知財求人 - 知財ポータルサイト「IP Force」
特許6096327ユーザデバイスとサーバとの間の通信を準備する方法およびシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6096327
(24)【登録日】2017年2月24日
(45)【発行日】2017年3月15日
(54)【発明の名称】ユーザデバイスとサーバとの間の通信を準備する方法およびシステム
(51)【国際特許分類】
H04L 9/08 20060101AFI20170306BHJP
H04L 9/32 20060101ALI20170306BHJP
G06F 21/44 20130101ALI20170306BHJP
【FI】
H04L9/00 601C
H04L9/00 675B
G06F21/44
【請求項の数】10
【全頁数】13
(21)【出願番号】特願2015-560720(P2015-560720)
(86)(22)【出願日】2014年3月10日
(65)【公表番号】特表2016-513899(P2016-513899A)
(43)【公表日】2016年5月16日
(86)【国際出願番号】EP2014054607
(87)【国際公開番号】WO2014135707
(87)【国際公開日】20140912
【審査請求日】2015年9月7日
(31)【優先権主張番号】13158289.2
(32)【優先日】2013年3月8日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】508342183
【氏名又は名称】エヌイーシー ヨーロッパ リミテッド
【氏名又は名称原語表記】NEC EUROPE LTD.
(74)【代理人】
【識別番号】100097157
【弁理士】
【氏名又は名称】桂木 雄二
(72)【発明者】
【氏名】カラメ、ガッサン
(72)【発明者】
【氏名】ジラオ、ジョアオ
(72)【発明者】
【氏名】ドブレ、ダン
【審査官】
宮司 卓佳
(56)【参考文献】
【文献】
特表2009−530887(JP,A)
【文献】
特開2011−198317(JP,A)
【文献】
米国特許出願公開第2005/0149740(US,A1)
【文献】
特開2007−234030(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
G06F 21/44
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
ユーザデバイスとサーバとの間の通信を準備する方法において、前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能であり、鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能であり、
a)セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送るステップと、
b)前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行するステップと、
c)前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成するステップと、
d)前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを前記サーバに保存するステップと、
e)所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るステップと、
f)前記セキュア要素が、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するステップと、
g)前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するステップと
を備え、
前記ユーザデバイスが、前記ステップc)で生成された署名付きレスポンスを用いてセッション鍵の形態でセキュア情報を生成し、前記サーバが、前記保存された署名付きレスポンスおよび前記レスポンス情報に基づいてセッション鍵の形態でセキュア情報を生成し、これがステップg)による照合のために使用され、
前記セッション鍵が、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスに基づいて計算される
ことを特徴とする、ユーザデバイスとサーバとの間の通信を準備する方法。
a)セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送るステップと、
b)前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行するステップと、
c)前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成するステップと、
d)前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを前記サーバに保存するステップと、
e)所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るステップと、
f)前記セキュア要素が、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するステップと、
g)前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するステップと
を備え、
前記ユーザデバイスが、前記ステップc)で生成された署名付きレスポンスを用いてセッション鍵の形態でセキュア情報を生成し、前記サーバが、前記保存された署名付きレスポンスおよび前記レスポンス情報に基づいてセッション鍵の形態でセキュア情報を生成し、これがステップg)による照合のために使用され、
前記セッション鍵が、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスに基づいて計算される
ことを特徴とする、ユーザデバイスとサーバとの間の通信を準備する方法。
【請求項2】
前記生成されたレスポンス情報が前記サーバに提供され、前記照合が、前記保存された署名付きレスポンスおよびステップf)の前記生成されたレスポンス情報を用いて直接に実行され、一致した場合、前記ユーザデバイスは、前記サーバとの通信について認証されることを特徴とする請求項1に記載の方法。
【請求項3】
前記1つ以上の署名付きレスポンスを生成するため、および/または、セッション鍵を計算するためのカウンタ情報がステップc)に含められることを特徴とする請求項1または2に記載の方法。
【請求項4】
カウンタ情報が、前記ユーザデバイスおよび/または前記サーバによって確立されたセッションの数に対するカウンタを示すことを特徴とする請求項3に記載の方法。
【請求項5】
前記サーバ情報を提供するために暗号学的ハッシュ関数が使用されることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
ステップc)を実行するための決定的アルゴリズムとしてGSM−A3アルゴリズムが使用され、および/または、前記セキュア要素内に保存された鍵情報を用いずにセッション鍵を生成するための決定的アルゴリズムとしてGSM−A8アルゴリズムが使用されることを特徴とする請求項1ないし5のいずれか1項に記載の方法。
【請求項7】
チャレンジ送信後にステップf)による正しいレスポンスを提供する時間が測定され、該測定された時間に基づいて、ステップg)が実行されるか、または、実行されないことを特徴とする請求項1ないし6のいずれか1項に記載の方法。
【請求項8】
前記カウンタ情報が、所定のセッションの数に対してチェックされることを特徴とする請求項3に記載の方法。
【請求項9】
ステップa)による前記1つ以上のチャレンジが128ビット以上のチャレンジであることを特徴とする請求項1ないし8のいずれか1項に記載の方法。
【請求項10】
ユーザデバイスとサーバとの間の通信を準備するシステムにおいて、前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能であり、鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能であり、
前記サーバが、セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送り、前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを保存し、所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るように動作可能であり、
前記セキュア要素が、前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行し、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成し、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するように動作可能であり、
前記サーバおよび/または前記ユーザデバイスが、前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するように動作可能であり、
前記ユーザデバイスが、前記生成された署名付きレスポンスを用いてセッション鍵の形態でセキュア情報を生成し、前記サーバが、前記保存された署名付きレスポンスおよび前記レスポンス情報に基づいてセッション鍵の形態でセキュア情報を生成し、これが前記照合のために使用され、
前記セッション鍵が、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスに基づいて計算される
ことを特徴とする、ユーザデバイスとサーバとの間の通信を準備するシステム。
前記サーバが、セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送り、前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを保存し、所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るように動作可能であり、
前記セキュア要素が、前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行し、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成し、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するように動作可能であり、
前記サーバおよび/または前記ユーザデバイスが、前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するように動作可能であり、
前記ユーザデバイスが、前記生成された署名付きレスポンスを用いてセッション鍵の形態でセキュア情報を生成し、前記サーバが、前記保存された署名付きレスポンスおよび前記レスポンス情報に基づいてセッション鍵の形態でセキュア情報を生成し、これが前記照合のために使用され、
前記セッション鍵が、前記セキュア要素内に保存された鍵情報を前記サーバが明示的に知ることなしに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスに基づいて計算される
ことを特徴とする、ユーザデバイスとサーバとの間の通信を準備するシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザデバイスとサーバとの間の通信を準備する方法に関する。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能である。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
【0002】
また、本発明は、ユーザデバイスとサーバとの間の通信を準備するシステムに関する。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能であり、好ましくは請求項1ないし11のいずれか1項に記載の方法を実行する。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
【0003】
本発明は、一般に1つ以上の決定的アルゴリズムを提供するセキュア要素に適用可能であるが、以下ではSIMカードに関して説明する。
【背景技術】
【0004】
最近、会社や企業では、従業員が仕事のために自分のタブレット、ラップトップコンピュータ、あるいはスマートフォン等のデバイスを持ち込むことを許容する傾向がある。その理由は、例えば、会社は各従業員用に会社のラップトップコンピュータを提供する必要がなければコストが削減されるからである。別の理由は、例えば、従業員は自分で自分のデバイスを選択できたほうがよいからである。しかしこれにより、大企業および中小企業のいずれにおいても、「外部」あるいは「外来」のデバイスが大幅に増加することになる。デバイスは依然としてその従業員の所有であるが、企業は、自らのセキュリティポリシーを施行し、危険にさらされたデバイスに関する責任を低減するように注意しなければならない。したがって、企業のセキュリティポリシーを施行する際には、従業員の個人データ、個人ポリシーや、自己のデバイスを変更したりその機能を制限したりすることへの従業員の抵抗を考慮に入れる必要がある。
【0005】
上記の問題を解決してモバイルデバイスに保存された機密情報の秘密を保護するためには、スマートカード、SIMカード、TMPチップ等のセキュア要素(セキュリティ保護された要素)が使用される。これについては、非特許文献1〜7を参照されたい。
【0006】
上記の非特許文献5では、NFC無線インタフェースを用いたユーザ認証のためにSIMカードが使用されている。NFCインタフェースは、暗号鍵を転送するために使用され、SIMカードは、SIMカードにマスタ暗号鍵を保存するために使用される。次の初期セキュリティ設定を実行する必要がある。すなわち、マスタ鍵をSIMカードに保存しなければならない。また、この鍵は、アイデンティティ管理者のデータベースに登録しなければならない。
【0007】
しかし、一般に、これらのセキュア要素に依拠することにより、企業は、自己の要素に保存されたすべての情報を管理し、それらのセキュリティ鍵にアクセスできる必要がある。これは通常、企業がこれらのセキュア要素を用意することを必要とする。
【0008】
したがって、欠点の1つとして、複数の現実的な状況においてはこの仮定を満たせないことがある。例えば、企業は、機密情報を保存するためにSIMカードに依拠したい場合には、SIMカード内に保存されている鍵にアクセスするために、対応するモバイル事業者と協力するか、または、自らSIMカードを用意する必要があるが、これは多大な管理の手間とコストがかかる。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】"Bootstrapping Trust in Commodity Computers", B. Parno, J.M. Mc Cune, A. Perrig IEEE S&P 2010
【非特許文献2】"OSLO: Improving the security of Trusted Computing", Bernhard Kauer
【非特許文献3】Trusted Computing Group http://www.trustedcomputinggroup.org
【非特許文献4】IBM 4758 Basic Services Manual: http://www-03.ibm.com/security/cryptocards/pdfs/IBM_4758_Basic_Services_Manual_Release_2_54.pdf
【非特許文献5】Kalman, G., Noll, J., UniK, K.: SIM as secure key storage in communication networks. In: International Conference on Wireless and Mobile Communications (ICWMC) (2007)
【非特許文献6】Noll, J., Lopez Calvet, J.C., Myksvoll, K.: Admittance services through mobile phone short messages. In: International Multi-Conference on Computing in the Global Information Technology. pp. 77-82. IEEE Computer Society, Washington, DC, USA (2006)
【非特許文献7】Mantoro, T., Milisic, A.: Smart card authentication for Internet applications using NFC enabled phone. In: International Conference on Information and Communication Technology for the Muslim World (ICT4M) (2010)
【発明の概要】
【発明が解決しようとする課題】
【0010】
したがって、本発明の目的は、セキュア要素内に保存された鍵等のセキュア情報の知識なしに、既存のセキュア要素のセキュア機能を利用する方法およびシステムを提供することである。
【0011】
本発明のもう1つの目的は、ユーザが自分のデバイスを持ち込むことができる状況において、ブートストラップ認証を可能にする方法およびシステムを提供することである。
【0012】
本発明のもう1つの目的は、認証中に起こり得る攻撃を効果的に検出することが可能な方法およびシステムを提供することである。
【0013】
本発明のもう1つの目的は、従来の方法およびシステムにおいて容易に実施可能な方法およびシステムを提供することである。
【課題を解決するための手段】
【0014】
上記の目的は、請求項1の方法および請求項12のシステムによって達成される。
【0015】
請求項1において、ユーザデバイスとサーバとの間の通信を準備する方法が提供される。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能である。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
【0016】
請求項1によれば、該方法は、a)セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送るステップと、
b)前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行するステップと、
c)前記セキュア要素内に保存された鍵情報を用いずに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成するステップと、
d)前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを前記サーバに保存するステップと、
e)所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るステップと、
f)前記セキュア要素が、前記セキュア要素内に保存された鍵情報を用いずに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するステップと、
g)前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するステップと
を備えたことを特徴とする。
【0017】
請求項12において、ユーザデバイスとサーバとの間の通信を準備するシステムが提供される。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能であり、好ましくは請求項1ないし11のいずれか1項に記載の方法を実行する。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
【0018】
請求項12によれば、該システムは、前記サーバが、セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送り、前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを保存し、所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るように動作可能であり、
前記セキュア要素が、前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行し、前記セキュア要素内に保存された鍵情報を用いずに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成し、前記セキュア要素内に保存された鍵情報を用いずに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するように動作可能であり、
前記サーバおよび/または前記ユーザデバイスが、前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するように動作可能である
ことを特徴とする。
【0019】
本発明によって認識されたこととして、特に、従来のSIMカードのセキュアな機能を、SIMカード内に保存された鍵の知識なしに、利用することができる。
【0020】
また、本発明によって認識されたこととして、ユーザデバイス内に保存された鍵へのアクセスを必要とせずに、セキュア要素の一方向認証プロセスを利用して、ユーザデバイスとの相互認証を行うことができる。
【0021】
また、本発明によって認識されたこととして、企業は、例えば従業員が電子メールを読んだりバーチャルプライベートネットワークにアクセスしたりするために、従業員のユーザデバイスとセキュアに通信を行うことが可能となる。
【0022】
また、本発明によって認識されたこととして、モバイルデバイスの使用は妨げられず、セキュア要素、特にSIMカードの設計およびプロトコルに影響を及ぼさない。本発明は、例えば基本的なGSMセキュリティ機能を実施するすべてのセキュア要素において適用可能である。
【0023】
また、本発明によって認識されたこととして、企業は、自らセキュア要素を用意することも、例えばモバイル事業者と協力することも不要である。
【0024】
また、本発明によって認識されたこととして、例えばSIMカードおよび加入者鍵に依拠した従来の解決法と比較して、セキュリティのレベルは低下しない。
【0025】
また、本発明によって認識されたこととして、起こり得る不正行為、なりすまし攻撃等を、サーバおよびユーザデバイスの両方により簡易かつ効果的に検出することが可能となる。
【0026】
さらなる特徴、効果および好ましい実施形態は、後続の従属請求項に記載される。
【0027】
好ましい実施形態によれば、前記生成されたレスポンス情報が前記サーバに提供され、前記照合が、前記保存された署名付きレスポンスおよびステップf)の前記生成されたレスポンス情報を用いて直接に実行され、一致した場合、前記ユーザデバイスは、前記サーバとの通信について認証される。これにより、サーバ側でユーザデバイスの認証手続きを提供する容易な方法が可能となる。サーバは、サーバに保存された署名付きレスポンスと、サーバ情報で問合せされた例えばSIMカードから提供されたレスポンスとを比較する。
【0028】
また、好ましい実施形態によれば、前記ユーザデバイスおよび前記サーバの両方が、前記保存された署名付きレスポンスおよび前記レスポンス情報に基づいて互いに独立にセキュア情報を生成し、これがステップg)による照合のために使用される。これにより、生成されたセキュア情報に基づいて通信を用意する容易な方法が可能となる。サーバおよびユーザデバイスの両方がセキュア情報を生成する場合、生成されたセキュア情報を事前に交換することを必要とせずに、セキュア情報を用いてサーバとユーザデバイスとの間で通信を確立することができる。
【0029】
また、好ましい実施形態によれば、前記セキュア情報がセッション鍵の形態で提供され、該セッション鍵が、前記セキュア要素内に保存された鍵情報を使用せずに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスに基づいて計算される。これにより、ユーザデバイスとサーバとの間の通信セッションに対するセッション鍵を生成する容易な方法が可能となる。例えば、セッション鍵は、ユーザデバイスがサーバで認証された後に生成することが可能である。
【0030】
また、好ましい実施形態によれば、前記1つ以上の署名付きレスポンスを生成するため、および/または、前記セッション鍵を計算するためのカウンタ情報がステップc)に含められる。これにより、中間者攻撃を容易に検出することが可能となる。例えば、アクティブな攻撃がない場合、カウンタ情報はセッション情報に等しいかまたは相当する。一方、アクティブな攻撃の場合、カウンタ情報はセッション情報からずれる。
【0031】
また、好ましい実施形態によれば、カウンタ情報が、前記ユーザデバイスおよび/または前記サーバによって確立されたセッションの数に対するカウンタを示す。これにより、カウンタ情報が容易な方法で提供され、中間者攻撃を検出するために、カウンタ情報とセッション情報との間の高速で効率的な比較が可能となる。
【0032】
また、好ましい実施形態によれば、前記サーバ情報を提供するために暗号学的ハッシュ関数が使用される。これにより、衝突耐性のある一方向性のハッシュ関数によって前記チャレンジを提供することが可能となる。
【0033】
また、好ましい実施形態によれば、ステップc)を実行するための決定的アルゴリズムとしてGSM−A3アルゴリズムが使用され、および/または、前記セキュア要素内に保存された鍵情報を用いずに前記セッション鍵を生成するための決定的アルゴリズムとしてGSM−A8アルゴリズムが使用される。これにより、現行のGSMプロトコルにおける容易で効率的な実施が可能となる。
【0034】
また、好ましい実施形態によれば、チャレンジ送信後にステップf)による正しいレスポンスを提供する時間が測定され、該測定された時間に基づいて、ステップg)が実行されるか、または、実行されない。例えばSIMカードが正しいレスポンスで応答するのにかかる時間を測定し、この測定時間が所定しきい値を超える場合には、例えば、サーバは、通信を用意するためのさらなるステップ、例えば認証確認、を拒否する。例えば、ユーザデバイスに対する無線での攻撃は、認証段階に成功するためには、往復(RTT)の伝搬時間の2倍を必要とする。したがって、好ましくは、無線攻撃に対してこれに対応してしきい値を設定することにより、このような攻撃の検出が向上する。
【0035】
また、好ましい実施形態によれば、前記カウンタ情報が、所定のサーバ情報の数に対してチェックされる。これにより、中間者攻撃を検出する可能性が増大する。
【0036】
また、好ましい実施形態によれば、ステップa)による前記1つ以上のチャレンジが128ビット以上のチャレンジである。これにより、一方では、高度の擬似ランダム性が保証され、他方では、特にGSMプロトコルにおける容易な実施が可能となる。
【0037】
請求項12のシステムの好ましい実施形態によれば、前記サーバおよび/または前記ユーザデバイスが、セッション鍵に基づいて前記サーバと前記ユーザデバイスとの間の通信セッションを確立するように動作可能であり、該セッション鍵が、前記セキュア要素内に保存された鍵情報を使用せずに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスの1つ、に基づいて計算される。これにより、認証後のユーザデバイスとサーバとの間の通信のためのセッション鍵を確立する容易な方法が可能となる。
【0038】
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1および請求項12に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
【発明を実施するための形態】
【0040】
図1は、モバイル事業者においてユーザデバイスを認証する従来の方法を模式的に示している。
【0041】
図1には、SIMカードとモバイル事業者MOとの間の基本的な認証が示されている。SIMカードは、ユーザデバイスUDで使用される。図1では、SIMカード付きのユーザデバイスUDと、モバイル事業者MOが、同じ加入者鍵Kiを共有する。ユーザデバイスUDあるいはSIMカードを認証するため、第1ステップS1で、モバイル事業者MOは、ランダムに選択されたチャレンジRANDをユーザデバイスUDへ送信する。ユーザデバイスUDは、次のステップS12で、加入者鍵KiおよびチャレンジRANDを入力としてGSMプロトコルによるA3アルゴリズムを実行し、第2ステップS2で、署名付きレスポンスSRESを出力し、署名付きレスポンスSRESをモバイル事業者MOへ返送する。
【0042】
次に、モバイル事業者MOは、提供されたチャレンジRANDおよび加入者鍵Kiを入力として使用して自らA3アルゴリズムを再実行することにより、署名付きレスポンスSRESの正しさを検証することによって、ユーザデバイスUDあるいはSIMカードを認証する。
【0043】
ユーザデバイスUDとモバイル事業者MOとの間の通信セッションのためのセッション鍵Kcを生成するためには、このセッション鍵Kcは、ユーザデバイスUDあるいはSIMカードでGSMプロトコルによるA8アルゴリズムを使用して生成されることが可能である。例えば第1ステップS1で提供されたモバイル事業者からのチャレンジRANDが入力されると、ユーザデバイスUDあるいはSIMカードは、共有している加入者鍵Kiとともに、A3アルゴリズムの出力すなわち署名付きレスポンスSRESを入力する。そして、次のステップS23で、SIMカードおよびモバイル事業者MOのサーバの両方でA8アルゴリズムが実行される。そして、A8アルゴリズムは、共有セッション鍵Kcを出力する。
【0044】
図2は、本発明の実施形態による方法を模式的に示している。
【0045】
図2には、本発明による実施形態が示されている。より詳細には、企業Eは、与えられたユーザUのモバイルデバイスUDを認証したい。このため、企業は、認証対象のユーザデバイスUDが、SIMカードに結び付けられた鍵を備えていることを確かめる必要がある。これにより、企業Eによって識別可能なSIMカードにアクセスしなくても、デバイス間でのそれらの鍵の偽造および/または複製が不可能であることが保証される。
【0046】
第1ステップE1で、設定段階が実行される。設定段階を開始するため、企業は、短い限定された時間、ユーザデバイスUDすなわちSIMカードにアクセスする。この時間中、企業Eは、セキュアな秘匿性チャネルを用いてユーザデバイスUDすなわちSIMカードとインタフェースをとる。例えば、このセキュアな秘匿性チャネルは、企業Eによって提供される完全に信頼されたモバイルデバイス内にSIMカードを挿入することによって提供することができる。次に、企業Eは、企業Eによって擬似ランダムに選択された乱数に対応する署名付きレスポンス値SRESについてSIMカードに問い合わせる。好ましくは、企業Eは、鍵付きハッシュ法を適用することにより、128ビットのチャレンジRANDを選択する(RAND1=H(Ke || 1),...,RANDX=H(Ke || X)等)。H()は暗号学的ハッシュ関数(すなわち、衝突耐性のある一方向性のハッシュ関数)であり、Keは秘密鍵を表す。Xは、例えば、生成されるレスポンスの数あるいはより一般的なカウンタ情報を示す。企業Eは、これらのチャレンジを全部でN個生成する(RAND1,RAND2,...,RANDN)。
【0047】
次に、第1ステップT1で、企業Eは、ユーザデバイスUD内のSIMカードのGSMプロトコルによるA3アルゴリズムに対してチャレンジRAND1,RAND2,...,RANDNのそれぞれを送り、対応する署名付きレスポンスSRES1,SRES2,...,SRESNを取得する。次に、企業Eは、秘密鍵Keおよびすべての問合せされた署名付きレスポンスSRES1,SRES2,...,SRESNを保存する。すべてのRANDチャレンジおよび署名付きレスポンスSRESは、秘匿性チャネルを通じて交換される。
【0048】
設定段階後の第2ステップE2で、企業Eは、セッションXにおいて、ユーザデバイスUDあるいはユーザデバイス内のSIMカードを次のように認証することができる。企業Eは、公式RANDX=H(Ke || X)により、秘密鍵Keを用いてセッションXに対するチャレンジRANDXを計算する。
【0049】
次に、企業Eは、計算されたチャレンジRANDXの1つを用いて第1ステップT1でユーザデバイスUDあるいはSIMカードに問合せを行い、レスポンスRESPを待機する。SIMカードは、公式RESP=H(K || RANDX || SRESX|| CTR)によりレスポンスを計算する。ただし、Kは共有鍵であり、RANDXはセッションXに対するチャレンジであり、SRESXはチャレンジRANDXに対するGSMプロトコルによるA3アルゴリズムの出力であり、CTRはモバイルデバイスおよび/または企業Eが確立したセッションの数に対するカウンタである。アクティブな攻撃がない場合、CTRはセッションXの識別番号に等しい。
【0050】
次に、企業Eは、レスポンスRESPが、事前に設定段階E1中に企業Eによって収集されたSRESXと一致するかどうかをチェックし、一致する場合、認証は成功する。こうして、企業Eは、正しいSIMカードおよび正しい鍵Kにアクセス可能なユーザデバイスUDと通信していることが確認される。好ましくは、企業Eは、SIMカードが正しいレスポンスRESPで応答するのにかかる時間を測定する。この時間が所定のしきい値を超える場合、企業Eは、認証確認を拒否してもよい。モバイル事業者とモバイルデバイスUDとの間のすべての通信が、共有鍵Kを用いてセキュアチャネル上で実行可能であるのが好ましい。
【0051】
セッション鍵を確立するため、認証段階E2と同様の段階E3が実行される。セッションXに対するセッション鍵Kcを確立するため、企業Eは、RANDX=H(Ke || X)によりセッションXに対するチャレンジRANDXを計算し、チャレンジRANDXを用いてユーザデバイスUDすなわちSIMカードに問合せを行う。ユーザデバイスUDおよび企業Eは、セッションCTRにおけるセッション鍵として、Kc=H(K || SRESX || CTR)によりセッション鍵Kcを別個に計算する。鍵Kは、ユーザデバイスUDと企業Eとの間で共有された鍵である。例えば、共有鍵Kは、ユーザが入力したパスワードから導出されることも可能である。したがって、セッション鍵Kcは、ユーザデバイスUDが正しいSIMカードにアクセスすることによってのみ導出可能である。企業EとモバイルデバイスUDとの間のすべての通信が、ユーザデバイスUDと企業Eとの間の共有鍵Kを用いてセキュアチャネル上で実行可能であるのが好ましい。
【0052】
要約すれば、セッション鍵Kcは、ユーザデバイスUDと企業Eとの間でただ1つのメッセージを交換することによって、すなわちユーザデバイスUDへチャレンジRANDXを送信することによって、効果的に確立することができる。セッション鍵を確立する前に、対話的な認証段階、例えば段階E2を実行可能であることが好ましい。
【0053】
以下、図2による方法のセキュリティがGSMセキュリティに帰着し、起こり得るセッション乗っ取りはモバイル事業者MOによって結局検出されることを示す。図2によれば、a)SIMカードにアクセス可能であり、b)適切なユーザパスワードを取得可能であり、c)正しいチャレンジRANDでSIMカードに問合せすることが可能である、というユーザデバイスUDのみが、認証段階を通過し、企業Eとの間でセッション鍵Kcを確立することができる。
【0054】
・共有鍵Kにアクセスできない外部の攻撃者は、企業EとユーザデバイスUDとの間の通信を傍受することができない。
【0055】
・いかなる攻撃者もKiすなわち加入者鍵を取得できない。というのは、加入者鍵は、SIMカード内の不正操作できないストレージに保存されており、SIMカードから取り出せないからである。
【0056】
・いかなる攻撃者もチャレンジの値を予測できない。また、各チャレンジは1回だけ使用される。チャレンジは擬似ランダムであり、チャレンジ空間は少なくとも128ビットである。これにより、いかなる攻撃者も、企業Eによって選択されたチャレンジ空間を全数探索することは実現不可能である。
【0057】
・したがって、チャレンジが送信されるときに正しいSIMカードにアクセスできないいかなる主体も、認証チェックに失敗することになる。
【0058】
・SIMカードへのアクセスは、物理アクセスを用いて、または、無線(OTA)アクセスにより実現可能である。SIMカードにOTAアクセスすることは、悪意者にとって、モバイル基地局になりすますために用いられる技術への投資を必要とする。OTA攻撃は、基礎となるGSMプロトコルスイートに対する攻撃に帰着する。このような種類の攻撃は通常、企業Eによって実行されるタイミング測定によって軽減される。実際、いかなるOTA攻撃も、認証段階に成功するためには2RTTの伝搬時間を必要とする。
【0059】
・また、攻撃者は、共有鍵Kを取得するためにモバイルデバイスに侵入する必要があることが指摘される。これは、この攻撃を実行するコストをさらに高価にする。
【0060】
・たとえ攻撃者がSIMカードへのOTAアクセスができ、SIMカードにアクセスしたとしても、企業Eは結局、確立する次のセッション中に直ちにその攻撃を検出する。これは、ハッシュ計算(認証およびセッション確立段階の両方における)内のローカルカウンタに基づいて実現される。攻撃者が1回の攻撃に成功した場合、モバイルデバイス上のローカルカウンタは、企業Eに保存されているカウンタと相違することになる。これにより、企業Eによるモバイルデバイスのさらなる認証を効果的に防止する。その場合、企業Eは、問題が存在すること、および、モバイルデバイスが危険にさらされているおそれがあることを検出して、続いてKを変更し、ユーザアカウントを保護する等を行うことができる。
【0061】
要約すれば、本発明は、自分のデバイスを持ち込むことができる状況において、好ましくはSIMカードを用いて、その加入者鍵を知ることなしに認証をブートストラップ処理するために、特にGSMセキュリティの性質を特に利用する。また、本発明によれば、認証・鍵確立段階に対して起こり得る攻撃を効果的に検出するために、SIMカードの使用をセキュリティプロトコルおよびタイミング測定と組み合わせることが可能であり、セキュアで効率的なSIMカード秘密取得段階に依拠する。
【0062】
本発明によれば、SIMカード内で動作する加入者鍵を知ることなしに、挿入されたSIMカードに基づくモバイルデバイスの認証が可能となる。また、本発明によれば、SIMカード内に保存された秘密に基づいて非対話的なセッション鍵確立を構築することが可能となる。さらに、本発明は、GSMセキュリティプロトコル上でなりすまし攻撃および中間者攻撃の効果的な検出が可能な方法およびシステムを提供する。本発明は、モバイルデバイスの使用を妨げず、SIMカードの設計およびプロトコルに影響を及ぼさず、基本的なGSMセキュリティ機能を実施するすべてのSIMカードで適用可能である。
【0063】
本発明は、とりわけ、以下の利点を有する。従来の方法およびシステムとは異なり、本発明は、SIMカード内に保存された加入者鍵の知識を必要とせず、また、例えばモバイル事業者と協力することによって、企業が自らセキュア要素を用意することを必要としない。本発明による別の利点として、SIMカードやその加入者鍵に基づく従来の解決法と比較して、セキュリティのレベルは低下しない。また、本発明によれば、セキュリティプロトコルを備えた従来のGSMセキュリティを利用することにより、起こり得る不正行為、なりすまし、攻撃等を、企業およびモバイルデバイスの両方により簡易かつ効果的に検出することが保証される。
【0064】
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。