ホーム > 特許ランキング > 大同股▲ふん▼有限公司
知財求人 - 知財ポータルサイト「IP Force」
▶ 大同股▲ふん▼有限公司の特許一覧 ▶ 大同大學の特許一覧
特開2017-46338身元確認方法、同方法を用いるIoTゲートウェイ装置、及び検証ゲートウェイ装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2017-46338(P2017-46338A)
(43)【公開日】2017年3月2日
(54)【発明の名称】身元確認方法、同方法を用いるIoTゲートウェイ装置、及び検証ゲートウェイ装置
(51)【国際特許分類】
H04L 9/32 20060101AFI20170210BHJP
H04W 12/06 20090101ALI20170210BHJP
H04W 64/00 20090101ALI20170210BHJP
G06F 21/44 20130101ALI20170210BHJP
【FI】
H04L9/00 673B
H04W12/06
H04W64/00 110
G06F21/44
【審査請求】有
【請求項の数】15
【出願形態】OL
【外国語出願】
【全頁数】17
(21)【出願番号】特願2016-30739(P2016-30739)
(22)【出願日】2016年2月22日
(31)【優先権主張番号】62/210,421
(32)【優先日】2015年8月26日
(33)【優先権主張国】US
(31)【優先権主張番号】14/957,602
(32)【優先日】2015年12月3日
(33)【優先権主張国】US
(71)【出願人】
【識別番号】396008783
【氏名又は名称】大同股▲ふん▼有限公司
(71)【出願人】
【識別番号】507369121
【氏名又は名称】大同大學
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】100161148
【弁理士】
【氏名又は名称】福尾 誠
(74)【代理人】
【識別番号】100134577
【弁理士】
【氏名又は名称】石川 雅章
(72)【発明者】
【氏名】鄭 福炯
(72)【発明者】
【氏名】張 伯仲
(72)【発明者】
【氏名】潘 泰吉
【テーマコード(参考)】
5J104
5K067
【Fターム(参考)】
5J104AA07
5J104AA16
5J104EA03
5J104KA02
5J104NA05
5J104NA06
5J104NA20
5J104NA36
5J104NA38
5J104PA07
5K067AA35
5K067DD17
5K067EE02
5K067EE10
5K067HH22
5K067JJ54
(57)【要約】
【課題】身元確認方法、IoTゲートウェイ装置、及び同装置を用いる検証ゲートウェイ装置が提供される。【解決手段】提供される方法によれば、IoTゲートウェイ装置は最初に少なくとも一つのクライアント装置の正当なMACアドレスのリスト及びRSSIの範囲を含むルックアップテーブルを確立する。IoTゲートウェイ装置がクライアント装置から送信される接続要求を受信すると、IoTゲートウェイ装置は接続要求に基づいてクライアント装置のMACアドレス及びRSSI値を得ることができ、受信したMACアドレス及び受信したRSSI値を正当なMACアドレスのリスト及び正当なRSSIの範囲と比較して、クライアント装置が正当なクライアント装置であるかどうかを決定することができる。
【選択図】図2
【特許請求の範囲】
【請求項1】
モノのインターネット(IoT)ゲートウェイ装置に適合された身元確認方法であって、
少なくとも一つの正当なクライアント装置の正当なメディアアクセス制御(MAC)アドレスのリスト及び正当な受信信号強度指示(RSSI)の範囲を含むルックアップテーブルを確立するステップと、
少なくとも一つのクライアント装置から送信される、該クライアント装置のMACアドレスを含む接続要求を受信するステップと、
前記接続要求に基づいて前記クライアント装置のMACアドレス及びRSSI値を取得するステップと、
前記クライアント装置が正当なクライアント装置であるかどうかを決定するために、前記クライアント装置のMACアドレス及びRSSI値を前記正当なMACアドレスのリスト及び前記正当なRSSIの範囲と比較するステップと、
を備える、身元確認方法。
少なくとも一つの正当なクライアント装置の正当なメディアアクセス制御(MAC)アドレスのリスト及び正当な受信信号強度指示(RSSI)の範囲を含むルックアップテーブルを確立するステップと、
少なくとも一つのクライアント装置から送信される、該クライアント装置のMACアドレスを含む接続要求を受信するステップと、
前記接続要求に基づいて前記クライアント装置のMACアドレス及びRSSI値を取得するステップと、
前記クライアント装置が正当なクライアント装置であるかどうかを決定するために、前記クライアント装置のMACアドレス及びRSSI値を前記正当なMACアドレスのリスト及び前記正当なRSSIの範囲と比較するステップと、
を備える、身元確認方法。
【請求項2】
前記クライアント装置が正当なクライアント装置であるかどうかを決定するために、前記クライアント装置のMACアドレス及びRSSI値を前記正当なMACアドレスのリスト及び前記正当なRSSIの範囲と比較する前記ステップは、
前記クライアント装置のMACアドレスが前記正当なMACアドレスのリストに記録された正当なMACアドレスであるかどうかを決定するステップと、
前記クライアント装置のRSSI値が前記正当なMACアドレスに対応する正当なRSSIの範囲に入るかどうかを決定するステップと、
前記MACアドレスが前記正当なMACアドレスであり且つ前記RSSI値が前記正当なRSSIの範囲に含まれると決定されたとき、前記クライアント装置は正当なクライアント装置であると決定するステップと、
を備える、請求項1記載の身元確認方法。
前記クライアント装置のMACアドレスが前記正当なMACアドレスのリストに記録された正当なMACアドレスであるかどうかを決定するステップと、
前記クライアント装置のRSSI値が前記正当なMACアドレスに対応する正当なRSSIの範囲に入るかどうかを決定するステップと、
前記MACアドレスが前記正当なMACアドレスであり且つ前記RSSI値が前記正当なRSSIの範囲に含まれると決定されたとき、前記クライアント装置は正当なクライアント装置であると決定するステップと、
を備える、請求項1記載の身元確認方法。
【請求項3】
前記正当なクライアント装置の正当なMACアドレスのリスト及び正当な受信信号強度(RSSI)の範囲を含むルックアップテーブルを確立する前記ステップは、
認証されたクライアント装置のMACアドレスを前記正当なMACアドレスのリストに追加するステップと、
前記認証されたクライアント装置のRSSI値に基づいてRSSIの範囲を計算するステップと、
前記計算したRSSIの範囲を前記認証されたクライアント装置のMACアドレスに対応する正当なRSSIの範囲として前記ルックアップテーブルに追加するステップと、
を備える、請求項1記載の身元確認方法。
認証されたクライアント装置のMACアドレスを前記正当なMACアドレスのリストに追加するステップと、
前記認証されたクライアント装置のRSSI値に基づいてRSSIの範囲を計算するステップと、
前記計算したRSSIの範囲を前記認証されたクライアント装置のMACアドレスに対応する正当なRSSIの範囲として前記ルックアップテーブルに追加するステップと、
を備える、請求項1記載の身元確認方法。
【請求項4】
プリセット期間内に前記IoTゲートウェイ装置により受信される前記接続要求の数が閾値を超えるかどうかを決定するステップと、
前記接続要求の数が閾値を超えるとき、パケットフィルタリング機構を活性化するステップと、
を更に備える、請求項3記載の身元確認方法。
前記接続要求の数が閾値を超えるとき、パケットフィルタリング機構を活性化するステップと、
を更に備える、請求項3記載の身元確認方法。
【請求項5】
前記接続要求の数が閾値を超えるとき、パケットフィルタリング機構を活性化する前記ステップは、
前記IoTゲートウェイ装置がMACアドレス及びRSSIの範囲からなる新たな入力データを前記ルックアップテーブルに追加するのを中止するステップを備える、請求項4記載の身元確認方法。
前記IoTゲートウェイ装置がMACアドレス及びRSSIの範囲からなる新たな入力データを前記ルックアップテーブルに追加するのを中止するステップを備える、請求項4記載の身元確認方法。
【請求項6】
検証ゲートウェイ装置に更に適合された請求項4記載の身元確認方法であって、前記接続要求の数が閾値を超えるとき、パケットフィルタリング機構を活性化する前記ステップは、
前記クライアント装置を認証するために前記接続要求を前記検証ゲートウェイ装置で受信するステップと、
前記認証されたクライアント装置のMACアドレス及びRSSI値を含むテーブル追加通知を前記IoTゲートウェイ装置へ送信するステップと、を備え、
前記IoTゲートウェイ装置は、前記パケットフィルタリング機構が活性化されるとき、前記テーブル追加通知から受信される前記MACアドレス及びRSSIの範囲を前記ルックアップテーブルに追加することを単に許可するだけである、身元確認方法。
前記クライアント装置を認証するために前記接続要求を前記検証ゲートウェイ装置で受信するステップと、
前記認証されたクライアント装置のMACアドレス及びRSSI値を含むテーブル追加通知を前記IoTゲートウェイ装置へ送信するステップと、を備え、
前記IoTゲートウェイ装置は、前記パケットフィルタリング機構が活性化されるとき、前記テーブル追加通知から受信される前記MACアドレス及びRSSIの範囲を前記ルックアップテーブルに追加することを単に許可するだけである、身元確認方法。
【請求項7】
前記接続要求の数が閾値を超えるとき、パケットフィルタリング機構を活性化する前記ステップは更に、
前記クライアント装置に再接続通知を送信するステップを備え、前記クライアント装置は前記再接続通知に応答して前記IoTゲートウェイ装置に再接続する、請求項6記載の身元確認方法。
前記クライアント装置に再接続通知を送信するステップを備え、前記クライアント装置は前記再接続通知に応答して前記IoTゲートウェイ装置に再接続する、請求項6記載の身元確認方法。
【請求項8】
少なくとも一つのクライアント装置に無線接続サービスを提供するように適合されたIoTゲートウェイ装置であって、
無線通信回路と、
複数のモジュールを格納するメモリ回路と、
前記無線通信回路及び前記メモリ回路に結合され、前記無線通信回路の動作を制御し、前記メモリ回路にアクセスして前記複数のモジュールを実行する処理装置と、
を備え、前記複数のモジュールは、
少なくとも一つの正当なクライアント装置の正当なMACアドレスのリスト及び正当なRSSIの範囲を含むルックアップテーブルを確立するルックアップテーブル確立モジュールと、
接続要求に基づいて前記クライアント装置のMACアドレス及びRSSI値を取得する情報取得モジュールと、
前記クライアントが正当なクライアント装置であるかどうかを決定するために、前記接続要求を受信し、前記クライアント装置の前記MACアドレス及び前記RSSI値を前記正当なMACアドレスのリスト及び前記正当なRSSIの範囲と比較する検証モジュールと、
を備える、IoTゲートウェイ装置。
無線通信回路と、
複数のモジュールを格納するメモリ回路と、
前記無線通信回路及び前記メモリ回路に結合され、前記無線通信回路の動作を制御し、前記メモリ回路にアクセスして前記複数のモジュールを実行する処理装置と、
を備え、前記複数のモジュールは、
少なくとも一つの正当なクライアント装置の正当なMACアドレスのリスト及び正当なRSSIの範囲を含むルックアップテーブルを確立するルックアップテーブル確立モジュールと、
接続要求に基づいて前記クライアント装置のMACアドレス及びRSSI値を取得する情報取得モジュールと、
前記クライアントが正当なクライアント装置であるかどうかを決定するために、前記接続要求を受信し、前記クライアント装置の前記MACアドレス及び前記RSSI値を前記正当なMACアドレスのリスト及び前記正当なRSSIの範囲と比較する検証モジュールと、
を備える、IoTゲートウェイ装置。
【請求項9】
前記検証モジュールは、前記クライアント装置のMACアドレスが前記正当なMACアドレスのリストに記録された正当なMACアドレスであるかどうか及び前記クライアント装置のRSSI値が前記正当なMACアドレスに対応する正当なRSSIの範囲内かどうかを決定し、前記検証モジュールは、前記MACアドレスが前記正当なMACアドレスであり且つ前記RSSI値が前記正当なRSSIの範囲内であると決定されたとき、前記クライアント装置は正当なクライアント装置であると決定する、請求項8記載のIoTゲートウェイ装置。
【請求項10】
前記ルックアップテーブル確立モジュールは、認証されたクライアント装置のMACアドレスを前記正当なMACアドレスのリストに追加するとともに前記認証されたクライアント装置のRSSIの範囲を前記認証されたクライアント装置のMACアドレスに対応する正当なRSSIの範囲として前記ルックアップテーブルに追加し、前記RSSIの範囲は前記認証されたクライアント装置のRSSI値に基づいて前記情報取得モジュールによって計算される、請求項8記載のIoTゲートウェイ装置。
【請求項11】
前記検証モジュールは更に、前記接続要求の数がプリセット期間内に閾値を超えるかどうかを決定し、前記接続要求の数が閾値を超えるときパケットフィルタリング機構を活性化する、請求項10記載のIoTゲートウェイ装置。
【請求項12】
前記パケットフィルタリング機構が活性化されるとき、前記検証モジュールは前記ルックアップテーブル確立モジュールが新たにMACアドレス及びRSSIの範囲を前記ルックアップテーブルに追加するのを中止する、請求項11記載のIoTゲートウェイ装置。
【請求項13】
前記パケットフィルタリング機構が活性化されるとき、前記ルックアップテーブル確立モジュールは、検証ゲートウェイ装置から受信されるテーブル追加通知に基づいて前記クライアント装置のMACアドレス及びRSSIの範囲を追加するだけである、請求項11記載のIoTゲートウェイ装置。
【請求項14】
IoTゲートウェイ装置のために少なくとも一つのクライアント装置を検証するように適合された検証ゲートウェイ装置であって、
無線通信回路と、
複数のモジュールを格納するメモリ回路と、
前記無線通信回路及び前記メモリ回路に結合され、前記無線通信回路の動作を制御し、前記メモリ回路にアクセスして前記複数のモジュールを実行する処理装置と、
を備え、前記複数のモジュールは、
前記クライアント装置の接続要求を受信し、前記クライアント装置を認証する認証モジュールと、
前記接続要求に基づいて前記クライアント装置のMACアドレス及びRSSI値を取得する情報取得モジュールと、
前記クライアント装置が認証されたとき、認証されたクライアント装置のMACアドレス及びRSSI値を含むテーブル追加通知を送信する通知モジュールと、
を備える、検証ゲートウェイ装置。
無線通信回路と、
複数のモジュールを格納するメモリ回路と、
前記無線通信回路及び前記メモリ回路に結合され、前記無線通信回路の動作を制御し、前記メモリ回路にアクセスして前記複数のモジュールを実行する処理装置と、
を備え、前記複数のモジュールは、
前記クライアント装置の接続要求を受信し、前記クライアント装置を認証する認証モジュールと、
前記接続要求に基づいて前記クライアント装置のMACアドレス及びRSSI値を取得する情報取得モジュールと、
前記クライアント装置が認証されたとき、認証されたクライアント装置のMACアドレス及びRSSI値を含むテーブル追加通知を送信する通知モジュールと、
を備える、検証ゲートウェイ装置。
【請求項15】
前記通知モジュールは更に前記クライアント装置に再接続通知を送信する、請求項14記載の検証ゲートウェイ装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信技術に関し、特に身元確認方法、同方法を用いるIoTゲートウェイ装置、及び検証ゲートウェイ装置に関する。
【背景技術】
【0002】
1999年に生まれたモノのインターネット(IoT)の概念は、RFID、赤外線、GPS、レーザ走査及びその他の情報センシング装置をインターネットに無線接続し、情報の交換及び通信、インテリジェント識別、位置決定、追跡、監視及び知覚層まで延びる触手で得られる更なる情報の管理を通してより広い相互運用性を達成することにある。
【0003】
IoT技術のアプリケーションが益々開発され、商業的に展開されるに伴い、無線ネットワークのセキュリティが重大な懸念になってきている。概して、無線データネットワークへのアクセスの制御は従来の有線ネットワークへのアクセスの制御よりずっと難しい。不正アクセスポイント(AP)又は不正クライアント装置は追跡が難しく所在確認が難しいハッカーにより展開され得る。加えて、不正クライアント装置はネットワークをサービス拒否攻撃で攻撃し、不正アクセスを得ることができる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
IoT技術においては、接続のセキュリティを高めるためにライアント装置の身元を確認し、ゲートウェイ装置が不正にアクセスするのを防止する方法が解決すべき重要な課題である。
【課題を解決するための手段】
【0005】
本発明はモノのインターネット(IoT)ゲートウェイ装置に適合された身元確認方法を提供する。本方法は以下のステップ:少なくとも一つの正当なクライアント装置の正当なメディアアクセス制御(MAC)アドレスのリスト及び正当な受信信号強度指示(RSSI)の範囲を含むルックアップテーブルを確立するステップと、少なくとも一つのクライアント装置から送信される、該クライアント装置のMACアドレスを含む接続要求を受信するステップと、前記接続要求に基づいて前記クライアント装置のMACアドレス及びRSSI値を取得するステップと、前記クライアント装置が正当なクライアント装置であるかどうかを決定するために、前記クライアント装置のMACアドレス及びSSI値を前記正当なMACアドレスのリスト及び前記正当なRSSIの範囲と比較するステップを含む。
【0006】
本発明は、無線通信回路、メモリ回路、及び処理装置を含むIoTゲートウェイ装置を提供する。メモリ回路は複数のモジュールを格納する。処理装置は無線通信回路及びメモリ回路に結合され、無線通信回路の動作を制御し、メモリ回路にアクセスし、前記複数のモジュールを実行する。前記複数のモジュールは、ルックアップテーブル確立モジュール、情報取得モジュール、及び検証モジュールを含む。ルックアップテーブル確立モジュールは、少なくとも一つの正当なクライアント装置の正当なMACアドレスのリスト及び正当なRSSIの範囲を含むルックアップテーブルを確立する。情報取得モジュールは、接続要求に基づいてクライアント装置のMACアドレス及びRSSI値を取得する。検証モジュールは、接続要求を受信し、クライアント装置が正当なクライアント装置であるかどうかを決定するためにクライアント装置のMACアドレス及びRSSI値を正当なMACアドレスのリスト及び正当なRSSIの範囲と比較する。
【0007】
本発明は、無線通信回路、メモリ回路、及び処理装置を含む検証ゲートウェイ装置を提供する。メモリ回路は複数のモジュールを含む。処理装置は無線通信回路及びメモリ回路に結合され、無線通信回路の動作を制御し、メモリ回路にアクセスし、前記複数のモジュールを実行する。前記複数のモジュールは、認証モジュール、情報取得モジュール、及び通知モジュールを含む。認証モジュールは、クライアント装置の接続要求を受信し、クライアント装置を認証する。情報取得モジュールは、接続要求に基づいてクライアント装置のMACアドレス及びRSSI値を取得する。通知モジュールは、クライアント装置が認証されたとき、認証されたクライアント装置のMACアドレス及びRSSI値を含むテーブル追加通知を送信する。
【発明の効果】
【0008】
以上の記載によれば、本発明の実施形態は身元確認方法、同方法を用いるIoTゲートウェイ装置、及び検証ゲートウェイ装置を提供する。本発明の方法を適用すると、IoTゲートウェイ装置はクライアント装置を更にRSSI値に基づいて検証することができる。よって、不正クライアント装置が正当/正規のMACアドレスを偽造してIoTゲートウェイ装置にアクセスしようと試みても、IoTゲートウェイ装置は接続されるクライアント装置のRSSI値を検証することによって不正クライアント装置をブロックすることができ、IoTシステムの接続セキュリティを高めることができる。
【図面の簡単な説明】
【0009】
【図1】本発明の一実施形態によるIoTシステムの概略図である。
【図2】本発明の一実施形態による身元確認方法のフローチャートである。
【図5】本発明の別の実施形態によるIoTシステムの概略図である。
【発明を実施するための形態】
【0010】
添付図面は、本発明の更なる理解を提供するために本明細書に組み込まれ、本明細書の一部を成している。添付図面は本発明の実施形態を図解し、本発明の原理の説明に役立つものである。
【0011】
これから本発明の好ましい実施形態が詳細に説明され、そのいくつかの例が添付図面に示されている。可能な限り、同一もしくは類似部分は図面及び明細書中で同じ参照番号で示されている。
【0012】
図1は、本発明の一実施形態によるIoTシステムの概略図である。図1を参照すると、本実施形態のIoTシステム100は、IoTゲートウェイ装置110及び一つ又は複数のクライアント装置120_1〜120_n(ここでnは正の整数)を含む。
【0013】
IoTゲートウェイ装置110はクライアント装置120_1〜120_nに無線ネットワーク接続サービスを提供するよう構成されているため、クライアント装置120_1〜120_nはIoTゲートウェイ装置110を介してインターネットに接続することができる。IoTのアプリケーションにおいて、クライアント装置120_1〜120_nは、一般的な電気機器、例えば空調機、冷蔵庫、自動車、又は携帯電話などに実装することができる。
【0014】
本実施形態では、IoTゲートウェイ装置110は、無線通信回路112、メモリ回路114、及び処理装置116を含む。通信回路112はクライアント装置120_1〜120_nへの無線接続のために処理装置116に結合される。通信回路112は、ワイヤレスフィデリティ(WiFi)プロトコルなどの無線通信プロトコルをサポートする無線トランシーバで実装することができる。
【0015】
メモリ回路114は処理装置116に結合される。メモリ回路114は、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、フラッシュメモリ、又は任意の他の類似のコンポーネント又はそれらの組み合わせとすることができる。本実施形態では、メモリ回路114は複数のモジュールを格納するように構成され、そのモジュールはメモリ回路14に格納された異なる機能を提供するプログラム又はアプリケーションとすることができる。
【0016】
処理装置116は、ゲートウェイ装置110の全動作を制御するコンピュータ能力を有するハードウェア(例えば、チップセット、プロセッサなど)である。模範的な実施形態では、処理装置116は、例えば中央処理装置(CPU)又は任意の他のプログラマブルマイクロプロセッサ又はディジタル信号プロセッサ(DSP)、プログラマブルコントローラ、特定用途向け集積回路(ASIC)、プログラマブル論理装置(PLD)などである。処理装置116はメモリ回路114に格納されたモジュールにアクセスし、そのモジュールの機能を実行することができる。
【0017】
具体的には、IoTゲートウェイ装置110のメモリ回路114に格納されるモジュールは、ルックアップテーブル確立モジュールLEM、情報取得モジュールIIOM、検証モジュールVM、及び接続モジュールCMを含む。これらのモジュールの機能は身元確認方法の部分で後に説明される。
【0018】
クライアント装置120_1〜120_nの各々のハードウェア構成はIoTゲートウェイ装置110と同様であり、無線通信回路、メモリ回路、及び処理装置を含む。クライアント装置120_1〜120_nの各々は、クラウド装置へのデータのアップロード又は制御コマンドの受信のためにIoTゲートウェイ装置110を介してインターネットにアクセスすることができる。
【0019】
本実施形態のIoTシステム100の下では、IoTゲートウェイ装置110は、図2に示す方法を適用することによって、クライアント装置120_1〜120_nの身元を確認することができ、この方法のステップはメモリ回路114に格納されたモジュールにアクセスすることでIoTゲートウェイ装置により実行される。図2は本発明の一実施形態による身元確認方法のフローチャートである。
【0020】
図1及び図2を参照すると、ステップS210において、ルックアップテーブルを確立するためにルックアップテーブル確立モジュールLEMが実行され、このルックアップテーブルは少なくとも一つの正当なクライアント装置の正当なメディアアクセス制御(MAC)アドレスのリスト及び正当な受信信号強度指示(RSSI)の範囲を含む。
【0021】
ステップS220において、少なくとも一つのクライアント装置120_1〜120_nから送信される接続要求を受信するために検証モジュールVMが実行され、この接続要求はクライアント装置のMACアドレスを含む。
【0022】
ステップS230において、接続要求に基づいてクライアント装置120_1〜120_nのMACアドレス及びRSSI値を取得するために情報取得モジュールIIOMが実行される。
【0023】
検証すべきクライアント装置120_1〜120_nのRSSI値が得られた後に、ステップS240において、クライアント装置120_1〜120_nのMACアドレス及びRSSI値を正当なMACCアドレスのリスト及び正当なRSSIの範囲と比較してクライアント装置120_1〜120_nが正当なクライアント装置であるかどうかを決定するために検証モジュールVMが実行される。
【0024】
より具体的には、ステップS240の間に、検証モジュールVMはクライアント装置120_1〜120_nのMACアドレスが正当なMACアドレスのリストに記録された正当なMACアドレスであるかどうかが決定される(ステップS242)。クライアント装置120_1〜120_nのMACアドレスがルックアップテーブルの正当なMACアドレスでない場合には、クライアント装置120_1〜120_nは不正なクライアント装置であると決定される(ステップS244)。逆に、クライアント装置120_1〜120_nのMACアドレスがルックアップテーブルの正当なMACアドレスのリストに記録されている場合には、クライアント装置120_1〜120_nのMACアドレスは正当なMACアドレスであると決定され、検証モジュールVMは更に、クライアント装置120_1〜120_nのRSSI値が正当なRSSIの範囲に入るかどうかを決定する(ステップS246)。
【0025】
ステップS246において、クライアント装置120_1〜120_nのRSSI値が正当なRSSIの範囲に入らない場合には、クライアント装置120_1〜120_nは不当なクライアント装置であると決定される(ステップS244)。逆に、クライアント装置120_1〜120_nのRSSI値が特定の正当なMACアドレスに対応する正当なRSSIの範囲に入る場合には、そのRSSI値は正当なRSSI値であると決定され、クライアント装置120_1〜120_nは正当なクライアント装置であると決定される(ステップS248)。
【0026】
クライアント装置120_1〜120_nが正当なクライアント装置であると決定された場合には、クライアント装置120_1〜120_nのアクセス情報を認証し、アクセス情報が認証された後にクライアント装置120_1〜120_nの接続要求を許可/承認するために、接続モジュールCMを実行することができる。接続要求が許可/承認された後に、クライアント装置120_1〜120_nとIoTゲートウェイ装置110との間の無線接続WCが確立される。
【0027】
本実施形態では、無線接続WCは、例えばWPA(Wi-Fi Protected Access)プロトコル又はWPA2(Wi-Fi Protected Access 2)プロトコルに基づいて確立されるWiFi接続とすることができる。すなわち、ステップS248後にクライアント装置120_1とゲートウェイ装置110との間で4ウェイハンドシェークを実行するステップを適用することができる。本発明はこの実施形態に限定されない。
【0028】
逆に、クライアント装置120_1〜120_nが不当なクライアント装置であると決定された場合には、接続モジュールCMはクライアント装置120_1〜120_nの接続要求を拒否することができる。
【0029】
言い換えれば、本実施形態の身元確認方法の実行中、クライアント装置120_1〜120_nは、そのMACアドレス及びRSSI値が両方とも正当であるとき、正当なクライアント装置であると決定されるだけである。それゆえ、不正クライアント装置が正当/正規のMACアドレスを偽造してIoTゲートウェイ装置110にアクセスしようと試みても、IoTゲートウェイ装置110はそのRSSI値を検証することによって不正クライアント装置を不当なクライアント装置として識別し、ブロックすることができるため、IoTシステム100の接続セキュリティを高めることができる。
【0031】
身元確認方法の説明のためにクライアント装置120とIoTゲートウェイ装置110との間のインタラクションの一例が以下に示され、クライアント装置120は図1に示すクライアント装置120_1〜120_nのうちの任意の一つと解釈されたい。ここでは、クライアント装置120は正当なクライアント装置であり、そのMACアドレス及びRSSI値はIoTゲートウェイ装置110のルックアップテーブルに記録されているものと仮定する。
【0032】
更に、クライアント装置120はIoTゲートウェイ装置110と特定の相対位置関係を有する特定の位置に位置しているため、IoTゲートウェイ装置110は接続ごとにクライアント装置120から受信される信号に基づいて概算RSSI値を得ることができるものと仮定する。
【0033】
図3を参照すると、クライアント装置120は手入力される又は自動的に取得されるアクセスパスワードでIoTゲートウェイ装置110への接続を開始する(ステップS301)。ステップS301において、クライアント装置120はMACアドレスを含む接続要求REQ_HSKをIoTゲートウェイ装置110へ送信する(ステップS302)。
【0034】
IoTゲートウェイ装置110から見ると、ステップS302後に、IoTゲートウェイ装置110はMACアドレスを含む接続要求REQ_HSKを受信することができ(ステップS303)、接続要求に基づいてクライアント装置120のMACアドレス及びRSSI値を取得することができる(ステップS304)。例えば、IoTゲートウェイ装置110は接続要求のストリングから特定の部分を取得してMACアドレスを得ることができる。更に、クライアント装置120から受信される信号電力に基づいてRSSI値を計算することができる。
【0035】
IoTゲートウェイ装置110がクライアント装置120のMACアドレス及びRSSI値を取得した後に、IoTゲートウェイ装置110はクライアント装置120のMACアドレス及びRSSI値が正当であるかどうかを決定する(ステップS305)。
【0036】
本実施形態では、”00:de:a2:de:ba:ff”のMACアドレスが正当なMACアドレスのリストに既に記録されているものと仮定する。正当なRSSIの範囲は“00:de:a2:de:ba:ff”のMACアドレスに対応して−75dB~−70dBに設定される。従って、ステップS305において、IoT装置110は、ステップS304で得られたMACアドレスが正当なMACアドレスのリストに記録された正当なMACアドレスであるかどうかを決定することができる。例えば、ステップS304で得られたMACアドレスが正当なMACアドレスのリストに記録されていない“00:df:ab:de:0a:ff”である場合には、IoTゲートウェイ装置110は、クライアント装置120は不当であると決定し、接続要求REQ_HSKを拒否することができる。
【0037】
逆に、ステップS304で得られたMACアドレスが正当なMACアドレスである“00:de:a2:de:ba:ff”である場合には、IoTゲートウェイ装置110は更に、ステップS304で得られたRSSI値が正当なRSSIの範囲内に入る正当なRSSI値であるかどうかを決定することができる。例えば、ステップS304で得られたRSSI値が−75dB~−70dBの範囲外の−40dBである場合には、IoTゲートウェイ装置110は、MACアドレスが正当であっても(MACアドレスはこの状態では偽造されているかもしれない)、クライアント装置120は不当であると決定し、接続要求REQ_HSKを拒否することができる。更に、ステップS304で得られたRSSI値が−75dB~−70dBの範囲内の−72dBである場合には、IoTゲートウェイ装置110は、クライアント装置120は正当であると決定することができる。
【0038】
本実施形態では、IoTゲートウェイ装置110は、ステップS305においてクライアント装置120が正当なクライアント装置であるかどうかを決定することができ、更に、クライアント装置120の身元が確認された後に、クライアント装置120を認証するために接続要求REQ_HSKに対応するパスワードが正しいかどうかを検査することができる(ステップS306)。ゲートウェイ装置110は、クライアント装置120が認証されたとき、その接続要求REQ_HSKが承認されたことをクライアント装置120に通知するために接続応答RES_HSKをクライアント装置120に返送する(ステップS307)。ステップS307後に、クライアント装置120とゲートウェイ装置110との間の無線接続WCが確立される。実際のアプリケーションでは、アクセスパスワードが正しいかどうか認証するステップ(ステップS302,S306及びS307)は、RSSI値及びMACアドレスが正当であると確認された後に、4ウェイハンドシェークアルゴリズムで実装することができることに留意されたい。
【0039】
本実施形態に記載の方法によれば、クライアント装置120は、そのMACアドレス及びRSSI値の両方が正当であると決定されたときにのみ検証をパスする。すなわち、不正クライアント装置が偽造のMACアドレスでIoTゲートウェイ装置110にアクセスしようと試みても、不正クライアント装置はRSSI値をフィルタイングすることによってブロックすることができるため、IoTシステム100の接続セキュリティを高めることができる。
【0040】
一つの模範的な実施形態では、前記身元確認方法は動作時にIoTゲートウェイ装置110に定期的に適用することができる。この場合には、IoTゲートウェイ装置110に格納されるルックアップテーブルはユーザがプリセットすることができる。
【0041】
別の模範的な実施形態では、特定の条件が満足されるときに前記身元確認方法を適用することもできる。具体的には、IoTゲートウェイ装置110は特定の条件が満足されるまでノーマル状態で動作する。一旦特定の条件が満足されると(例えば、これに限定されないが、IoTゲートウェイ装置110により攻撃が検出されると)、IoTゲートウェイ装置110は、上述した身元確認方法を実行し不当なクライアント装置から送信されてくるパケットをフィルタリングするパケットフィルタリング機構を活性化することができる。
【0042】
他方、ノーマル状態中に、IoTゲートウェイ装置110はクライアント装置120を一般的な認証手段によって、例えばアクセスパスワードを認証する4ウェイハンドシェークを実行することによって、認証することができるので、認証されたクライアント装置120はIoTゲートウェイ装置110と無線接続を確立することができる。この場合には、ルックアップテーブルをノーマル状態中に認証されたクライアント装置のMACアドレス及びRSSI値に基づいて確立することができる。この模範的実施形態を説明するために図4に示すプロセスが一例として示されている。
【0043】
図4は、図1に示すIoTシステムに基づく本発明の別の実施形態によるクライアント装置検証プロセスを示す概略的フローチャートである。本実施形態では、クライアント装置120_1及び120_2が正当なユーザにより操作されているが、クライアント装置120_1及び120_2のMACアドレス及びRSSI値がまだIoTゲートウェイ装置110のルックアップテーブルに登録されていないものと仮定する。更に、IoTゲートウェイ装置110はノーマル状態にプリセットされている。
【0044】
図4を参照すると、クライアント装置120_1はIoTゲートウェイ装置110への接続を開始する(ステップS401)。ステップS401において、クライアント装置120_1はMACアドレスを含む接続要求REQ_HSKをIoTゲートウェイ装置110へ送信する(ステップS402)。
【0045】
IoTゲートウェイ装置110から見ると、ステップS402後に、IoTゲートウェイ装置110はMACアドレスを含む接続要求REQ_HSKを受信することができる(ステップS403)。IoTゲートウェイ装置110は、クライアント装置120_1を認証するために、アクセスパスワードが接続要求REQ_HSKに基づいて正しいかどうかを検査する(ステップS404)。
【0046】
クライアント装置120_1が認証された後に、ゲートウェイ装置110は接続要求REQ_HASKが承認されたことをクライアント装置120_1に通知するために、接続応答RES_HSKをクライアント装置120_1へ返送する(ステップS405)。ステップS405後に、クライアント装置120とゲートウェイ装置110との間の無線接続WCが確立される。実際のアプリケーションでは、アクセスパスワードが正しいかどうか認証するステップ(ステップS402,S404及びS405)は4ウェイハンドシェークアプリケーションにより実装することができることに留意されたい。
【0047】
無線接続WCの確立後に、IoTゲートウェイ装置110はクライアント装置120_1から受信される信号に基づいてクライアント装置120_1のMACアドレス及びRSSI値を取得し(ステップS406)、クライアント装置120_1のMACアドレスをIoTゲートウェイ装置110に格納されたルックアップテーブルの正当なMACアドレスのリストに追加する(ステップS407)。
【0048】
次に、IoTゲートウェイ装置110はクライアント装置120_1から得られるRSSI値に基づいてRSSIの範囲を計算し(ステップS408)、計算したRSSIの範囲をクライアント装置120_1のMACアドレスに対応する正当なRSSIの範囲としてルックアップテーブルに追加する(ステップS409)。本実施形態では、RSSIの範囲はRSSI±x%として設計することができ、xは設計者が設定することができる。こうして、クライアント装置120_1の正当なMACアドレス及び正当なRSSI値がルックアップテーブルに追加される。
【0049】
本実施形態では、IoTゲートウェイ装置110は受信される接続要求の数がプリセット期間内に閾値を超えるかどうかを決定することができる。IoTゲートウェイ装置110は、受信される接続要求の数がプリセット期間内に閾値を超えるとき、パケットフィルタリング機構を活性化する(ステップS410)。IoTゲートウェイ装置110は、パケットフィルタリング機構が活性化された後に、ルックアップテーブルへのMACアドレス及びRSSIの範囲の新たな追加を停止することができる。換言すれば、パケットフィルタリング機構が活性化された後は、IoTゲートウェイ装置110はルックアップテーブルに記録された正当なクライアント装置から送信されてくる接続要求のみを許可する。
【0050】
具体的には、パケットフィルタリング機構が活性化されている間、クライアント装置120_1が再びIoTゲートウェイ装置110に接続を要求し、接続要求REQ_HSKをIoTゲートウェイ装置110へ送信する場合(ステップS411及びS42)には、IoTゲートウェイ装置110は前実施形態で記載したステップS303〜S306と同様のステップS413〜S416を実行して、クライアント装置120_1の身元を確認し、クライアント装置120_1のアクセス情報を認証することができる。
【0051】
本実施形態では、クライアント装置120_1は、パケットフィルタリング機構が活性化される前にそのMACアドレス及びRSSI値がルックアップテーブルに既に記録されているため、正当なクライアント装置であると決定される。それゆえ、IoTゲートウェイ装置110はクライアント装置120_1との無線接続WCを確立するためにクライアント装置120_1に接続応答RES_HSKを返送することができる(ステップS417)。
【0052】
他方、パケットフィルタリグ機構が活性化されている間にクライアント装置120_2がIoTゲートウェイ装置110への接続を要求し、IoTゲートウェイ装置110に接続要求REQ_HSKを送信する場合(ステップS418及びS419)には、IoTゲートウェイ装置110は、このクライアント装置120_2はそのMACアドレス及びRSSIがルックアップテーブルに記録されていないために不当なクライアント装置であると決定し(ステップS420〜S422)、クライアント装置120_2の接続要求REQ_HSKを拒否することができる(ステップS423)。言い換えれば、本実施形態では、クライアント装置120_2から送信される接続要求REQ_HSKは、パケットフィルタリング機構が活性化されているとき、IoTゲートウェイ装置110により拒否することができる。
【0053】
本実施形態では、IoTゲートウェイ装置110がパケットフィルタリング機構を活性化すると、ルックアップテーブルに記録されていないクライアント装置120_2は実際に正当であってもIoTゲートウェイ装置110に接続することはできないことに留意されたい。
【0054】
図5は本発明の別の実施形態によるIoTシステムの概略図である。図5を参照すると、本実施形態のIoTシステム500は、IoTゲートウェイ装置110、一つ又は複数のクライアント装置120_1〜120_n、及び検証ゲートウェイ装置130を含む。
【0055】
IoTゲートウェイ装置110及びクライアント装置120_1〜120_nは図1に示す実施形態と基本的に同様である。本実施形態と前実施形態との主な相違点は、IoTシステム500は正当なクライアント装置のMACアドレス及びRSSI値に関連する情報をIOTゲートウェイ装置110に提供するためにクライアント装置120_1〜120_nの身元を確認するための検証ゲートウェイ装置130を更に備えていることにある。従って、IoTゲートウェイ装置110は、パケットフィルタリング機構が活性化されているときでも、検証ゲートウェイ装置130により提供される情報に基づいてMACアクセス及びRSSI値からなる新たな入力データをルックアップテーブルに追加することができる。
【0056】
具体的には、検証ゲートウェイ装置130は、無線通信回路132、メモリ回路134、及び処理装置136を含む。検証ゲートウェイ装置130のハードウェア構成はIoTゲートウェイ装置110と同様であり、簡単のためにここでは記載を省略する。
【0057】
検証ゲートウェイ装置130のメモリ回路に格納されたモジュールは、認証モジュールAM、情報取得モジュールVIOM、及び通知モジュールNMを含む。認証モジュールAMは、クライアント装置120_1〜120_nの接続要求を受信し、クライアント装置120_1〜120_nを認証するために実行される。情報取得モジュールVIOMは、接続要求に基づいてクライアント装置120_1〜120_nのMACアドレス及びRSSI値を取得するために実行される。通知モジュールは、クライアント装置が認証されたとき、認証されたクライアント装置のMACアドレス及びRSSI値を含むテーブル追加通知を送信するために実行される。
【0059】
図6を参照すると、本実施形態は、正しいアクセスパスワードを有する正当なクライアント装置120がIoTゲートウェイ装置110に接続しようとしている状態を示し、この状態ではIoTゲートウェイ装置110と検証ゲートウェイ装置130との間の無線通信は既に確立されている。
【0060】
ステップS601において、クライアント装置120は最初に検証ゲートウェイ装置130に接続することができる。ステップS601中に、クライアント装置120はMACアドレスを含む接続要求を検証ゲートウェイ装置130へ送信する(ステップS602)。
【0061】
検証ゲートウェイ装置130から見ると、ステップS602後に、検証ゲートウェイ装置130はMACアドレスを含む接続要求REQ_HSKを受信することができる(ステップS603)。検証ゲートウェイ装置130は、クライアント装置120を認証するために、接続要求REQ_HSKに基づいてアクセスパスワードが正しいかどうかを検査する(ステップS604)。
【0062】
クライアント装置120_1が認証された後に、検証ゲートウェイ装置130は接続要求REQ_HASKが承認されたことをクライアント装置120_1に通知するために、接続応答RES_HSKをクライアント装置120_1へ返送し(ステップS605)、無線接続が確立される。実際のアプリケーションでは、アクセスパスワードが正しいかどうか認証するステップ(ステップS602,S604及びS605)は4ウェイハンドシェークアプリケーションにより実装することができることに留意されたい。
【0063】
無線接続WCの確立後に、検証ゲートウェイ装置130はクライアント装置120から受信される信号に基づいてクライアント装置120のMACアドレス及びRSSI値を取得し(ステップS606)、テーブル追加通知TNTをIoTゲートウェイ装置110へ送信する(ステップS607)。IoTゲートウェイ装置110はテーブル追加通知TNTのMACアドレスを正当なMACアドレスのリストに追加し(ステップS608)、テーブル追加通知TNTのRSSI値に基づいてRSSIの範囲を計算し(ステップS609)、計算したRSSIの範囲をテーブル追加通知のMACアドレスに対応するRSSIの範囲としてルックアップテーブルに追加することができる(ステップS610)。
【0064】
検証ゲートウェイ装置130は更に、再接続通知RNTをクライアント装置120に送信するため(ステップS611)、クライアント装置120は検証ゲートウェイ装置130との接続を切り、IoTゲートウェイ装置110へ再接続することができる(ステップS612)。
【0065】
次に、クライアント装置120は接続要求REQ_HSKをIoTゲートウェイ装置110へ送信することができるため(ステップC613)、IoTゲートウェイ装置110は前実施形態のステップS303〜S306と同様のステップS614〜S617を実行し、クライアント装置120の身元を検証し、クライアント装置120のアクセス情報を認証することができる。正当なクライアント装置120の最初の接続に対して、IoTゲートウェイ装置110は検証ゲートウェイ装置130により送付されたRSSI値をそれより正確な受信RSSI値に再調整することができることに留意されたい。
【0066】
言い換えれば、本実施形態のIoTゲートウェイ装置110は動作時にパケットフィルタリング機構を連続的に活性化するものとみなすことができる。しかしながら、図4に示す実施形態と異なり、本実施形態のIoTゲートウェイ装置110は、クライアント装置120を検証し正当なクライアント装置120の情報に関する通知をIoTゲートウェイ装置110に提供する検証ゲートウェイ装置130を用いることによって、初めてIoTゲートウェイ装置110に接続する正当なクライアント装置120を追加することができる。従って、正当なクライアント装置が最初の接続に関してブロックされるという問題を解消することができる。
【0067】
要するに、本発明の実施形態は身元確認方法、同方法を用いるIoTゲートウェイ装置、及び検証ゲートウェイ装置を提供する。本発明の方法を適用することによって、IoTゲートウェイ装置はクライアント装置を更にRSSI値に基づいて検証することができる。従って、不正クライアント装置が正当/正規のMACアドレスを偽造してIoTゲートウェイ装置へアクセスしようとしても、依然としてIoTゲートウェイ装置は接続されるクライアント装置のRSSI値を検証することによって不正/不当なクライアント装置をブロックすることができるため、IoTシステムの接続セキュリティを高めることができる。
【0068】
当業者であれば、本発明の範囲又は精神から逸脱することなく本発明の構造に様々な変更や変形を成し得ることは明らかであろう。以上を考慮すると、本発明は、本発明の様々な変更例や変形例が後記の請求項及びそれらの均等物の範囲に含まれるならば、それらもカバーすることを意図している。
【産業上の利用性】
【0069】
身元確認方法、該方法を用いるIoT装置、及び検証ゲートウェイ装置は無線通信及びIoT産業に適用可能である。
【符号の説明】
【0070】
100 IoTシステム110 IoTゲートウェイ装置
112,132 無線通信回路
114,134 メモリ回路
116,136 処理装置
120,120_1〜120_n クライアント装置
130 検証ゲートウェイ装置
S210−S248,S301−S307,S401−S423,S501−S512,S601−S618 ステップ
AM 認証モジュール
CM 接続モジュール
IIOM,VIOM 情報取得モジュール
LEM ルックアップテーブル確立モジュール
NM 通知モジュール
VM 検証モジュール
REQ_HSK 接続要求
RES_HSK 接続応答
【外国語明細書】