電波伝搬特性を活用した秘密情報の伝送・共有技術

電波伝搬特性を活用した秘密情報の伝送・共有技術

岩井

誠人

†

笹岡

秀一

†

Secret Information Transmission and Sharing Techniques Based on Radio Wave

Propagation Characteristics

Hisato IWAI

†

and Hideichi SASAOKA

†

あらまし 電波伝搬特性を活用して秘密情報を送受信間で他者に知られることなく伝送・共有する技術につい て，特に電波伝搬の観点から述べる．まず最初に，将来のユビキタスネットワークにおける本技術の位置付けに ついて示す．次に，秘密情報の伝送・共有に電波伝搬特性を活用する方式の基本原理を示す．また，情報理論の 情報量の概念を用いてこの手法の特性を明らかにする．そして，これまで既に研究が行われている電波伝搬特性 に基づいて通信を暗号化するための暗号鍵を生成する方法について紹介する．その実現例の原理を示し，具体的 な秘密情報伝送・共有の特性について明らかにする．このような電波伝搬特性を活用した秘密情報伝送・共有技 術に対しては，他者からの情報盗聴の試み（アタック）に対する耐性が重要となる．このようなアタックについ て電波伝搬的な手法の一例を示し，その実現可能性及び推定性能について示す．最後に，電波伝搬特性を活用し たその他の秘密情報の伝送・共有技術について簡単に触れる． キーワード 電波伝搬，空間相関，セキュリティ，秘密鍵共有

1.

ま え が き

近年，ユビキタスネットワークまたはユビキタスコ ンピューティングに関する研究開発が盛んに進められ ている．ユビキタスコンピューティングという言葉を 最初に使ったMark Weiserは「実在の日常環境の至る 所で，コンピュータが，陽には見えなくとも，必要な 際にはどこでも利用可能であること，もしコンピュー タの利用が必要でない場合には使用者はコンピュータ の存在を認識しないこと」と述べた[1]．この実現のた めには，コンピュータを通したネットワークへの接続 が必要になれば自動的に必要な通信が起動され，必要 なデータの交換が行われ，自動的に通信を終了する， といった機能が必要となる．その実現に必要な要素と してユビキタスネットワークではコンテクストアウェ アという技術コンセプトが検討されている[2]．コン テクストとは「場所，方向，ユーザの近くの人や物体 のアイデンティティ及びそれらの変化，時刻，季節， 温度，感情，関心の焦点など，ユーザを取り巻くあら †_{同志社大学，京田辺市}

Doshisha University, 1–3 Tatara Miyako-dani, Kyotanabe-shi, 610–0321 Japan ゆる環境を指す」とされている[3]．ユビキタスネッ トワークでは，これらのユーザ情報をもとに通信が制 御されるため，ユーザに関する個人情報すべてがネッ トワークを通じてやり取りされる可能性がある．した がってユビキタスネットワークでは，コンテクストア ウェアの実現とともに個人情報のセキュリティをどの ように確保するかが重要な技術課題であると指摘され ている[3]． さて，Mark Weiserが唱えたユビキタスネットワー クにおける「必要な際には利用可能であるが必要でな い場合には存在を認識しない」機能を実現するために は，ネットワークへのアクセスは必然的に無線通信に 頼らざるを得ない．有線通信では通信内容にアクセス 可能な物理的エリアを限定することは比較的簡単であ るが，無線通信の場合には電波の広がりを完全に限定 することは現実的には不可能である．その結果，通信 の内容を不特定多数の第三者が傍受可能という問題が ある．そのため，ユビキタスネットワークでは，従来 よりもセキュリティの確保が重要であるにもかかわら ず，その実現はより難しい状況になる． 伝送する情報を秘匿するセキュリティ技術としては， これまで一般に秘密鍵や公開鍵による情報の暗号化が

用いられている[4]．このような方式では，図1 (a)に 示すように，エンド-エンドの通信経路において物理レ イヤより上のレイヤにおいて暗号鍵によって暗号化す る手法が一般的である．しかし一般に，秘密鍵を用い る方法には暗号化のために必要な秘密の鍵をいかにし てエンド-エンド間で安全に共有するかという問題が ある．膨大な数のノードが存在し，通信相手を選ばな いユビキタスネットワークでは特に大きな問題となる． また，公開鍵暗号方式では事前の鍵配送・鍵管理が不 要となるが，公開鍵暗号方式は一般に処理負荷が大き く，小型デバイスが主となるユビキタスネットワーク のノード（センサや無線タグなど）では対応が難しい． 更に，鍵配送が不要となるDiffie–Hellmanの鍵交換 方式[5]もあるが，これも処理負荷が高いという問題 がある． これに対して，マルチパス伝搬路の特性を生かして 無線通信のセキュリティを実現する秘密情報伝送・共 有技術が検討されている[6]∼[8]．この方式では，図 1 (a)の従来の暗号化方式に対して図1 (b)のような使 用形態が想定されている．有線部分については物理的 手法や従来のセキュリティ技術により信頼性のある伝 送路が確保されていると考えた上で，無線部分のみを 対象としたセキュリティ対策を低いレイヤにおいて実 現しようとするものである．この手法は，無線通信伝 (a)従来の暗号方式 (b)無線部分のみの暗号化 図 1 暗号技術の使用形態

Fig. 1 Network configuration of encryption systems.

搬路の可逆性（または相補性）及び空間的局所性を用 いて，送受信点間のみで共有可能な情報を生成し，そ れを暗号鍵などとして使う方法である．基本的には秘 密鍵方式であるので簡易な回路で実現可能であり，鍵 配送などの鍵管理を必要としないので十分な安全性が 実現できるという特徴がある． ところで，従来の一般の暗号技術は「計算量的安全 性」に基づいている．他者が暗号を解読するための計 算時間が，存在する最も高速な方法によって行ったと しても，ばく大で現実的な時間内には実現できないと き，この暗号は“計算量的に安全”であるという．それ に対して，無限の計算資源を使っても破ることができ ない場合には，その暗号は“情報理論的安全性”があ るという[9]．従来の暗号技術の多くは“計算量的安全 性”に基づくものであるが，ここで対象とする電波伝 搬特性を活用した秘密情報の伝送・共有技術は，電波 伝搬路特性というその送受信点位置のみで得ることの できる特異な情報に基づくものであり「情報理論的安 全性」を有する暗号である．したがって，その耐盗聴 性は盗聴者の計算資源に依存しないという特徴がある． 本論文では，このような無線伝搬特性を活用した秘 密情報の伝送・共有技術について述べる．まず，電波 伝搬特性を活用した秘密情報伝送・共有技術の基本原 理について説明する．そして，マルチパスフェージン グ伝搬路の空間相関特性を基礎として，正規の受信局 と盗聴受信局との間の距離と安全に共有される情報と の関係を情報理論分野の情報量の観点から明らかにす る．筆者らはこれまでにこのような考え方に基づく具 体的な秘密鍵共有技術を提案・開発している．その例 を示すとともに，その中で用いた鍵共有実現に必要な フェージング対策，雑音対策技術を紹介する．また， 暗号技術としては，外部からの情報取得の試み（=ア タック）に対する特性を示すことは重要である．情報 処理的手法によるアタックについては別稿に譲るとし， 本論文では対象方式に関する電波伝搬的なアタックに ついて，その実現可能性を示すとともにアタックに対 する耐性を明らかにする．最後にまとめとして，この ような電波伝搬特性を活用した秘密情報の伝送・共有 技術について今後の展望を簡単に述べる．

2.

電波伝搬特性を活用した秘密情報伝送・

共有技術の基本原理

本章では，電波伝搬特性を活用した秘密情報伝送・ 共有技術の基本的原理を説明する．その具体的な例と

して伝搬特性をもとに暗号化の秘密鍵を共有する方式 について説明する． 図2はこのような方式を具体的に実現する構成を概 念的に示している．A及びBの二つの無線局（正規 局）があり，その間はマルチパス伝搬路であると仮定 する．無線局の移動などに伴ってこの伝搬路特性が変 化した場合，それぞれの無線局の受信信号はフェージ ングの影響を受ける．ここで，無線局Aからの送信と 無線局Bからの送信を同じ時間に同じ周波数を用いて 行えば，それぞれの無線局における受信時のフェージ ング，つまり伝搬特性は，同一特性となる．この伝搬 特性をもとにしてディジタル系列などをつくることに より，暗号鍵などの共通する情報を両局で共有するこ とができる．それに対して，異なる地点に位置する他 局（盗聴局）は異なるフェージング特性を受けること になるため，同じ伝搬路情報を得ることができず，最 終的に秘密通信を解読するための暗号鍵を推定するこ とができない．これが，電波伝搬特性を活用した秘密 情報の伝送・共有技術の基本原理である．このような 方法では，あらかじめ鍵を設定する従来方法とは異な り，秘密鍵共有を任意の時点で随時行うことも可能で あり，鍵の更新によりセキュリティを更に向上させる ことができる．また，伝搬路特性から生成した秘密情 報をより複雑な暗号や他の情報秘匿技術の鍵として使 用することにより更に高度なセキュリティを実現する ことも可能である．しかしながら，直感的にも推測さ れるように，フェージング環境における無線信号は高 速かつ大きく特性が変動し，また雑音の影響も大きい と予想される．したがって，このような秘密情報の伝 送・共有を実現するためには，フェージングや雑音に 対する対策技術が必要となる． 図3は周囲一様の方向から電波が到来するレイリー 図 2 電波伝搬特性を活用した秘密鍵共有方式の原理 Fig. 2 Principle of secret-key agreement system

us-ing wireless channel characteristics.

フェージング環境の空間相関特性を示している．信号 強度の相関係数ρA(Δx)は，Δxを空間的な変位とし て，以下のように与えられる[10]∼[12]． ρA(Δx) ≈ [J0(kΔx)]2. (1) ここでkは無線通信周波数における波数（= 2π/λ，λ は波長），J0は第一種0次ベッセル関数である．1/4 波長程度位置が異なると，その相関はかなり小さくな ることが分かる． 例えばフェージング変動から暗号鍵を生成する方法 の一つとして，フェージングによる信号強度変動によっ て生じる信号強度の大小を2値判定し，0及び1の2 値系列を作成する方法がある．図4はこの方法を概念 的に示している．まずフェージング変動の強度分布か らその中央値を求め，その後，フェージング変動する 各時点の信号強度の大小を，中央値をしきい値にして 判定し，0または1に2値化する．これが最も簡単な 無線伝搬特性を用いた秘密情報の伝送・共有技術の一 図 3 周囲一様の方向からマルチパスが到来するレイリー フェージング環境における空間相関特性

Fig. 3 Spatial correlation characteristics in Rayleigh multipath environment where direction of ar-rival is uniformly distributed.

図 4 中央値による 2 値化を行った暗号鍵の生成法 Fig. 4 Binary code generation method by median

図 5 相関値の変化に対する平均一致ビット割合特性 Fig. 5 Average ratio of agreement bit for variation of

spatial correlation. つである．さて，変動特性の相関がρとなる二つのレ イリーフェージングを考え，ここで示したような手法 により2値系列をそれぞれ生成した場合の系列一致特 性をシミュレーションにより求めた．その結果を図5 に示す．横軸は相関ρ，縦軸は生成系列内の平均一致 ビット数の割合である．同図において，相関ρ = 0.5 程度では一致ビット率は無相関の場合（一致率= 0.5） と大差なく，また，たとえρ = 0.9でも一致率は0.8 程度に止まることが分かる．例えば128ビットの暗号 鍵生成を例として考えると，平均して8割程度の一致 率では128ビットすべてが完全に一致する確率はほぼ ゼロである．周囲一様の方向からマルチパスが到来す るレイリーフェージング環境において相関係数が0.9 となる距離は，図3から0.1波長程度である．これは 例えば800 MHzにおいて約4 cm，2.4 GHzにおいて 約1.25 cm，5 GHzにおいて約0.6 cmである．盗聴行 為は一般に被盗聴側からは隠れて行うものであること を考えると，伝搬特性をもとにして生成した暗号鍵を 盗聴することはほぼ不可能であることが分かる．なお， ここで示した検討結果は，フェージング伝搬路におい て，正規の受信局も，盗聴を試みる受信局も，ある一 点で受信したケースを想定している．5.においては， 盗聴局が正規局を上回る受信性能・構成をもつという 前提で，より高性能な盗聴を検討する．

3.

フェージング伝搬路の空間相関と安全に

共有される情報量の関係

2.では電波伝搬特性を用いた秘密情報の伝送・共 有技術について，一例を挙げて簡単に示した．ここで は，情報の量を表す指標である「情報量」[13]を用い て，他者に知られずに正規の無線局間でのみ共有可能 な情報の量について，空間相関及び雑音両方の影響を 含めて議論する． 情報量とは，情報がもつあいまいさであるエントロ ピーをもとにして定義され，単純な場合には情報量は 情報のエントロピーに等しい．つまり，ある事象につ いて，結果を知らない場合にはあいまいさに相当する エントロピーが存在するが，結果を知ることによりあ いまいさは失われエントロピーはゼロになる．このあ いまいさの変化が伝えられた情報量であると定義され ている．また，ある情報Aを知ることにより，別の情 報Bのあいまいさが減少することがある．天気予報を 聞くことにより実際の天気のあいまいさが減少し確実 性が増す，という例が分かりやすい．この減少するあ いまいさは情報Aと情報Bを結び付ける情報量であ り，相互情報量と呼ぶ．ここでは，相互情報量を用い て電波伝搬特性を用いた秘密情報の伝送・共有技術の 共有特性・耐盗聴特性を議論する． 今，二つの事象X及びY があるとし，これらのエ ントロピーをそれぞれH(X)，H(Y )と表す．この場 合の相互情報量I(X; Y )はH(X)及びH(Y )を用い て以下の式で示される． I(X; Y )

=H(X) − H(X|Y ) = H(Y ) − H(Y |X). (2)

ここで，H(X|Y )はY が起こったことを知った上で のX のあいまいさであり，条件付エントロピーと呼 ばれる．H(Y |X)はその逆である．エントロピーと相 互情報量の関係は図6 (a)のように示される．同図で H(X, Y )はXとY を一つのものと見た場合のエン トロピーであり，結合エントロピーと呼ばれる．なお， エントロピー及び相互情報量の概念はもともと離散的 な値をとる系列を想定して考えられたものであるが， アナログ系列に対しても同じ考え方により情報の量を 考えることが体系化されている[13]． 例えば電波伝搬特性を用いた秘密情報の伝送・共有 技術では，雑音の影響を考慮すると， X：ある地点での正確な電波伝搬特性を示す確率 変数 Y：Xに対して雑音の影響のある電波伝搬特性を示 す確率変数 と考えることにより，情報量の考えを用いた共有情報 の定量化が可能となる．更に，盗聴局が，正確な電波 伝搬特性と相関ρがある電波伝搬特性を得ることが できたと仮定し，これを表すために新しい事象Z を

考え， Z：Xに対して相関ρの電波伝搬特性を示す確率 変数 とする．ここで，正規局間は相互に共有できるが盗聴 局は知り得ない情報が，セキュリティ的に安全な共有 情報となる．この関係を模式的に示したものが図6 (b) であり，同図中のI(X; Y |Z)がこれに相当する．この ような情報量を条件付相互情報量と呼ぶ． 以上のX，Y，Zに対して，無線伝搬路を想定した (a)二つの正規局の場合 [13] (b)盗聴局を考慮する場合 図 6 相互情報量とエントロピーの関係 Fig. 6 Relationship between mutual information and

entropy.

図 7 情報量計算の対象とする無線通信構成

Fig. 7 Radio system configuration to consider mutual information.

それぞれの発生確率分布を考えることにより，条件付 相互情報量I(X; Y |Z)を計算することを考える．一般 にこの計算は簡単ではないが，発生確率分布が正規分 布に従う場合には解析的に結果が求まる場合がある． ここでは，上記X，Y，Zの意味をもとにして，以下 のような正規分布に従う確率変数を用いて表現するこ とを考える．

⎧

⎪

⎨

⎪

⎩

X = X Y = X + U Z = ρX +



1− ρ2W (3) ただし， X：平均0，分散σ2 sの正規分布に従う確率変数 U：平均0，分散σ_n2の正規分布に従う確率変数 W：平均0，分散σ_s2の正規分布に従う確率変数 X，U，W はそれぞれ独立 である．これは，例えば，図7に示すような無線通信 構成において，レイリーフェージング伝送路を通過後 の受信信号に対して直交復調を行って出力されるI-ch とQ-chの信号を，秘密情報生成のための信号処理に 用いたケースに相当する．すなわち，XとWは無相 関に変動する二つの受信信号，U は雑音成分であり， X，U，W すべてがそれぞれ独立な正規分布に従う． XとWは受信信号であるので同じ分散（=同じ電力） としている．Zには雑音成分を加えていない．これは， セキュリティ対策の性能評価という観点から，盗聴者 に有利な状況を想定するためである．またSNR（信 号電力対雑音電力比）はσ2 s/σ2nとして与えられる．さ て一般に，電力一定の条件のもとで最大エントロピー を与える分布（=最も情報量の多い分布）は正規分布 である．したがって，正規分布を想定することは，そ のシステムで取得可能な情報量の最大値を与える計算 となる． こ の よ う な 前 提 の も と に ，条 件 付 相 互 情 報 量 I(X; Y |Z)を求めると，以下の結果を得る（計算過 程は付録参照）．

I(X; Y |Z) =1 2log2



1 + (1− ρ2)σ 2 s σ2 n



=1 2log2

1 +

1− ρ2



SNR



, (4) 図8はSNR を 変 化 さ せ た 場 合 の 条 件 付 相 互 情 報 量 の 変 化 を 示 し て い る ．同 図 で は ，各SNR に おいて相関ρを0とした場合の条件付相互情報量

= 1 2log2[1 +SNR]



に対する相対的な情報量の変 化として示している．相対的な条件付相互情報量とは， 完全無相関の場合に，あるSNRにおいてLビットの 安全な（=盗聴局とは独立な）信号系列が得られたと すると，相対的な条件付相互情報量がsであった場合， 安全なビット数がsLビットに減少するという意味と なる．同図では，正規局と盗聴局の間の距離を変化さ せ，それに応じて式(1)を用いて空間相関係数を求め， それを式(4)に代入して結果を得ている． 図8から，盗聴局との距離が大きく（> 2波長）十 分に相関が低いと，得られる最大に近い情報量が正規 局間で共有できることが分かる．この場合は，SNRの 低下に伴っても相互情報量はあまり低下しない．また， 盗聴局が非常に近傍まで接近すると（< 1/16波長）相 関が高くなり，一般に通信に用いられるようなSNR の範囲（例えば10 dB< SNR < 50 dB）では相関が ない場合に比べて半分以下の情報量のみしか安全に共 有できない．その間の間隔範囲ではSNRの変化によ り条件付相互情報量が変化している．この状況では， 図 8 盗聴局の距離及びSNR に対する条件付相互情報量 の変化

Fig. 8 Variation of conditional mutual information on distance to eavesdropper and_SNR.

盗聴局に盗まれる情報はそう多くないが，SNRが小 さい環境では雑音によって減じられる正規局間の情報 量が顕著となり，条件付相互情報量を減少させている．

4.

電波伝搬特性を活用した秘密鍵共有方式

本章では，これまでに説明した電波伝搬特性を活用 して秘密鍵を共有する方式について具体的な例を示す． なお，ここでは，筆者らが開発したものの中から特に 伝搬路のフェージング特性に密接に関連する方式をい くつか選んで紹介するが，これらの方式以外にも，エ スパアンテナを用いた方式[7]，遅延プロファイルを用 いた方法[14]，MIMO-OFDM方式のチャネル行列の 固有値変動に基づく方式[15]，OFDM信号のビット 誤り率による方法[16]，などがある． ここでは具体例を示すことを目的として，方式の構 成例の紹介を主として述べる．その適用範囲や鍵一致 及び耐盗聴性などの性能などについてはそれぞれの文 献を参照されたい．基本的には，適用する対象の無線 通信システムやその使用環境において，取得しやすい 伝搬路情報を利用することが簡易で使いやすい方式の 実現につながると考えられる． 4. 1 OFDM広帯域伝送信号の周波数特性及びそ の時間変動特性を用いた方式[8]

現在無線LANでは無線方式としてOFDM（ Or-thogonal Frequency Division Multiplex：直 交 周 波 数 領 域 多 重 方 式 ）が 用 い ら れ て い る ．例 え ば IEEE802.11a/gシステムでは約20 MHz帯域の広帯 域OFDM信号が用いられている．このような広帯域 伝送では伝搬路は周波数選択性フェージングとなる． この周波数特性を伝搬路情報として用いることが考 えられる．OFDMでは周波数特性のある受信信号を FFT処理するため，一般に受信側で周波数等化が行わ れる．これは送信信号に時間的・周波数的に載せたパイ ロット信号により実現されるが，その情報を用いれば， 秘密鍵生成のための伝搬路情報を容易に得ることが できる．なお，伝送路の周波数特性は時間的には変動 が少ない場合もある．それを補うために，時間的変動 も組み合わせて伝搬路情報を得る．この情報を送受で 共有することが必要であり，本方式ではTDD（Time Division Duplex：時分割複信方式）を想定している． 例えば，屋内環境を想定して遅延スプレッドが約60 ns の三波レイリー遅延モデルを考え，IEEE802.11aの 周波数帯域幅を想定して時間変動する周波数特性を計 算したものが図9である．同図でフェージングの最大

Station A Station B 図 9 時間変動する OFDM 信号の周波数特性

Fig. 9 Time-variant frequency characteristics of OFDM signal.

(a) Station Aにおいて 生成されたビット系列 (b) Station Bにおいて 生成されたビット系列 図 10 OFDM広帯域信号から生成した秘密鍵ビット列 の例

Fig. 10 Example of key sequence generated from OFDM wideband signal.

ドップラー速度は10 Hzとしている．図10は，それ ぞれの正規局A及びBにおいて，このような時変周 波数特性からそれぞれの時間・周波数成分の強度を求 め，それを中央値によりしきい値処理することにより 得た秘密鍵のビット系列である（同図では140ビット の鍵を生成している）．ここではSNRを15 dBと設 定した．図10 (a)及び(b)のビット系列はほぼ一致し ているが，詳細に調べると相違するビットが存在する． これは雑音の影響であり，特に信号強度がしきい値に 近い場合に影響が大きい．図11は，本方式において SNRを変化させた場合の鍵系列不一致率（鍵系列が1 ビット以上誤る場合の割合）を示している．ここでは 128ビットの鍵系列を生成することを想定している．同 図の(a)はここで説明した方式によって生成した鍵系 列そのままを二つの正規局において比較したものであ るが，この場合には雑音などの影響があり128ビット 図 11 SNR を変化させた場合の鍵不一致率特性 Fig. 11 Key disagreement variation when SNR is

changed. 中に誤りが含まれる確率がかなり高い．また，ここで はTDDの送受の時間間隔を1.4 msと仮定している． 最大ドップラーを10 Hzとした比較的低速なフェージ ング環境であるが，この時間間隔の差による影響も存 在する．(b)は，時間的に並ぶ複数信号を用いて補間 することによりこの時間差の補償を行った場合の特性 であり，(a)に比べて特性は改善されている．また(c) は5ビットまでの誤りを訂正可能な誤り訂正符号を適 用した場合，(d)は時間差補償と誤り訂正どちらも用 いた場合の特性である．ここで誤り訂正は，一方の局 で生成した鍵のビット系列に対してシンドロームを計 算して他方に送信し，受信側ではその局内部で作成し たシンドロームとの差分をとることにより訂正を行う

方式を用いている．これは，誤り訂正を行うための情 報により，他者が秘密情報を得ることを防ぐための手 法である．図11より，これらの誤り補償方法を適用 することにより，鍵不一致率を大きく低減できること が分かる．例えば(d)の方式では，SNR > 15 dBと なる現実に近い通信環境において，所望の秘密鍵共有 が実現できることが分かる． 4. 2 複数アンテナの受信信号強度差を用いた方 式[17] フェージングの変動特性をもとにして秘密情報を生 成することにより，他者に知り得ない情報を正規局間 のみで共有可能であることは冒頭に述べた．ただし， フェージング変動の速度が小さく，ほとんど変動がな い場合には生成された鍵は極めて単調なものになり， 推測・盗聴される可能性が大きくなる．特に無線LAN などの室内用システムへの適用を想定する際には大 きな問題となる．このような問題に対して，例えば指 向性制御が可能なエスパアンテナを用いて人為的に フェージングを発生させランダムな系列を生成する方 式が提案されている[7]．ここではアンテナ切換と強度 比較によって低速フェージング環境でもランダムな鍵 を生成可能な秘密鍵共有方式について紹介する． 図12はこの方式の動作を概念的に示している．基 地局側などで複数アンテナ構成をもつ無線局Aと，単 一アンテナの無線局Bが対向しているとする．前節の 方式同様，ここでもTDDなどで，送受の間で同じ伝 搬路特性が得られるものとする． 本方式の動作は，図に示したように，複数アンテナ 構成側で，アンテナを切り換えて送信・受信を行うも 図 12 アンテナ切換による秘密鍵共有方式 Fig. 12 Secret key agreement system by antenna

switching. のである．そして，アンテナ1・2それぞれから受信し た信号の大小比較をそれぞれの無線局において行い， その大小にしたがって0または1のビットを生成する． 伝搬路特性が同一とみなせる場合にはこの大小比較結 果は無線局A及びBで同一となり，秘密のビット系 列を共有可能である．それに対して，他の地点に位置 し伝搬路特性が異なる盗聴局では，同じ操作を行った としても大小比較から同じ結果は得られない． 4. 3 UWB信号のピーク検出を用いた方法[18]

UWB (Ultra Wide-Band)の一方式としてImpulse Radio型の方式が検討されている．この方式では，非 常に短い時間幅の信号により通信が行われる．この短 いパルスの特性を活用すると，伝搬路のインパルス応 答を容易に求めることが可能である．このインパルス 応答を，秘密鍵共有のための共有伝搬路情報として用 いることを考える． 図13はこのようなUWB方式によって測定される インパルス応答の例を示すシミュレーション結果であ る．複数の遅延ピークが得られており，これを正規局 間で共有される伝搬路情報として用いる．例えば，検 出される複数のインパルス応答のピークから強度の大 きい順に3ピークを選択し，その間の遅延時間差を2 値系列に変換する，という方法を考える．シミュレー ションによる定量的な検討の結果，インパルス応答の ピーク間時間差などをそのまま2値化して用いた場合， 特に複数ピークが近接する場合などに鍵の不一致が多 く発生することが分かった．これに対して以下のよう な対策を施している．まず一方で強度の大きな順に3 図 13 UWB信号によって測定されるインパルス応答の例 Fig. 13 Example of impulse response detected by

図 14 SNR を変化させた場合の鍵不一致率特性 Fig. 14 Key disagreement performance whenSNR is

changed. ピークを選択してそれをもとに鍵系列を生成し，シン ドロームパターンに変換して他方に送信する．その情 報を受信した局では，大きなピークから五つのピーク を選択し，その中のすべての三つの組合せについてシ ンドロームパターンを生成し，送信されてきたパター ンと比較する．そして，最も一致度の高いパターン を選択する．図14は128ビットの鍵系列生成を想定 した場合のSNR変化に対する鍵系列不一致率特性を 示したものである．同図において既存方式(Existing method)とは両局において最大3ピークを検出し鍵系 列共有を行うものであり，それに対して片方で5ピー クを検出する上記の方式(Proposed method)は特性 が改善されている．また，同図にはそれぞれの方式を 3ビットまでの誤り訂正符号を組み合わせた場合の特 性を示している．鍵全ビット数である128に対して訂 正可能数は3とわずかであるが，鍵一致が失敗する際 の誤りビット数は少ない場合が多く，3ビットの訂正 能力でも十分に効果が得られる．

5.

他地点の伝搬特性の推定：秘密鍵共有方

式に対する電波伝搬的なアタック

2.及び3.では，正規局からある距離だけ離れた一 地点における受信信号を用いて，正規局間で共有され る信号系列を盗聴した場合の特性について述べた．さ て，それ以上の距離では伝搬特性の推定=盗聴は不可 能なのであろうか．盗聴局の受信性能・機能が正規局 と同等以下に限定される場合には答は「不可能」と考 えられるが，盗聴者がより性能・機能の高い受信機を もつ場合には実現の可能性がある．例えば複数地点の 受信信号を同時に受信するような方法などの場合には， 空間相関係数が小さくなるような環境でも推定対象と 図 15 伝搬特性推定システムモデル Fig. 15 System model for estimation of propagation

characteristics. する正規局位置での伝搬特性を推定することが可能と なる．本章ではそのような方式，つまり，電波伝搬特 性を活用した秘密鍵共有方式に対する電波伝搬的なア タックについて，一つの具体的な方法を示すとともに， その推定性能について述べる． ここでは二次元環境を考え，推定対象とする正規局 位置を中心とする円周（これをここでは観測円と呼ぶ， その半径をRとする）上に，等角度間隔でN個の観 測点Pn(n = 0 ∼ N − 1)をおくことを考え，それら の地点で推定対象局が受信するタイミングと同時に信 号を受信するものと考える．この構成を図15に示す． 推定方法としては各種の方式が考えられるが，ここで は簡単な方式として，パスの到来方向について仮想的な 角度を考え，Pnにおける観測信号Zn(n = 0 ∼ N −1) を用いて推定対象位置におけるそのパスの振幅・位 相を推定する．そしてその仮想パスをすべての方向 に対して計算し，推定対象位置における各パスの振 幅・位相を合計する，という方法を考える．m番目 （m = 0 ∼ M − 1，M：総仮想パス数）の仮想的なパ スの到来角度をδmとすると，推定対象地点からのPn の角度方向をγnと表して，Znから推定される推定 対象位置における信号はZnexp(−jkR cos(δm− γn)) となる．更にすべての観測点についてこの値を平均す ることにより，このパスに対する推定対象位置におけ る推定信号Xˆmが以下のように得られる． ˆ Xm= 1 N N−1

_

n=0 Znexp (−jkR cos(δm− γn)) (5)

このような計算方法は電波干渉計の考え方[19]に類 似する．本論文ではパスの仮想到来角度について，全 方向をM分割し，δm= 2πm/Mとする．そして，す べてのmについて計算したXˆmを平均し，推定対象 地点における推定受信信号Xˆを得る． ˆ X = _M1 M−1

_

m=0 ˆ Xm (6) なお，電波伝搬特性を活用した秘密鍵共有方式の多 くの方式では，鍵生成に用いる情報は受信信号の振幅 の絶対値ではなくその変動特性である．したがって， ここでは振幅の変動特性のみに議論を絞ることとする． このような方式の推定性能をシミュレーション結果 により示す．計算のためにはマルチパスのモデルが必 要となるが，ここでは以下の二つのケースを考える． なお，上記のとおり二次元環境を前提とする． （1） 複数平面波が到来するモデル 等振幅の平面波が，全周囲ランダムな方向から到来 する．推定対象地点における受信位相もランダムとす る．各パスの到来方向及び受信位相はすべて独立であ る．到来波数は5とする． （2） レイトレーシングモデル 屋内環境を想定して壁からの反射波をレイトレーシ ングによってモデル化し，各地点における伝搬路特性 をそれぞれのレイの和として個々に求める．什器のな い部屋を想定したため，レイは反射によるものだけで ある．反射回数は5回まで考慮する． まず（1）のモデルで考える．図16は観測円半径 を4波長，仮想到来方向分割数を1000とした場合 の，(a)N = 20と(b)N = 40の推定結果を示して いる．両図には，推定特性(Estimated)，実際の特性 (Actual)に加えて，両者の比(Estimated/Actual)も 示している．横軸は異なるフェージング環境の試行数 である．(a)では比の値は変動しておりフェージング 変動の推定は実現できていないが，(b)では比が一定 の値となっており，フェージング変動が正しく推定で きていることが分かる．4波長離れた位置では空間相 関係数は小さくなりフェージングはほぼ無相関となる が，このような方法を用いると空間相関が十分に小さ い遠距離からも伝搬路特性推定が可能であることが分 かる．ただし，図16のこの結果から，離れた地点か らフェージング変動の推定を行うためには，ある程度 以上の観測点数が必要であると推測される． 次に，推定の各種パラメータと推定精度との関係に (a)N = 20 (b)_{N = 40} 図 16 推定信号と実際の信号の信号強度変動比較 Fig. 16 Fluctuations of estimated and actual

re-ceived signals. ついて示す．ここでは推定精度を定量化するために， 推定されたフェージング変動と実際のフェージング変 動との相互相関係数を計算し，この値を推定精度の指 標とする．例えば図16 (b)は相関係数がほぼ1である が，(a)は1よりも小さい．図17及び図18は，観測 点数N及び観測円半径Rを変化させた場合の相関値 の変化をそれぞれ示している．フェージング変動推定 に対して，最小観測点数（観測円半径が一定の場合） 及び最大観測円半径（観測点数が一定の場合）にそれ ぞれ限界が存在することが分かる．図19は観測点数 を変化させた場合に推定を実現する最大の観測円半径 の変化を示したものである．推定実現の可否は相関係 数の値についてしきい値0.99999を用いて判断してい る（なおこの環境では，しきい値の値を例えば0.99と してもほぼ同じ結果が得られた）．同図から，両者の 関係はほぼ比例であることが分かる．この結果から，

この伝搬モデルにおいては，観測点数を増やすことが できれば，目的地点から遠く離れた地点でも推定は実 現できることになる． なお，ここで示した特性は雑音がない盗聴者にとっ て理想的な環境を想定して得たものである．例えば図 18のようにある観測円半径を超えると急激に推定特 性が劣化する結果となっているが，実際の環境では雑 音の影響により，観測円半径の増加に伴って徐々に推 定特性が劣化する．また，式(6)で与えられる推定値 の絶対値は，観測円半径の増加に伴って単調に変化す るのではなく，振動的に減少していくという結果が得 られている．このような場合にある程度の大きさの雑 音が存在すれば，図18に示す推定特性も振動的に劣 化していく．ここではセキュリティ検討という観点か ら盗聴者にとって理想的な環境（=雑音のない環境） を想定するが，雑音などが存在するような現実的な環 境における推定特性については今後より詳細なシミュ レーションや理論検討が必要である． 次に（2）のレイトレーシングモデルを用いて同様 図 17 観測点数を変化させた場合の推定特性 Fig. 17 Estimation characteristics when number of

observation points is changed.

図 18 観測円の半径を変化させた場合の推定特性 Fig. 18 Estimation characteristics when radius of

ob-servation circle is changed.

の計算を行う．20 m× 20 mの什器のない部屋を想定 し，二次元のレイトレーシングを行って推定対象地点， 観測地点の個々の受信信号特性を計算した．その受信 信号を用いて，モデル（1）と同様のフェージング推 定を行った．その結果を図20に示す．モデル（1）の 場合とは異なり，いくら観測点数を増加させたとして も推定可能観測円半径が頭打ちとなる上限値があるこ とが分かる．また，その値はしきい値とする相関値に 依存しておりモデル（1）の結果とは異なる．これは， モデル（1）の平面波モデルでは電波が進行しても減 衰しないが，レイトレーシングモデルでは球面波的な 減衰を伴うので，同じパスでも位置により振幅が異な ることが原因である．実際の環境はレイトレーシング に近いので，モデル（2）の方がより現実に近いとい える．例えば盗聴に必要な相関係数を0.99と考える と，推定可能な最大半径は5波長以下である．これは 2.4 GHzでは約30 cmにあたる距離であり，そのよう な近傍で盗聴行為をすることは現実にはできない．更 に，ここでは二次元の簡易シミュレーションであった 図 19 観測点数と観測円半径の関係 Fig. 19 Maximum normalized radius when number of

observation points is changed.

図 20 レイトレーシングモデルにおける推定特性 Fig. 20 Estimation characteristics in ray-tracing

が，三次元などの更に現実的な伝搬モデルを考えると， この距離は更に小さくなると考えられる．以上をまと めると，例えば複数地点で同時受信を行うことなどに より，空間相関距離よりも離れた地点からのフェージ ング推定は可能であるが，現実的な環境を考えると推 定可能範囲は大きくなく，盗聴が問題となる距離では ないといえる．また，雑音なども考慮すると，推定可 能範囲は更に小さくなると考えられる．なお，より現 実的な環境における定量的な特性や，パラメータ依存 性への詳細な検討，より精度の高い推定法の検討，な どは今後の課題である．

6.

む す び

本論文では，電波伝搬特性を活用した秘密情報の伝 送・共有技術について述べた．この方法は無線伝搬路 の可逆性・局所性を活用して，二つの正規局以外の第 三者には知り得ない情報を，それぞれ個別に共有する ものである．例えば，この情報を，暗号化通信の暗号 鍵として用いることにより，秘密情報を安全に伝送す ることができる． 本論文では，秘密鍵共有に重点を置いて議論を進め たが，電波伝搬特性を活用した秘密情報伝送・共有技 術としては，ほかにも， • 無線伝搬路の不規則なフェージング変動をもと に，正規局の受信特性（ビット誤り率特性）と他者の 受信特性に差をつけることにより，秘密通信を実現す る方式[20] • 無線伝送信号に秘密データを隠匿し，フェージ ング変動を用いて正規局のみに対して復調可能とする とともに，他者には秘匿データの存在自体も認識でき ない秘密通信技術（これは情報処理におけるステガノ グラフィ技術の無線版と考えることができる）[21] などの検討が進められている．これらの方式は，無線 伝搬路の特異性という情報を用いて秘密通信を実現 するものであり，他の暗号技術に比べて複雑な処理を 必要としないという利点がある．その観点でも，今後 のユビキタスネットワークとの親和性は高いと考えら れる．また，無線伝搬路の情報によって生成した秘密 情報を，従来研究が進められている秘密・暗号技術の 「種」として用いることで，更に高度な秘密・秘匿技術 が実現される可能性もあり，今後の発展が期待できる． 文 献

[1] M. Weiser, “Hot topics: Ubiquitous computing,” Computer, pp.71–72, Oct. 1993.

[2] 森川博之，南 正輝，“実空間指向ユビキタスネットワー ク，”信学論（B），vol.J88-B, no.11, pp.2137–2146, Nov. 2005.

[3] 山田茂樹，上岡英史，“ユビキタスコンピューティング；ネッ トワークとアプリケーション，”信学論（B），vol.J86-B, no.6, pp.863–875, June 2003.

[4] 岡本龍明，山本博資，現代暗号，産業図書，1997. [5] W. Diffie and M.E. Hellman, “New directions in

cryp-tography,” IEEE Trans. Inf. Theory, vol.IT-22, no.6, pp.644–654, Nov. 1976.

[6] J.E. Hershey, A.A. Hassan, and R. Yarlagadda, “Un-conventional cryptographic keying variable manage-ment,” IEEE Trans. Commun., vol.43, no.1, pp.3–6, Jan. 1995.

[7] T. Aono, K. Higuchi, T. Ohira, B. Komiyama, and H. Sasaoka, “Wireless secret key generation exploiting reactance-domain scalar response of multipath fading channels,” IEEE Trans. Antennas Propag., vol.53, no.11, pp.3776–3784, Nov. 2005.

[8] 北浦明人，笹岡秀一，“陸 上移動通信における OFDM の伝送路特性に基づく秘密鍵共有方式，”信学論（A）， vol.J87-A, no.10, pp.1320–1328, Oct. 2004.

[9] 岡本栄司，暗号理論入門，共立出版，2002.

[10] W.C. Jakes, Microwave mobile communications, John Wiley & Sons, 1974.

[11] Y. Karasawa and H. Iwai, “Modeling of signal enve-lope correlation on line-of-sight fading with applica-tions to frequency correlation analysis,” IEEE Trans. Commun., vol.42, no.6, pp.2201–2203, June 1994. [12] 唐沢好男，ディジタル移動通信の電波伝搬基礎，コロナ社， 2003. [13] 今井秀樹，情報理論，昭晃堂，1984. [14] 本多 真，原田博司，藤瀬雅行，“伝搬路特性を生成源と する暗号鍵生成手法，”ソフトウェア無線研資，SR02-04, April 2002. [15] 小川佳彦，笹岡秀一，今井友裕，湯田泰明，三好憲一， 本間光一，“送受両側で位相制御を行った MIMO-OFDM システムにおけるチャネル行列の固有値変 動に基づく 秘密鍵共有方式の検討，”信学論（B），vol.J88-B, no.9, pp.1789–1800, Sept. 2005.

[16] T. Kitano, A. Kitaura, H. Iwai, and H. Sasaoka, “A private key agreement scheme based on fluctuations of BER in wireless communications,” Proc. 8th In-ternational Conference on Advanced Communication Technology (ICACT 2007), 8B, pp.1495–1499, 2007. [17] 北浦明人，岩井誠人，笹岡秀一，“陸上移動通信における アンテナ切換による受信信号強度変化を利用した秘密鍵 共有方式，”信学論（B），vol.J90-B, no.3, pp.315–317, March 2007.

[18] A. Kitaura, T. Sumi, K. Tachibana, H. Iwai, and H. Sasaoka, “A scheme of private key agreement based on delay profiles in the UWB system,” Proc. 2006 IEEE Sarnoff Symposium, S11, March 2006. [19] 井口 聖，川口則幸，“超長基線干渉計 (VLBI) におけ

pp.420–426, March 1999. [20] 角 武憲，岩井誠人，笹岡秀一，“移動通信のフェージン グ変動に基づく秘密通信方式，”信学技報，A·P2006-113, Jan. 2007. [21] 北野隆康，岩井誠人，笹岡秀一，“ディジタル移動通信に おけるプレディストーション SS 信号の埋め込みによる無 線ステガノグラフィ方式の提案，”信学技報，IT2006-83, March 2007.

付

録

条件付相互情報量の導出

⎧

⎪

⎨

⎪

⎩

X = X Y = X + U Z = ρX +



1− ρ2W (A·1) ただし， X：平均0，分散σ2 sの正規分布に従う確率変数 U：平均0，分散σ_n2の正規分布に従う確率変数 W：平均0，分散σ_s2の正規分布に従う確率変数 X，U，W はそれぞれ独立 とする．図6 (b)におけるI(X; Y |Z)は， I(X; Y |Z) = H(X, Y ) + H(Y, Z) − H(Z) − H(X, Y, Z), (A·2) と与えられる．以降，右辺のそれぞれの項について順 に求める． まずH(X, Y )について計算する．X，U，W がそ れぞれ独立な正規分布に従うことから[13]， H(X) = log2



2πeσ2 s H(Z) = log2



2πe (ρ2σ2 s+ (1− ρ2)σ2s) = log₂



2πeσ2 s, (A·3) ここで， H(Z|X) = log2



2πe(1 − ρ2₎σ2 s, (A·4) であるので， H(X, Z) =H(X) + H(Z|X) = log₂



2πeσ2 s+ log₂



2πe(1 − ρ2₎σ2 s = log₂



(2πe)2₍₁− ρ2₎σ4 s. (A·5) 次にH(Y, Z)を求める． H(Y ) = log2



2πe (σ2 s+σn2), (A·6) であり， H(Y, Z) = H(Z) + H(Y |Z) =H(Y ) + H(Z|Y ), (A·7) であるので，H(Y |Z)（またはH(Z|Y )）を求めるこ とを考える．ZとZは完全従属であることを考慮す ると，任意の値をもつαについて， H(Y |Z) = H(Y − αZ|Z), (A·8) が成り立つ．ここでS = Y − αZとおいて，S とZ が独立になるようにαを求めることを考える．すな わち， SZ = (Y − αZ) Z = 0, (A·9) これを解いてαを求めると， α = ρ, (A·10) を得る．ここでSとZは独立であるので， H(Y |Z) =H(Y − αZ|Z)=H(S|Z) = H(S). (A·11) 式(A·10)を用いてH(S)を計算すると，以下の結 果を得る． H(S) = log2



2πe ((1 − ρ2₎σ2 s+σ2 n), (A·12) 以上よりH(Y, Z)が求まり H(Y, Z) =H(Z) + H(Y |Z) = log₂



2πeσ2 s+ log2



2πe ((1−ρ2₎σ2 s+σ2n) = log₂



(2πe)2σ2 s((1−ρ2₎σ2 s+σ2 n). (A·13) 最後にH(X, Y, Z)を求める．まず， H(X, Y, Z) = H(X, Y ) + H(Z|X, Y ), (A·14) である．H(X, Y )は， H(X, Y ) = H(X) + H(Y |X)

= log₂



2πeσ2_{s+ log} 2



2πeσ2_n = log₂



(2πe)2σ2 sσ2n, (A·15) である．次にH(Z|X, Y )について考える．ここでも H(S)を用いてH(Y |Z)を求めた方法と同様の方法を

用いる．すなわち，β及びγを任意の値として， H(Z|X, Y ) = H(Z − βX − γY |X, Y ) =H (T |X, Y ) (T ≡ Z − βX − γY ), (A·16) とおき，Sの場合と同様に， T X = (Z − βX − γY ) X = 0 T Y = (Z − βX − γY ) Y = 0, (A·17) を満たすように，β，γを決定する．式(A・17)の計 算の結果， β = ρ, γ = 0 (A·18) を得る．その結果， H(Z|X, Y ) = H(T |X, Y ) = H(T ) = log₂



2πe (1 − ρ2_)σ2 s, (A·19) となる．これを用いてH(X, Y, Z)を計算すると， H(X, Y, Z) =H(X, Y ) + H(Z|X, Y ) = log₂



(2πe)2σ2 sσn2+ log₂



2πe(1 − ρ2₎σ2 s = log₂



(2πe)3(1− ρ2₎σ4 sσ2n. (A·20) 以上をまとめて，以下のI(X; Y |Z)を得る． I(X; Y |Z) = 1 2log2



1 + (1− ρ2)σ 2 s σ2 n



=1 2log2

1 + (1− ρ2)SNR



,



SNR ≡ σ2s σ2 n



. (A·21) （平成 19 年 1 月 22 日受付，4 月 17 日再受付） 岩井 誠人 （正員） 昭 62 京大・工・電気 II 卒．平元同大大 学院修士課程了．同年国際電信電話（株） （KDD，現 KDDI（株））入社．衛星通信・ 陸上移動通信におけるアンテナ・伝搬及 び無線伝送方式，ソフトウェア無線の研究 に従事．平 8 米国 University of Califor-nia, San Diego (UCSD) Visiting Scholar．平 11 トヨタ自 動車株式会社，米国 Telcordia Technologies 社 Visiting Re-searcher．平 13（株）トヨタ IT 開発センター．平 15 国際電 気通信基礎技術研究所 (ATR) 適応コミュニケーション研究所． 平 16 同志社大・工・助教授．無線通信における電波伝搬，ソ フトウェア無線，アドホックネットワークに関する研究に従事． 情報学博士．IEEE 会員． 笹岡 秀一 （正員） 昭 46 京都工繊大・工・電気卒，昭 48 京 大大学院修士課程了．同年郵政省電波研究 所（現，独立行政法人情報通信研究機構） 入所．衛星通信方式，陸上移動通信の研究 に従事．平 10 大阪電通大・工・教授．平 12同志社大・工・教授．次世代陸上移動通 信システム，ディジタル無線通信方式，変復調・符号化の研究 に従事．工博．IEEE 会員．