知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6282955
(24)【登録日】2018年2月2日
(45)【発行日】2018年2月21日
(54)【発明の名称】不正接続検知システム、方法およびプログラム
(51)【国際特許分類】
G06F 21/44 20130101AFI20180208BHJP
H04L 12/70 20130101ALI20180208BHJP
【FI】
G06F21/44
H04L12/70 100Z
【請求項の数】5
【全頁数】15
(21)【出願番号】特願2014-155496(P2014-155496)
(22)【出願日】2014年7月30日
(65)【公開番号】特開2016-33692(P2016-33692A)
(43)【公開日】2016年3月10日
【審査請求日】2017年1月18日
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】服部 雅晴
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特開2010−121297(JP,A)
【文献】
特開2013−153285(JP,A)
【文献】
特開2009−151568(JP,A)
【文献】
特開2010−119137(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
センサデバイスと、センサゲートウェイと、リスクベース認証サーバとを備える不正接続検知システムであって、
前記センサデバイスは、
消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープ手段と、
前記スリープ手段によりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信手段と、
前記復帰送信手段によるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信手段と、
前記応答時間リクエスト受信手段により受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信手段と、を備え、
前記センサゲートウェイは、
スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信手段と、
前記復帰受信手段による前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信手段と、
前記応答時間リクエスト送信手段により送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信手段と、
前記応答時間リクエスト送信手段による送信時刻と、前記応答時間レスポンス受信手段による受信時刻とから応答時間を算出する応答時間算出手段と、
前記応答時間算出手段によって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信手段と、
前記パフォーマンス情報送信手段によって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信手段と、
前記通知受信手段によって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御手段と、を備え、
前記リスクベース認証サーバは、
前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信手段と、
前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出手段と、
前記パフォーマンス情報受信手段によって受信した前記パフォーマンス情報と、前記しきい値算出手段によって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定手段と、
前記リスク判定手段によって判定された内容の通知を前記センサゲートウェイに送信する制御管理手段と、を備える、
不正接続検知システム。
前記センサデバイスは、
消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープ手段と、
前記スリープ手段によりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信手段と、
前記復帰送信手段によるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信手段と、
前記応答時間リクエスト受信手段により受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信手段と、を備え、
前記センサゲートウェイは、
スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信手段と、
前記復帰受信手段による前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信手段と、
前記応答時間リクエスト送信手段により送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信手段と、
前記応答時間リクエスト送信手段による送信時刻と、前記応答時間レスポンス受信手段による受信時刻とから応答時間を算出する応答時間算出手段と、
前記応答時間算出手段によって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信手段と、
前記パフォーマンス情報送信手段によって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信手段と、
前記通知受信手段によって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御手段と、を備え、
前記リスクベース認証サーバは、
前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信手段と、
前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出手段と、
前記パフォーマンス情報受信手段によって受信した前記パフォーマンス情報と、前記しきい値算出手段によって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定手段と、
前記リスク判定手段によって判定された内容の通知を前記センサゲートウェイに送信する制御管理手段と、を備える、
不正接続検知システム。
【請求項2】
前記しきい値算出手段は、前記センサデバイスに係る消費電力と、電池容量と、を含むセンサデバイス情報から、しきい値を算出する、請求項1に記載の不正接続検知システム。
【請求項3】
請求項1に記載の不正接続検知システムが実行する方法であって、
前記センサデバイスにおいて、
前記スリープ手段が、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープステップと、
前記復帰送信手段が、前記スリープステップによりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信ステップと、
前記応答時間リクエスト受信手段が、前記復帰送信ステップによるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信ステップと、
前記応答時間レスポンス送信手段が、前記応答時間リクエスト受信ステップにより受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信ステップと、を備え、
前記センサゲートウェイにおいて、
前記復帰受信手段が、スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信ステップと、
前記応答時間リクエスト送信手段が、前記復帰受信ステップによる前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信ステップと、
前記応答時間レスポンス受信手段が、前記応答時間リクエスト送信ステップにより送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信ステップと、
前記応答時間算出手段が、前記応答時間リクエスト送信ステップによる送信時刻と、前記応答時間レスポンス受信ステップによる受信時刻とから応答時間を算出する応答時間算出ステップと、
前記パフォーマンス情報送信手段が、前記応答時間算出ステップによって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信ステップと、
前記通知受信手段が、前記パフォーマンス情報送信ステップによって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信ステップと、
前記接続制御手段が、前記通知受信ステップによって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御ステップと、を備え、
前記リスクベース認証サーバにおいて、
前記パフォーマンス情報受信手段が、前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信ステップと、
前記しきい値算出手段が、前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出ステップと、
前記リスク判定手段が、前記パフォーマンス情報受信ステップによって受信した前記パフォーマンス情報と、前記しきい値算出ステップによって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定ステップと、
前記制御管理手段が、前記リスク判定ステップによって判定された内容の通知を前記センサゲートウェイに送信する制御管理ステップと、を備える、
方法。
前記センサデバイスにおいて、
前記スリープ手段が、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープステップと、
前記復帰送信手段が、前記スリープステップによりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信ステップと、
前記応答時間リクエスト受信手段が、前記復帰送信ステップによるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信ステップと、
前記応答時間レスポンス送信手段が、前記応答時間リクエスト受信ステップにより受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信ステップと、を備え、
前記センサゲートウェイにおいて、
前記復帰受信手段が、スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信ステップと、
前記応答時間リクエスト送信手段が、前記復帰受信ステップによる前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信ステップと、
前記応答時間レスポンス受信手段が、前記応答時間リクエスト送信ステップにより送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信ステップと、
前記応答時間算出手段が、前記応答時間リクエスト送信ステップによる送信時刻と、前記応答時間レスポンス受信ステップによる受信時刻とから応答時間を算出する応答時間算出ステップと、
前記パフォーマンス情報送信手段が、前記応答時間算出ステップによって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信ステップと、
前記通知受信手段が、前記パフォーマンス情報送信ステップによって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信ステップと、
前記接続制御手段が、前記通知受信ステップによって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御ステップと、を備え、
前記リスクベース認証サーバにおいて、
前記パフォーマンス情報受信手段が、前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信ステップと、
前記しきい値算出手段が、前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出ステップと、
前記リスク判定手段が、前記パフォーマンス情報受信ステップによって受信した前記パフォーマンス情報と、前記しきい値算出ステップによって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定ステップと、
前記制御管理手段が、前記リスク判定ステップによって判定された内容の通知を前記センサゲートウェイに送信する制御管理ステップと、を備える、
方法。
【請求項4】
請求項3に記載の不正接続検知システムが実行する方法において、
前記センサゲートウェイとしてのコンピュータに、前記センサゲートウェイにおいて実行される各ステップを実行させるためのプログラム。
前記センサゲートウェイとしてのコンピュータに、前記センサゲートウェイにおいて実行される各ステップを実行させるためのプログラム。
【請求項5】
請求項3に記載の不正接続検知システムが実行する方法において、
前記リスクベース認証サーバとしてのコンピュータに、前記リスクベース認証サーバにおいて実行される各ステップを実行させるためのプログラム。
前記リスクベース認証サーバとしてのコンピュータに、前記リスクベース認証サーバにおいて実行される各ステップを実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正接続検知システム、方法およびプログラムに関する。特に、本発明は、各種デバイス同士が相互に情報交換を行うMachine to Machine(以下、M2Mと言う。)システムにおける異常センサデバイスによる不正接続検知技術に関し、不正接続の検知を判定する検知方法およびシステムに関するものである。
【背景技術】
【0002】
近年、ネットワークに接続された健康センサなどの各種センサデバイス同士が相互に情報交換を行うM2Mと呼ばれる通信形態の利用が進んでいる。ネットワーク形態として、センサデバイス自身が通信モジュールを具備してモバイルネットワークに接続する形態や、近傍に複数あるセンサデバイスをセンサゲートウェイで一旦収容しモバイルネットワークに接続する形態が存在する。後者の形態では、モバイルネットワークに接続する通信モジュールをセンサデバイスに具備する必要がなく、センサデバイスをより安価にすることができる。そのため、M2Mサービスの普及の一助になることが期待される。一方でセンサデバイスの処理能力やメモリ容量が十分でなく、セキュリティ機能を含め機能が制限されているケースが多い。このようなセンサデバイスに関する技術を開示する特許文献1および特許文献2が知られている。
【0003】
特許文献1は、不正接続検知システムを開示する。この発明は、監視システム(センサゲートウェイに相当)から監視対象(センサデバイスに相当)に向け定期的にリクエストを送信し、監視対象に格納されている監視プログラムから所定の接続通知に関わるレスポンスを監視システムで受領する。定期的な接続通知の未受領により監視対象の異常を推定する。
【0004】
また、特許文献2は、認証サーバ、認証方法および認証プログラムを開示する。この発明は、各種センサデバイス同士が相互に情報交換を行うM2Mシステムにおいてリスクベース認証を行う認証システムおよび認証方法に適用する。この認証サーバでは、データ送受信のトラヒックなどのパフォーマンス情報を元にリスクレベルを決定する。パフォーマンス情報により、主にリスクレベルの評価を行う。その理由は、多くのセンサデバイスが規則性を有するため、その規則性から外れた挙動に対してはリスク度が高いと判断できるためである。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006―190057号公報
【特許文献2】特願2013―200332号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
M2Mシステムで利用されるセンサデバイスには、非常にリソースの限られたセンサデバイスが存在する。このようなセンサデバイスにはセキュリティに関する機能(認証プロトコルなど)の実装が不可能であり、センサデバイスの個体識別番号で区別してインターネットへの接続可否の判断をしていた。このとき、なりすましによる異常センサデバイスのインターネット接続を防ぐことは技術的に全くできなかった。例えば、特許文献1では、異常なトラヒックが発生する前に、監視システムであるセンサゲートウェイからリクエストを送信することで能動的に監視対象であるセンサデバイスをモニタする。しかしながら、センサデバイスに所定の監視プログラムを実装することが前提となり、リソースの限られたセンサデバイスには実装できない問題があった。
また、特許文献2では、センサデバイスのパフォーマンス情報を元にして統計処理を実施して異常度を算出するようにして、センサデバイスにプログラムを追加実装すること無く、異常センサデバイスのインターネット接続を防ぐ。これによりセンサデバイスにセキュリティ機能を実装する必要性がなくなり、特許文献1の課題を解決している。
しかしながら、センサデバイスの異常を統計処理にて判定する際のしきい値の設定により、しきい値を厳しく設定すると正常なセンサデバイスを頻繁に異常と判定してしまいM2Mシステムの運用に支障をきたす可能性がある。一方で、しきい値を甘く設定すると、異常なセンサデバイスを検出しにくくなるトレードオフが存在する。ここで従来通りに統計処理として通常使われる手法(例えば、標準偏差を用いた手法)では上記のトレードオフに対して最適なしきい値を設定できない課題が引き続き存在する。
【0007】
そこで、不正な接続をするセンサデバイスの検知を適切に判定するシステムが求められている。
【0008】
本発明は、不正な接続をするセンサデバイスの検知を適切に判定する不正接続検知システム、方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明は、トレードオフの存在するしきい値設定においてM2Mシステムに最適な値を設定する方法として、センサデバイスの特徴を利用する。具体的には、センサネットワークの特徴として、消費電力を抑制するためのセンサデバイスのスリープ機能を利用する。スリープ機能とは、センサデバイスが定期的に送受信可能な状態から送受信機の電源をOFFにすることである。再度、送受信機の電源をONにする時にセンサデバイスはセンサゲートウェイに向けてパケットを送信するため、センサゲートウェイはこれを受信した場合に、逆にセンサデバイスに対してリクエストを送信し、応答時間を測定する。応答時間を測定するのは異常センサデバイスが正常なセンサデバイスと異なるプロセスを実施する場合に少ないリソースである計算能力がこれに消費され、応答時間が変化することを利用するためである。そして、センサデバイスにより送受信機ON/OFF時の消費電力、時間および搭載しているバッテリの容量が決まっているので、バッテリ寿命中に応答時間を計測する回数が把握できる。しきい値には、バッテリの寿命内におけるスリープサイクル回数(=応答時間計測回数)の逆数である確率以下となる値を設定する。このようにすることで正常センサデバイスを異常と誤判定されることを防ぎつつ、異常センサデバイスの検出精度を高くする最適なしきい値の設定ができる。
具体的には、以下のような解決手段を提供する。
【0010】
(1) センサデバイスと、センサゲートウェイと、リスクベース認証サーバとを備える不正接続検知システムであって、前記センサデバイスは、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープ手段と、前記スリープ手段によりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信手段と、前記復帰送信手段によるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信手段と、前記応答時間リクエスト受信手段により受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信手段と、を備え、前記センサゲートウェイは、スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信手段と、前記復帰受信手段による前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信手段と、前記応答時間リクエスト送信手段により送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信手段と、前記応答時間リクエスト送信手段による送信時刻と、前記応答時間レスポンス受信手段による受信時刻とから応答時間を算出する応答時間算出手段と、前記応答時間算出手段によって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信手段と、前記パフォーマンス情報送信手段によって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信手段と、前記通知受信手段によって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御手段と、を備え、前記リスクベース認証サーバは、前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信手段と、前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出手段と、前記パフォーマンス情報受信手段によって受信した前記パフォーマンス情報と、前記しきい値算出手段によって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定手段と、前記リスク判定手段によって判定された内容の通知を前記センサゲートウェイに送信する制御管理手段と、を備える、不正接続検知システム。
【0011】
(1)の構成によれば、(1)に係る不正接続検知システムにおいて、センサデバイスは、スリープ復帰すると、センサゲートウェイにパケットを送信し、センサゲートウェイからリクエストとして、応答時間測定用データを受信し、受信した応答時間測定用データに対し、レスポンスをセンサゲートウェイに送信する。センサゲートウェイは、スリープ復帰したセンサデバイスから、パケットを受信し、パケットの受信に対し、センサデバイスにリクエストとして、応答時間測定用データを送信し、送信した応答時間測定用データに対し、レスポンスをセンサデバイスから受信し、応答時間リクエストの送信時刻と、応答時間レスポンスの受信時刻とから応答時間を算出し、算出した応答時間を含むパフォーマンス情報をリスクベース認証サーバに送信し、送信したパフォーマンス情報に対する通知を、リスクベース認証サーバから受信し、受信した通知に基づいて、センサデバイスとの接続を制御する。リスクベース認証サーバは、センサゲートウェイから応答時間を含むパフォーマンス情報を受信し、センサデバイスが正常であるか否かを判定するためのしきい値を算出し、受信したパフォーマンス情報と、算出したしきい値とに基づいて、センサデバイスが正常であるか否かのリスクを判定し、判定した内容の通知をセンサゲートウェイに送信する。
【0012】
したがって、(1)に係る不正接続検知システムは、不正な接続をするセンサデバイスの検知を適切に判定することができる。
【0013】
(2) 前記しきい値算出手段は、消費電力と、前記応答時間と、電池容量を含むセンサデバイス情報とから、しきい値を算出する、(1)に記載の不正接続検知システム。
【0014】
したがって、(2)に係る不正接続検知システムは、不正な接続をするセンサデバイスの検知をさらに適切に判定することができる。
【0015】
(3) (1)に記載の不正接続検知システムが実行する方法であって、前記センサデバイスにおいて、前記スリープ手段が、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープステップと、前記復帰送信手段が、前記スリープステップによりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信ステップと、前記応答時間リクエスト受信手段が、前記復帰送信ステップによるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信ステップと、前記応答時間レスポンス送信手段が、前記応答時間リクエスト受信ステップにより受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信ステップと、を備え、前記センサゲートウェイにおいて、前記復帰受信手段が、スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信ステップと、前記応答時間リクエスト送信手段が、前記復帰受信ステップによる前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信ステップと、前記応答時間レスポンス受信手段が、前記応答時間リクエスト送信ステップにより送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信ステップと、前記応答時間算出手段が、前記応答時間リクエスト送信ステップによる送信時刻と、前記応答時間レスポンス受信ステップによる受信時刻とから応答時間を算出する応答時間算出ステップと、前記パフォーマンス情報送信手段が、前記応答時間算出ステップによって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信ステップと、前記通知受信手段が、前記パフォーマンス情報送信ステップによって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信ステップと、前記接続制御手段が、前記通知受信ステップによって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御ステップと、を備え、前記リスクベース認証サーバにおいて、前記パフォーマンス情報受信手段が、前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信ステップと、前記しきい値算出手段が、前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出ステップと、前記リスク判定手段が、前記パフォーマンス情報受信ステップによって受信した前記パフォーマンス情報と、前記しきい値算出ステップによって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定ステップと、前記制御管理手段が、前記リスク判定ステップによって判定された内容の通知を前記センサゲートウェイに送信する制御管理ステップと、を備える、方法。
【0016】
したがって、(3)に係る方法は、不正な接続をするセンサデバイスの検知を適切に判定することができる。
【0017】
(4) コンピュータに、(3)に記載の方法の各ステップを実行させるためのプログラム。
【0018】
したがって、(4)に係るプログラムは、コンピュータに、不正な接続をするセンサデバイスの検知を適切に判定させることができる。
【発明の効果】
【0019】
本発明によれば、不正な接続をするセンサデバイスの検知を適切に判定することができる。本発明によれば、認証プロトコルを実装できない低機能なセンサデバイスのなりすましによる不正接続を防ぐことができる。その結果、本発明は、(1)ネットワークのタダ乗りのリスクを減らせる、(2)ネットワーク攻撃の踏み台にされるリスクを減らせる、(3)ネットワークへの侵入による情報漏えいのリスクを減らせる、ことができる。
また、本発明によれば、センサデバイスの異常を統計処理にて判定する場合、しきい値の設定により、しきい値を厳しく設定すると正常なセンサデバイスを頻繁に異常と判定してしまいM2Mシステムの運用に支障をきたす可能性があり、しきい値を甘く設定すると、異常なセンサデバイスを検出しにくくなるトレードオフが存在する課題や、従来通りに統計処理として通常使われる手法(例えば、標準偏差を用いた手法)では上記のトレードオフに対して最適なしきい値を設定できない課題を、解決することができる。
本発明は、センサの特徴に関わる数値を利用することにより、正常センサデバイスを異常と誤判定されることを防ぎつつ、異常センサデバイスの検出精度を高くする最適なしきい値の設定ができる効果がある。
【図面の簡単な説明】
【0020】
【図1】本発明の一実施形態に係る不正接続検知システムの構成を示すブロック図である。
【図2】本発明の一実施形態に係る不正接続検知システムにおけるセンサゲートウェイの処理内容を示すフローチャートである。
【図3】本発明の一実施形態に係る不正接続検知システムにおけるセンサゲートウェイとセンサデバイスとのデータシーケンスの例を示す図である。
【図4】本発明の一実施形態に係る不正接続検知システムにおけるリスクベース認証サーバの処理内容を示すフローチャートである。
【図5】本発明の一実施形態に係る不正接続検知システムにおける判定を説明するための説明図である。
【発明を実施するための形態】
【0021】
以下、本発明の実施形態について、図を参照しながら説明する。<不正接続検知方法およびそのシステム>
図1は、本発明の一実施形態に係る不正接続検知システム1の構成を示すブロック図である。不正接続検知システム1は、センサデバイス10と、センサゲートウェイ20と、リスクベース認証サーバ30とから構成される。
【0022】
センサデバイス10は、近距離無線通信(例えば、ZigBee(IEEE802.15.4)など)機能を具備しており、センシングしたデータを近距離無線通信を利用してセンサゲートウェイ20に転送する。センサデバイス10は、消費電力を抑制するためスリープ機能が具備されている(スリープ手段11)。再度、送受信機の電源をONにする時にセンサデバイス10はセンサゲートウェイ20に向けてパケットを送信する(復帰送信手段12)。また、センサデバイス10は、センサゲートウェイ20からリクエストを受信する(応答時間リクエスト受信手段13)と、センサゲートウェイ20にレスポンスを送信する(応答時間レスポンス送信手段14)。センサデバイス10により送受信機ON/OFF時の消費電力、時間および搭載しているバッテリの容量が決まっている。
【0023】
センサゲートウェイ20は、センサデバイス10からセンシングしたデータを受信する。また、センサゲートウェイ20は、センサデバイス10に向けて応答時間測定用データを送信(応答時間リクエスト送信手段22)し、センサデバイス10からの応答時間測定用データのレスポンスを受信(応答時間レスポンス受信手段23)し、応答時間を計測する。センサデバイス10にはスリープ機能が存在するため、確実に応答時間を計測するため、センサデバイス10のスリープから復帰時に送信されるデータリクエストに対して、センサゲートウェイ20がこれを受信(復帰受信手段21)した場合に、逆にセンサデバイス10に対して応答時間測定用データを送信して、応答時間を測定する(応答時間算出手段24)。センサゲートウェイ20は、リスクベース認証サーバ30に対して、応答時間・データ量・データ転送間隔などのパフォーマンス情報をリスク判定のために送信する(パフォーマンス情報送信手段25)。また、センサゲートウェイ20は、リスク判定結果をリスクベース認証サーバ30から受信(通知受信手段26)して、その結果に応じてセンサデバイス10との接続を開始/継続/切断を行う(接続制御手段27)。
【0024】
リスクベース認証サーバ30は、リスク分析部301としきい値設定部302とを備える。リスク分析部301は、後述のしきい値設定部302からしきい値情報を受信し、センサゲートウェイ20から受信(パフォーマンス情報受信手段31)したパフォーマンス情報を統計処理(正規性検定など)し、正常/異常をリスク判定するリスク判定機能(リスク判定手段33)と、リスク判定結果を利用者およびセンサゲートウェイ20に通知を行う制御管理機能(制御管理手段34)とを具備する。
しきい値設定部302は、消費電力P(送受信機ON時およびスリープ時)、時間T(送受信機ON時およびスリープ時)、電池容量Cなどのセンサデバイス情報からしきい値を算出する機能(しきい値算出手段32)を具備する。
例えば、スリープサイクル一回あたりの消費電力は、次の様に計算される。
P送受信機ON時×T送受信機ON時+Pスリープ時×Tスリープ時
したがって、センサデバイス10のバッテリ寿命中のスリープサイクル回数は、次の様に計算される。
C/(P送受信機ON時×T送受信機ON時+Pスリープ時×Tスリープ時)
リスク判定機能における統計処理を実施する時に、応答時間などのパフォーマンスの累積確率がスリープサイクルの逆数になる値をしきい値に設定することで、正常センサデバイスを異常と誤判定されることを防ぐことができる。
【0025】
<センサゲートウェイ20における処理フロー>図2は、本発明の一実施形態に係る不正接続検知システム1におけるセンサゲートウェイ20の処理内容を示すフローチャートである。
最初のステップとして、センサゲートウェイ20(復帰受信手段21)は、センサデバイス10からセンサネットワークへ参加するための要求を受信する(ステップS1)。
センサゲートウェイ20(応答時間リクエスト送信手段22)は、参加要求を受信後に必要に応じて認証処理を行いセンサデバイス10に対してネットワーク参加承認の応答を送信する。センサデバイス10は、センサネットワークに参加する(ステップS2)。
【0026】
図3は、本発明の一実施形態に係る不正接続検知システム1におけるセンサゲートウェイ20とセンサデバイス10とのデータシーケンスの例を示す図である。図3の例は、センサネットワークに参加後のセンサゲートウェイ20とセンサデバイス10との間のデータシーケンスを表わす。センサネットワークに参加した後のセンサデバイス10は、省電力化のために一定間隔でスリープに突入し、復帰する(スリープ手段11)。センサデバイス10(復帰送信手段12)は、スリープから復帰すると、センサゲートウェイ20に対してデータリクエストを送信する。
【0027】
図2に戻り、フローチャートの説明を続ける。センサゲートウェイ20(復帰受信手段21)は、センサデバイス10から復帰のデータリクエストを受信したか否かを判断し、受信した場合(ステップS3でYESの場合)、レスポンスを送信し、ステップS4へ移る。受信しなかった場合(ステップS3でNOの場合)、ステップS8へ移る。
また、センサゲートウェイ20(応答時間リクエスト送信手段22)は、レスポンスとは別に、センサデバイス10から復帰のデータリクエスト受信後に、応答時間測定用データをセンサデバイス10に向けて送信する(ステップS4)。
この時の送信時刻をtn1とする。センサデバイス10は、応答時間測定用データを受信し(応答時間リクエスト受信手段13)、応答時間測定用データのレスポンスを送信する(応答時間レスポンス送信手段14)。センサゲートウェイ20(応答時間レスポンス受信手段23)は、この応答時間測定用データのレスポンスを受信する(ステップS5)。この時の受信時刻をtn2とする。
センサゲートウェイ20(応答時間算出手段24)は、応答時間を次の式で算出する(ステップS6)。
Tn=tn2−tn1
センサゲートウェイ20(通知受信手段26)は、算出した応答時間Tnを、リスクベース認証サーバ30へ通知する(ステップS7)。その後、センサゲートウェイ20(接続制御手段27)は、センサデバイス10との切断処理が発生しない場合(ステップS8でNOの場合)、再度センサデバイス10からのデータ受信待ち状態に戻る。センサゲートウェイ20(接続制御手段27)は、切断処理が発生した場合(ステップS8でYESの場合)、処理を終了する。
【0028】
<リスクベース認証サーバ30における処理フロー>図4は、本発明の一実施形態に係る不正接続検知システム1におけるリスクベース認証サーバ30の処理内容を示すフローチャートである。
リスクベース認証サーバ30は、センサゲートウェイ20、センサデバイス10を接続する前に、接続が予定されているセンサデバイス10のデバイス情報(前述の消費電力P、時間T、電池容量Cなど)を登録する(ステップS11)。
デバイス情報の登録が終了すると、リスクベース認証サーバ30は、しきい値算出部(しきい値算出手段32)において下記の通りにしきい値とする確率を計算する(ステップS12)。
【0029】
しきい値とする確率Thres=1/スリープサイクル回数スリープサイクル回数=C/(P送受信機ON時×T送受信機ON時+Pスリープ時×Tスリープ時)
ここで、P:消費電力、T:時間、C:電池容量である。
【0030】
例えば、近距離無線通信(IEEE802.15.4)の消費電力は、送受信機ON時で15mA、スリープ時で1μAである。送受信機ONの時間が1secでスリープ時の時間が59secとして、単三電池2本に相当する電池容量4000mAhと仮定すると、スリープサイクル回数は9.6×105(=4000[mAh]/(15[mA]×1[sec]+1[μA]×59[sec]))となる。つまり、しきい値とする確率を1.0×10−6(=1/9.6×105)とする。
【0031】
センサゲートウェイ20およびセンサデバイス10を接続後に、リスクベース認証サーバ30(パフォーマンス情報受信手段31)は、センサゲートウェイ20から応答時間Tnの通知を受信する(ステップS13)。リスクベース認証サーバ30(リスク判定手段33)は、受信した応答時間Tnを、リスク分析部301に蓄積する(ステップS14)。
ここでリスク分析部301(リスク判定手段33)は、応答時間の値について一定数の蓄積があるかないかを判断する(ステップS15)。
これは統計的に正しい処理を実施するのに十分なサンプル数が得られているかを判定するもので、リスクベース認証サーバ30(リスク判定手段33)は、例えば統計処理上よく知られている次の式を使い算出する。
【0032】
必要サンプル数n=N/[(ε/μ(α))2×{(N−1)/ρ(1−ρ)}+1]ここで、それぞれの記号は、次の内容を表わす。
N:対象とする母集団の大きさ
μ(α):信頼度100−αの時の正規分布の値(例えば、信頼度95%)
ε:精度(例えば、5%)
ρ:母比率(例えば、0.5)
【0033】
例えば、対象とする母集団の大きさを、想定されるスリープサイクル回数の9.6×105(つまり、応答時間の測定回数)とし、信頼度95%の時のμ(α)が1.96、精度が5%、母比率を0.5とすると、必要サンプル数は、384(=9.6×105/[(0.05/1.96)2×{(9.6×105−1)/0.25}+1])となる。
【0034】
もしも、応答時間の値について一定数(384サンプル)の蓄積がない場合(ステップS15でNOの場合)には、次の処理をスキップする。もしも、応答時間の値について一定数の蓄積があった場合(ステップS15でYESの場合)には、リスクベース認証サーバ30は、接続開始後からの応答時間の確率分布を作成する統計処理を実施する(Sステップ16)。
【0035】
図5は、本発明の一実施形態に係る不正接続検知システム1における判定を説明するための説明図である。図5にその応答時間の確率分布の例およびしきい値設定に関わる概念図を図示する。図5は、縦の点線以内の応答時間であれば正常なセンサデバイス10と判定し、それ以外であれば異常なセンサデバイス10と判定することを示している。図4に戻り、フローチャートの説明を続ける。
【0036】
リスクベース認証サーバ30(リスク判定手段33)は、累積確率分布(図5では確率分布の黒塗りの面積501,502に相当)の値がステップS12で算出したしきい値とする確率以下となる応答時間TL(P=Thres)、TH(P=Thres)を取得する(ステップS17)。リスクベース認証サーバ30(リスク判定手段33)は、センサゲートウェイ20から受信した直近の応答時間TnがTn<TL(P=Thres)またはTn>TH(P=Thres)であるか否かを判断する(ステップS18)。
もしも当てはまる場合(ステップS18でYESの場合)には、不正接続が行われている可能性が高いので、リスクベース認証サーバ30(制御管理手段34)は、利用者に通知する(ステップS19)。もしも当てはまらない場合(ステップS18でNOの場合)には、リスクベース認証サーバ30(制御管理手段34)は、特に何も処理を行わない。
【0037】
リスクベース認証サーバ30は、センサゲートウェイ20からセンサデバイス切断の通知を受信しなければ(ステップS20でNOの場合)、再度センサゲートウェイ20からの応答時間の通知を受信するのを待ち、通知を受信した場合(ステップS20でYESの場合)、処理を終了する。
【0038】
<その他の実施例>前述ではスリープサイクル回数を把握するのに、事前登録した値(消費電力、時間、電池容量)を利用したがこれに限るものではない。例えば、電池を用いたセンサデバイス10の電源電圧は使用とともに降下し、ある電圧値でセンサデバイス10が電源OFFとなる。そこでセンサデバイス10から電源電圧値をセンサゲートウェイ20で取得できた場合、電源電圧の履歴から残りのスリープサイクル回数を推測することも可能である。この手法では電池のスペックには現れない個体差によるスリープサイクル回数のバラツキの影響を抑制することができる。
【0039】
図4のステップS18では、一度の条件判定で、正常なセンサデバイス10を異常と判定することなく、限りなく異常であると思われるセンサデバイス10を検出することになる。異常であるセンサデバイス10をより高い精度で検出するために、TL(P=Thres)とTH(P=Thres)の範囲内に、新たにもう一つしきい値TL(P=Thres)’とTH(P=Thres)’を設け、これらのしきい値TL(P=Thres)’とTH(P=Thres)’を超えた場合に、異常なセンサデバイス10である可能性があると判断して、新たな評価項目(例えば、センサデバイス10のデータ送受信のトラヒックのデータ量・データ転送間隔など)で解析を実施しても良い。
【0040】
本実施形態によれば、不正接続検知システム1は、センサデバイス10と、センサゲートウェイ20と、リスクベース認証サーバ30とを備え、センサデバイス10は、スリープ手段11が、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御し、復帰送信手段12が、スリープ手段11によりスリープ復帰すると、センサゲートウェイ20にパケットを送信し、応答時間リクエスト受信手段13が、復帰送信手段12によるパケットの送信に対し、センサゲートウェイ20からリクエストとして、応答時間測定用データを受信し、応答時間レスポンス送信手段14が、応答時間リクエスト受信手段13により受信した応答時間測定用データに対し、レスポンスをセンサゲートウェイ20に送信する。センサゲートウェイ20は、復帰受信手段21が、スリープ復帰したセンサデバイス10から、パケットを受信し、応答時間リクエスト送信手段22が、復帰受信手段21によるパケットの受信に対し、センサデバイス10にリクエストとして、応答時間測定用データを送信し、応答時間レスポンス受信手段23が、応答時間リクエスト送信手段22により送信した応答時間測定用データに対し、レスポンスをセンサデバイス10から受信し、応答時間算出手段24が、応答時間リクエスト送信手段22による送信時刻と、応答時間レスポンス受信手段23による受信時刻とから応答時間を算出し、パフォーマンス情報送信手段25が、応答時間算出手段24によって算出された応答時間を含むパフォーマンス情報をリスクベース認証サーバ30に送信し、通知受信手段26が、パフォーマンス情報送信手段25によって送信したパフォーマンス情報に対する通知を、リスクベース認証サーバ30から受信し、接続制御手段27が、通知受信手段26によって受信した前記通知に基づいて、センサデバイス10との接続を制御する。リスクベース認証サーバ30は、パフォーマンス情報受信手段が、センサゲートウェイ20から応答時間を含むパフォーマンス情報を受信し、しきい値算出手段32が、センサデバイス10が正常であるか否かを判定するためのしきい値を算出し、リスク判定手段33が、応答時間受信手段によって受信したパフォーマンス情報と、しきい値算出手段32によって算出されたしきい値とに基づいて、センサデバイス10が正常であるか否かのリスクを判定し、制御管理手段34が、リスク判定手段33によって判定された内容の通知をセンサゲートウェイ20に送信する。しきい値算出手段32は、消費電力と、応答時間と、電池容量を含むセンサデバイス情報とから、しきい値を算出する。したがって、不正接続検知システム1は、不正な接続をするセンサデバイス10の検知を適切に判定することができる。
【0041】
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【符号の説明】
【0042】
1 不正接続検知システム10 センサデバイス
11 スリープ手段
12 復帰送信手段
13 応答時間リクエスト受信手段
14 応答時間レスポンス送信手段
20 センサゲートウェイ
21 復帰受信手段
22 応答時間リクエスト送信手段
23 応答時間レスポンス受信手段
24 応答時間算出手段
25 パフォーマンス情報送信手段
26 通知受信手段
27 接続制御手段
30 リスクベース認証サーバ
31 パフォーマンス情報受信手段
32 しきい値算出手段
33 リスク判定手段
34 制御管理手段
301 リスク分析部
302 しきい値設定部