特許7100654暗号化データを伝送するための方法および機器ならびにデータを抽出するための方法および機器
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-07-05
(45)【発行日】2022-07-13
(54)【発明の名称】暗号化データを伝送するための方法および機器ならびにデータを抽出するための方法および機器
(51)【国際特許分類】
H04L 9/32 20060101AFI20220706BHJP
【FI】
H04L9/32 200A
【請求項の数】
21
(21)【出願番号】P 2019546077
(86)(22)【出願日】2017-11-09
(65)【公表番号】
(43)【公表日】2020-04-09
(86)【国際出願番号】 EP2017078809
(87)【国際公開番号】W WO2018087255
(87)【国際公開日】2018-05-17
【審査請求日】2020-10-15
(31)【優先権主張番号】1660864
(32)【優先日】2016-11-09
(33)【優先権主張国・地域又は機関】FR
(73)【特許権者】
【識別番号】512315706
【氏名又は名称】シグフォックス
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(72)【発明者】
【氏名】ラリニョン,ギョーム
【審査官】金沢 史明
(56)【参考文献】
【文献】米国特許出願公開第2009/0262937(US,A1)
【文献】中国特許出願公開第105099672(CN,A)
【文献】米国特許出願公開第2010/0098249(US,A1)
【文献】特開平10-028114(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
送信側機器(20)を用いて、通信システムの受信側機器(30)にパケットを伝送するための方法(50)であって、対称鍵暗号化プロトコルに従って暗号化されたデータを含む、「暗号化パケット」と呼ばれるパケットの前記伝送のために、-前記送信側機器(20)が、生成情報の値を決定するステップ(51)と、
-前記送信側機器(20)が、前記生成情報の前記値に従って、伝送すべき前記暗号化パケットに含まれる前記データを暗号化するために使用する暗号鍵を決定するステップ(52)と、
-前記送信側機器(20)が、前記暗号鍵に従って、伝送すべき前記暗号化パケットに含まれる前記データを暗号化するステップ(53)と、
-前記送信側機器(20)が、前記生成情報を第1の部分および第2の部分に分解することにより、切捨て情報を計算するステップ(54)であって、前記第1の部分は、前記第2の部分よりも時間経過と共にゆっくりと変わり、前記切捨て情報は、前記生成情報の前記第2の部分を表すステップと、
-前記送信側機器(20)が、少なくとも前記暗号化されたデータおよび前記生成情報の前記第1の部分に従って、前記暗号化パケットに関する検証コードを計算するステップ(55)と、
-前記送信側機器(20)が、伝送すべき前記暗号化パケットを形成するステップ(56)であって、前記暗号化パケットは、前記切り捨て情報、前記検証コード、および前記暗号化されたデータを含むが、前記生成情報の前記第1の部分は含まない、前記形成するステップ(56)と
を備えることを特徴とする方法(50)。
【請求項2】
前記送信側機器(20)が、前記送信側機器(20)の認証鍵に従って前記検証コードをさらに計算する、請求項1に記載の方法(50)。
【請求項3】
前記送信側機器(20)が、前記生成情報の前記第1の部分を表すリタイミング情報を含む、「リタイミングパケット」と呼ばれるパケットを形成し(57)、伝送するステップをさらに備える、請求項1または2に記載の方法(50)。
【請求項4】
前記生成情報は、前記送信側機器(20)が伝送したパケット数に対応するパケットカウンタ、または伝送すべき前記パケットの生成日である、請求項1~3のいずれかに記載の方法(50)。
【請求項5】
通信システムの受信側機器(30)にパケットを伝送するための送信側機器(20)であって、対称鍵暗号化プロトコルに従って暗号化されたデータを含む、「暗号化パケット」と呼ばれるパケットの前記伝送のために、-生成情報の値を決定するように構成された手段と、
-前記生成情報の前記値に従って、伝送すべき前記暗号化パケットに含まれる前記データを暗号化するために使用する暗号鍵を決定するように構成された手段と、
-前記暗号鍵に従って、伝送すべき前記暗号化パケットに含まれる前記データを暗号化するように構成された手段と、
-前記生成情報を第1の部分および第2の部分に分解することにより、切捨て情報を計算するように構成された手段であって、前記第1の部分は、第2の部分よりも時間経過と共にゆっくりと変わり、前記切捨て情報は、前記第2の部分を表す手段と、
-少なくとも前記暗号化されたデータおよび前記生成情報の前記第1の部分に従って、前記暗号化パケットに関する検証コードを計算するように構成された手段と、
-伝送すべき前記暗号化パケットを形成するように構成された手段であって、前記暗号化パケットは、前記切捨て情報、前記検証コード、および前記暗号化されたデータを含むが、前記生成情報の前記第1の部分は含まない、前記形成するように構成された手段と
を備えることを特徴とする送信側機器(20)。
【請求項6】
前記送信側機器(20)の認証鍵に従って前記検証コードをさらに計算する、請求項5に記載の送信側機器(20)。
【請求項7】
前記生成情報の前記第1の部分を表すリタイミング情報を含む、「リタイミングパケット」と呼ばれるパケットを形成し、伝送するように構成された手段をさらに備える、請求項5または6に記載の送信側機器(20)。
【請求項8】
前記生成情報は、前記送信側機器(20)が伝送したパケット数に対応するパケットカウンタ、または伝送すべき前記パケットの生成日である、請求項5~7のいずれかに記載の送信側機器(20)。
【請求項9】
請求項1~4のいずれかに記載の、方法(50)に従って、送信側機器(20)を用いて伝送される「現在の暗号化パケット」と呼ばれる暗号化パケットに含まれるデータを、受信側機器(30)を用いて抽出するための方法(60)であって、-前記受信側機器(30)が、前記現在の暗号化パケットから、切捨て情報、検証コード、および暗号化データを抽出するステップ(61)と、
-前記受信側機器(30)が、前記抽出した切捨て情報に従って、前記現在の暗号化パケットに関する、前記送信側機器(20)の生成情報の第1の部分に関する候補値を推定するステップ(62)と、
-前記受信側機器(30)が、前記現在の暗号化パケットから抽出した、前記推定された候補値、前記暗号化データ、および前記検証コードに従って、前記現在の暗号化パケットの完全性を評価することにより(63)、前記推定された候補値が正しいかどうかを判断するステップと、
-前記推定された候補値が正しいと考えられるとき、
・前記受信側機器(30)が、前記推定された候補値に従って、かつ前記抽出した切捨て情報に従って、解読鍵を決定するステップ(64)と、
・前記受信側機器(30)が、解読鍵に従って、抽出した暗号化データを解読するステップ(65)と
を備えることを特徴とする方法(60)。
【請求項10】
前記受信側機器(30)が、前記送信側機器(20)の認証鍵に従って前記現在の暗号化パケットの前記完全性をさらに評価する、請求項9に記載の方法(60)。
【請求項11】
前記受信側機器(30)が、「リタイミングパケット」と呼ばれる、前記送信側機器(20)が伝送するパケットに含まれるリタイミング情報を抽出するステップ(66)をさらに備え、前記現在の暗号化パケットの前記生成情報の前記第1の部分の前記候補値は、前記リタイミングパケットから抽出した前記リタイミング情報に従ってさらに推定される、請求項9または10に記載の方法(60)。
【請求項12】
前記受信側機器(30)が、前記生成情報の前記第1の部分に関するいくつかの候補値を推定し、前記受信側機器(30)が、停止基準が検証されるまで、前記推定した候補値ごとに、前記現在の暗号化パケットの前記完全性を評価する、請求項9~11のいずれかに記載の方法(60)。
【請求項13】
前記生成情報は、前記送信側機器(20)のパケットカウンタであり、前記現在の暗号化パケットに関する、前記送信側機器(20)の前記パケットカウンタの前記第1の部分の前記値が、同じ前記送信側機器(20)から受信した前パケットに関する、第1の推定および検証された部分の値に従って前記受信側機器(30)によってさらに推定される、請求項9~12のいずれかに記載の方法(60)。
【請求項14】
前記生成情報は、前記送信側機器(20)が伝送した前記パケットの生成日に対応し、前記パケットの前記生成日の前記第1の部分が、前記受信側機器(30)の前記現在の暗号化パケットの受信日の第1の部分に従って前記受信側機器(30)によってさらに推定および検証される、請求項9~12のいずれかに記載の方法(60)。
【請求項15】
請求項9~14のいずれかに記載の、方法(60)に従って、送信側機器(20)を用いて伝送されるパケットを受信するための受信側機器(30)であって、現在の暗号化パケットに含まれるデータを抽出するために、-前記現在の暗号化パケットから、切捨て情報、検証コード、および暗号化データを抽出するように構成された手段と、
-前記抽出した切捨て情報に従って、前記現在の暗号化パケットに関する、前記送信側機器(20)の生成情報の第1の部分に関する候補値を推定するように構成された手段と、
-抽出した、前記推定された候補値、前記暗号化データ、および前記検証コードに従って、前記現在の暗号化パケットの完全性を評価することにより、前記推定された候補値が正しいかどうかを判断するように構成された手段と、
-正しいと考えられる前記候補値、および抽出した前記切捨て情報に従って解読鍵を決定するように構成された手段と、
-前記解読鍵に従って、前記現在の暗号化パケットから抽出した前記暗号化データを解読するように構成された手段と
を備えることを特徴とする受信側機器(30)。
【請求項16】
前記送信側機器(20)の認証鍵に従って前記現在の暗号化パケットの前記完全性をさらに評価する、請求項15に記載の受信側機器(30)。
【請求項17】
前記送信側機器(20)が伝送するリタイミングパケットに含まれるリタイミング情報を抽出するように構成された手段をさらに備え、前記現在の暗号化パケットの前記生成情報の前記第1の部分の前記候補値は、前記リタイミングパケットから抽出した前記リタイミング情報に従ってさらに推定される、請求項15または16に記載の受信側機器(30)。
【請求項18】
前記生成情報の前記第1の部分に関するいくつかの候補値を推定し、停止基準が検証されるまで、前記推定した候補値ごとに、前記現在の暗号化パケットの前記完全性を評価する、請求項15~17のいずれかに記載の受信側機器(30)。
【請求項19】
前記生成情報は、前記送信側機器(20)のパケットカウンタであり、前記現在の暗号化パケットに関する、前記送信側機器(20)の前記パケットカウンタの前記第1の部分の前記値が、同じ前記送信側機器(20)から受信した前パケットに関する、前記推定および検証された第1の部分の値に従ってさらに推定される、請求項15~18のいずれかに記載の受信側機器(30)。
【請求項20】
前記生成情報は、前記送信側機器(20)が伝送した前記パケットの生成日に対応し、前記パケットの前記生成日の前記第1の部分の前記値が、前記受信側機器(30)による前記現在の暗号化パケットの受信日に従ってさらに推定および検証される、請求項15~18のいずれかに記載の受信側機器(30)。
【請求項21】
通信システム(10)であって、少なくとも1つの請求項5~8のいずれかに記載の送信側機器(20)と、少なくとも1つの請求項15~20のいずれかに記載の受信側機器(30)とを備えることを特徴とする通信システム(10)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、デジタル電気通信の分野に関し、より詳細には暗号化データを備えるパケットを伝送するための方法、ならびにそのようなパケットの中に含まれるデータを抽出するための方法に関する。
【背景技術】
【0002】
本発明は、決して限定するのではなく、超狭帯域無線通信システムで特に有利な用途がある。用語「超狭帯域」(ultra narrow band、UNB)は、端末がアクセスネットワークに伝送する無線信号の瞬時周波数スペクトルが、2キロヘルツ未満、さらには1キロヘルツ未満さえもある周波数幅であることを意味する。
【0003】
そのようなUNB無線通信システムは、M2M(「Machine-to-Machine(機械同士の)」の頭字語)タイプの、またはIoT(「Internet of Things」の頭字語)タイプの用途に特に適している。
【0004】
そのようなUNB無線通信システムでは、データ交換は、端末から前記システムのアクセスネットワークへのアップリンク上で主に行われる。
【0005】
端末は、アクセスネットワークの1つまたはいくつかの基地局とあらかじめ関連づけられる必要なく、アクセスネットワークの基地局により収集されるパケットを伝送する。言い替えれば、端末が伝送するパケットは、アクセスネットワークの特定の基地局に向けることを意図されるのではなく、端末は、自身のパケットを少なくとも1つの基地局が受信することができると仮定することにより、自身のパケットを伝送する。
【0006】
そのような配列は、端末が自身のパケットを受信するのに最も適した基地局を決定するために、電気エネルギー消費の観点から特に負荷が高いとき、規則的な測定を行う必要がないという点で有利である。複雑さは、任意の瞬間に、かつさまざまな端末の多重周波数帯域内部の任意の中心周波数にわたり伝送することができるパケットを受信することができなければならないアクセスネットワークに根拠を置く。
【0007】
多くの用途では、端末とアクセスネットワークの間のアップリンク上で機密性を確実にするように、パケットに含まれるデータを暗号化する必要がある場合がある。
【0008】
多くの暗号化プロトコルがある。たとえば、対称暗号鍵プロトコルでは、同じ鍵を使用して、データを暗号化し、解読する。その結果として、前記鍵は、データを伝送する端末と前記データを受信するアクセスネットワークの両方により既知でなければならない、または決定することができなければならない。
【0009】
さらに、交換の機密性を改善するために、時間経過と共に、たとえば、パケットを新しく伝送するたびに、鍵を変えることが望ましい。
【0010】
そのような場合、端末およびアクセスネットワークがそれぞれ同じ鍵を順次使用して、それに対応してデータを暗号化および解読することを確実にするために、手段が提供されなければならない。
【0011】
たとえば、端末およびアクセスネットワークに先験的に既知の、所定の鍵生成法に従って、各パケットで鍵を変更することが可能である。アクセスネットワークは、パケットを受信したとき、端末と同じ鍵生成法を適用することにより鍵を更新する。
【0012】
そのような取り組み方法に伴う欠点は、UNB無線通信システムでは、アクセスネットワークが、同じ端末から受信した前パケットと現在のパケットの間で鍵が何回修正されたかを先験的に分からないように、端末が送信するパケットのすべてを受信するわけでは必ずしもないということである。
【0013】
代わりに、アクセスネットワークが所定の鍵生成法に従って、使用する鍵を決定することができる基になる情報を、端末が伝送するパケットに含むことが可能である。しかしながら、交換の機密性を改善するために、異なる可能な鍵の数が非常に多いことが好ましいという前提で、パケットに含むべき情報の量は、かなりのものになる可能性がある。さらに、UNB無線通信システムでは、パケットに含むことができる情報の量は、大きく制限される。
【発明の概要】
【発明が解決しようとする課題】
【0014】
本発明は、目的として、パケットに含まれる情報の量を依然として制限しながら、交換の良好な機密性を確実にすることを可能にする解決方法を提案することにより、従来技術の解決方法の制限、詳細には本明細書で上述した制限のすべてまたは一部分を救済しなければならない。
【課題を解決するための手段】
【0015】
この趣旨で、第1の様態によれば、本発明は、送信側機器を用いて通信システムの受信側機器にパケットを伝送するための方法であって、対称鍵暗号化プロトコルに従って暗号化されたデータを含む、「暗号化パケット」と呼ばれるパケットを伝送するために、
-生成情報の項目の値を決定するステップと、
-生成情報の値に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するために使用する暗号鍵を決定するステップと、
-暗号鍵に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するステップと、
-生成情報を第1の部分および第2の部分に分解することにより、情報の切捨て(truncated)項目を計算するステップであって、第1の部分は、第2の部分よりも時間経過と共にゆっくりと変わり、切捨て情報は、生成情報の前記第2の部分を表すステップと、
-暗号化データ、および生成情報の第1の部分に従って、暗号化パケットに関する検証コードを計算するステップと、
-切捨て情報、検証コード、および暗号化データに基づき、伝送すべき暗号化パケットを形成するステップと
を備える方法に関する。
-生成情報の項目の値を決定するステップと、
-生成情報の値に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するために使用する暗号鍵を決定するステップと、
-暗号鍵に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するステップと、
-生成情報を第1の部分および第2の部分に分解することにより、情報の切捨て(truncated)項目を計算するステップであって、第1の部分は、第2の部分よりも時間経過と共にゆっくりと変わり、切捨て情報は、生成情報の前記第2の部分を表すステップと、
-暗号化データ、および生成情報の第1の部分に従って、暗号化パケットに関する検証コードを計算するステップと、
-切捨て情報、検証コード、および暗号化データに基づき、伝送すべき暗号化パケットを形成するステップと
を備える方法に関する。
【0016】
したがって本発明によれば、暗号鍵は、時間経過と共に可変の生成情報の項目の値に従って決定される。その結果として、暗号鍵は、生成情報の項目の値が変化するたびに変化し、生成情報と同じ数の、異なる値を有することができる。
【0017】
しかしながら、生成情報は、伝送すべき暗号化パケットにそのまま含まれるわけではなく、伝送される暗号化パケットに含まれるのは、情報の切捨て項目である。有利には、生成情報は、第1の部分および第2の部分に分解され、第1の部分は第2の部分よりもゆっくりと変わるので、第1の部分を考慮することなく、第2の部分に従って切捨て情報を計算する。典型的には、生成情報の第1の部分は、いくつかの連続するパケットの伝送継続期間にわたり変わらない、またはほとんど変わらない部分に対応し、一方では、第2の部分は、パケットごとに変わる可能性がある。
【0018】
その結果として、暗号鍵が有することができる異なる値の数は、所望の機密性水準に従って選ぶことができ、これは、受信側機器が暗号鍵を決定することができるようにするために、暗号化パケットで伝送すべき情報の量に影響を及ぼすことがない。実際は、伝送すべき情報の量を、切捨て情報を符号化するために必要な情報の量に制限することができる。
【0019】
しかしながら、受信側機器は、送信側機器が伝送した暗号化パケットを受信したとき、切捨て情報に基づき暗号化パケットから生成情報の値を演繹するために、前記暗号化パケットの生成情報の第1の部分の値(前記暗号化パケットに含まれない)を推定し、したがって、送信側機器が使用する暗号鍵を決定することができなければならない。次いで、受信側機器により、暗号化データ、および生成情報の第1の部分に従って送信側機器が計算した検証コードを使用して、暗号化データ、および生成情報の第1の部分の推定値に従って、暗号化パケットの完全性を評価することにより、生成情報の第1の部分の推定値が正しいかどうかを、すなわち、送信側機器が使用した生成情報の第1の部分に、実際に対応するかどうかを判断する。暗号化パケットが、変わっていないと考えられる場合、これは、生成情報の第1の部分の推定値が、送信側機器が使用した生成情報の第1の部分に、実際に対応することをさらに意味する。
【0020】
特定の実施形態では、伝送するための方法は、別個に、または任意の可能な技術的組合せに従って取り上げる、以下の特性の1つまたはいくつかをさらに備えることができる。
【0021】
特定の実施形態では、検証コードは、暗号化パケットの真正性を検証することもまたできるようにするように、送信側機器の認証鍵に従ってさらに計算される。
【0022】
特定の実施形態では、伝送するための方法はまた、生成情報の第1の部分を表すリタイミング情報の項目を含む、「リタイミングパケット」と呼ばれるパケットを形成し、伝送するステップを備える。このリタイミングパケットを、繰り返す手法で、たとえば周期的に、または生成情報の第1の部分が変わるたびに、または送信側機器があらかじめ決められた数の暗号化パケットを伝送するたびに、伝送することができる。送信側機器が伝送した暗号化パケットを受信側機器が受信する間、前記暗号化パケットの生成情報の第1の部分の候補値の推定を、すでに受信したリタイミングパケットから抽出したリタイミング情報に従ってさらに行う。
【0023】
特定の実施形態では、生成情報は、送信側機器が伝送したパケット数に対応するパケットカウンタ、または伝送すべきパケットの生成日である。
【0024】
第2の様態によれば、本発明は、通信システムの受信側機器にパケットを伝送するための送信側機器であって、対称鍵暗号化プロトコルに従って暗号化されたデータを含む、「暗号化パケット」と呼ばれるパケットを伝送するために、
-生成情報の値を決定するように構成された手段と、
-生成情報の値に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するために使用するための暗号鍵を決定するように構成された手段と、
-暗号鍵に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するように構成された手段と、
-生成情報を第1の部分および第2の部分に分解することにより、切捨て情報を計算するように構成された手段であって、第1の部分は、第2の部分よりも時間経過と共にゆっくりと変わり、切捨て情報は、前記第2の部分を表す手段と、
-暗号化データ、および生成情報の第1の部分に従って、暗号化パケットに関する検証コードを計算するように構成された手段と、
-切捨て情報、検証コード、および暗号化データに基づき、伝送すべき暗号化パケットを形成するように構成された手段と
を備える送信側機器に関する。
-生成情報の値を決定するように構成された手段と、
-生成情報の値に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するために使用するための暗号鍵を決定するように構成された手段と、
-暗号鍵に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するように構成された手段と、
-生成情報を第1の部分および第2の部分に分解することにより、切捨て情報を計算するように構成された手段であって、第1の部分は、第2の部分よりも時間経過と共にゆっくりと変わり、切捨て情報は、前記第2の部分を表す手段と、
-暗号化データ、および生成情報の第1の部分に従って、暗号化パケットに関する検証コードを計算するように構成された手段と、
-切捨て情報、検証コード、および暗号化データに基づき、伝送すべき暗号化パケットを形成するように構成された手段と
を備える送信側機器に関する。
【0025】
特定の実施形態では、送信側機器は、別個に、または任意の可能な技術的組合せに従って取り上げる、以下の特性の1つまたはいくつかをさらに備えることができる。
【0026】
特定の実施形態では、検証コードは、暗号化パケットの真正性をさらに検証することができるようにするように、送信側機器の認証鍵に従ってさらに計算される。
【0027】
特定の実施形態では、送信側機器は、生成情報の第1の部分を表すリタイミング情報を含む、「リタイミングパケット」と呼ばれるパケットを形成し、伝送するように構成された手段をさらに備える。
【0028】
特定の実施形態では、生成情報は、前記送信側機器が伝送したパケット数に対応するパケットカウンタ、または伝送すべきパケットの生成日である。
【0029】
第3の様態によれば、本発明は、本発明の実施形態のいずれかに従って伝送するための方法による通信システムの送信側機器を用いて伝送される「現在の暗号化パケット」と呼ばれる暗号化パケットに含まれるデータを、受信側機器を用いて抽出するための方法に関する。抽出するための前期方法は、
-現在の暗号化パケットに基づき、切捨て情報、検証コード、および暗号化データを抽出するステップと、
-前記現在の暗号化パケットから抽出した切捨て情報に従って、現在の暗号化パケットに関する放出側機器の生成情報の第1の部分に関する候補値を推定するステップと、
-前記現在の暗号化パケットから抽出した、推定候補値、暗号化データ、および前記検証コードに従って現在の暗号化パケットの完全性を評価することにより、推定候補値が正しいかどうかを判断するステップと、
-推定候補値が正しいと考えられるとき、
・推定候補値に従って、および抽出した切捨て情報に従って解読鍵を決定するステップと、
・解読鍵に従って、抽出した暗号化データを解読するステップと
を備える。
-現在の暗号化パケットに基づき、切捨て情報、検証コード、および暗号化データを抽出するステップと、
-前記現在の暗号化パケットから抽出した切捨て情報に従って、現在の暗号化パケットに関する放出側機器の生成情報の第1の部分に関する候補値を推定するステップと、
-前記現在の暗号化パケットから抽出した、推定候補値、暗号化データ、および前記検証コードに従って現在の暗号化パケットの完全性を評価することにより、推定候補値が正しいかどうかを判断するステップと、
-推定候補値が正しいと考えられるとき、
・推定候補値に従って、および抽出した切捨て情報に従って解読鍵を決定するステップと、
・解読鍵に従って、抽出した暗号化データを解読するステップと
を備える。
【0030】
特定の実施形態では、抽出するための方法は、別個に、または任意の可能な技術的組合せに従って取り上げる、以下の特性の1つまたはいくつかをさらに備えることができる。
【0031】
特定の実施形態では、現在の暗号化パケットの完全性を、送信側機器の認証鍵に従ってさらに評価する。
【0032】
特定の実施形態では、抽出するための方法は、「リタイミングパケット」と呼ばれる、放出側機器が伝送したパケットに含まれるリタイミング情報を抽出するステップをさらに備える。次いで、このリタイミング情報に従って、現在の暗号化パケットに関する生成情報の第1の部分の候補値の推定をさらに行う。
【0033】
特定の実施形態では、生成情報の第1の部分に関するいくつかの候補値を評価し、停止基準が確かめられるまで、推定候補値ごとに現在の暗号化パケットの完全性を評価する。
【0034】
特定の実施形態では、生成情報は、送信側機器のパケットカウンタに対応し、現在の暗号化パケットに関するパケットカウンタの第1の部分の値は、同じ送信側機器から受信した前パケットに関する第1の推定および検証された部分の値に従ってさらに推定される。
【0035】
特定の実施形態では、生成情報は、送信側機器が伝送したパケットの生成日に対応し、パケットの生成日の第1の部分の値は、受信側機器による前記現在の暗号化パケットの受信日の第1の部分に従ってさらに推定される。
【0036】
第4の様態によれば、本発明は、本発明の実施形態のいずれかによる通信システムの送信側機器からパケットを受信するための受信側機器に関する。現在の暗号化パケットに含まれるデータを抽出するために、前記受信側機器は、
-前記現在の暗号化パケットから、切捨て情報、検証コード、および暗号化データを抽出するように構成された手段と、
-前記現在の暗号化パケットから抽出した切捨て情報に従って、現在の暗号化パケットに関する送信側機器の生成情報の第1の部分に関する候補値を推定するように構成された手段と、
-現在の暗号化パケットから抽出した、推定候補値、暗号化データ、および前記検証コードに従って現在の暗号化パケットの完全性を評価することにより、推定候補値が正しいかどうかを判断するように構成された手段と、
-現在の暗号化パケットに関して推定した、送信側機器の生成情報の値に従って解読鍵を決定するように構成された手段と、
-解読鍵に従って、現在の暗号化パケットから抽出した暗号化データを解読するように構成された手段と
を備える。
-前記現在の暗号化パケットから、切捨て情報、検証コード、および暗号化データを抽出するように構成された手段と、
-前記現在の暗号化パケットから抽出した切捨て情報に従って、現在の暗号化パケットに関する送信側機器の生成情報の第1の部分に関する候補値を推定するように構成された手段と、
-現在の暗号化パケットから抽出した、推定候補値、暗号化データ、および前記検証コードに従って現在の暗号化パケットの完全性を評価することにより、推定候補値が正しいかどうかを判断するように構成された手段と、
-現在の暗号化パケットに関して推定した、送信側機器の生成情報の値に従って解読鍵を決定するように構成された手段と、
-解読鍵に従って、現在の暗号化パケットから抽出した暗号化データを解読するように構成された手段と
を備える。
【0037】
特定の実施形態では、受信側機器は、別個に、または任意の可能な技術的組合せに従って取り上げる、以下の特性の1つまたはいくつかをさらに備えることができる。
【0038】
特定の実施形態では、現在の暗号化パケットの完全性を、送信側機器の認証鍵に従ってさらに評価する。
【0039】
特定の実施形態では、受信側機器は、送信側機器が伝送したリタイミングパケットに基づきリタイミング情報を抽出するように構成された手段をさらに備える。次いで、このリタイミング情報に従って、現在の暗号化パケットに関する生成情報の第1の部分の候補値をさらに推定する。
【0040】
特定の実施形態では、生成情報の第1の部分に関するいくつかの候補値を評価し、停止基準が検証されるまで、推定した候補値ごとに、現在の暗号化パケットの完全性を評価する。
【0041】
特定の実施形態では、生成情報は、前記送信側機器のパケットカウンタに対応し、現在の暗号化パケットに関するパケットカウンタの第1の部分の値は、同じ送信側機器から受信した前パケットに関する、第1の推定および検証された部分の値に従ってさらに推定される。
【0042】
特定の実施形態では、生成情報は、送信側機器が伝送したパケットの生成日に対応し、パケットの生成日の第1の部分の値は、受信側機器による前記現在の暗号化パケットの受信日の第1の部分に従ってさらに推定される。
【0043】
第5の様態によれば、本発明は、本発明の実施形態のいずれかに記載の少なくとも1つの送信側機器と、本発明の実施形態のいずれかに記載の少なくとも1つの受信側機器とを備える通信システムに関する。
【0044】
決して限定しない例として示し、以下の図を参照して示す以下の記述を読むとき、本発明についてよりよく理解されたい。
【図面の簡単な説明】
【0045】
【図1】無線通信システムの図式表現である。
【図2】暗号化データを備えるパケットを伝送するための方法の主要ステップを示す図である。
【図4】暗号化パケットに含まれるデータを抽出するための方法の主要なステップを示す図である。
【図6】暗号化パケットの完全性を評価する主要ステップを示す図である。
【発明を実施するための形態】
【0046】
これらの図では、図ごとの同一の参照番号は、同一または類似の要素を指定する。明確にするために、示す要素は、特に言及しないかぎり、縮尺どおりではない。
【0047】
図1は、UNBタイプの例として、いくつかの端末20と、アクセスネットワーク30とを備える無線通信システム10を図式で示す。図1に示す例では、アクセスネットワーク30は、いくつかの基地局31と、サーバ32とを備える。
【0048】
アクセスネットワーク30の端末20および基地局31は、無線信号の形でデータを交換する。用語「無線信号」は、周波数が従来の電波スペクトルの範囲内(数ヘルツ~数100ギガヘルツ)である無線手段を介して伝播する電磁波を意味する。
【0049】
詳細には、端末20は、アップリンク上でアクセスネットワーク30にパケットを伝送するのに適している。
【0050】
パケットは、たとえば非同期で伝送される。用語「非同期で伝送される」は、端末20が、端末20の間で端末20が調整することなく、アクセスネットワーク30の基地局31を用いて、いつ伝送するか、および/またはどの中心周波数にわたり伝送するかを自律的に決定することを意味する。
【0051】
記述の残りの部分では、限定せずに、アクセスネットワーク30に先験的に知られていない瞬間にパケットが伝送されるように、端末20が少なくとも時間的に非同期である場合について考えてみる。しかしながら他の例によれば、基地局31と時間同期した端末20を考慮することを排除しない。
【0052】
各基地局31は、その有効範囲内にある端末20からパケットを受信するように適合される。このように受信される各パケットは、場合によっては、各パケットを受信した基地局31の識別子、受信した前記パケットの測定電力、前記パケットの測定受信日、前記受信したパケットの測定中心周波数などのような他の情報と共に、たとえばアクセスネットワーク30のサーバ32に伝送される。サーバ32は、たとえば、さまざまな基地局31から受信したパケットのすべてを処理する。
A)パケットを伝送するための方法
A)パケットを伝送するための方法
【0053】
図2は、端末20によりアクセスネットワーク30に、対称鍵暗号化プロトコルに従って暗号化されたデータを含むパケットを伝送するための方法50の主要ステップを図式で示す。
【0054】
たとえば、端末20は、1つまたはいくつかのプロセッサと、パケットを伝送するための方法50のさまざまなステップを実装するために実行すべき1組のプログラムコード命令の形をとるコンピュータプログラム製品を記憶する、記憶するための手段(磁気ハードディスク、電子メモリ、光ディスクなど)とを備える処理回路(図示せず)を備える。代わりにまたは補足として、処理回路は、パケットを伝送するための方法50の前記ステップのすべてまたは一部分を実装するのに適した1つまたは複数のプログラム可能論理回路(FPGA、PLDなど)、および/または1つまたは複数の特定用途向け集積回路(ASIC)、および/または1組のディスクリート電子部品を備える。
【0055】
言い替えれば、処理回路は、アクセスネットワーク30にパケットを伝送する方法50のステップを実装するために、1組のソフトウェア構成手段(特有のコンピュータプログラム製品)および/またはハードウェア構成手段(FPGA、PLD、ASIC、ディスクリート電子部品など)を備える。
【0056】
端末20はまた、自身がアクセスネットワーク30の基地局31に無線信号の形をとるパケットを伝送することができるようにする、当業者に公知と考えられる無線通信手段を備える。
【0057】
図2に示すように、暗号化パケットを伝送するための方法50は、
-51 生成情報の値を決定するステップと、
-52 生成情報の値に従って暗号鍵を決定するステップと、
-53 暗号鍵に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するステップと、
-54 生成情報に基づき、切捨て情報を計算するステップと、
-55 暗号化データ、および生成情報の第1の部分に従って、暗号化パケットに関する検証コードを計算するステップと、
-56 切捨て情報、検証コード、および暗号化データに基づき、伝送すべき暗号化パケットを形成するステップと
を備え、これらのステップは、すべて端末20により実行され、本明細書で以後、詳細に記述する。
-51 生成情報の値を決定するステップと、
-52 生成情報の値に従って暗号鍵を決定するステップと、
-53 暗号鍵に従って、伝送すべき暗号化パケットに含まれるデータを暗号化するステップと、
-54 生成情報に基づき、切捨て情報を計算するステップと、
-55 暗号化データ、および生成情報の第1の部分に従って、暗号化パケットに関する検証コードを計算するステップと、
-56 切捨て情報、検証コード、および暗号化データに基づき、伝送すべき暗号化パケットを形成するステップと
を備え、これらのステップは、すべて端末20により実行され、本明細書で以後、詳細に記述する。
【0058】
したがって、暗号鍵は、時間経過と共に可変の生成情報の値に従って決定される。その結果として、暗号鍵は、生成情報の値が変化するたびに変化する。しかしながら、生成情報は、伝送すべき暗号化パケットにそのままで含まれるわけではなく、伝送される暗号化パケットに含まれるのは、切捨て情報である。
【0059】
生成情報は、第1の部分および第2の部分に分解することができる、時間経過と共に変わる任意の情報とすることができ、第1の部分は、第2の部分よりもゆっくりと変わる。その結果として、いくつかの連続するパケットの伝送継続期間にわたり変わらない、またはほとんど変わらない第1の部分を、伝送すべき暗号化パケットに含む必要がない。しかしながら、パケットごとに変わる第2の部分を、任意の適切な形で、伝送すべき暗号化パケットに含み、切捨て情報を、第2の部分だけに基づき、すなわち、第1の部分を考慮することなく計算する。
【0060】
たとえば、生成情報は、伝送すべき暗号化パケットの生成日である。生成日を、たとえば年-月-日-時-分-秒の形で表現し、したがって、年-月-日に対応する部分などのゆっくりと変わる第1の部分に分解することができ、一方では、より急速に変わる第2の部分は、時-分-秒に対応する部分である。したがって、切捨て情報は、この例では時-分-秒に対応する部分を表し、たとえば、可逆計算関数を用いて時-分-秒の部分に基づき計算され、端末20およびアクセスネットワーク30に先験的に既知である。
【0061】
記述の残りの部分では、限定せずに、生成情報は、端末20が伝送したパケット数に対応するパケットカウンタである場合について考えてみる。切捨て情報は、本明細書で以後「切捨てカウンタ」と呼ぶ。
A.1)パケットカウンタの値の決定
A.1)パケットカウンタの値の決定
【0062】
決定するためのステップ51の間、端末20は、前記端末20が伝送したパケット数に対応するパケットカウンタの値を更新する。
【0063】
好ましくは、前記パケットカウンタの値は、新しいパケット伝送のたびに増分される。しかしながら、他の例によれば、ある種のパケットに関してだけパケットカウンタの前記値を増分することを排除しない。たとえば、アクセスネットワーク30により、パケットに含まれるデータを受信する可能性を増大させるために、たとえば、異なる中心周波数にわたり同じデータをすべて備える連続的に伝送されたNr個のパケットに前記データを含むように、前記データをNr回複製することが可能である。そのような場合、たとえば、Nr個のパケットごとにだけ、すなわち、端末20が新しいデータを伝送しなければならないときだけ、前記パケットカウンタの値を増分することが可能である。
【0064】
本記述の残りの部分で、限定せずに、パケットを新しく伝送するたびにパケットカウンタの値を増分する場合について考えてみる。
【0065】
パケットカウンタの値は、たとえばNcを法として増分され、Ncは、あらかじめ決められた正の整数である。したがって、端末20のパケットカウンタは、Nc個の異なる値を有することができる。たとえば、数値Ncは、2Nb1に等しく、Nb1は、Nb1ビットを用いてパケットカウンタの値を符号化することができるように、あらかじめ決められた正の整数である。たとえば、端末20のパケットカウンタが、1038個よりも多くの異なる値を有することができるように、Nb1=128である。
A.2)暗号鍵の決定
A.2)暗号鍵の決定
【0066】
決定するためのステップ52の間、伝送すべき暗号化パケットに含まれるデータを暗号化するために使用する暗号鍵を、パケットカウンタの値に従って決定する。
【0067】
したがって、パケットカウンタの値が増分されるたびに、使用すべき暗号鍵を修正する。さらに、パケットカウンタはNc個の異なる値を有することができるので、その結果、暗号鍵もまた、Nc個の異なる値を有することができる。
【0068】
その結果として、有利には、詳細には交換の機密性の良好な水準を確実にするように、数値Ncをあらかじめ決める。たとえば、Nc=2Nb1であり、Nb1=128であるとすると、暗号鍵は、1038よりも多くの異なる値を有することができ、それにより、機密性の良好な水準を確実にすることが可能になる。
【0069】
端末20およびアクセスネットワーク30に先験的に既知の、所定の鍵生成法に従って、パケットカウンタの値に基づき暗号鍵を決定する。本発明は、当業者に公知の任意のタイプの適切な鍵生成法を実装することができ、特定の鍵生成法を選ぶことは、本発明の代わりの一実施形態を形成するだけである。さらに、暗号鍵はまた、適用可能である場合、パケットカウンタ単体のサイズよりも大きなサイズを有する生成語を得るために、たとえばパケットカウンタと連結される追加情報に基づき決定することができる。たとえば、所与の端末20に関して一意であり、かつアクセスネットワーク30により先験的に既知の、擬似乱数の手法で生成した静的シーケンスをパケットカウンタと連結することを考慮することができる。
A.3)データの暗号化
A.3)データの暗号化
【0070】
暗号化するステップ53の間、考慮している対称暗号鍵プロトコルによれば、伝送すべき暗号化パケットに含まれるデータを暗号鍵に従って暗号化する。
【0071】
一般に、本発明は、当業者に公知の任意のタイプの対称暗号鍵プロトコルに適用することができ、特定の対称暗号鍵プロトコルを選ぶことは、本発明の代わりの一実装形態を形成するだけである。
【0072】
好ましい実施形態では、使用する対称暗号鍵プロトコルは、場合によってはAES(Advanced Encryption Standard)などのブロック暗号化プロトコルに基づきエミュレートされるストリーム暗号プロトコルである。
【0073】
実際は、ブロック暗号化プロトコルと反対に、ストリーム暗号プロトコルにより、データのサイズとは無関係に、暗号鍵のサイズに関連してデータを暗号化することが可能になる。その結果として、パケットに含まれるデータと同じ量だけ増大させる必要なしに、非常に多数の、異なる値をそれ自体で有することができる、長い暗号鍵を選ぶことができる。
【0074】
本記述の残りの部分では、限定せずに、ストリーム暗号プロトコルの場合について考えてみる。従来、データは、たとえばビットの形を有するだけではなく、暗号鍵も少なくともNb1ビットを備える。たとえば「EXCLUSIVE OR(排他的論理和)」タイプの論理関数(XOR)を用いて、たとえば、データおよび暗号鍵の連続するビットを1つずつ連結することにより暗号化データを得る。
A.4)切捨てカウンタの計算
A.4)切捨てカウンタの計算
【0075】
計算するステップ54の間、端末20のパケットカウンタの値に基づき切捨てカウンタを決定する。
【0076】
この趣旨で、本明細書で上記に示したように、パケットカウンタを第1の部分および第2の部分に分解する。
【0077】
たとえば、パケットカウンタの第2の部分は、前記パケットカウンタの値のモジュロNtの値に対応し、Ntは、Nc未満のあらかじめ決められた正の整数である。言い替えれば、第2の部分は、パケットカウンタの値をNtによりユークリッド除法した剰余に対応し、一方では、第1の部分は、パケットカウンタの値をNtにより前記ユークリッド除法した商に対応する。
【0078】
たとえば、数値Nt=2Nb2であり、この場合、Nb2は、第2の部分がパケットカウンタのNb1ビットの中のNb2個の最下位ビット(least significant bit、LSB)に対応するように、Nb1未満のあらかじめ決められた正の整数である。たとえば、第2の部分がパケットカウンタの値のモジュロ4096の値に対応するように、Nb2=12である。たとえば、アクセスネットワーク30に関して、同じ端末20が伝送したNt個の連続するパケットを検出できない可能性が、所定のしきい値未満、たとえば10-6未満であるように、数値Ntを選ぶことができる。
【0079】
切捨てカウンタは、パケットカウンタの第2の部分を表し、たとえば、端末20およびアクセスネットワーク30に先験的に既知の可逆計算関数に従って、前記第2の部分に基づき計算される。本記述の残りの部分では、限定せずに、切捨てカウンタがパケットカウンタのモジュロNtの値に対応するように、第2の部分に等しくなるように切捨てカウンタを選ぶ場合について考えてみる。
A.5)検証コードの計算
A.5)検証コードの計算
【0080】
計算するステップ55の間、暗号化データ、およびパケットカウンタの第1の部分に基づき検証コードを決定する。
【0081】
実際は、アクセスネットワーク30は、端末20が伝送した暗号化パケットを受信する間、切捨てカウンタに基づき前記暗号化パケットに関するパケットカウンタの第1の部分の値から生成情報の値を演繹し、したがって、前記暗号化パケットに包含される暗号化データを解読するために解読鍵を決定することができるように、前記暗号化パケットに関するパケットカウンタの第1の部分の値を推定しなければならない。
【0082】
次いで、暗号化データ、およびパケットカウンタの第1の部分に従って端末20が計算した検証コードを使用して、アクセスネットワーク30は、暗号化パケットの完全性を評価する。暗号化パケットが、変わっていないと考えられる場合、これは、暗号化パケットから抽出した暗号化データ、およびパケットカウンタの第1の部分の推定値が、正しいことを意味する。そうではない場合、これは、暗号化パケットから抽出した暗号化データ、および/またはパケットカウンタの第1の部分の推定値が、正しくないことを意味する。
【0083】
したがって、暗号化パケットに含まれない、切捨て情報の第1の部分に従って計算したそのような検証コードを使用することにより、アクセスネットワーク30が推定したパケットカウンタの第1の部分の値を検証することが可能になり、したがって、パケットカウンタの第1の部分を推定する際の誤りのために、暗号化パケットの暗号化データが、誤った解読鍵に基づき解読される場合を防止することが可能になる。
【0084】
たとえばパリティビットまたは巡回冗長検査(cyclic redundancy check、CRC)を使用するなど、データの完全性を検証するための、さまざまな多少の堅牢な方法が、当業者に公知である。本記述の残りの部分では、限定せずに、検証コードが、アクセスネットワーク30により同じく先験的に既知の、端末20の認証鍵に従ってさらに計算されるメッセージ認証コード(Message Authentication Code、MAC)である場合について考えてみる。
【0085】
実際は、通信システムでは、メッセージ認証コードを使用して、受信したパケットの権限、およびこのパケットに包含されるデータの完全性を同時に検証することは一般的である。本例では、メッセージ認証コードは、パケットカウンタの第1の部分に従ってさらに計算されるので、暗号化パケットに含まれる情報の量を増大させることなく、受信したパケットのパケットカウンタの第1の部分の推定値をアクセスネットワーク30上で検証することを可能にする。したがって、そのような検証コードによりアクセスネットワーク30は、
-受信した暗号化データの完全性を検証すること、
-パケットカウンタの第1の部分の推定値を検証すること、
-暗号化パケットを伝送した端末20を認証すること
ができるようになる。
A.6)伝送すべき暗号化パケットの形成
-受信した暗号化データの完全性を検証すること、
-パケットカウンタの第1の部分の推定値を検証すること、
-暗号化パケットを伝送した端末20を認証すること
ができるようになる。
A.6)伝送すべき暗号化パケットの形成
【0086】
形成するためのステップ56の間、暗号化データ、検証コード、および切捨てカウンタに基づき、伝送すべき暗号化パケットを形成する。言い替えれば、パケットカウンタの値は、伝送すべき暗号化パケットに含まれず、伝送すべき暗号化パケットは、切捨てカウンタだけを備える。
【0087】
したがって、切捨てカウンタが、たとえばパケットカウンタのNb1ビットの中のNb2個の最下位ビットに対応するので、切捨てカウンタを符号化するために暗号化パケットに含まれる情報の量は、パケットカウンタの値を符号化するために必要な情報の量よりも少ないことが理解される。その結果として、前記パケットカウンタの第1の部分に対応する、パケットカウンタの(Nb1-Nb2)個の最上位ビット(most significant bit、MSB)は、Nb1=128であり、かつNb2=12である場合、含まれない116ビットに対応する、伝送すべき暗号化パケットに含まれない。
【0088】
したがって、かなり小さなNt値を選ぶことにより、暗号化パケットに含まれる情報の量を依然として制限しながら、大きなNc値を選ぶことにより、良好な水準の機密性を確実にすることが可能である。
【0089】
次いで、端末20は、このように形成した暗号化パケットをアクセスネットワーク30に伝送する。
A.7)リタイミングパケットを使用する代替実施形態
A.7)リタイミングパケットを使用する代替実施形態
【0090】
図3は、図2を参照して本明細書で、上記で記述したステップに加えて、パケットカウンタの第1の部分を表すリタイミング情報に基づきリタイミングパケットを形成するステップ56を備える、伝送するための方法50の代わりの一実施形態の主要ステップを示す。
【0091】
このリタイミングパケットを、繰り返して、たとえば周期的に、またはパケットカウンタの第1の部分の値が変わるたびに、またはあらかじめ決められた数の暗号化パケットを端末20が伝送するたびに、伝送することができる。
【0092】
以下でより詳細に説明するように、アクセスネットワーク30が暗号化パケットを受信する間、リタイミング情報により、パケットカウンタの第1の部分の値の推定値を改善することができるようになる。
【0093】
端末20のパケットカウンタは、リタイミング情報を含む、伝送したパケットすべてをさらにまたカウントしてもよいのと同じように、暗号化パケットだけをカウントしてもよいことに留意されたい。パケットカウンタの挙動を選ぶことは、本発明の代わりの一実施形態を形成するだけである。
【0094】
また、リタイミングパケットは、たとえば暗号化データ、またはパケットカウンタの第2の部分などの他の情報もまた備えることができると同時に、リタイミング情報だけを備えることができる(たとえば、リタイミングパケットの伝送中にパケットカウンタが増分される場合)ことにも留意されたい。
【0095】
本記述の残りの部分では、限定せずに、
-リタイミング情報が、パケットカウンタの第1の部分、すなわち、考慮している例では、パケットカウンタの(Nb1-Nb2)個の最上位ビットである場合、
-リタイミングパケットが、カウンタが正確にNt回増分されたたびに、すなわち、パケットカウンタの第2の部分(Nb2個の最下位ビット)がゼロに戻るたびに、すなわち同じく、パケットカウンタの第1の部分((Nb1-Nb2)個の最上位ビット)が増分されるたびに、伝送される場合、
-端末20のパケットカウンタが、リタイミングパケットの伝送中に増分される場合
について考えてみる。
-リタイミング情報が、パケットカウンタの第1の部分、すなわち、考慮している例では、パケットカウンタの(Nb1-Nb2)個の最上位ビットである場合、
-リタイミングパケットが、カウンタが正確にNt回増分されたたびに、すなわち、パケットカウンタの第2の部分(Nb2個の最下位ビット)がゼロに戻るたびに、すなわち同じく、パケットカウンタの第1の部分((Nb1-Nb2)個の最上位ビット)が増分されるたびに、伝送される場合、
-端末20のパケットカウンタが、リタイミングパケットの伝送中に増分される場合
について考えてみる。
【0096】
アクセスネットワーク30が、受信するパケットのさまざまなタイプ(暗号化パケット、リタイミングパケットなど)を弁別することができるようにするために、パケットタイプの識別を可能にする情報の項目をパケットに含むことができる。この様態は、本発明の範囲を変えない。
B)パケットに含まれるデータを抽出するための方法
B)パケットに含まれるデータを抽出するための方法
【0097】
図4は、端末20から受信したパケットに含まれるデータをアクセスネットワーク30が抽出するための方法60の主要ステップを図式で示し、前記パケットは、本発明の実施形態の1つによる、伝送するための方法50に従って伝送された。本記述の残りの部分では、データを抽出しようと試みる基になる暗号化パケットは、それを、同じ端末20からすでに受信した他のパケットと区別するために「現在の暗号化パケット」と呼ばれる。
【0098】
図4に示すように、データを抽出するための方法60は、本明細書で以下に記述する、
-61 現在の暗号化パケットに基づき、現在の暗号化パケットに含まれる切捨て情報、検証コード、および暗号化データを抽出するステップと、
-62 現在の暗号化パケットから抽出した切捨て情報に従って、現在の暗号化パケットに関して端末20の生成情報の第1の部分に関する候補値を推定するステップと、
-63 前記現在の暗号化パケットから抽出した推定候補値、暗号化データ、および検証コードに従って、現在の暗号化パケットの完全性を評価するステップと、
-現在の暗号化パケットが、変わっていないと考えられるとき、
・64 現在の暗号化パケットに関して推定した、端末20の生成情報の値に従って、解読鍵を決定するステップと、
・65 解読鍵に従って、現在の暗号化パケットから抽出した暗号化データを解読するステップと
を備える。
-61 現在の暗号化パケットに基づき、現在の暗号化パケットに含まれる切捨て情報、検証コード、および暗号化データを抽出するステップと、
-62 現在の暗号化パケットから抽出した切捨て情報に従って、現在の暗号化パケットに関して端末20の生成情報の第1の部分に関する候補値を推定するステップと、
-63 前記現在の暗号化パケットから抽出した推定候補値、暗号化データ、および検証コードに従って、現在の暗号化パケットの完全性を評価するステップと、
-現在の暗号化パケットが、変わっていないと考えられるとき、
・64 現在の暗号化パケットに関して推定した、端末20の生成情報の値に従って、解読鍵を決定するステップと、
・65 解読鍵に従って、現在の暗号化パケットから抽出した暗号化データを解読するステップと
を備える。
【0099】
図4に示すステップは、すべてアクセスネットワーク30により実装されることに留意されたい。
【0100】
アクセスネットワーク30が複数の基地局31、およびサーバ32を備える、図1を参照して記述する例では、データを抽出しようと試みる基になる現在の暗号化パケットは、最初に1つまたはいくつかの基地局31により受信される。
【0101】
各基地局31は、この目的のために、前記基地局が1つまたはいくつかの端末20が無線信号の形で伝送するパケットを受信することができるようにする、当業者に公知と考えられる無線通信の手段を備える。
【0102】
しかしながら、図4に示す、データを抽出するための方法60のステップを、現在の暗号化パケットを受信した1つまたは複数の基地局31により、および/またはサーバ32により実行することができる。
【0103】
本記述の残りの部分では、限定せずに、本明細書で上記に列挙したステップが、アップリンク上で現在の暗号化パケットを最初に受信した1つまたは複数の基地局31から前記現在の暗号化パケットを受信した後、サーバ32によりすべて実装される場合について考えてみる。
【0104】
この趣旨で、基地局31およびサーバ32は、基地局31が、受信した各パケットをサーバ32に伝送することができるようにする、当業者に公知と考えられるネットワーク通信の手段をそれぞれ備える。
【0105】
たとえば、サーバ32は、1つまたはいくつかのプロセッサと、パケットを抽出するための方法60のさまざまなステップを実装するために実行すべき1組のプログラムコード命令の形をとるコンピュータプログラム製品を記憶する、記憶するための手段(磁気ハードディスク、電子メモリ、光ディスクなど)とを備える処理回路(図示せず)を備える。代わりにまたは補足として、処理回路は、データを抽出するための方法60の前記ステップのすべてまたは一部分を実装するのに適した、1つまたは複数のプログラム可能論理回路(FPGA、PLDなど)、および/または1つまたは複数の特定用途向け集積回路(ASIC)、および/または1組のディスクリート電子部品などを備える。
【0106】
言い替えれば、処理回路は、端末20から受信した現在の暗号化パケットに基づきデータを抽出するための方法60のステップを実装するために、1組のソフトウェア構成手段(特有のコンピュータプログラム製品)および/またはハードウェア構成手段(FPGA、PLD、ASIC、ディスクリート電子部品など)を備える。
【0107】
本明細書で上記に示すように、異なるタイプの生成情報を考慮することができる。記述の残りの部分では、限定せずに、生成情報が、端末20のパケットカウンタである場合について考えてみる。さらに、伝送されたパケットに含まれる、端末20による切捨て情報が、前記パケットカウンタのモジュロNtの値に対応する切捨てカウンタである場合について考えてみる。言い替えれば、切捨てカウンタは、端末20のパケットカウンタの第2の部分に等しい。切捨てカウンタが、パケットカウンタの第2の部分に直接等しいわけではない他の場合については、パケットカウンタの前記第2の部分を得るために、端末20が使用する計算関数の逆関数を現在の暗号化パケットの切捨てカウンタに適用することで足りる。
B.1)切捨てカウンタ、検証コード、および暗号化データの抽出
B.1)切捨てカウンタ、検証コード、および暗号化データの抽出
【0108】
抽出するステップ61の間、サーバ32は、現在の暗号化パケットから、切捨てカウンタ、検証コード、および暗号化データを抽出した。切捨てカウンタ、検証コード、および暗号化データの抽出は、これらが現在の暗号化パケットに組み入れられた方法に依存し、本発明の範囲を変えない。
B.2)パケットカウンタの第1の部分の候補値の推定
B.2)パケットカウンタの第1の部分の候補値の推定
【0109】
推定するステップ62の間、サーバ32は、現在の暗号化パケットを伝送した端末20のパケットカウンタの第1の部分の候補値を推定する。
【0110】
実際は、本明細書で上記に示すように、現在の暗号化パケットは、自身を伝送した端末20の切捨てカウンタだけを備え、したがって、切捨てカウンタは、パケットカウンタのNb1ビットの中のNb2個の最下位ビットだけに対応するので、前記端末20のパケットカウンタの値を完全に備えるわけではない。
【0111】
しかしながら、現在の暗号化パケットに含まれるデータを暗号化するために前記端末20が使用した暗号鍵は、前記端末20のパケットカウンタの値に従って決定されたという前提の下では、サーバ32は、前記端末20の前記パケットカウンタの第1の部分の値からパケットカウンタの完全な値を演繹し、したがって次に、暗号鍵と同一の、使用すべき解読鍵を決定することができるために、前記端末20の前記パケットカウンタの第1の部分の値を推定しなければならない。
【0112】
実際には、サーバ32は、
-前記現在の暗号化パケットから抽出した切捨てカウンタ、および
-同じ端末20から受信した前パケットに関して推定および検証された、前記端末20のパケットカウンタの第1の部分の値
に従って、現在の暗号化パケットの伝送中に、端末20のパケットカウンタの第1の部分の値を推定することができる。
-前記現在の暗号化パケットから抽出した切捨てカウンタ、および
-同じ端末20から受信した前パケットに関して推定および検証された、前記端末20のパケットカウンタの第1の部分の値
に従って、現在の暗号化パケットの伝送中に、端末20のパケットカウンタの第1の部分の値を推定することができる。
【0113】
用語「受信した前パケット」は、端末20のパケットカウンタが増分され、かつパケットカウンタの第1の部分の値を推定および検証することができたパケットの中で、現在の暗号化パケットの前に端末20から受信した最後のパケットを意味する。したがって、これは、もう1つの暗号化パケット、またはたとえばリタイミングパケットなどのもう1つのタイプのパケットである可能性があることに留意されたい。
【0114】
したがって、サーバ32は、前記端末20から受信した前パケットの伝送中、端末20が使用するパケットカウンタの第1の部分の推定値を記憶し、前記端末20から新しいパケットを受信するたびに、パケットカウンタの前記第1の部分の推定値を更新する。この処理を初期化するために、たとえば、端末20に、端末20のまさしく最初のパケットを伝送中に、パケットカウンタの第1の部分の所定の初期値を、より好ましくはゼロに等しい初期値を使用させることが可能である。適用可能である場合、サーバ32は、この端末20が伝送したパケットを最初に受信するとき(このパケットは、ある種のパケットをアクセスネットワーク30が検出できなかった場合、端末20が伝送した最初のパケットでは必ずしもない)、同じ端末20から受信した前パケットに関するパケットカウンタの第1の部分の推定値が、前記所定の初期値に等しいと考える。
【0115】
次いで、端末20から受信した前パケットに関して推定した、パケットカウンタの第1の部分の値に基づき、かつ現在の暗号化パケットから抽出した切捨てカウンタに基づき、サーバ32は、現在の暗号化パケットに関して前記端末20の前記パケットカウンタの値を推定することが可能である。
【0116】
たとえば、現在の暗号化パケットに関する、端末20のパケットカウンタの第1の部分の値は、次式
C1(n)=(C1(n-1)+k) modulo 2(Nb1-Nb2)
に従って推定され、現在の暗号化パケットに関する、端末20のパケットカウンタの第1の部分の値は次式
C(n)=(C1(n)・Nt+C2(n))
に従って推定され、式中、
-C(n)は、現在の暗号化パケットに関して推定した、端末20のパケットカウンタの値に対応し、
-C1(n)は、現在の暗号化パケットに関するパケットカウンタの第1の部分の値に対応し、
-C2(n)は、現在の暗号化パケットから抽出した切捨てカウンタに対応し、
-C1(n-1)は、前パケットに関して推定および検証した、端末20のパケットカウンタの第1の部分の値に対応し、
-kは、決定すべき整数である。
C1(n)=(C1(n-1)+k) modulo 2(Nb1-Nb2)
に従って推定され、現在の暗号化パケットに関する、端末20のパケットカウンタの第1の部分の値は次式
C(n)=(C1(n)・Nt+C2(n))
に従って推定され、式中、
-C(n)は、現在の暗号化パケットに関して推定した、端末20のパケットカウンタの値に対応し、
-C1(n)は、現在の暗号化パケットに関するパケットカウンタの第1の部分の値に対応し、
-C2(n)は、現在の暗号化パケットから抽出した切捨てカウンタに対応し、
-C1(n-1)は、前パケットに関して推定および検証した、端末20のパケットカウンタの第1の部分の値に対応し、
-kは、決定すべき整数である。
【0117】
本例では、kは、受信した前パケット以来の、端末20のパケットカウンタの第2の部分のゼロ復帰の回数に対応する。実際は、パケットカウンタの第1の部分(カウンタの(Nb1-Nb2)個の最上位ビットに対応する)の値は、パケットカウンタの第2の部分(切捨て部分、カウンタのNb2個の最下位ビットに対応する)の値がゼロに復帰するたびに増分される。
【0118】
たとえば、現在の暗号化パケットと、同じ端末20から受信した前パケットの間でアクセスネットワーク30が場合によっては検出できなかったパケット数は、Nt未満であると体系的に考えることが可能である。
【0119】
この場合、現在の暗号化パケットの切捨てカウンタが、前パケットの切捨てカウンタよりも大きい場合、数kは、ゼロに等しい(k=0)。現在の暗号化パケットに関するパケットカウンタの推定値を得るためには、前パケットに関して推定したパケットカウンタの値で、Nb2個の最下位ビットを、現在の暗号化パケットから抽出した切捨てカウンタのNb2ビットと置換することで十分である。
【0120】
しかしながら、現在の暗号化パケットの切捨てカウンタが、前パケットの切捨てカウンタよりも小さい場合、ゼロ復帰があったので、数kは1に等しい(k=1)。次いで、現在の暗号化パケットに関するパケットカウンタの推定値を得るために、前パケットに関して推定したパケットカウンタの値で、Nb2個の最下位ビットを、現在の暗号化パケットから抽出した切捨てカウンタのNb2ビットと置換するだけではなく、前パケットに関して推定したパケットカウンタの値の(Nb1-Nb2)個の最上位ビットに1を加算することが必要である。
【0121】
図5は、図4を参照して本明細書で、上記で説明したステップに加えて、リタイミングパケットに基づき、パケットカウンタの第1の部分を表すリタイミング情報を抽出するためのステップ66を備える、データを抽出するための方法60の代わりの一実施形態の主要ステップを示す。
【0122】
実際は、現在の暗号化パケットのパケットカウンタの第1の部分の値の推定値は、詳細には、多数の、たとえばNtよりも多くの連続するパケットが、アクセスネットワークにより検出されない場合、誤りのある可能性がある。そのような誤りは、後続のパケットのすべてに関して推定誤りの原因となるという点で、なおさら重大である。
【0123】
したがって、端末20のパケットカウンタの第1の部分の推定値の、サーバ32により記憶された値が、所与のパケットに関する、端末20のパケットカウンタの第1の部分の実際の値と「非同期化する」この状況を補正することが適切である。これは、リタイミングパケットの目的である。
【0124】
実際は、リタイミングパケットに含まれるリタイミング情報は、パケットカウンタの第1の部分を表す。したがって、これにより、その結果としてパケットカウンタの第1の部分の値を良好な精度で決定することが可能になる。良くても、記述した実施形態の場合のように、これにより、パケットカウンタの第1の部分の値を誤りなく決定することができるようになる。一般に、リタイミング情報を使用して決定した生成情報の第1の部分を、現在の暗号化パケットから抽出した切捨て情報と連結することにより、現在の暗号化パケットに関する生成情報の値を推定することができる。
【0125】
限定しない例として記述する、考慮している実施形態では、リタイミング情報は、パケットカウンタの第1の部分であり、リタイミングパケットは、端末20のパケットカウンタが正確にNt回増分されるたびに、すなわち、カウンタの第1の部分が変化して、リタイミングパケットの各伝送で端末20のパケットカウンタが増分されるたびに、伝送される。したがって、リタイミングパケットを受信するとき、端末20のパケットカウンタの値は、その(Nb1-Nb2)個の最上位ビットについては、リタイミング情報の値に対応し、そのNb2個の最下位ビットについては、ゼロ値に対応するので、端末20のパケットカウンタの値を決定することは容易である。その結果として、リタイミングパケットは、パケットカウンタの値を誤りなく決定した「事前に受信したパケット」の役割を果たすことができる。
【0126】
リタイミングパケットを受信したとき、前パケットに基づきリタイミングパケットに関して推定したパケットカウンタの第1の部分の値が、リタイミング情報に基づき決定したパケットカウンタの第1の部分の値と異なる場合、「非同期化」を検出することができる。その場合、システム10は、リタイミング情報の値を用いて、サーバ32により記憶された、端末20のパケットカウンタの第1の部分の値を再初期化することにより、端末20に関して再同期化される。
B.3)現在の暗号化パケットの完全性の評価
B.3)現在の暗号化パケットの完全性の評価
【0127】
図6は、現在の暗号化パケットの完全性を評価するためのステップ63の好ましい一実施形態の詳細を示す。
【0128】
図6に示すように、ステップ63は、暗号化データ、およびパケットカウンタの第1の部分の推定候補値に基づき検証コードを計算するステップ631を備える。この計算は、暗号化パケットを伝送するときに、検証コードを計算するために端末20が使用する方法と同じ方法に従って行われる。
【0129】
次いで、ステップ63は、現在の暗号化パケットから抽出した検証コードとサーバ32が計算した検証コードを比較するステップ632を備え、現在の暗号化パケットの完全性を評価することが可能である。暗号化パケットは、現在の暗号化パケットから抽出した検証コードおよび計算した検証コードが同一である場合だけ、変わっていないと考えられる。
【0130】
現在の暗号化パケットが変わっていないと考えられる場合、パケットカウンタの第1の部分の推定候補値は、正しいとみなされ、サーバ32は、解読鍵を決定するためのステップ64、および暗号化データを解読するためのステップ65を実行することができる。
【0131】
現在の暗号化パケットが、変わったと考えられる場合、パケットカウンタの第1の部分の推定候補値は、正しくないとみなされ、その結果として、解読鍵を決定することは不可能である。この場合、現在の暗号化パケットを、たとえば単に無視することができる、または場合によっては、たとえばリタイミングパケットの受信後、パケットカウンタの第1の部分の候補値を推定するもう1つのステップを後で再度通過させるために、記憶することができる。
【0132】
限定しない例として記述する、考慮している実施形態では、検証コードは、端末20とサーバ32の両方により既知の認証鍵に従ってさらに計算されるメッセージ認証コード(MAC)である。サーバ32は、たとえば、パケットを伝送した端末20を一意に識別することを可能にする、現在の暗号化パケットに含まれる情報の項目のおかげで、使用すべき認証鍵を決定することができる。より一般的には、サーバ32により、使用すべき認証鍵を決定するステップは、当業者に公知の任意の方法を実装することができ、本発明の範囲を変えない。
【0133】
そのような場合、検証コードにより、現在の暗号化パケットの真正性、この暗号化パケットに包含される暗号化データの完全性、およびさらにまた現在の暗号化パケットのパケットカウンタの第1の部分の推定候補値も同時に検証することが可能になる。
B.4)解読鍵の決定
B.4)解読鍵の決定
【0134】
決定するステップ64の間、サーバ32は、現在の暗号化パケットから抽出した暗号化データを解読するために使用すべき解読鍵を決定する。
【0135】
推定および検証した第1の部分の候補値に基づき、かつ切捨て情報に基づき、現在の暗号化パケットに関する、端末20のパケットカウンタの値を演繹する。次いで、暗号鍵を生成するために端末20が使用する鍵生成法と同じ鍵生成法に従って、現在の暗号化パケットに関する、端末20のパケットカウンタの値に基づき、解読鍵を決定する。したがって、誤りがないとき、解読鍵は暗号鍵と同一である。
B.5)暗号化データの解読
B.5)暗号化データの解読
【0136】
解読するステップ65の間、サーバ32は、決定するステップ64の最後に得た解読鍵に従って、現在の暗号化パケットから抽出した暗号化データを解読する。
【0137】
暗号化データの解読は、考慮している対称暗号鍵プロトコルに依存し、本発明の範囲を変えない。たとえば、「OR EXCLUSIVE」タイプの論理関数を用いてデータおよび暗号鍵の連続するビットを1つずつ組み合わせることにより暗号化データを得るストリーム暗号プロトコルの場合、「OR EXCLUSIVE」タイプの論理関数を用いて暗号化データおよび解読鍵の連続するビットを1つずつ組み合わせることにより、暗号化されていないデータもまた得られる。
B.6)いくつかの候補値の推定
B.6)いくつかの候補値の推定
【0138】
図7は、図5を参照して本明細書で、上記で記述したステップに加えて、停止基準が検証されるまで、パケットカウンタの第1の部分のいくつかの候補値を推定および検証するステップを備える、データを抽出するための方法60の代わりの一実施形態の主要ステップを示す。
【0139】
このように、現在の暗号化パケットのパケットカウンタの第1の部分の、1組のいくつかの候補値が規定され、各推定候補値は、検証コードを使用して反復して検証される。停止基準は、たとえば、所与の候補値について、現在の暗号化パケットの完全性が検証されたとき、または現在の候補値のすべてが、どの候補値も現在の暗号化パケットが変わっていないと考えることを可能にすることができることなく使い尽くされたときに検証される。
【0140】
この代替実施形態により、多数の、たとえばNtよりも多くの連続するパケットをアクセスネットワーク30が検出できない可能性を克服することができるようになる。実際は、そのような場合、第B.3節に提示したような、現在の暗号化パケットに関するパケットカウンタの第1の部分の候補値の推定値は、誤りであり、この場合、データの抽出を可能にするために、パケットカウンタの第1の部分と異なるいくつかの候補値を推定することが有利である。
【0141】
限定しない例として記述した、考慮している実施形態では、第B.3節で導入した変数kは、現在の暗号化パケットに関して、パケットカウンタの第1の部分の値を推定および検証することができた、受信された最後の前パケット以来の、端末20のパケットカウンタの第2の部分のゼロ復帰の回数を表す。
【0142】
異なる候補値を得るために、ゼロ値から始めることによりkの値を反復して増分すること、および所与の候補値に関して現在の暗号化パケットの完全性が検出されるまでなど、続行することが可能である。
【0143】
しかしながら、現在の暗号化パケットは、(たとえば、干渉のために)暗号化データを変える伝送誤りの後、または正しくない認証鍵が使用された場合、変わったと考えることができる。そのような場合、暗号化パケットが変わっていないと考えることができない候補値に対して無期限に繰り返すことは遺憾である。また、可能な候補値のすべてを制限することが適している。
【0144】
これを行うために、たとえば、端末20がアクセスネットワーク30にパケットを伝送することができる最大周波数を規定することが可能である。受信した最後のパケットの受信日を記憶することにより、かつ現在の暗号化パケットの受信日に、この日以来、端末20が伝送することができたパケットの最大数を計算することにより、次式
【0145】
【数1】
【0146】
に従って、この期間中に端末20のパケットカウンタの第2の部分が行うことができたゼロ復帰の最大数を規定することが可能であり、式中、
-t(n-1)は、前パケットの受信日であり、
-t(n)は、現在のパケットの受信日であり、
-Fmaxは、パケットを伝送するための最大周波数であり、
-E[x]は、xの整数部分に対応し、
-kmaxは、t(n-1)~t(n)の間の期間中の、端末20のパケットカウンタの第2の部分のゼロ復帰の最大数である。
-t(n-1)は、前パケットの受信日であり、
-t(n)は、現在のパケットの受信日であり、
-Fmaxは、パケットを伝送するための最大周波数であり、
-E[x]は、xの整数部分に対応し、
-kmaxは、t(n-1)~t(n)の間の期間中の、端末20のパケットカウンタの第2の部分のゼロ復帰の最大数である。
【0147】
次いで、考慮すべきパケットカウンタの第1の部分の1組の候補値を、
C1(n)=(C1(n-1)+k) modulo 2(Nb1-Nb2)
により規定し、式中、kは0~kmaxの間で変わる。
C1(n)=(C1(n-1)+k) modulo 2(Nb1-Nb2)
により規定し、式中、kは0~kmaxの間で変わる。
【0148】
しかしながら、パケットカウンタの第1の部分の1組の候補値を規定するための方法が他にあることが理解される。詳細にはたとえば、端末20によるパケット伝送の平均時間に従って、パケットカウンタの第1の部分の最も可能性の高い値を推定することが可能である。次いで、最も可能性の高い値に基づき他の候補値を規定することができ、可能性が低減する順序で、反復して検証することができる。特定の方法を選ぶことは、本発明の代わりの一実施形態を形成するだけである。
【0149】
しかしながら実際は、ここで考えている例では、限定せずに、端末20は、自身のパケットを非同期で伝送し、しかしながら、一定の規則性で自身のパケットを伝送することができる。たとえば、端末20は、しかしながら前記パケットを厳密に周期的な手法で伝送することなく、1日当たりあらかじめ決められた数のパケットを伝送することができる。それにもかかわらずその場合、前記パケットは、平均して実質的に周期的な手法で伝送される。そのような場合、詳細には、平均伝送周期がパケットカウンタの第1の部分の値の推定値を改善することを可能にすることができるので、前記端末20による連続するパケット伝送の間の平均伝送周期を推定することは有利である。
【0150】
たとえば、前記端末20の平均伝送周期を次式に従って計算し、
【0151】
【数2】
【0152】
式中、
-Temは、端末20に関して推定した平均伝送周期に対応し、
-C(m)は、前記端末20から受信した、ランクmのパケットに関して推定した、端末20のパケットカウンタの値に対応し、
-t(m)は、前記端末20から受信した、ランクmのパケットに関して測定した受信日に対応し、
-C(m-1)は、前記端末20から受信した、ランク(m-1)のパケットに関して推定した、端末20のパケットカウンタの値に対応し、
-t(m-1)は、前記端末20から受信した、ランク(m-1)のパケットに関して測定した受信日に対応し、
-Mは、前記端末20から受信したパケットの総数に対応する。
-Temは、端末20に関して推定した平均伝送周期に対応し、
-C(m)は、前記端末20から受信した、ランクmのパケットに関して推定した、端末20のパケットカウンタの値に対応し、
-t(m)は、前記端末20から受信した、ランクmのパケットに関して測定した受信日に対応し、
-C(m-1)は、前記端末20から受信した、ランク(m-1)のパケットに関して推定した、端末20のパケットカウンタの値に対応し、
-t(m-1)は、前記端末20から受信した、ランク(m-1)のパケットに関して測定した受信日に対応し、
-Mは、前記端末20から受信したパケットの総数に対応する。
【0153】
端末20の平均伝送周期を推定すると、現在の暗号化パケットに関するパケットカウンタの第1の部分を計算するための、最も可能性の高い、kprobとして言及される値を、たとえば、次式に従って推定し、
【0154】
【数3】
【0155】
式中、(t(n)-t(n-1))は、現在の暗号化パケットの受信日と前パケットの受信日の間で経過した時間に対応し、pは、以下のように決定される整数である。
-C2(n)>C2(n-1)である場合、p=0
-C2(n)<C2(n-1)である場合、p=1
-C2(n)>C2(n-1)である場合、p=0
-C2(n)<C2(n-1)である場合、p=1
【0156】
次いで、反復すべき候補値を、たとえば、集合
k=kprob±i、i∈N、k≧0、k≦kprob+kmax
により規定することができる。
B.7)他のタイプの生成情報
k=kprob±i、i∈N、k≧0、k≦kprob+kmax
により規定することができる。
B.7)他のタイプの生成情報
【0157】
本明細書で、上記で記述した、抽出するための方法60の実施形態では、生成情報が、端末20のパケットカウンタである場合について、限定せずに考えてみた。
【0158】
しかしながら、本明細書で、上記で示したように、他のタイプの生成情報を考慮することができ、時間経過と共に可変の、特定のタイプの生成情報を選ぶことは、本発明の代わりの一実施形態を形成するだけである。
【0159】
また、現在の暗号化パケットに関する、端末20の生成情報の第1の部分の値の推定値は、考慮している生成情報のタイプに依存する可能性があることが理解される。
【0160】
たとえば、生成情報が、端末20のパケットカウンタに対応する場合、現在の暗号化パケットに関する、端末20の前記パケットカウンタの値の第1の部分の推定値は、有利には、同じ端末20から受信した前パケットに関して推定した前記パケットカウンタの第1の部分の値を考慮する。
【0161】
考慮している生成情報が、伝送すべきパケットの、端末20による生成日に対応する場合、同じ端末20から受信した前パケットに関して推定した生成日の第1の部分の値を考慮する必要はなく、端末20による現在の暗号化パケットの生成日の第1の部分の値を、たとえば、前記現在の暗号化パケットの受信日に従って推定する。実際は、端末20による現在の暗号化パケットの生成日、およびアクセスネットワーク30による前記現在の暗号化パケットの受信日は、原理上は、実質的に同一なそれぞれの第1の部分を有し、これらのそれぞれの第2の部分だけ主として異なる。現在の暗号化パケットから抽出した切捨て情報が、端末20による前記現在の暗号化パケットの生成日の第2の部分を表すという前提の下では、前記現在の暗号化パケットから抽出した切捨て情報に従って、かつアクセスネットワーク30による前記現在の暗号化パケットの受信日に従って、前記現在の暗号化パケットの生成日の値を推定することが可能であることが理解される。たとえば、現在の暗号化パケットの受信日の第1の部分を前記現在の暗号化パケットから抽出した切捨て情報に基づき決定した生成日の第2の部分と組み合わせることにより、現在の暗号化パケットの生成日の値を得る。
【0162】
しかしながら、パケットの生成日を生成情報として使用することは、端末20およびアクセスネットワーク30の現在の日付が、十分な精度で同期していることを仮定する。
【0163】
より一般的には、本明細書で、上記で考慮した実施形態は、限定しない例として記述されたこと、およびその結果として、他の代替形態を考慮することができることに留意されたい。
【0164】
詳細には、端末20からアクセスネットワーク30へのアップリンク上で伝送されるパケットだけを考えてみるとして、本発明について記述した。しかしながら、代わりにまたは補足として、アクセスネットワーク30から端末20へのダウンリンクにわたり本発明を適用することができる。言い替えれば、より一般的に、送信側機器を用いて、暗号化データを備えるパケットを伝送することに、および受信側機器によりそのようなパケットに含まれるデータを抽出することに、本発明を適用することができる。
【0165】
さらに、UNB無線通信システム10を考慮することにより、本発明について記述した。しかしながら、有線通信システムを含む他のタイプの通信システムを考慮する他の例を排除しない。しかしながら、本発明は、低速無線通信システムで、すなわち、1キロビット/秒未満の速度で、特に有利な用途がある。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】