ホーム > 特許ランキング > トムソン ライセンシング
知財求人 - 知財ポータルサイト「IP Force」
特許6019033ワイヤレス通信装置のフィンガープリントのための方法および装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6019033
(24)【登録日】2016年10月7日
(45)【発行日】2016年11月2日
(54)【発明の名称】ワイヤレス通信装置のフィンガープリントのための方法および装置
(51)【国際特許分類】
H04W 12/06 20090101AFI20161020BHJP
H04W 84/12 20090101ALI20161020BHJP
H04W 88/02 20090101ALI20161020BHJP
【FI】
H04W12/06
H04W84/12
H04W88/02 150
【請求項の数】15
【全頁数】16
(21)【出願番号】特願2013-540348(P2013-540348)
(86)(22)【出願日】2011年11月23日
(65)【公表番号】特表2013-545411(P2013-545411A)
(43)【公表日】2013年12月19日
(86)【国際出願番号】EP2011070830
(87)【国際公開番号】WO2012069544
(87)【国際公開日】20120531
【審査請求日】2014年11月21日
(31)【優先権主張番号】10306294.9
(32)【優先日】2010年11月25日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】501263810
【氏名又は名称】トムソン ライセンシング
【氏名又は名称原語表記】Thomson Licensing
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100091214
【弁理士】
【氏名又は名称】大貫 進介
(72)【発明者】
【氏名】イーン,オリヴィエ
(72)【発明者】
【氏名】ノイマン,クリストフ
(72)【発明者】
【氏名】オノ,ステファーヌ
【審査官】
三浦 みちる
(56)【参考文献】
【文献】
米国特許出願公開第2008/0022402(US,A1)
【文献】
米国特許出願公開第2008/0244707(US,A1)
【文献】
米国特許出願公開第2010/0296496(US,A1)
【文献】
特表2010−527208(JP,A)
【文献】
J.FRANKLIN, D.MCCOY, P.TABRIZ, V.NEAGOE, J.V.RANDWYK, D.SICKER,Passive Data Link Layer 802.11 Wireless Device Driver Fingerprinting,PROCEEDINGS USENIX SECURITY 06,2006年 8月,pp.167-178,http://usenix.org/legacy/events/sec06/tech/full_papers/franklin/franklin.pdf
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24− 7/26
H04W 4/00−99/00
(57)【特許請求の範囲】
【請求項1】
チャネルのフレームによってデータを転送する少なくとも1つのワイヤレス装置をフィンガープリンティングする方法であって、フレームは、複数のワイヤレス装置を有するネットワーク内の前記チャネルで順次転送され、当該方法は、前記チャネルをリスニングしている装置において:
前のフレームに続く現在フレームを受信するステップと;
前記前のフレームの受信の終わりから前記現在フレームの受信の終わりまでの到着時間差を計測するステップと;
前記現在フレームを送信した前記ワイヤレス装置の識別を取得するステップと;
前記ワイヤレス装置のフィンガープリントを生成するために、前記到着時間差を、前記取得された識別に対応する前記ワイヤレス装置の到着時間差の集合に保存するステップと;
を有する方法。
前のフレームに続く現在フレームを受信するステップと;
前記前のフレームの受信の終わりから前記現在フレームの受信の終わりまでの到着時間差を計測するステップと;
前記現在フレームを送信した前記ワイヤレス装置の識別を取得するステップと;
前記ワイヤレス装置のフィンガープリントを生成するために、前記到着時間差を、前記取得された識別に対応する前記ワイヤレス装置の到着時間差の集合に保存するステップと;
を有する方法。
【請求項2】
前記到着時間差の集合をヒストグラムとして配列するステップであって、前記ヒストグラムは、前記ワイヤレス装置のフィンガープリントを構成する、ステップ、を更に有する請求項1記載の方法。
【請求項3】
前記ヒストグラムを、パーセンテージ頻度分布として表すステップ、を更に有する請求項2記載の方法。
【請求項4】
前記ヒストグラムは、前記チャネルでの通信のために用いられる標準によって定義された特定の時間に対応するビンを有する請求項2記載の方法。
【請求項5】
前記標準は、IEEE802.11である、請求項4記載の方法。
【請求項6】
前記標準は、IEEE802.11gである、請求項4記載の方法。
【請求項7】
第1のビンは、ショートインターフレームスペース(SIFS)に対応し、第2のビンは、ディストリビューテッドコーディネーションファンクションインターフレームスペース(DIFS)から前記SIFSを差し引いたものに対応し、かつ、少なくとも第3及び第4のビンは、それぞれタイムスロットの長さに対応する、請求項5記載の方法。
【請求項8】
前記取得されたフィンガープリントを、保存されたフィンガープリントと比較するステップと;
所定の装置の保存されたフィンガープリントと、前記取得されたフィンガープリントとが最も似ている場合、前記ワイヤレス装置を、前記所定の装置として識別するステップと;
を更に有する請求項1記載の方法。
所定の装置の保存されたフィンガープリントと、前記取得されたフィンガープリントとが最も似ている場合、前記ワイヤレス装置を、前記所定の装置として識別するステップと;
を更に有する請求項1記載の方法。
【請求項9】
似ていることは、類似尺度を用いて判断される、請求項8記載の方法。
【請求項10】
チャネルのフレームによってデータを転送する少なくとも1つのワイヤレス装置をフィンガープリンティングするための装置であって、フレームは、複数のワイヤレス装置を有するネットワーク内の前記チャネルで順次転送され、当該装置は:
前記チャネルをリスニングする手段と;
前のフレームに続く現在フレームを受信する手段と;
前記前のフレームの受信の終わりから前記現在フレームの受信の終わりまでの到着時間差を計測する手段と;
前記現在フレームを送信した前記ワイヤレス装置の識別を取得する手段と;
前記ワイヤレス装置のフィンガープリントを生成するために、前記到着時間差を、前記取得された識別に対応する前記ワイヤレス装置の到着時間差の集合に保存する手段と;
を有する装置。
前記チャネルをリスニングする手段と;
前のフレームに続く現在フレームを受信する手段と;
前記前のフレームの受信の終わりから前記現在フレームの受信の終わりまでの到着時間差を計測する手段と;
前記現在フレームを送信した前記ワイヤレス装置の識別を取得する手段と;
前記ワイヤレス装置のフィンガープリントを生成するために、前記到着時間差を、前記取得された識別に対応する前記ワイヤレス装置の到着時間差の集合に保存する手段と;
を有する装置。
【請求項11】
前記到着時間差の集合をヒストグラムとして配列する手段であって、前記ヒストグラムは、前記ワイヤレス装置のフィンガープリントを構成する、手段、を更に有する請求項10記載の装置。
【請求項12】
前記配列する手段は、前記ヒストグラムを、パーセンテージ頻度分布として表す、請求項11記載の装置。
【請求項13】
前記取得されたフィンガープリントを、保存されたフィンガープリントと比較する手段と;
所定の装置の保存されたフィンガープリントと、前記取得されたフィンガープリントが最も似ている場合、前記ワイヤレス装置を、前記所定の装置として識別する手段と;
を更に有する、請求項10記載の装置。
所定の装置の保存されたフィンガープリントと、前記取得されたフィンガープリントが最も似ている場合、前記ワイヤレス装置を、前記所定の装置として識別する手段と;
を更に有する、請求項10記載の装置。
【請求項14】
前記ヒストグラムは、前記チャネルでの通信のために用いられる標準によって定義された特定の時間に対応するビンを含む、請求項11記載の装置。
【請求項15】
前記標準は、802.11であり、かつ第1のビンは、ショートインターフレームスペース(SIFS)に対応し、第2のビンは、ディストリビューテッドコーディネーションファンクションインターフレームスペース(DIFS)から前記SIFSを差し引いたものに対応し、かつ、少なくとも第3及び第4のビンは、それぞれタイムスロットの長さに対応する、請求項14記載の装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般にフィンガープリントの装置に関し、より詳細には、ワイヤレス通信装置のフィンガープリントに関する。
【背景技術】
【0002】
まず、技術の様々な側面について説明する。これらは、本発明の様々な側面に関連する。これらは、以下に説明され、請求項に記載される。この説明は、背景情報を提供する上で有用であり、本発明の様々な側面を理解するのに役立つものである。したがって、明細書の記載はこの観点で理解する必要があり、従来技術を説明するためのものでない点に留意する必要がある。
【0003】
本発明の目的において、フィンガープリントを行う装置は、その装置を特徴付けるために装置の情報を収集する。このプロセスはシグネチャを得る。これはフィンガープリントとも呼ばれる。これは、小さな容量で装置を観察した特徴を表している。生成されたシグネチャが十分に特徴的(distinctive)であれば、その装置を識別するためにこれを用いることができる。
【0004】
明細書は、ワイヤレス通信をインプリメントするフィンガープリントを行う装置に焦点を当てる。このワイヤレス通信は、情報技術のためのIEEE標準と呼ばれる。これは、Telecommunications and information exchange between systems - Local and metropolitan area networks - Specific requirements Part 11 : Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specificationsであり、簡略化して、IEEE802.11であり、IEEE標準802.11−1999に規定されている(以下、802.11と呼ぶ)。この標準は、例えばWiFiにおいて用いられる。なお、本発明は、例えばALHAのような他の適切な通信技術を実装したフィンガープリント装置に対しても用いることができる。
【0005】
既に述べたように、装置に対するフィンガープリントは、装置の識別を可能とする。この識別は、その装置の意図した(purported)識別とは独立である。802.11装置のフィンガープリントの応用で重要なのは、メディアアクセスコントロール(MAC)アドレスのスプーフィング(なりすまし)を防止するということである。これは、他の装置のMACアドレスを用いることによって、その装置の認証(authorization)の利益を得る行為が典型例としてあげられる。
【0006】
幾つかのシナリオにおいて、MACアドレスのスプーフィングの防止は重要である。例えば、ホットスポットのような、オープンなワイヤレスネットワークは、しばしば、MACアドレスベースのアクセスコントロールをインプリメントしている。これによって、真正のクライアントステーション(例えば、インターネットアクセス料を購入した装置)のみがアクセスポイントに接続できるということを保証することができる。アタッカは、真正の装置のMACアドレスをスプーフィングすることによって、真正の装置のセッションを盗むことができる。逆に、アクセスポイントもアタックにさらされる。AirSnarf及びRawFakeAPは、アタッカが、不正なアクセスポイントをセットアップすることである。このアクセスポイント(AP)は、クライアントステーションを、真正のAPではなく、偽のAPに接続させてしまう。良好なフィンガープリンティング方法は、上述のアタックを検出し、その対策を図ることができる。
【0007】
実際に、フィンガープリントシグネチャ照合は、キーでプロテクトされたワイヤレスネットワークにおいて用いても有効である。例えば、WiFi Protected Access(WPA)が挙げられる。パッシブなフィンガープリンティング方法は、追加的な信用のレイヤとして、キーベースの認証メカニズムの前に用いることができる。この追加的なレイヤは、許可されていない装置を検出し、この結果、たいがいの場合脆弱でありコストがかかり、アクティブなキーベースの認証メカニズムには意味が無い。フィンガープリンティングは、ワイヤレス認証メカニズムの後に用いることもできる。これによって、ネットワーク内の認証された装置を制御することができる。もちろん、ユーザがWiFiキーを自ら公開することは通常のことであり、キーはリークしてしまう。例えば、友人を招待し、その友人のラップトップをホームネットワークにアクセスすることを許すことがある。このような場面は、よくあることであり単純である。これは、ホームネットワークを危険にさらすことになる。その後、キーは、招待されたラップトップからリークし、或いは、その友達が不正に再度接続することもある。結局のところ、ハッカーがWEPプロトコルをクラックするツールが存在する。WEPプロトコルは、セキュアーではないこととなり、現在、次のようなサービスが存在する。例えば、WPA Crackerであり、これはWPAキーを発券することを試みるものである。
【0008】
従来技術は、ネットワークカード、及び/又は、ドライバのインプリメンテーションの特異性を分析することによって、ワイヤレス装置をフィンガープリンティングするための多くの解決策を提示している。
【0009】
Franklin他は、そのカードが利用できるワイヤレスネットワークをサーチする「アクティブスキャニング時間」の間にドライバの特徴を調べる(characterize)。このスキャニングプロセスは、プローブリクエストを送信する周波数および順序に関する802.11標準には、十分に規定されていない(underspecified)。各製造業者は、したがって、この期間において、独自のアルゴリズム及びタイマをインプリメントしている(例えば、非特許文献1参照)。
【0010】
このパッシブなフィンガープリンティング技術の主な欠点は、ワイヤレスプロトコルが開始された短くかつ特定の時間の間にしか動作しないことである(例えば、非特許文献2参照)。
【0011】
Gopinath他は、802.11カードは、非常に異質な振る舞いを見せる。これは、インプリメンテーションの特異性に基づくものである。彼らは、幾つかの802.11の特徴をテストしている。例えば、ランダムバックオフタイマ、及び仮想キャリアセンシング(NAVメカニズム)である。この著者は、観察された振る舞いにおける異質性は、カードベンダ及びモデルに対するフィンガープリントを行うのに用いることができると判断している。しかしながら、この論文では、それ以上この側面を検討しておらず、生の実験結果を提示している(例えば、非特許文献3参照)。
【0012】
Bratus他は、上述の方法を提案している。その方法は、上述の研究を用いており、ワイヤレスクライアントステーション及びアクセスポイントに実際フィンガープリンティングを実行している。彼らの方法によると、フォーマットに即しておらず(malformed)、又は、規格外(non-standard)の刺激性(stimulus)のフレームが、フィンガープリントされる装置に送信され、そして、ベンダ/製造業者をフィンガープリントするために、その装置の応答又は振る舞いに対して、ディシジョンツリー(decision tree)が適用される。この技術の欠点は、パッシブではなく、アクティブであることである(例えば、非特許文献4参照)。
【0013】
Cache氏は、装置のネットワークカード及びドライバに対して二つの方法を提案している。
【0014】
第1の方法は、アクティブであり、802.11のアソシエーションリダイレクションメカニズムを用いている。これは、802.11において、十分に規定されているが、テストされたワイヤレスカードにおいて、粗くインプリメントされている。このため、各ワイヤレスカードは、特徴を取るフェーズの間に異なる振る舞いを見せる。第2の方法は、パッシブであり、802.11データの継続時間フィールド(duration field)値、及び管理フレーム(management frames)の分析に基づいている。各ワイヤレスカードは、継続フィールド(duration field)を僅かに異なるように計算し、異なる継続値(duration value)を得る(例えば、非特許文献5参照)。
【0015】
上述の全てのアプローチに共通することは、いずれも、同じネットワークカード及びドライバを使っている二つの装置を区別できない。これらのアプローチは、例えば、MACアドレススプーフィングには用いることができず、しかも、複数の装置を識別することには弱い面がある(less order)。
【0016】
上述の論文と比較して、Pang他は、802.11のプライバシーの面について検討している。彼らの論文は、ユーザは、802.11を使うときにアノニマスではないことを強調している。その理由は、このプロトコルは、ユーザをトラッキングすることができるグローバルにユニークな識別子(すなわち、MACアドレス)を使用しているからだとしている。この識別子が(例えば、一時的にアドレスが変化することによって)マスクされても、802.11プロトコルの(暗黙的な識別子として用いられている)パラメータ集合を調べることによって、ユーザをトラッキングすることが依然として可能であるとしている。この著者は、4つの暗黙的な識別子(すなわち、ネットワークデスティネーション、802.11プローブでアドバタイズされたネットワーク名、802.11コンフィグレーションオプション、及びブロードキャストフレームサイズ)に純粋(naive)なベイズ分類器を適用している。この4つのパラメータのうち3つは、トラフィックが暗号化されても適用される。混雑しているホットスポットテストトレースを用いて、彼らは、90%の確度で、64%のユーザを識別することができた(例えば、非特許文献11参照)。
【0017】
他の先行技術文献は、ワイヤレスアクセスポイント(AP)のフィンガープリンティングを扱っている。Jana他は、アクセスポイントのクロックスキューを計算し、それらを識別している。このクロックスキューは、APによって送信されるビーコン/プローブ応答フレームに含まれるタイムスタンプを用いて計算される。このクロックスキューをリプレイするアタッカは、802.11プロトコルタイマに影響される。例えば、DIFS(Distributed coordination function Interframe Space)が挙げられ、これは、ベーコンが送信される実際の時刻を変化させる。これらのタイマは、(アタックがインプリメントされる)ドライバレベルではアクセスできないため、タイムスタンプと受信の時刻は対応しない。このことは、計測されたクロックスキューを変化させることになる。彼らの提案した方法は、これらの差を計測し、そして、これによってアタックを検出するのである。
【0018】
C. Arackaparambil他は、Jana他の研究成果をさらに改善し、より正確なクロック計測値を得る新たな方法を提案している。彼らは、APのスプーフを成功させており、Jana他により用いられた方法によって、本物のAPと見分けがつかないようにさせた。彼らの方法は、ワイヤレスカードは、アタッチされたAPと自動的に同期するという事実を用いている(このことによって、ワイヤレスカードは、APと同じクロックスキューを持つことになる)。このことは、アタックの前にAPに関連付ける(associate)ことにより、APをスプーフすることがより容易になる(例えば、非特許文献6参照、非特許文献7参照)。
【0019】
Jana他及びArackaparambil他の方法は、しかしながら、アクセスポイントに対してのみ適用できる。なぜなら、これらの方法は、802.11ビーコンフレームに含まれるタイムスタンプを必要とし、このフレームは、アクセスポイントのみから送信され、クライアントステーションによっては送信されないからである。
【0020】
最後に、2つの論文が、MACアドレススプーフィングに挑戦している。しかしながら、フィンガープリンティングには、関連していない。2つの論文は、802.11フレームシーケンスナンバの不連続を検出することで、潜在的なアドレススプーフィングを検出する(例えば、非特許文献8、非特許文献9参照)。
【先行技術文献】
【非特許文献】
【0021】
【非特許文献1】J. Franklin, D. McCoy, P. Tabriz, V. Neagoe, J. V. Randwyk, and D. Sicker; "Passive Data Link Layer 802.11 Wireless Device Driver Fingerprinting"; In Proceedings Usenix Security 06, August 2006.
【非特許文献2】D. C. C. Loh, C. Y. Cho, C P. Tan and R. S. Lee, "Identifying Unique Devices through Wireless Fingerprinting", In WiSec'08, April 2008
【非特許文献3】Gaopinath, P. Bhagwat, and K. Gopinath; "An Empirical Analysis of Heterogeneity in IEEE 802.11 MAC Protocol Implementations and Its Implications"; In Proceedings of ACM WiNTECH'06, September 2006
【非特許文献4】S. Bratus, C. Cornelius, D. Kotz, and D. Peebles; "Active Behavioral Fingerprinting of Wireless Devices"; In Proceedings of ACM WiSec'08, March 2008
【非特許文献5】J. Cache; "Fingerprinting 802.11 Devices"; Master Thesis, 2006
【非特許文献6】S. Jana and S. K. Kasera; "On Fast and Accurate Detection of Unauthorized Wireless Access Points Using Clock Skews;" In Proceedings of ACM MobiCom 08, September 2008
【非特許文献7】Arackaparambil, S. Bratus, A. Shubina, and D. Kotz; "On the Reliability of Wireless Fingerprinting Using Clock Skews"; In Proceedings of ACM WiSec 10, March 2010
【非特許文献8】J. Wright, "Detecting Wireless LAN MAC Address Spoofing"; Technical Report, 2003
【非特許文献9】F. Gua and T. Chiueh, "Sequence Number-Based MAC Address Spoof Detection; In Proceedings of RAID 2005
【非特許文献10】G. Berger-Sabbatel, Y. Grunenberger, M. Heusse, F. Rousseau, and A. Duda, "Interarrival Histograms: A Method for Measuring Transmission Delays in 802.11 WLANs", Research report, LIG Lab, Grenoble, France, Oct 2007
【非特許文献11】J. Pang, B. Greenstein, R. Gummadi, S. Seshan, and D. Wetherall, "802.11 User Fingerprinting", In Proceedings of ACM MobiCom'07, September 2007
【非特許文献12】J. Wright, "Detecting Wireless LAN MAC Address Spoofing", Technical Report, 2003
【発明の概要】
【発明が解決しようとする課題】
【0022】
したがって、パッシブでのフィンガープリンティング及び個々のワイヤレス装置の識別のニーズが存在する。本発明は、この解決策を提供する。
【課題を解決するための手段】
【0023】
本発明の好適な特徴を、非限定的な実施例によって、図面を参照しながら以下に記載する。
【0024】
[発明の概要]第1の側面では、本発明は、チャネルのフレームによってデータを転送する少なくとも1つのワイヤレス装置をフィンガープリンティングする方法であって、フレームは、前記チャネルで順次転送される。前記チャネルをリスニングしている装置は、前のフレームを受け継いだ現在フレームを受信し、前記前のフレームの最後の受信から前記現在フレームの最後の受信までの到着時間差(inter-arrival time)を計測し、もし可能であれば、前記現在フレームを送信した前記ワイヤレス装置の識別を取得し、前記識別が取得された場合、前記ワイヤレス装置のフィンガープリントを生成するために、前記到着時間差を、前記取得された識別に対応する前記ワイヤレス装置の到着時間差の集合に保存する。
【0025】
第1の好適な実施例において、前記装置は、前記到着時間差の集合をヒストグラムとして配列し、前記ヒストグラムは、前記ワイヤレス装置のフィンガープリントを構成する。前記ヒストグラムを、パーセンテージ頻度分布として表すことは、有利である。前記ヒストグラムは、前記チャネル上の通信のために用いられる標準によって定義された特定の時間に対応するビンを有することは、同様に有利である。前記標準は、好適にはIEEE802.11であり、特にIEEE802.11gであり、第1のビンは、ショートインターフレームスペース(SIFS)に対応し、第2のビンは、ディストリビュートコーディネーションファンクションインターフレームスペース(DIFS)からSIFSを差し引いたものに対応し、かつ、少なくとも第3及び第4のビンは、それぞれタイムスロット(aSlotTime)の長さに対応する。
【0026】
第2の好適な実施例において、前記取得されたフィンガープリントを、保存されたフィンガープリンティングと比較し、前記ワイヤレス装置を、保存されたフィンガープリントと、前記取得されたフィンガープリントが最も似ている装置であると識別する。似ていることは、類似尺度を用いて判断されることは有利である。
【0027】
第2の側面において、本発明は、チャネルのフレームによってデータを転送する少なくとも1つのワイヤレス装置をフィンガープリンティングするための装置であって、フレームは、前記チャネルで順次転送される。当該装置は、前記チャネルをリスニングする手段と;前のフレームを受け継いだ現在フレームを受信する手段と;前記前のフレームの最後の受信から前記現在フレームの最後の受信までの到着時間差を計測する手段と;もし可能であれば、前記現在フレームを送信した前記ワイヤレス装置の識別を取得する手段と;前記識別が取得された場合、前記ワイヤレス装置のフィンガープリントを生成するために、前記到着時間差を、前記取得された識別に対応する前記ワイヤレス装置の到着時間差の集合に保存する手段と;を有する。
【0028】
第1の好適な実施例では、前記到着時間差の集合をヒストグラムとして配列する手段であって、前記ヒストグラムは、前記ワイヤレス装置のフィンガープリントを構成する、手段、を更に有する。前記配列する手段は、前記ヒストグラムを、パーセンテージ頻度分布として表すことは有利である。
【0029】
第2の好適な実施例では、前記装置は、前記取得されたフィンガープリントを、保存されたフィンガープリンティングと比較する手段と;前記ワイヤレス装置を、保存されたフィンガープリントと、前記取得されたフィンガープリントが最も似ている装置であると識別する手段と;を有する。
【図面の簡単な説明】
【0030】
【図1】本発明が用いられる例示的なワイヤレスネットワークを示す図である。
【図2】好適な本発明の実施例における例示的なモニタリングステーションを示す図である。
【図3】好適な本発明の実施例におけるネットワークトラフィックモニタリングの例を示す図である。
【図4】好適な本発明の実施例におけるフィンガープリンティング方法のフローチャートを示す図である。
【図5】好適な本発明の実施例によって生成される例示的なフィンガープリントを示す図である。
【発明を実施するための形態】
【0031】
[実施例の説明]図1は、本発明が用いられ得る例示的なワイヤレスネットワーク100を示している。ワイヤレスネットワーク100は、アクセスポイント(AP)110、及び複数のクライアント装置120A−D(これらは、総合的に120として参照される)。AP110は、クライアント装置120と通信し、かつ、例えばこれらにインターネットアクセスを提供するよう構成されている
本発明の特色としてのアイディアは、ネットワークトラフィックをモニタし、各送信ワイヤレス装置によって送信されたフレームに対するフレーム到着時間差を計測することである。モニタリングステーションによって(AP100又はクライアント装置120がこれになり得る)、この取得された(すなわち、受信された)ワイヤレストレースは、フレームのシーケンスp0,...pnを与える。フレームpiの受信の時刻は、tiであり(0≦i≦n)、フレームは、受信時刻に従って、増加的に順番が与えられる、すなわち、
【数1】
【0032】
フレームpiは、送信装置(sender)siによって送られ、送信装置は、送信装置のアドレス又は送信アドレス(例えばACKフレーム及び送信許可フレーム;後者の場合si=null)が含まれていないフレームタイプであり、フレームに対して送信装置は知ることができないとする。各フレームpiに対して、インターバルTi=ti−ti−1が計測される。これはすなわち、フレームpi−1の受信の最後の時刻と、後続するフレームpiの受信の最後の時刻との差である。計測されたインターバルTiは、送信装置siに対する集合I(si)に加えられる。ここで、I(si)は、送信装置siの到着時間差の集合を意味する。|I(si)|は、装置siに対して観測された数である。
【0033】
このトレースを収集するために、モニタリングステーションは、通常の802.11ワイヤレスカードを持っていればよい。このカードは、802.11のモニタリングモードにおいて計測対象のチャネルをリスニングする。本発明の方法は、完全にパッシブである。追加的なトラフィックは生成されない点に留意すべきである。例えば、pcapライブラリ(TCPDunp及びLibpcap;http://tcpdump.org参照)を用いることによってトレースの収集を行うことができる。このように、モニタリングの設定に対する要求は非常に少ない。
【0034】
図2は、本発明の好適な実施例に基づいた、例示的なモニタリングステーションを示している。モニタリングステーション200は、ワイヤレスインタフェース210、例えば、既に述べた802.11ワイヤレスカードと、少なくとも1つのプロセッサ220(以下、「プロセッサ」と言う)と、メモリ230とを有する。このワイヤレスインタフェース210は、ワイヤレストラフィックをモニタするように適合している。プロセッサ220は、モニタされたトラフィックを分析するように適合している。この分析は、後述するように、フレームの到着時間差及び送信装置を検出することによって行われる。そして、メモリ230は、例えば装置フィンガープリント等のデータを保存するようになっている。プロセッサ220は、送信装置を特定するために受信されたトラフィックを比較するように更に適合している。本発明を理解するのに必要な特徴のみが詳細に記載されている。モニタリングステーション200は、内部的な接続と、必要に応じて、例えば、更なる通信(有線の)インタフェースと、ユーザインタフェースとを有する。
【0035】
図3は、本発明の好適な実施例に従って、ネットワークトラフィックモニタリングの例を示している。この4つの装置120は、このネットワーク100に、モニタリング装置200によって、既に参加していることが分かる。図3において、伝搬時間は無視されている。これは、ネットワークの距離が短い場合においては、ゼロに近いからである。したがって、フレームは、送信された時に正確に到着しているように描かれている。通常、所定の時刻に(すなわち、その装置が使用しているチャネルにおいて)1つのフレームが送信される(或いは、全くフレームが送られない)。
【0036】
まず、装置A(120A)が、時刻t1までデータフレームを送信する。しかしながら、モニタリング装置200は、以前のフレームを収集していないため、到着時間差を計算することができない。その後、装置B(120B)は、応答確認(ACK)を送信する。このACKは、時刻t2で終了する。このモニタリング装置200は、到着時間差T2を計算することができる。しかしながら、送信装置を特定することはできない。このため、s2は設定されておらず(すなわち、null)、かつ到着時間差は、無視される。
【0037】
装置A(120A)は、その後、他のデータのフレームを送り、t3で終了する。モニタリング装置200は、到着時間差T3=t3−t2及びs3=Aを設定する。同様に、装置C(120C)は、送信要求(RTS:request to send)を送信する。これは、計算T4=t4−t3及びs4=Cを可能とする。そして、装置D(120D)は、データフレームを送信し、計算T5=t5−t4及びs5=Dを可能とする。
【0038】
この時点で、I(A)={T3}、I(B)=null、I(C)={T4}、及びI(D)={T5}である。通常、より多くの収集されたフレームが存在する。しかしながら、数は、明確化のために少なく維持される。これらの集合I(si)は、実際には対応する装置のフィンガープリントである(留意しなければならないことは、この集合は、通常より多くの観測を含んでいることである)。しかしながら、このフィンガープリントは、可視化するのがより容易であり、しかもヒストグラムで表現した場合に比較が容易である。以下に更に詳述する。
【0039】
このモニタリングステーション200は、各送信装置に対して、到着時間差ヒストグラムを生成する。各ヒストグラムは、ビンb0,...,bkを含む。ここで、各ビンは、到着時刻の時間間隔に対応する。ビンbjの観測数は、mj(ここで0≦j≦k)として表される。このヒストグラムは、頻度分布の割合に変換できる。ビンbjの頻度の割合は、Pj=mj/|I(s)|となる。ワイヤレス装置Sのシグネチャは、【数2】
【0040】
図4は、上述のフィンガープリンティング方法を要約したフローチャートである。モニタリングステーション200は、まず、チャネルをリスニングすること(410)から開始する。モニタリングステーションがフレームを受信すると(420)、前のフレームの受信の終わりから、現在フレームの受信の終わりまでの到着時間差を計算する(430)。もし可能であれば、モニタリングシステムは、そのフレームの送信装置の識別も取得する(440)。この識別が取得された場合、その送信装置のヒストグラムに、その到着時間差が保存される(450)。この処理は、適切である限り繰り返される。このフィンガープリンティングは、都合よく継続できる。しかしながら、時間的に限度があり得る。例えば、所定の時間、又は所定の数の受信されたフレーム数である。これは、チャネル全体又は、特定の送信装置に対して適用し得る。
【0041】
このヒストグラムのビンは、関連する通信プロトコルによって定義された、あるインターバルによって、望ましくは整列される。例えば、図3に示す例のヒストグラムのビンは、好適には、802.11標準によって定義された時間間隔に対応する。これは、送信する前に、送信ステーションは、所定の時間、それがアイドルであることを確認するように、通信チャネルをリスニングすることを要求される。送信ステーションは、この時間の間は、いかなるフレームも送信しない。上述のように、DIFS以外に、802.11は、タイムインターバルSIFS(Short Interframe Space)を定義しており、各タイムスロットの長さを設定している。正確な値は、802.11のバリアントに依存する。すなわち、IEEE標準802.11(登録商標)−2007(以下「802.11g」と言う)では、SIFS=10ps、DIFS=28ps、そしてタイムスロットサイズaSlotTime=9psである。SIFSは最も短いタイムインターバルであり、この間にチャネルは、アイドルとならなければならず、かつ、最も高い優先度の転送のために用いられ、又は、いわゆる仮想キャリアセンシングメカニズムを用いたチャネルをリザーブしたステーションに用いられる。DIFSは、最も短いタイムインターバルであり、この間に、いわゆるランダムバックオフ手順を用いているステーションのためにそのチャネルはアイドルとならなければならない。しかしながら、発生することとしては、DIFSプラス複数のaSlotTimeにおいて、ステーションがフレームを送信する。この時間を利用すると、ヒストグラムには、サイズがSIFSの第1のビンb0が得られる。第2のビンb1は、大きさがDIFS−SIFSであり、その後のビンb2,..,bkは、aSlotTimeのサイズである。
【0042】
図5は、例示的なヒストグラム510及び520を示している。x軸にビンがプロットされ、y軸に密度(density)すなわち、頻度の割合がプロットされている。一見すると、ヒストグラム510と520とは、かなり異なっていることが認識される。したがって、フィンガープリントも異なる。例えば、ヒストグラム510は2つの顕著なピークを持つ。これに対してヒストグラム520は、1つだけである。また、x軸のスケールは同じである。しかしながら、y軸は、上のヒストグラム510では、0から0.05であり、下のヒストグラム520では、0から0.01である。
【0043】
当業者は、フレームの受信の終わりの計測は、2つの送信ステーションが共にアイドルである期間及び転送期間を計測することを認識するはずである。まず、転送期間について検討すると、送信装置は、いわゆるPLCP(Physical Layer Convergence Protocol)のプリアンブルとヘッダとを送信することによって、送信を開始する。この両者は、物理レイヤにおける同期のために用いられる。時間間隔及びサイズは、利用する転送レート、及び物理レイヤの特徴に依存する。これらは、ワイヤレスカード及びそのドライバによってある程度の依存がある。送信装置は、その後フレームのペイロードを送信する。この転送に要する時間は、転送レート及びペイロードのサイズに依存する。加えて、フレームタイプ、ワイヤレスカードの設定、及びフレームデータを生成するアプリケーションは、フレームのサイズに影響を与える。したがって、フレーム転送時間は、ワイヤレスカードの特徴、及びフレーム内のデータを生成するアプリケーションの2つのミックスに依存することとなる。この依存によって、このヒストグラムにおいて、非常に特徴的なパターン及びピークが生成されることとなる。
【0044】
フレームの受信の開始において計測が行われた場合、単にアイドルタイムの計測となる。すなわち、送信装置が送信までに待つ時間である。この計測のみに基礎を置くシグネチャは、モニタリングされているワイヤレスステーションのサブセットを差別化することになる。ワイヤレスドライバ及びワイヤレスカードにおけるこの期間のインプリメンテーションの特異性は、ヒストグラムに対して影響を与える。したがって、アイドル期間の時間間隔は、主に、ワイヤレスカード及びそのドライバに依存することとなる。この計測を基にしたシグネチャは、同じワイヤレスカード及びドライバを用いる2つの装置を区別することができない。
【0045】
到着時間差(inter-arrival time)ヒストグラムは、Berger-Sabbatel他によっても利用されていた。しかしながら、彼らは、これらを802.11のパフォーマンスの評価に用いており、フィンガープリンティングには用いていないのである。しかも、彼らの計測は、バックグラウンドのトラフィックが無いか、制御されたバックグラウンドトラフィックにおける、完全に制御された環境にのみ適用できるのである(例えば、非特許文献10参照)。
【0046】
以上の記載においては、装置のためのフィンガープリントの生成に焦点を当てた。この生成は、ラーニングフェーズ(learning phase)とも呼ばれる。この期間において、フィンガープリントが参照データベースに蓄積される。モニタリング装置200は、生成されたシグネチャを蓄積する。すなわち、メモリ230にある参照データベースに蓄積される。これによって、知り得るワイヤレス装置refiの全てのヒストグラムSig(refi)を取得することができる。参照データベースは、1つ以上のトレーニングデータセットから生成される。これらは、全てのワイヤレストレース又はそのサブセットであってもよい。トレースによって見つかる各ソースアドレスに対して、ヒストグラムが計算される。当業者であれば、アタッカは、トレーニングデータベースを汚染(pollute)することができると考えるであろう。このようなケースの場合には、フィンガープリントが破壊され得る。
【0047】
これらのフィンガープリントは、通常は、次の検出フェーズにおいて用いられる。この間、モニタリング装置は、参照データベースにあるフィンガープリントと、その装置とを比較する。当業者であれば、「未知」とは、単に、参照データベースにおける未知の装置のフィンガープリントを意味することを理解するであろう。しかしながら、モニタリング装置は、既に未知の装置を特定しているのである。この未知の装置は、純粋に完全に未知であり、モニタリング装置が以前に出会っていない装置である。
【0048】
検出フェーズにおいて、確認データセット(validation dataset)と呼ばれる、更なるワイヤレストレースが分析される。これによって、このトレースに出現している、全ての装置(候補装置)に対して、シグネチャSig(candi)が分析される。候補装置のシグネチャは、参照データベースのシグネチャと比較される。この比較は、後述する少なくとも1つの類似尺度を使って実行される。これによって、各候補装置に対して、類似度のベクトル<sim1,sim2,...,simN>が得られる。ここでsimiは、装置refiの参照シグネチャと未知の装置のシグネチャSig(candi)の類似度である。
【0049】
各候補装置に対して、以下の2つの興味ある問題を解決することになる。すなわち、近さ(proximity)及び識別(identification)である。
【0050】
この近さのテストは、候補装置を正確に識別することを試みるものではない。むしろ、そのフィンガプリントアルゴリズムが、参照装置の識別の集合を返す。近さsimiが、閾値TVよりも小さい装置である。これは、2つの正確さ尺度(accuracy metrics)を用いて、方法のファインチューニングを行うものである。これらは、TPR(真陽性率:true positive rate)とFPR(偽陽性率:false positive rate)である。TPRは、返された集合が候補装置の実際の識別を含む参照データベースに知られている候補ワイヤレス装置の比率である。FPRは、アルゴリズムが返す空でない識別の集合に対する参照データベースに知られていない候補ワイヤレス装置の比率である。
【0051】
この識別テストは、近さテストが、参照装置の識別の集合を返すことを仮定し、かつ、識別の候補がこの集合に入っていることを仮定している。上述のテストによって返された類似度のベクトルに基づいて、最も類似度の高い参照装置を抽出することができる。このテストの、適切な正確度の尺度は、検出比(detection ratio)という。これは、正しく識別されたワイヤレス装置の比率である。
【0052】
もちろん、異なる類似尺度が用いられてもよい。3つの類似尺度について後述する。
【0053】
【数3】
【数4】
【0054】
第1の類似尺度は、L1距離(L1-distance)に基づく、標準のL1類似度(L1-Similarity)である。
【0055】
【数5】
【0056】
これは、標準であり、非常に単純であるため、よく機能する。
【0057】
次の類似尺度は、X2類似度である。これは、X2テストに基づいている。
【0058】
【数6】
【0059】
第3の類似尺度は、Jaccard類似度(Jaccard-similarity)である。これは、Jaccard距離に基づいている。
【0060】
【数7】
【0061】
当業者であれば、Jaccard類似尺度は、幾つかのトレース分析シナリオにおいて、よい結果をもたらす(非特許文献11、非特許文献12参照)。
【0062】
当業者であれば、本明細書に記載されたフィンガープリンティング方法は、様々な異なる応用に利用できることが分かるであろう。この方法は、家庭のネットワークでよく用いられるMACアドレスベースのアクセス制御を補完するために用いることができる。これは、不正なアクセスポイントを検出するためにも用いることができる。例えば、正式なアクセスポイントであることを目的とするアクセスポイントが挙げられる。他の例としては、装置の場所を特定し、トラッキングすることにも用いられ得る。
【0063】
当業者であれば、フィンガープリンティング方法は、特別な装置無しにインプリメントすることができる。本方法は、普通のユーザ装置、例えばPC、携帯電話、ホームネットワークのゲートウエイ等でインプリメントできる。
【0064】
本発明は、ワイヤレス装置をフィンガープリンティングするために、パッシブな方法を提供することができる。特に、IEEE802.11プロトコルをインプリメントする装置に容易に適用することができる。
【0065】
明細書、請求項、図面に開示された各特徴は、単独で提供され得ると共に、適切に組み合わせて提供され得る。ハードウエアとしてインプリメントされるよう記載された特徴は、ソフトウエアでもインプリメントできる。その逆も同じである。請求項に記載された参照番号は、意味を示すためのものであり、請求項の範囲を限定するものではない。