無線センサーネットワークは,多数のセンサーノードから構成され,環境情報を取得することができる.ネットワーク管理者は興味のあるイベントを登録し,そのイベントを検知したノードは,無線を通じてユーザまでマルチホップで通知を行う.無線センサーネットワークは森林火災検知や侵入者検知等に用いることができる.無線センサーネットワークの形態として,信頼できるベースステーション(中央サーバ)を設置する形態と設置しない形態の2 種類がある.信頼できるベースステーションを設置するほうが,より高度な処理を行うことができる.だがベースステーションを設置できない環境に無線センサーネットワークを配置することもあるため,どちらの形態についても考慮する必要がある.ベースステーションが利用できるどうかにより,異なる手法を提案することになる.

無線センサーネットワークは,高範囲の領域に設置されることが多い.そのため,無線センサーネットワークにおいては,攻撃者がセンサーを物理的に取得し,不正に操作する脅威が存在する.センサーノードは通常低コストで製作されるため,耐タンパハードウェアを装備していない.したがって攻撃者は,取得したセンサーノードから,鍵等の情報を全て抜き出すことが可能である.抜き出した情報を用いて,攻撃者はネットワークに対し様々な攻撃を行うことができる.無線センサーネットワークの目的が侵入者検知の場合,攻撃者は,検知されたイベントがユーザまで届かないようにするための攻撃を行うことが考えられる.

本論文は,検知されたイベントが確実にユーザまで届くようにするため,それを阻害する攻撃を検知することを目的とする.攻撃を,物理層・リンク層・ネットワーク層・メッセージング層に分類し,本論文ではメッセージング層における攻撃の検知を行う.メッセージング層の攻撃として,1.メッセージの改ざん,2.メッセージの破棄,3.メッセージ送信によるDoS 攻撃が挙げられる.また,これらの攻撃力を増大させる攻撃として,4.複製ノード攻撃が挙げられる.複製ノード攻撃とは,不正取得したノードを大量に複製してネットワークにばら撒くことにより,ネットワークに多大な影響を与える攻撃である.

また,センサーノードの大きな特徴として故障しやすいことが挙げられる.また,バッテリ駆動であるため,できるだけエネルギー消費を抑える必要がある.従って,無線センサーネットワークにおけるセキュリティ手法を提案する場合には要件として,i.不正取得に対して耐性があり,ii.故障に対して耐性があり,iii.できるだけ省エネルギーな手法であることが求められる.省エネルギーな手法とは,計算量やトラフィック量が少ない手法ということである.

上記1-4 の攻撃を検知する既存研究を調査し,セキュリティ手法の要件i-iii を満たしているかどうかを確認する.満たされていない部分について,本論文において新しい手法を提案する.具体的な貢献は次の通りである.

・メッセージ改ざんノードの検知

信頼できるベースステーションが設置されている状況を想定する.ベースステーションにおいて,メッセージが改ざんされていることを検知すると同時に,メッセージを改ざんしたノードを特定する.既存研究では,メッセージを発生させたノードからベースステーションまでのルーティングパスが固定されている状況にのみ対応している.だが,ノードの故障を考慮すると,無線センサーネットワークではルーティングパスが頻繁に変更されることが予想される.したがって我々はルーティングパスの変更に対応した手法を提案する.また提案手法を用いることにより,ルーティングパスが変更しない状況においても,既存研究よりも早く,メッセージを改ざんしたノードを特定することができる.

・ メッセージ送信によるDoS 攻撃の検知(不正メッセージの検知)

メッセージ送信によるDoS 攻撃として,正しいメッセージを何度も送信する攻撃と,不正メッセージを何度も繰り返し作成し送信する攻撃が考えられる.同じメッセージを何度も送信する攻撃は検知が容易であるため,ここでは,不正メッセージの検知を目的とする.既存研究では,ノード不正取得への耐性とノード故障への耐性を同時に実現する手法が存在しない.したがって我々はこの2 つの要件を同時に満たす手法を提案する.

・ 複製ノードの検知

信頼できるベースステーションが設置されていない状況を想定する.このとき,ノード不正取得攻撃への耐性とノード故障への耐性を同時に実現する既存手法が存在するが,この手法を用いるためには大量のトラフィック量が発生してしまう.したがって我々はこの2 つの要件を同時に満たしつつ,トラフィック量の削減を行う.本手法を用いることで,ベースステーションを利用できる環境と同程度の検知率・トラフィック量で,複製ノードの検知が可能である.

本学位請求論文では、無線センサーネットワークにおける高いセキュリティを構築するために必要となるメッセージ通信妨害攻撃の検知手法に関して新しい手法を提案している。無線センサーネットワークは、多数のセンサーノードから構成され、侵入者等のイベント検知に用いられる。無線ネットワークでは攻撃者が物理的にノードを取得、鍵等の情報を全て抽出し、悪意のあるプログラムを実行する不正ノードを作成可能である。

無線ネットワークの目的が犯罪検知の場合、攻撃者は、セキュリティの三要素である機密性・完全性・可用性のうち、特に可用性に対する攻撃を行うことが考えられる。そこで本論文では、可用性に対する攻撃として、イベントを通知するメッセージがユーザに届くことを妨げる攻撃の検知を目的としている。特にメッセージ通信の上位レイヤーに注目し、不正メッセージを多数作成することによりネットワークの輻輳を引き起こす攻撃の検知を対象としている。

このような無線ネットワークのセキュリティに対する要件として、正しいメッセージを不正メッセージであると誤検知しない、多数のノードの不正取得への耐性がある、多数のノードの故障に耐性があることが要求される。だが、これらの三つの要件を同時に満たす既存研究は存在しない。すなわち、正しいメッセージが失われたり、数個~数十個のノードの不正取得や故障により、不正メッセージやその発生元ノードの検知が不可能となる。

本論文では、センサーノードの物理的な位置を利用して正しい鍵の組み合わせ情報を全ノードへ配備することにより、全てのメッセージ転送ノードが不正メッセージの検知をできる可能性を与えた。また、正しい鍵の組み合わせ情報をそのまま保持させずノードへ配備する際に別のデータ構造に変化させた。これにより、正しいメッセージを不正メッセージであると誤検知せず、かつ多数のノードの不正取得攻撃に対しても耐性を持たせることを可能とした。

また本論文では、メッセージを転送する各ノードにノードIDと短いビット(たとえば1ビット)のメッセージ認証コードを付加させた。いくつかの不正メッセージがユーザに届くことにより、統計学的手法を用いることで、不正メッセージを発生させた可能性が高いノードを特定できる。本論文では、2/3以下の任意の精度において、不正ノードを検知できる手法を考案し、それを数学的に証明した。

無線ネットワークでは、攻撃者が一つのノードを不正取得し、その情報を用いることで多数の不正ノードを作成する、複製ノード攻撃が存在する。複製ノードを分散的に検知する既存手法では、ノードの不正取得や故障により急激に検知率が低下する。本論文では、複製ノードを検知するための鍵を全ノードに分散して配備させ、同時に、実際に検知に必要な情報を持つノードをごく少数のノードのみに設定した。またこれらのノードが故障した場合は、自動的に別のノードが持つ情報が検知に必要な情報となる仕組みを与えた。これらにより、ノードの故障や不正取得に耐性があり、高い検知率を維持できることを数学的に証明した。

本論文で提案された手法は無線ネットワークにおいてネットワークの輻輳を引き起こす攻撃の検知を目的とし、正しいメッセージを不正メッセージであると誤検知せず、かつ、数十個以上の多くのノードが不正取得または故障した状況においても、不正メッセージやその発生元ノード、または複製ノードの検知を行えることができる、初めての手法であり、無線ネットワーク研究分野に顕著なる貢献を与えた。

よって本論文は博士(情報理工学)の学位請求論文として合格と認められる。