14は、送信情報作成部13により作成された送信情報をサーバ1に対して送信する。
サーバ1は、中継装置2から送信された送信情報から秘密情報d1,d2を得ることができる。また、サーバ1は、中継装置2及びセンサー機器3,4から、それぞれが使用しているハッシュ関数、代替ID情報の更新間隔Tを得る。また、サーバ1は、代替ID情報の更新間隔T又は代替ID情報の履歴を得ても良い。これにより、サーバ1は、中継装置2及びセンサー機器3,4の代替ID情報と受信した秘密情報d1,d2との紐付を行うことができ、受信した秘密情報d1,d2がどのセンサー機器3,4から送信されたものであるかを認識して、秘密情報d1,d2を蓄積できる。
以上説明したように、本発明の実施形態として示した通信システムによれば、秘密情報の情報量cに基づいて、代替ID情報の更新間隔を短くすることができる。ここで、秘密情報の情報量cが多く、多くの秘密情報が収集されることにより不正端末10にユーザが特定されやすくなる。しかし、この通信システムによれば、秘密情報の情報量cが多くなるほど、代替ID情報の更新間隔Tを短くして、代替ID情報の更新頻度を高くする。これにより、中継装置2は、多くの秘密情報d1,d2をサーバ1に対して送信しても、ユーザを特定することを困難とでき、秘密情報d1,d2の漏洩に対するセキュリティ性を向上させることができる。
また、この通信システムにおけるセンサー機器3,4は、中継装置2におけるサーバ側通信I/F部14、秘密情報解析部17、代替ID情報生成部15、ID情報記憶部16、送信情報作成部13を備えることができる。これにより、センサー機器3,4も、中継装置2と同様に、代替ID情報を生成し、秘密情報の情報量cに基づいて代替ID情報の更新間隔を変更できる。これにより、センサー機器3,4は、多くの秘密情報d1,d2をサーバ1に対して送信しても、ユーザを特定することを困難とでき、秘密情報d1,d2の漏洩に対するセキュリティ性を向上させることができる。
なお、この通信システムにおいて、秘密情報の情報量cが多くなるほど代替ID情報の更新間隔Tを短くするためには、式1に示された全てのパラメータを演算する必要はないことは勿論である。すなわち、代替ID情報生成部15は、例えば、式1を変形して
代替ID情報の更新間隔T=1/秘密情報の情報量c
なる演算式により、代替ID情報の更新間隔Tを求めても良い。
また、この通信システムにおいて、代替ID情報生成部15は、式1に示したように、秘密情報の情報量cと、秘密情報d1,d2の種類に対応して設定された重み付けwとに基づいて、代替ID情報の更新間隔Tを変更することができる。すなわち、式1に示したように、秘密情報d1,d2の情報量c(d)に対して、当該秘密情報d1,d2の種類に応じた重みw(d)を乗算し、当該重みw(d)を大きくするほど、代替ID情報の更新間隔Tを短くできる。具体的には、通信システムは、図6に示すように、秘密情報d1,d2が収集されるほど高くなる機微度が高い場合には、重みw(d)を大きくして、代替ID情報の更新間隔Tを短くすることができる。
これにより、通信システムによれば、ユーザが特定されやすい秘密情報d1,d2ほど、当該秘密情報d1,d2の重みw(d)を高くすることにより、秘密情報の情報量cと秘密情報の種類に応じた重みwの乗算値を高くできる。したがって、この通信システムによれば、ユーザが特定されやすい秘密情報d1,d2が集まったときには、代替ID情報の更新間隔Tを短くすることによってユーザが特定されにくくし、更にセキュリティ性を高めることができる。
なお、この通信システムにおいて、秘密情報の情報量c及び秘密情報d1,d2の種類に応じた重みwに基づいて代替ID情報の更新間隔Tを短くするためには、式1に示された全てのパラメータを演算する必要はないことは勿論である。すなわち、代替ID情報生成部15は、例えば、式1を変形して、
代替ID情報の更新間隔T=1/秘密情報の情報量c×秘密情報の種類に応じた重みw
なる演算式により、代替ID情報の更新間隔Tを求めても良い。
更に、この通信システムにおいて、代替ID情報生成部15は、式1に示したように、センサ側通信I/F部11に接続された通信装置のうち、サーバ1に対して下流側に接続されたセンサー機器3,4の接続数(下位ノード数m)に基づいて、代替ID情報の更新間隔Tを変更することもできる。すなわち、式1に示したように、代替ID情報の更新間隔Tが下位ノード数mに反比例するようにする。また、式1に示したように、秘密情報の情報量c及び秘密情報d1,d2の種類に応じた重みwからなる値を下位ノード数mが多いほど高くしても良い。これにより、代替ID情報生成部15は、図7に示すように、下位ノード数mが多いほど、代替ID情報の更新間隔Tを短くできる。
この通信システムによれば、中継装置2に接続される下位ノード数mが多くなるほど、秘密情報d1,d2が多く集まるので、当該中継装置2における代替ID情報の更新間隔Tを短くすることができる。したがって、この通信システムによれば、ユーザが特定されやすい秘密情報d1,d2が集まりやすい位置に中継装置2が配置されている場合には、代替ID情報の更新間隔Tを短くすることによってユーザが特定されにくくし、更にセキュリティ性を高めることができる。
なお、この通信システムにおいて、下位ノード数mが多いほど代替ID情報の更新間隔Tを短くするためには、式1に示された全てのパラメータを演算する必要はないことは勿論である。すなわち、代替ID情報生成部15は、例えば、式1を変形して
代替ID情報の更新間隔T=1/下位ノード数m×秘密情報の情報量c、又は、
代替ID情報の更新間隔T=Σ秘密情報の種類に応じた重みw×秘密情報の情報量c
なる演算式により、代替ID情報の更新間隔Tを求めても良い。なお、上記Σは、下位ノード数mだけ、秘密情報の種類に応じた重みw×秘密情報の情報量cの総和を取ることを意味する。
更にまた、通信システムにおいて、代替ID情報生成部15は、式1に示したように、サーバ1までのホップ数kに基づいて、代替ID情報の更新間隔Tを設定することもできる。すなわち、式1に示したように、中継装置2からサーバ1までのホップ数kに反比例するようにする。これにより、代替ID情報生成部15は、ホップ数kが少ないほど、代替ID情報の更新間隔Tを短くできる。
この通信システムによれば、ホップ数kが少なくなるほど、サーバ1に対して送信する秘密情報d1,d2が多く集まるので、当該中継装置2における代替ID情報の更新間隔Tを短くすることができる。したがって、この通信システムによれば、サーバ1に近い方が多くの秘密情報d1,d2を受信している可能性が高いので、代替ID情報の更新間隔Tを短くしてユーザが特定されにくくし、更にセキュリティ性を高めることができる。
なお、この通信システムにおいて、ホップ数kが少ないほど代替ID情報の更新間隔Tを短くするためには、式1に示された全てのパラメータを演算する必要はないことは勿論である。すなわち、代替ID情報生成部15は、例えば、式1を変形して、
代替ID情報の更新間隔T=ak/秘密情報の情報量cを含む関数(a:任意の係数)
なる演算式により、代替ID情報の更新間隔Tを求めても良い。
具体的には、図1の構成において、中継装置2のホップ数kは「1」となる。しかし、センサー機器3,4については、ホップ数kは「2」となる。各通信装置がホップ数kを取得するためには、例えば、図8に示すようになる。
センサー機器3は、自己のホップ数kを取得する場合、先ず、ホップ数k=0を含むリクエストを中継装置2に送信する。すると、中継装置2は、当該リクエストにおけるホップ数kをインクリメントして、k=k+1=1に更新して、当該ホップ数k=1を含むリクエストをサーバ1における上流側に転送する。サーバ1は、当該リクエストにおけるホップ数kをインクリメントして、k=k+1=2に更新して、当該ホップ数k=2を含むレスポンスを下流側に転送する。中継装置2は、上流側(サーバ側通信I/F部14)であるサーバ1からレスポンスを受信すると、当該レスポンスをそのまま下流(センサ側通信I/F部11)に転送する。これにより、センサー機器3は、当該レスポンス内のホップ数kが「2」であるので、自己のホップ数kが「2」であることを認識できる。これにより、通信システムにおける通信装置は、自己のホップ数kを取得して、当該ホップ数kが少ないほど代替ID情報の更新間隔Tを短くできる。
以上のように、通信システムを構成する通信装置(中継装置2、センサー機器3,4)は、秘密情報の情報量c、秘密情報d1,d2の種類に応じた重みw、下位ノード数m、ホップ数kに基づいて、代替ID情報の更新間隔Tを設定できる。このような通信システムは、秘密情報の情報量c、秘密情報d1,d2の種類に応じた重みw、下位ノード数mに反比例して、ホップ数kに対して比例して、代替ID情報の更新間隔Tを設定している。しかし、通信システムは、秘密情報d1,d2が集まるほど非線形に急峻に更新間隔を短くしても良い。すなわち、秘密情報の情報量c、秘密情報d1,d2の種類に応じた重みw、下位ノード数m、ホップ数kのうち、代替ID情報の更新間隔Tに指数関数的に寄与させたいパラメータがある場合には、当該パラメータが変化することに応じて、代替ID情報の更新間隔Tを急峻に更新できる。例えば、通信システムによれば、秘密情報d1,d2の種類によっては、ユーザが特定されやすいものがある場合に、当該秘密情報d1,d2の種類を通信装置を受信した場合には、当該通信装置の代替ID情報の更新間隔Tを急峻に短くできる。これにより、通信システムは、更にセキュリティ性を高めることができる。
更にまた、この通信システムにおける通信装置において、代替ID情報生成部15は、少なくとも秘密情報の情報量cに基づいて生成した代替ID情報と、誤り訂正/検出符号との排他的論理和により得た値を、自己の代替ID情報に設定することもできる。
例えば図9に示すように、サーバ1から中継装置2、センサー機器3,4に対して、秘密情報d1,d2を送信するコマンドC1〜C3が供給されたことに応じて、中継装置2及びセンサー機器3,4は、レスポンスR1〜R3を返信する。
センサー機器3は、代替ID情報生成部15により生成した代替ID情報(O1’)とCRC(O1’)との排他的論理和を、自己の代替ID情報とする。ここで、代替ID情報生成部15により生成した代替ID情報(O1’)は、センサー機器3でのハッシュ回数nと本来のID情報との関数hにより求められている。そして、センサー機器3は、当該代替ID情報(O1’xorCRC(O1’))及び秘密情報d1,d2を含むレスポンスR1を中継装置2に送信する。
センサー機器4は、代替ID情報生成部15により生成した代替ID情報(O2’)とCRC(O2’)との排他的論理和を、自己の代替ID情報とする。ここで、代替ID情報生成部15により生成した代替ID情報(O2’)は、センサー機器4でのハッシュ回数nと本来のID情報との関数hにより求められている。そして、センサー機器4は、当該代替ID情報(O2’xorCRC(O2’))及び秘密情報を含むレスポンスR2を中継装置2に送信する。
この通信システムにおいて、CRCは、巡回冗長検査 (cyclic redundancy check:CRC)符号である。CRCに限らず、センサー機器3,4において保持しているチェックサム情報等の誤り検出/訂正符号であれば良い。
このように、通信システムにおける通信装置(中継装置2,センサー機器3,4)によれば、誤り訂正/検出符号により排他的論理和を取ることによって、不正端末10が代替ID情報を取得しても、当該代替ID情報からID情報が推定されることを抑制できる。また、誤り訂正/検出符号は、レスポンスRに付加されるものであるので、追加される処理を少なくできる。
更にまた、通信システムにおいて、代替ID情報生成部15は、少なくとも秘密情報の情報量cに基づいて生成した代替ID情報と、サーバ1に対して下流側に接続されたセンサー機器3,4の代替ID情報との排他的論理和により得た値を、自己の代替ID情報に設定することもできる。
中継装置2は、センサー機器3,4から送信されたレスポンスRに含まれる代替ID情報(O1’)及び代替ID情報(O2’)を用いて、自己の代替ID情報(O3’)を生成する。
具体的には、中継装置2は、図9に示すように、代替ID情報生成部15により生成した代替ID情報(O1’)とCRC(O1’)と、代替ID情報(O1’)と、CRC(O1’)と、代替ID情報(O2’)と、CRC代替ID情報(O2’)と、の排他的論理和を、自己の代替ID情報とする。ここで、代替ID情報生成部15により生成した代替ID情報(O3’)は、中継装置2でのハッシュ回数nと本来のID情報との関数hにより求められている。そして、中継装置2は、当該代替ID情報(O3’xorCRC(O3’)xorO1’xorCRC(O1’)xorO2’xorCRC(O2’))及び秘密情報を含むレスポンスR3をサーバ1に送信する。
このように、通信システムの通信装置(中継装置2,センサー機器3,4)によれば、少なくとも秘密情報の情報量cに基づいて生成した代替ID情報と、下位の通信装置の代替ID情報とを排他的論理和により合成した情報を、自己の代替ID情報にできる。これにより、通信システムによれば、不正端末10が代替ID情報を取得しても、当該代替ID情報からID情報が推定されることを抑制できる。したがって、この通信システムによれば、代替ID情報が不正端末10によって推定される可能性を更に低下させて、よりセキュリティ性を高めることができる。
このような通信システムにおける中継装置2は、例えば、図10及び図11に示す処理を行う。
中継装置2は、先ずステップS1において、ネットワーク情報としての下位ノード数m、ホップ数kを取得する。
次に中継装置2は、ステップS2において、下位のノードとしてのセンサー機器3,4の秘密情報d1,d2を受信する。
次に中継装置2は、ステップS3において、ステップS2にて受信したセンサー機器3,4の秘密情報d1,d2に対して排他的論理和により合成した値を得る。このとき、代替ID情報生成部15は、センサー機器3,4の秘密情報d1,d2に対して自己のID情報から得た代替ID情報の排他的論理和により合成しても良い。また、代替ID情報生成部15は、センサー機器3,4の秘密情報d1,d2に対して誤り訂正/検出符号の排他的論理和により合成しても良い。
次に中継装置2は、ステップS4において、代替ID情報生成部15により、少なくとも秘密情報の情報量cに基づいて、代替ID情報の更新間隔Tを算出する。
次に中継装置2は、ステップS5において、ステップS4にて演算した代替ID情報の更新間隔Tとなったことに応じ、ステップS2にて受信したセンサー機器3,4の秘密情報d1,d2と、ステップS3にて演算した自己の代替ID情報とを合成した送信情報を作成する。
次に中継装置2は、ステップS5にて作成した送信情報を、サーバ1に対して送信する。また、この中継装置2は、サーバ1に対して、代替ID情報の更新間隔Tを送信しても良い。
このとき、中継装置2は、図11に示すように、ステップS11において、ネットワーク情報としての下位ノード数m、ホップ数kを取得し、ステップS12において、代替ID情報を生成する。そして、中継装置2は、ステップS13において、サーバ1に対して代替ID情報の更新間隔T(更新間隔)を送信する。これにより、サーバ1は、中継装置2の代替ID情報の更新間隔Tを得て、代替ID情報の更新間隔Tごとに代替ID情報が更新されたことを認識できる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
1…サーバ
2…中継装置
3,4…センサー機器
10…不正端末
11…センサ側通信I/F部
12…受信バッファ
13…送信情報作成部
14…サーバ側通信I/F部
15…情報生成部
16…ID情報記憶部
17…秘密情報解析部

Claims (8)

  1. 複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、
    前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量と、前記秘密情報の種類に対応して設定された重み付けとに基づいて、前記代替識別情報の更新間隔を変更することを特徴とする通信システム。
  2. 複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、
    前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量と、前記通信手段に接続された通信装置のうち前記所定の送信先装置に対して下流側に接続された通信装置の接続数とに基づいて、前記代替識別情報の更新間隔を変更することを特徴とする通信システム。
  3. 複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、
    前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量と、前記所定の送信先装置までのホップ数に基づいて、前記代替識別情報の更新間隔を設定することを特徴とする通信システム。
  4. 複数の通信装置が通信可能に接続され、各通信装置が、所定の送信先装置に対して秘密情報を送信する通信システムにおいて、
    前記通信装置は、自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量に基づいて、前記代替識別情報を新たに生成する更新間隔を短くし、少なくとも前記秘密情報の情報量に基づいて生成した代替識別情報と、前記所定の送信先装置に対して下流側に接続された通信装置の代替識別情報との排他的論理和により得た値を、自己の代替識別情報に設定することを特徴とする通信システム。
  5. 所定の送信先装置に対して秘密情報を送信する通信装置において、
    自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、
    前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量と、前記秘密情報の種類に対応して設定された重み付けとに基づいて、前記代替識別情報の更新間隔を変更すること
    を特徴とする通信装置。
  6. 所定の送信先装置に対して秘密情報を送信する通信装置において、
    自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、
    前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量と、前記通信手段に接続された通信装置のうち前記所定の送信先装置に対して下流側に接続された通信装置の接続数とに基づいて、前記代替識別情報の更新間隔を変更することを特徴とする通信装置。
  7. 所定の送信先装置に対して秘密情報を送信する通信装置において、
    自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、
    前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量と、前記所定の送信先装置までのホップ数に基づいて、前記代替識別情報の更新間隔を設定することを特徴とする通信装置。
  8. 所定の送信先装置に対して秘密情報を送信する通信装置において、
    自己の識別情報に基づいて代替識別情報を生成する代替識別情報生成手段と、
    前記代替識別情報生成手段により生成された代替識別情報を、自己の識別情報として用いて他の通信装置と通信を行う通信手段とを備え、
    前記代替識別情報生成手段は、前記秘密情報の情報量に基づいて、前記代替識別情報を新たに生成する更新間隔を短くし、少なくとも前記秘密情報の情報量に基づいて生成した代替識別情報と、前記所定の送信先装置に対して下流側に接続された通信装置の代替識別情報との排他的論理和により得た値を、自己の代替識別情報に設定することを特徴とする通信装置。
JP2010071435A 2010-03-26 2010-03-26 通信システム及びこの通信システムに用いる通信装置 Active JP5486371B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010071435A JP5486371B2 (ja) 2010-03-26 2010-03-26 通信システム及びこの通信システムに用いる通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010071435A JP5486371B2 (ja) 2010-03-26 2010-03-26 通信システム及びこの通信システムに用いる通信装置

Publications (2)

Publication Number Publication Date
JP2011205450A JP2011205450A (ja) 2011-10-13
JP5486371B2 true JP5486371B2 (ja) 2014-05-07

Family

ID=44881601

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010071435A Active JP5486371B2 (ja) 2010-03-26 2010-03-26 通信システム及びこの通信システムに用いる通信装置

Country Status (1)

Country Link
JP (1) JP5486371B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5687613B2 (ja) * 2011-12-26 2015-03-18 日本電信電話株式会社 通信装置、送受信システム、送受信方法およびプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3889256B2 (ja) * 2001-09-27 2007-03-07 アマノ株式会社 カード匿名id出力装置及び各種施設用駐車場管理装置
EP2141629B1 (en) * 2003-09-26 2017-06-21 Nippon Telegraph and Telephone Corporation Tag privacy protection method, tag device, program therefor and record medium carrying such program in storage
JP4387926B2 (ja) * 2004-11-09 2009-12-24 日本電信電話株式会社 双方向無線装置の識別コード秘匿化方法および無線通信システム
WO2008108207A1 (ja) * 2007-03-06 2008-09-12 Nec Corporation 認証システム、認証方法及びプログラム
JP5014420B2 (ja) * 2007-03-15 2012-08-29 パイオニア株式会社 通信端末装置、通信方法、通信プログラムおよび記録媒体

Also Published As

Publication number Publication date
JP2011205450A (ja) 2011-10-13

Similar Documents

Publication Publication Date Title
US10243978B2 (en) Detecting attacks using passive network monitoring
Wu et al. Improving performance of network covert timing channel through Huffman coding
JP5811094B2 (ja) 属性情報処理装置、属性情報処理方法及び属性情報評価システム
KR20160045010A (ko) 캐시에서 데이터 이름 기반 네트워킹 객체들에 순위를 매기기 위한 시스템 및 방법
JP2006221242A (ja) 認証情報詐取防止システム、プログラム及び方法
US20100275250A1 (en) Account recovery via aging of account data points
JP5211342B2 (ja) 秘匿通信方法
JP4586892B2 (ja) データ処理システム及びデータ処理プログラム
US20080270520A1 (en) Provision of Personal Data in a Data Communications Network
JP6295961B2 (ja) メッセージ認証システム、およびメッセージ認証方法
JP5486371B2 (ja) 通信システム及びこの通信システムに用いる通信装置
JP5931243B1 (ja) 情報処理装置、端末装置、情報処理方法、及び情報処理プログラム
Kiefhaber et al. Trust measurement methods in organic computing systems by direct observation
CN112995115B (zh) 一种物联网安全态势感知方法及装置
US10216460B2 (en) Communications system, image processing apparatus, and recording medium for notifying timeout time
JP6019261B2 (ja) 情報処理装置、端末装置、情報処理方法、及び情報処理プログラム
JP2014021509A (ja) 不正検出システム及び端末装置及び不正検出装置及びコンピュータプログラム及び不正検出方法
Bharuka et al. A secure data aggregation protocol for outlier detection in wireless sensor networks using aggregate Message Authentication Code
JP2017139558A (ja) 異常検知装置、異常検知システム、異常検知方法、及びプログラム
JP5457991B2 (ja) ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム
JP5486454B2 (ja) ディジタル署名・検証システム、ディジタル署名・検証方法、署名装置、検証装置、及びそれらのプログラム
JP7432102B2 (ja) プログラム、通信システム、及び通信方法
KR20090027126A (ko) 센서 네트워크 시스템
Devi et al. DTM-CPS: Dynamic Trust Management Mechanism for Cyber Physical System based on Dirichlet Reputation System
WO2020202255A1 (ja) ユーザ情報管理システム、ユーザ情報管理方法およびプログラム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120116

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140221

R151 Written notification of patent or utility model registration

Ref document number: 5486371

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151