知財求人 - 知財ポータルサイト「IP Force」
▶ テレフオンアクチーボラゲット エル エム エリクソン(パブル)の特許一覧
特許6979420通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6979420
(24)【登録日】2021年11月17日
(45)【発行日】2021年12月15日
(54)【発明の名称】通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
(51)【国際特許分類】
H04L 9/32 20060101AFI20211202BHJP
H04W 12/06 20210101ALI20211202BHJP
H04L 9/08 20060101ALI20211202BHJP
G09C 1/00 20060101ALI20211202BHJP
【FI】
H04L9/00 675A
H04W12/06
H04L9/00 601C
H04L9/00 601E
G09C1/00 640E
【請求項の数】14
【外国語出願】
【全頁数】34
(21)【出願番号】特願2019-90941(P2019-90941)
(22)【出願日】2019年5月13日
(62)【分割の表示】特願2017-545344(P2017-545344)の分割
【原出願日】2015年7月13日
(65)【公開番号】特開2019-169963(P2019-169963A)
(43)【公開日】2019年10月3日
【審査請求日】2019年5月30日
(31)【優先権主張番号】62/121,689
(32)【優先日】2015年2月27日
(33)【優先権主張国】US
【前置審査】
(73)【特許権者】
【識別番号】598036300
【氏名又は名称】テレフオンアクチーボラゲット エルエム エリクソン(パブル)
(74)【代理人】
【識別番号】110003281
【氏名又は名称】特許業務法人大塚国際特許事務所
(72)【発明者】
【氏名】ネズルンド、マッツ
(72)【発明者】
【氏名】サーリン、ベンクト
(72)【発明者】
【氏名】ノールマン、カール
(72)【発明者】
【氏名】アルッコ、ヤリ
【審査官】
中里 裕正
(56)【参考文献】
【文献】
特表2008−530861(JP,A)
【文献】
特表2003−524353(JP,A)
【文献】
特表2009−512296(JP,A)
【文献】
LAI, C. et al.,SE-AKA: A secure and efficient group authentication and key agreement protocol for LTE networks,Computer Networks,No.57,2013年,pp.3492-3510
【文献】
3GPP,3G Security; Generic Authentication Architecture (GAA); System description (Release 12),TR 33.919,V12.0.0,[online],2014年09月,https://www.3gpp.org/ftp/Specs/archive/33_series/33.919/33919-c00.zip,[2020年4月15日検索]
【文献】
3GPP,Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) (Release 12),TS 33.220,V12.3.0,[online],2014年06月,https://www.3gpp.org/ftp/Specs/archive/33_series/33.220/33220-c30.zip,[2020年4月15日検索]
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
H04W 12/06
H04L 9/08
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
通信ネットワーク(36)のネットワークデバイス(44)と通信するための通信デバイス(40)であって、
チャレンジ(RAND)と、第1のPFSパラメータ(PFS1)と、前記第1のPFSパラメータ(PFS1)についての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)と、チャレンジ検証コード(AUTN)とを前記ネットワークデバイス(44)から認証要求メッセージ(20)内で受信し、
前記チャレンジをアイデンティティモジュール(48)へ転送し、
暗号化鍵(CK)と、完全性保護鍵(IK)と、応答パラメータ(RES)とを、前記アイデンティティモジュール(48)からの応答として受信し、
前記暗号化鍵、完全性保護鍵及び応答パラメータに基づいて、前記第1のPFSパラメータ(PFS1)が真正であるかを判定し、
前記判定において前記第1のPFSパラメータ(PFS1)が真正である場合に、
第2のPFSパラメータ(PFS2)を生成し、
前記暗号化鍵(CK)、完全性保護鍵(IK)及び応答パラメータ(RES)のうちの少なくとも1つに基づいて第2の検証コード(VC2;VC2A;VC2B)を生成し、
前記第2のPFSパラメータ(PFS2)と、前記第2の検証コード(VC2;VC2A;VC2B)と、前記応答パラメータ(RES)とを認証応答メッセージ(24)内で前記ネットワークデバイスへ送信し、前記第2の検証コード(VC2A)は、前記応答パラメータ(RES)に割り当てられた情報エレメント内で送信される、
ように動作可能な通信デバイス(40)。
チャレンジ(RAND)と、第1のPFSパラメータ(PFS1)と、前記第1のPFSパラメータ(PFS1)についての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)と、チャレンジ検証コード(AUTN)とを前記ネットワークデバイス(44)から認証要求メッセージ(20)内で受信し、
前記チャレンジをアイデンティティモジュール(48)へ転送し、
暗号化鍵(CK)と、完全性保護鍵(IK)と、応答パラメータ(RES)とを、前記アイデンティティモジュール(48)からの応答として受信し、
前記暗号化鍵、完全性保護鍵及び応答パラメータに基づいて、前記第1のPFSパラメータ(PFS1)が真正であるかを判定し、
前記判定において前記第1のPFSパラメータ(PFS1)が真正である場合に、
第2のPFSパラメータ(PFS2)を生成し、
前記暗号化鍵(CK)、完全性保護鍵(IK)及び応答パラメータ(RES)のうちの少なくとも1つに基づいて第2の検証コード(VC2;VC2A;VC2B)を生成し、
前記第2のPFSパラメータ(PFS2)と、前記第2の検証コード(VC2;VC2A;VC2B)と、前記応答パラメータ(RES)とを認証応答メッセージ(24)内で前記ネットワークデバイスへ送信し、前記第2の検証コード(VC2A)は、前記応答パラメータ(RES)に割り当てられた情報エレメント内で送信される、
ように動作可能な通信デバイス(40)。
【請求項2】
前記通信デバイス(40)と前記ネットワークデバイス(44)との間の通信のためのセッション鍵(K´)を生成する、ようにさらに動作可能であり、前記セッション鍵は、前記第1及び第2のPFSパラメータ(PFS1,PFS2)を生成するために使用される値(x,y)に少なくとも基づく、請求項1に記載の通信デバイス(40)。
【請求項3】
前記セッション鍵は、前記第1のPFSパラメータ(PFS1)と前記第2のPFSパラメータ(PFS2)の指数(y)とに基づく、請求項2に記載の通信デバイス。
【請求項4】
前記通信デバイスは、前記チャレンジ(RAND)を受信し、前記転送を実行し、前記暗号化鍵、完全性保護鍵及び応答パラメータを受信し、前記第1のPFSパラメータ(PFS1)が真正であるかを判定し、並びに第2のPFSパラメータ(PFS2)を生成し及び送信するように動作可能なモバイル機器(46)、を含む、請求項1乃至3のいずれか1項に記載の通信デバイス(40)。
【請求項5】
前記通信デバイスは、前記アイデンティティモジュール(48)を含み、前記アイデンティティモジュールは、鍵及び暗号処理手段を含む、請求項1乃至4のいずれか1項に記載の通信デバイス(40)。
【請求項6】
前記第1及び第2のPFSパラメータはディフィーヘルマンパラメータである、請求項1乃至5のいずれか1項に記載の通信デバイス。
【請求項7】
前記認証要求メッセージ(20)は、前記認証要求メッセージの対応する別個の情報エレメント内に前記第1の検証コード(VC1B)を含み、前記通信デバイスは、前記第1のPFSパラメータ(PFS1)の真正性を判定するよう動作可能であるとき、前記第1の検証コード(VC1B)を使用するように動作可能である、請求項1乃至6のいずれか1項に記載の通信デバイス(40)。
【請求項8】
前記第1の検証コード(VC1A)は、前記チャレンジ検証コード(AUTN)の少なくとも一部として提供され、前記通信デバイスは、前記第1のPFSパラメータ(PFS1)の真正性を判定するように動作可能であるとき、前記アイデンティティモジュール(48)が前記暗号化鍵(CK)、完全性保護鍵(IK)及び応答パラメータ(RES)を提供することに基づいて真正性を判定するように動作可能である、請求項1乃至6のいずれか1項に記載の通信デバイス(40)。
【請求項9】
前記第2の検証コード(VC2A)は、少なくとも前記第2のPFSパラメータ(PFS2)に基づくメッセージ認証コードとして生成される、請求項1乃至8のいずれか1項に記載の通信デバイス。
【請求項10】
通信ネットワーク(36)のネットワークデバイス(44)と通信関係にある通信デバイス(40)のための方法であって、前記方法は、前記通信デバイスによって実行され、
チャレンジ(RAND)と、第1のPFSパラメータ(PFS1)と、前記第1のPFSパラメータ(PFS1)についての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)、チャレンジ検証コード(AUTN)とを前記ネットワークデバイス(44)から認証要求メッセージ(20)内で受信すること(64)と、
前記チャレンジをアイデンティティモジュール(48)へ転送すること(65)と、
暗号化鍵(CK)と、完全性保護鍵(IK)と、応答パラメータ(RES)とを、前記アイデンティティモジュール(48)からの応答として受信すること(66)と、
前記暗号化鍵(CK)、完全性保護鍵(IK)及び応答パラメータ(RES)に基づいて、前記第1のPFSパラメータ(PFS1)が真正であるかを判定すること(68)と、
前記判定において前記第1のPFSパラメータ(PFS1)が真正である場合に、
第2のPFSパラメータ(PFS2)を生成すること(70)と、
前記暗号化鍵(CK)、完全性保護鍵(IK)及び応答パラメータ(RES)のうちの少なくとも1つに基づいて第2の検証コード(VC2;VC2A;VC2B)を生成すること(70)と、
前記第2のPFSパラメータ(PFS2)と、前記第2の検証コード(VC2;VC2A;VC2B)と、前記応答パラメータ(RES)とを認証応答メッセージ(24)内で前記ネットワークデバイスへ送信すること(72)であって、前記第2の検証コード(VC2A)は、前記応答パラメータ(RES)に割り当てられた情報エレメント内で送信される、ことと、
を含む方法。
チャレンジ(RAND)と、第1のPFSパラメータ(PFS1)と、前記第1のPFSパラメータ(PFS1)についての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)、チャレンジ検証コード(AUTN)とを前記ネットワークデバイス(44)から認証要求メッセージ(20)内で受信すること(64)と、
前記チャレンジをアイデンティティモジュール(48)へ転送すること(65)と、
暗号化鍵(CK)と、完全性保護鍵(IK)と、応答パラメータ(RES)とを、前記アイデンティティモジュール(48)からの応答として受信すること(66)と、
前記暗号化鍵(CK)、完全性保護鍵(IK)及び応答パラメータ(RES)に基づいて、前記第1のPFSパラメータ(PFS1)が真正であるかを判定すること(68)と、
前記判定において前記第1のPFSパラメータ(PFS1)が真正である場合に、
第2のPFSパラメータ(PFS2)を生成すること(70)と、
前記暗号化鍵(CK)、完全性保護鍵(IK)及び応答パラメータ(RES)のうちの少なくとも1つに基づいて第2の検証コード(VC2;VC2A;VC2B)を生成すること(70)と、
前記第2のPFSパラメータ(PFS2)と、前記第2の検証コード(VC2;VC2A;VC2B)と、前記応答パラメータ(RES)とを認証応答メッセージ(24)内で前記ネットワークデバイスへ送信すること(72)であって、前記第2の検証コード(VC2A)は、前記応答パラメータ(RES)に割り当てられた情報エレメント内で送信される、ことと、
を含む方法。
【請求項11】
第1の通信ネットワーク(36)の第1のネットワークデバイス(44)であって、前記第1のネットワークデバイス(44)は、
チャレンジ(RAND)及びチャレンジ検証コード(AUTN)を取得し、
第1のPFSパラメータ(PFS1)を取得し、
前記第1のPFSパラメータ(PFS1)についての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)を取得し、
前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS1)、前記第1の検証コード(VC1A;VC1B)及び前記チャレンジ検証コード(AUTN)を通信デバイス(40)へ認証要求メッセージ(20)内で送信し、
前記通信デバイス(40)から認証応答メッセージ(24)内で第2のPFSパラメータ(PFS2)、第2の検証コード(VC2;VC2A;VC2B)及び応答パラメータ(RES)を受信し、前記第2の検証コード(VC2A)は前記応答パラメータ(RES)に割り当てられた情報エレメント内で受信され、
前記応答パラメータの真正性を判定し、
前記第2の検証コード(VC2;VC2A;VC2B)に基づいて前記第2のPFSパラメータ(PFS2)を検証する
ように動作可能である、第1のネットワークデバイス(44)。
チャレンジ(RAND)及びチャレンジ検証コード(AUTN)を取得し、
第1のPFSパラメータ(PFS1)を取得し、
前記第1のPFSパラメータ(PFS1)についての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)を取得し、
前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS1)、前記第1の検証コード(VC1A;VC1B)及び前記チャレンジ検証コード(AUTN)を通信デバイス(40)へ認証要求メッセージ(20)内で送信し、
前記通信デバイス(40)から認証応答メッセージ(24)内で第2のPFSパラメータ(PFS2)、第2の検証コード(VC2;VC2A;VC2B)及び応答パラメータ(RES)を受信し、前記第2の検証コード(VC2A)は前記応答パラメータ(RES)に割り当てられた情報エレメント内で受信され、
前記応答パラメータの真正性を判定し、
前記第2の検証コード(VC2;VC2A;VC2B)に基づいて前記第2のPFSパラメータ(PFS2)を検証する
ように動作可能である、第1のネットワークデバイス(44)。
【請求項12】
前記通信デバイス(40)と前記第1のネットワークデバイス(44)との間の通信のためのセッション鍵(K´)を計算する、ようにさらに動作可能であり、前記セッション鍵は、前記第1及び第2のPFSパラメータ(PFS1,PFS2)を生成するために使用される値(x,y)に少なくとも基づく、請求項11に記載の第1のネットワークデバイス(44)。
【請求項13】
前記セッション鍵は、前記第2のPFSパラメータ(PFS2)と前記第1のPFSパラメータ(PFS1)の指数(x)とに基づく、請求項12に記載の第1のネットワークデバイス(44)。
【請求項14】
第1の通信ネットワーク(36)の第1のネットワークデバイス(44)のための方法であって、前記方法は、前記第1のネットワークデバイス(44)によって実行され、
チャレンジ(RAND)及びチャレンジ検証コード(AUTN)を取得するステップ(74)と、
第1のPFSパラメータ(PFS1)を取得するステップ(76)と、
前記第1のPFSパラメータについての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)を取得するステップ(78)と、
前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS1)、前記第1の検証コード(VC1;VC1A;VC1B)及び前記チャレンジ検証コード(AUTN)を通信デバイス(40)へ認証要求メッセージ(20)内で通信デバイス(40)へ送信するステップ(80)と、
前記通信デバイス(40)から認証応答メッセージ(24)内で第2のPFSパラメータ(PFS2)、第2の検証コード(VC2;VC2A;VC2B)及び応答パラメータ(RES)を受信するステップ(82)であって、前記第2の検証コード(VC2A)は前記応答パラメータ(RES)に割り当てられた情報エレメント内で受信される、ステップと、
前記応答パラメータの真正性を判定するステップ(84)と、
前記第2の検証コード(VC2;VC2A;VC2B)に基づいて前記第2のPFSパラメータ(PFS2)を検証するステップ(86)と
を含む方法。
チャレンジ(RAND)及びチャレンジ検証コード(AUTN)を取得するステップ(74)と、
第1のPFSパラメータ(PFS1)を取得するステップ(76)と、
前記第1のPFSパラメータについての第1の検証コード(VC1A;VC1B)であって、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む第1の検証コード(VC1A;VC1B)を取得するステップ(78)と、
前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS1)、前記第1の検証コード(VC1;VC1A;VC1B)及び前記チャレンジ検証コード(AUTN)を通信デバイス(40)へ認証要求メッセージ(20)内で通信デバイス(40)へ送信するステップ(80)と、
前記通信デバイス(40)から認証応答メッセージ(24)内で第2のPFSパラメータ(PFS2)、第2の検証コード(VC2;VC2A;VC2B)及び応答パラメータ(RES)を受信するステップ(82)であって、前記第2の検証コード(VC2A)は前記応答パラメータ(RES)に割り当てられた情報エレメント内で受信される、ステップと、
前記応答パラメータの真正性を判定するステップ(84)と、
前記第2の検証コード(VC2;VC2A;VC2B)に基づいて前記第2のPFSパラメータ(PFS2)を検証するステップ(86)と
を含む方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークデバイスと通信するための通信デバイス、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスのための方法、コンピュータプログラム及びコンピュータプログラムプロダクト、第1の通信ネットワークの第1のネットワークデバイス、第1の通信ネットワークの第1のネットワークノードのための方法、コンピュータプログラム及びコンピュータプログラムプロダクト、並びに、第1の通信システム内の第1のネットワークデバイスと第2の通信システム内の第2のネットワークデバイスとを含むシステムに関する。本発明は、第2のネットワークデバイスにも関する。
【背景技術】
【0002】
通信ネットワーク上を移送されるデータは、次第にセンシティブになりつつある。モバイル、ワイヤレス及び固定の通信ネットワークといった通信ネットワークは、今日では、例えば多様な経済的及び商業関連のトランザクション、サイバー−物理システムの制御などのために、ますます頻繁に使用されている。従って、より強いセキュリティ施策を求めるニーズが存在する。
【0003】
例えばモバイル通信では、通信ネットワークとユーザ機器(UE)とが互いに相互認証を行って、交換されるトラフィックデータを暗号化できることが重要であり、それらセキュリティサービスは、鍵合意(key agreement)又は鍵確立(key establishment)を含むセキュアな鍵管理に決定的に依存する。
【0004】
この点において、第2世代(2G)以降のモバイルネットワークは、強力な(U)SIM((Universal) Subscriber Identity Module)カードベースの認証及び暗号鍵合意を活用してきた。第3世代(3G)以降のネットワークより、認証は相互的となっており:ネットワーク及びユーザ機器の双方が互いを認証する。USIMベースの3G/4G認証は、例えば3GPP TS33.102 V12.2.0及び33.401 V12.13.0において説明されている。そのプロトコルは、どちらのアクセスネットワークタイプが使用されるかに依存してUMTS AKA又はLTE AKAとして知られており、UMTS AKAはUniversal Mobile Telecommunication System Authentication and Key Agreementについての頭字語、LTE AKAはLong Term Evolution Authentication and Key Agreementについての頭字語である。留意事項として、3GPP標準は鍵合意との用語を使用する一方、実際に使用されるプロトコルは、どちらかというと鍵確立の性質を有する。但し、その違いは本議論にとって重要ではない。このAKAプロトコルの異種が、IPマルチメディアサブシステム(IMS)、IMS AKA、非3GPPアクセス技術(EAP−AKA、IETF RFC4187)のために、及び一般的なサービスレイヤ認証(汎用ブートストラッピングアーキテクチャ、GBA、3GPP TS33.220 V12.3.0)のために開発されてきている。
【0005】
図1は、TS 33.102 V12.2.0による3Gネットワークのための高レベルでのAKAの機能を示しており、ユーザ機器に対応する一種の通信デバイスである移動局MSは、HE(Home Environment)/HLR(Home Location Register)と通信するサービングネットワーク(SN)のVLR(Visiting Location Register)/SGSN(Serving Gateway Support Node)と通信する。4G/LTEでは、モバイル管理エンティティ(MME)がVLR/SGSNに取って代わり、HE/HLRはホーム加入者サーバ(HSS)に対応する。
【0006】
図1では、VLR/SGSNは、10で、訪問中の移動局MSに関して、HE/HLRへ認証データ要求を送信するものとして示されている。HE/HLRは、12で、1組の認証ベクトル(AV(i..n))を生成し、14で、認証データ応答メッセージにおいてベクトル(AVi..n)をVLR/SGSNへ送信し、VLR/SGSNは、次いで、16で、その認証ベクトルを記憶する。これらのステップは、ここでは一緒に、HEからの配信及び認証ベクトルの段階17を形成する。
【0007】
その後、認証及び鍵確立(又は鍵合意)の段階31が行われる。この段階31で認証が行われる際、VLR/SGSNは、18で、利用可能な(未使用の)認証ベクトルを選択し、このベクトルの内容に基づいて、20で、ランダム値Rand(i)及び認証トークンAUTN(i)を使用してチャレンジを含むユーザ認証要求メッセージARQを送信し、ここでAUTN(i)はチャレンジ検証コードを含み、インデックスiはその値がAViに関連付けられていることを示す。AUTN(i)がMSにおいて検証され、検証が成功すると、検証ステップ22において結果RES(i)が計算される。正確に言えば、これらの動作は、MSにおいてUSIMによって実行される。次いで、MSは、20で、結果RES(i)を含むユーザ認証応答メッセージ(ARE)を送信する。認証ベクトルは、期待される結果XRES(i)を含み、VLR/SGSNは、次いで、26で、受信された結果RES(i)を期待される結果XRES(i)と比較し、比較が成功した(すなわち、2つの値が等しい)場合、VLR/SGSNは、30で、対応する暗号化鍵(ciphering key)CK(i)及び完全性保護鍵IK(i)を選択する。同時に、MS(この場合も、正確に言えば、USIM)は、28で、同じ鍵CK(i)及びIK(i)を計算する。LTEの場合、たとえば、いわゆるKasme鍵(図示せず)など、さらなる鍵がCK(i)及びIK(i)から導出され、この導出は、USIMの外側にあるMSの部分で行われる。USIMの外側のこの部分は、モバイル機器(ME)と呼ばれる。
【0008】
図1に示し、上記で説明したタイプの認証及び鍵合意では、有利には予め共有された秘密鍵Kが使用され、ユーザ機器(具体的にはUSIM)とホームネットワークの双方に記憶される。次いで、CK(i)及びIK(i)を導出するために、共有鍵Kが使用される。
【0009】
従って、AKAのセキュリティは、鍵Kが秘密に保たれることに依存する。近日、USIMカードの製造業者のセキュリティが破られ、K鍵のセットが「漏洩」し(又は悪意のある者へ渡り)、従って、これらの鍵に関連付けられた加入者が、偽装、接続ハイジャック、及び盗聴などの危険にさらされる(なぜなら、CK(i)及び/又はIK(i)から導出される暗号化鍵もまたそのようにして潜在的に危険にさらされる)ことがメディアで報告された。2015年7月6日に得られたhttps://firstlook.org/interceptcepts/2015/02/19/great-sim-heist/の記事に、前述のセキュリティへの影響をもたらすAKAプロトコルの潜在的な問題は、AKAがいわゆるPFS(Perfect forward Secrecy)を欠いていることにあることが述べられている。
【0010】
上述したことに鑑みて、セキュリティが通信ネットワークノードと共有される秘密/鍵を使用するUSIMなどのアイデンティティモジュールに基づく場合の通信デバイスと通信ネットワークとの間の通信のセキュリティレベルを上げることが重要である。
【発明の概要】
【発明が解決しようとする課題】
【0011】
従って、通信デバイスと通信ネットワークとの間の通信セキュリティを強化することを求めるニーズが存在する。
【課題を解決するための手段】
【0012】
発明の1つの目的は、長期(long-term)共有鍵の使用に関して通信デバイスの通信セキュリティを強化することである。
【0013】
上記目的は、第1の態様によれば、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスによって達成される。上記通信デバイスは、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信し、チャレンジ又はその派生をアイデンティティモジュールへ転送し、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信し、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定し、第2のPFSパラメータを生成し、上記判定において第1のPFSパラメータが真正である場合に、第2のPFSパラメータをネットワークデバイスへ送信するように構成される。
【0014】
上記目的は、第2の態様によれば、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスによって実行される方法によって達成される。上記方法は、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信することと、チャレンジ又はその派生をアイデンティティモジュールへ転送することと、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信することと、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定することと、第2のPFSパラメータを生成することと、上記判定において第1のPFSパラメータが真正である場合に、第2のPFSパラメータをネットワークデバイスへ送信することとを含む。
【0015】
上記目的は、第3の態様によれば、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスのためのコンピュータプログラムによって達成される。上記コンピュータプログラムは、通信デバイスにおいて実行されると、通信デバイスに、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信させ、チャレンジ又はその派生をアイデンティティモジュールへ転送させ、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信させ、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定させ、第2のPFSパラメータを生成させ、上記判定が肯定的である、すなわち、第1のPFSパラメータが真正である場合に、第2のPFSパラメータをネットワークデバイスへ送信させる、コンピュータプログラムコードを含む。
【0016】
上記目的は、第4の態様によれば、通信ネットワークのネットワークノードと通信関係にある通信デバイスのためのコンピュータプログラムプロダクトによって達成される。上記コンピュータプログラムプロダクトは、第3の態様に係るコンピュータプログラムコードを有するデータ記憶媒体を含む。
【0017】
第1、第2及び第4の態様に係る本発明は、いくつかの利点を有する。強化されたセキュリティは、長期共有鍵を破ることのできる攻撃者に対する障壁をセットアップし、破られた鍵を悪用するためにいわゆる中間者(man-in-the-middle)攻撃を始めることを攻撃者に強いる。
【0018】
派生は、チャレンジと同一であってもよい。また、派生は、チャレンジのハッシュであってもよい。
【0019】
チャレンジのハッシュである派生が使用される場合、チャレンジのサイズは縮小され、標準化されたチャレンジサイズにも適応可能である。アイデンティティモジュールへの純粋なチャレンジの提供は、通信デバイスにおける処理を低減するという利点を有する。
【0020】
第1の態様の第1の変形例では、通信デバイスは、通信デバイスとネットワークデバイスとの間の通信のためのセッション鍵を生成するように構成され、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
【0021】
第2の態様の対応する変形例では、上記方法は、通信デバイスとネットワークデバイスとの間の通信のためのセッション鍵を生成することを含み、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
【0022】
この変形例は、潜在的な将来の共有鍵の侵害に対して強化された通信セキュリティを有するセッションを提供するという利点を有する。
【0023】
第1及び第2の態様のより具体的な実施形態では、セッション鍵は、第1のPFSパラメータと、第2のPFSパラメータの指数とに基づく。
【0024】
第1の検証コードは、少なくとも第1のPFSパラメータに基づくメッセージ認証コードを含み得る。少なくとも第2のPFSパラメータに基づくことは、一実施形態では、それが少なくとも第1のPFSパラメータのハッシュに基づいてもよく、ハッシュが暗号ハッシュであってもよいことを意味する。さらに、チャレンジは、第1のPFSパラメータに基づいてもよい。それは、例えば、第1のPFSパラメータ又は第1のPFSパラメータのハッシュであってもよい。このハッシュもまた暗号ハッシュであることが可能である。チャレンジが第1のPFSパラメータに基づくことを通じて、暗号化及び帯域幅使用の経済性が提供される。この経済性は、ハッシュの提供によってさらに強化され、それにより第1のPFSパラメータのサイズを様々な標準化されたフォーマットに適合させることが可能とされる。
【0025】
第1及び第2のPFSパラメータは、より具体的には、ディフィーヘルマンパラメータであってもよい。
【0026】
第1の態様の第3の変形例では、通信デバイスは、ネットワークデバイスから、認証要求メッセージ内で、チャレンジ、第1のPFSパラメータ及び第1の検証コードを受信するように構成され、このケースにおいて、認証要求メッセージは、チャレンジ検証コードをも含む。さらに、通信デバイスは、少なくとも1つの結果パラメータを受信する際に、チャレンジに対する応答として応答パラメータを受信するように構成される。最後に、通信デバイスは、第2のPFSパラメータを生成し及び送信するように構成されているとき、第2のPFSパラメータを第2の検証コードと共に生成し、これらを応答パラメータをも含む認証応答メッセージ内で送信するように構成される。
【0027】
第2の態様の対応する変形例では、チャレンジ、第1のPFSパラメータ及び第1の検証コードが認証要求メッセージ内で受信され、認証要求メッセージはチャレンジ検証コードをも含む。少なくとも1つの結果パラメータは、チャレンジに対する応答として受信される応答パラメータをも含む。さらに、第2のPFSパラメータを生成し及び送信することは、第2のPFSパラメータを第2の検証コードと共に生成し、これらを応答パラメータをも含む認証応答メッセージ内で送信することを含む。
【0028】
この変形例は、第1及び第2のPFSパラメータ並びに第1及び第2の検証コードを既に存在するメッセージ内で移送できるという利点を有する。それにより、追加的なメッセージが回避される。これは、限定されたリソースであり得る通信デバイス内のエネルギーを節約し得る。
【0029】
第2の検証コードは、少なくとも第2のPFSパラメータに基づくメッセージ認証コードとして生成されてもよい。少なくとも第2のPFSパラメータに基づくことは、一実施形態では、それが少なくとも第2のPFSパラメータのハッシュに基づいてもよく、ハッシュが暗号ハッシュであってもよいことを意味する。
【0030】
ハッシュ/メッセージ認証コードはさらに、HMAC/SHA−256に基づいてもよい。
【0031】
第1及び第2の態様の第4の変形例では、認証要求メッセージは、認証要求メッセージの対応する別個の情報エレメント内に第1の検証コードを含む。
【0032】
このケースにおいて、通信デバイスは、第1のPFSパラメータの真正性を判定するときに、第1の検証コードを使用するように構成される。
【0033】
このケースにおいて、この方法で行われた第1のPFSパラメータの真正性の判定は、第1の検証コードを使用して行われる。
【0034】
第1及び第2の態様の第5の変形例では、第1の検証コードがチャレンジ検証コードの少なくとも一部として提供される。
【0035】
このケースにおいて、通信デバイスは、アイデンティティモジュールが少なくとも1つの結果パラメータを提供することに基づいて、第1のPFSパラメータの真正性を判定するように構成される。
【0036】
このケースにおいて、上記方法でなされる第1のPFSパラメータの真正性の判定は、アイデンティティモジュールが少なくとも1つの結果パラメータを提供することに基づいて行われる。
【0037】
この変形例は、認証要求メッセージにおいて使用される暗号化におけるさらなる経済性を提供する。
【0038】
第1の態様の第6の変形例では、通信デバイスは、少なくとも1つの結果パラメータのうちの少なくとも1つに基づいて第2の検証コードを生成し、認証応答メッセージの応答パラメータに割り当てられた情報エレメント内で第2の検証コードを送信するように構成される。
【0039】
第2の態様の対応する変形例では、上記方法は、第2の検証コードを応答パラメータに基づかせることを含む。このケースにおいて、認証応答を送信することは、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを送信することをも含む。
【0040】
この変形例は、認証応答メッセージ及びその処理に使用される帯域幅及び暗号化におけるさらなる経済性を提供する。
【0041】
通信デバイスは、ユーザ機器であってもよく、また、プロセッサが動作するコンピュータ命令が記憶されるモバイル機器を含んでもよい。さらに、通信デバイスは、アイデンティティモジュールを含むことが可能であり、アイデンティティモジュールは、鍵及び暗号処理手段を含む。
【0042】
別の目的は、長期共有鍵の使用に関して通信ネットワーク内の第1のネットワークデバイスの強化された通信セキュリティを提供することである。
【0043】
上記目的は、第5の態様によれば、第1の通信ネットワークの第1のネットワークデバイスによって達成される。上記第1のネットワークデバイスは、チャレンジを取得し、第1のPFSパラメータを取得し、第1のPFSパラメータについての第1の検証コードを取得し、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信し、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信し、応答パラメータの真正性を判定し、第2の検証コードに基づいて第2のPFSパラメータを検証するように構成される。
【0044】
上記目的は、第6の態様によれば、通信ネットワークの第1のネットワークデバイスのための方法によって達成される。上記方法は、第1のネットワークデバイスによって実行され、チャレンジを取得することと、第1のPFSパラメータを取得することと、第1のPFSパラメータについての第1の検証コードを取得することと、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信することと、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信することと、応答パラメータの真正性を判定することと、第2の検証コードに基づいて第2のPFSパラメータを検証することとを含む。
【0045】
上記目的は、第7の態様によれば、通信ネットワークの第1のネットワークデバイスのためのコンピュータプログラムによって達成される。上記コンピュータプログラムは、第1のネットワークデバイスにおいて実行されると、第1のネットワークデバイスに、チャレンジを取得させ、第1のPFSパラメータを取得させ、第1のPFSパラメータについての第1の検証コードを取得させ、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信させ、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信させ、応答パラメータの真正性を判定させ、第2の検証コードに基づいて第2のPFSパラメータを検証させるコンピュータプログラムコードを含む。
【0046】
上記目的は、第8の態様によれば、通信ネットワークの第1のネットワークデバイスのためのコンピュータプログラムプロダクトによって達成される。上記コンピュータプログラムプロダクトは、第7の態様に係るコンピュータプログラムコードを有するデータ記憶媒体を含む。
【0047】
第5、第6、第7及び第8の態様に係る本発明は、第1のネットワークデバイスと通信デバイスとの間の通信のセキュリティを強化する。強化されたセキュリティは、いわゆる中間者攻撃に対する障壁をセットアップする。
【0048】
第5の態様の第1の変形例では、第1のネットワークデバイスは、さらに、通信デバイスと第1のネットワークデバイスとの間の通信のためのセッション鍵を計算するように構成される。セッション鍵は、少なくとも第1及び第2のPFSパラメータを生成するために使用される値に基づく。
【0049】
第6の態様の対応する変形例では、上記方法は、さらに、通信デバイスユーザ機器と第1のネットワークデバイスとの間の通信のためのセッション鍵を計算することを含み、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
【0050】
第5及び第6の態様のより具体的な実施形態では、セッション鍵は、第2のPFSパラメータと第1のPFSパラメータの指数とに基づく。
【0051】
第5の態様の第2の変形例では、第1のネットワークデバイスは、チャレンジを取得するときにチャレンジ検証コードを取得し、チャレンジ、第1のPFSパラメータ及び第1の検証コードをチャレンジ検証コードと共に認証要求メッセージ内で送信し、認証応答メッセージ内で第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信するように構成される。
【0052】
第6の態様の対応する変形例では、チャレンジを取得することは、チャレンジ検証コードを取得することを含み、チャレンジ、第1のPFSパラメータ及び第1の検証コードを送信することは、これらをチャレンジ検証コードと共に認証要求メッセージ内で送信することを含み、第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信することは、これらを認証応答メッセージ内で受信することを含む。
【0053】
これには、既存のメッセージを再利用する利点がある。これは、新しいメッセージを追加することなく、既存の認証及び鍵合意プロトコルの既存のメッセージ構造が使用され得ることを意味する。これにより、一般的な環境レベルでエネルギーを節約することができる。なぜなら、追加的なメッセージを送信することは、無線ネットワーク内の限られたリソースであり得るエネルギーを使用するからである。さらに、ネットワーク通信は典型的には標準化をもされており、既に存在するメッセージに新しい情報エレメントを追加することに比して、新しいメッセージの導入に関し合意をなすことはしばしばはるかに困難である。
【0054】
第5の態様の第3の変形例では、第2のネットワークデバイスは、第1の検証コードを取得するとき、第1のPFSパラメータを使用して第1の検証コードを生成するように構成され、認証要求メッセージを送信するとき、認証要求メッセージの対応する別個の情報エレメント内で第1の認証コードを送信するように構成される。
【0055】
第6の態様の対応する変形例では、第1の検証コードを取得することは、第1のPFSパラメータを使用して第1の検証コードを生成することを含み、認証要求メッセージを送信することは、対応する別個の情報エレメント内で第1の検証コードを送信することを含む。
【0056】
第5の態様の第4の変形例では、第1のネットワークデバイスは、第1のPFSパラメータを取得するとき、さらに、第1のPFSパラメータを生成するために使用される値を受信し、チャレンジ検証コードの少なくとも一部として第1の検証コードを取得し、認証要求メッセージ内でチャレンジ検証コードの少なくとも一部として第1の検証コードを送信するように構成される。
【0057】
第6の態様の対応する変形例では、上記方法は、さらに、第1のPFSパラメータを生成するための値を受信することと、チャレンジ検証コードの少なくとも一部として第1の検証コードを取得することと、認証要求メッセージ内でチャレンジ検証コードの少なくとも一部として第1の検証コードを送信することとを含む。
【0058】
第5の態様の第5の変形例では、第1のネットワークデバイスは、期待されるチャレンジ結果をも取得し、期待されるチャレンジ結果との比較を通じて応答パラメータの真正性を判定するように構成される。
【0059】
第6の態様の対応する変形例では、上記方法は、さらに、チャレンジと共に期待されるチャレンジ結果を取得することと、期待されるチャレンジ結果との比較を通じて応答パラメータの真正性を判定することとを含む。
【0060】
第5及び第6の態様の第6の変形例では、応答パラメータは、第2の認証コードが応答パラメータに基づくことを通じて認証応答メッセージに含められる。
【0061】
このケースにおいて、第1のネットワークデバイスは、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを受信し、第2の検証コードを使用して、同時に、応答パラメータの真正性を判定し及び第2のPFSパラメータを検証するように構成される。
【0062】
このケースにおいて、上記方法で実行される認証応答メッセージの受信は、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを受信することを含み、応答パラメータの真正性を判定すること、及び第2のPFSパラメータを検証することは、第2の検証コードを使用して同時に実行される。
【0063】
さらに別の目的は、長期共有鍵の使用に関してネットワークデバイスの通信セキュリティを強化するためのシステムを提供することである。
【0064】
上記目的は、第9の態様によれば、第1の通信ネットワーク内の第1のネットワークデバイスと、第2の通信ネットワーク内の第2のネットワークデバイスとを含むシステムによって達成される。第2のネットワークデバイスは、第1のネットワークデバイスへチャレンジを送信するように構成される。
【0065】
一方、第1のネットワークデバイスは、チャレンジを受信し、第1のPFSパラメータを生成し、第1のPFSパラメータについての第1の検証コードを取得し、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信し、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信し、応答パラメータの真正性を判定し、第2の検証コードに基づいて第2のPFSパラメータを検証するように構成される。
【0066】
第9の態様の第1の変形例では、第2のネットワークデバイスは、第1のPFSパラメータを取得するための値を、少なくとも値xに基づいてそれを生成することを通じて提供し、並びに、第1のPFSパラメータを使用してチャレンジ検証コードを生成し、及びベース値を第1のネットワークデバイスへ送信する、ように構成される。第1のネットワークデバイスは、転じて、第1の検証コードをチャレンジ検証コードとして通信デバイスへ送信するように構成される。
【0067】
第9の態様に係る本発明は、第1のネットワークデバイスと通信デバイスとの間の通信のセキュリティを強化する利点も有する。強化されたセキュリティは、長期共有鍵を破ることのできる攻撃者に対する障壁をセットアップし、破られた鍵を悪用するためにいわゆる中間者(man-in-the-middle)攻撃を始めることを攻撃者に強いる。
【0068】
さらに、本発明の第10の態様は、第2の通信ネットワークのための第2のネットワークデバイスに関し、第2のネットワークデバイスは、第1の通信ネットワークの第1のネットワークデバイスから、通信デバイスのアイデンティティモジュールに関係する認証データの要求を受信し、第1のPFSパラメータを生成し、少なくとも第1のPFSパラメータと、第2のネットワークデバイスとアイデンティティモジュールとの間で共有される鍵とに基づいて第1の検証コードを生成し、上記要求への応答として、少なくとも第1の検証コードと、第1のPFSパラメータの導出元となり得る値とを第1のネットワークデバイスへ送信するように動作可能である。
【0069】
第1のPFSパラメータの導出元となり得る値は、第2のネットワークデバイスの一実施形態では、第1のPFSパラメータを含んでもよい。
【0070】
第2のネットワークデバイスの一実施形態では、第1のPFSパラメータは、ディフィーヘルマンパラメータを含み、第1のPFSパラメータの導出元となり得る値は、ディフィーヘルマンパラメータの指数を含む。
【0071】
強調すべきこととして、「含む/含んでいる(comprises/comprising)」という用語は、本明細書で使用される際、述べられた特徴、整数、ステップ、又は構成要素の存在を特定するが、1つ以上の他の特徴、整数、ステップ、構成要素又はその集合の存在又は追加を排除するものではない。「パラメータ」という語は、パラメータの値を包含するものとして、たとえば、パラメータの計算は、そのパラメータの値の計算を含み、1つ以上のパラメータに基づく結果又は応答の計算又は導出は、1つ以上のパラメータの1つ以上の値に基づく結果又は応答の計算を含むものちして解釈されるべきである。同様に、パラメータを受信すること及びパラメータを送信/転送することは、そのパラメータの値を受信すること及び送信することを含む。
【図面の簡単な説明】
【0072】
これ以降、次の添付図面に関連して本発明をより詳細に説明する。
【0073】
【図1】通信デバイスと通信ネットワークとの間で実行される既知の認証方式を概略的に示す図である。
【図2】第1及び第2の通信ネットワーク並びに第1の通信ネットワークと通信する通信デバイスを概略的に示す図である。
【図3】通信デバイスと第1の通信ネットワークとの間のディフィーヘルマンプロトコルの使用を概略的に示す図である。
【図4】アイデンティティモジュール及びモバイル機器を含むユーザ機器のブロック概略図である。
【図5】モバイル機器のブロック概略図である。
【図6】第1及び第2の通信ネットワークの双方におけるノードとして機能するデバイスに適用可能な、ネットワークデバイスの概略を示すブロック概略図である。
【図7】第1の実施形態に係る、通信デバイスの通信セキュリティを強化する方法であって、通信デバイスで実行される当該方法におけるいくつかの方法ステップのフローチャートである。
【図8】第1の実施形態に係る、第1の通信ネットワーク内の第1のネットワークデバイスのための方法であって、第1のネットワークデバイスで実行される当該方法におけるいくつかの方法ステップのフローチャートである。
【図9】第2の実施形態に係る、第2の通信ネットワーク内の通信デバイス、第1のネットワークデバイス、及び第2のネットワークデバイス間で交換される信号を伴うシグナリングチャートである。
【図10】チャレンジ検証コードをより詳細に示す図である。
【図11】第3の実施形態に係る、通信デバイス、第1のネットワークデバイス、及び第2のネットワークデバイスの間で交換される信号を伴うシグナリングチャートである。
【図12】通信デバイスの機能性を実装するためのコンピュータプログラムコードを有するデータ記憶媒体を含むコンピュータプログラムプロダクトを示す図である。
【図13】ネットワークデバイスの機能性を実装するためのコンピュータプログラムコードを有するデータ記憶媒体を含むコンピュータプログラムプロダクトを示す図である。
【図14】通信デバイスを実現する別の方法を示す図である。
【図15】第1のネットワークデバイスを実現する別の方法を示す図である。
【図16】第2のネットワークデバイスを実現するさらなる方法を示す図である。
【発明を実施するための形態】
【0074】
以下の説明では、本発明の完全な理解を提供する目的で、限定ではなく説明のために、特定のアーキテクチャ、インターフェース及び技術などの具体的な詳細を説明する。しかし、これらの具体的な詳細から逸脱する他の実施形態で本発明が実践されてもよいことは、当業者には明らかであろう。他の例では、不必要な詳細で本発明の説明を不明瞭にしないように、周知のデバイス、回路、及び方法の詳細な説明は省略されている。
【0075】
本発明は、予め共有される鍵を通信セキュリティの基礎として使用する通信ネットワークにおける通信セキュリティの改善に関する。通信ネットワークは、ここでは、GSM(Global System for Mobile communication)のような第2世代(2G)モバイル通信ネットワーク、UMTS(Universal Mobile Telecommunications System)のような第3世代(3G)ネットワーク、LTE(Long-Term Evolution)のような第4世代(4G)ネットワーク、又は現在開発中の3GPPの第5世代(5G)など任意の将来の進化したシステムなどのモバイル通信ネットワークであってよい。これらは、本発明を実装することができるネットワークのほんの一例に過ぎない。使用され得る他のタイプのネットワークは、例えばワイヤレスローカルエリアネットワーク(WLAN)である。セルラーフォンと呼ばれることもある、ユーザ機器(UE)、移動局(MS)などの通信デバイスは、これらの通信ネットワークを使用して通信し得る。さらに、ここでの通信デバイスは、アイデンティティモジュールに接続されており、アイデンティティモジュールは、加入者アイデンティティモジュール(SIM)及び/若しくはユニバーサル加入者アイデンティティモジュール(USIM)、IPマルチメディアサブシステムSIM(ISIM)、組み込みSIM(eSIM)モジュール、ソフトウェアモジュール、又はグローバルプラットフォームトラステッドエグゼキューションモジュールなどを保持する、ユニバーサル集積回路カード(UICC)などのスマートカードであってもよい。従って、アイデンティティモジュールを、信頼できる実行環境で動作するソフトウェア、又は汎用プロセッサ上で動作するソフトウェアで実装してもよく、但し後者は好適ではない。後に、USIMとの用語が説明の一例として使用されるが、当業者は、いかなるタイプのアイデンティティモジュールも同じ目的に供されることを認識するであろう。理解すべきこととして、アイデンティティモジュールは、通信デバイスの一部であってもよい。また、通信デバイスが使用される場合に、アイデンティティモジュールは、通信デバイスへ接続される別個のエンティティであってもよい。
【0076】
通信セキュリティのためのベースとして、例えば、認証及び鍵合意のために、鍵が使用される。鍵は、有利には、上述のように、予め共有され、アイデンティティモジュールに記憶され得る。
【0077】
以下では、UEの形式の通信デバイスの例についてのみ説明する。しかし、通信デバイスはUEであることに限定されないことを理解されたい。通信デバイスは、データ及び/又は信号をネットワークノードとの間でワイヤレスに送受信することができる、任意のタイプのワイヤレスエンドポイント、移動局、携帯電話、ワイヤレスローカルループ電話、スマートフォン、ユーザ機器、デスクトップコンピュータ、PDA、セルフォン、タブレット、ラップトップ、VoIPフォン又はハンドセットとすることができる。通信デバイスは、例えば、何らかの形式の電子機器(例えば、センサ又はデジタルカメラ)、車両、家庭用ゲートウェイ、家庭/住宅用WiFi/4Gアクセスポイント、冷蔵庫のような家電機器、サーモスタット、盗難警報機、掃除機、芝刈り機ロボットなどのための3G又は4G接続を提供する通信モデムであってもよい。固定的な通信ネットワークに接続された据え置き型の端末であってもよい。
【0078】
前述のように、及び図1に示すように、認証及び鍵合意(AKA)は、いくつかの通信ネットワークで使用される既知の鍵合意の体系である。
【0079】
図1において見られるように、VLR/SGSN(Visitor Location Register/Serving Gateway Support Node)は、訪問中のユーザ機器(UE)に関して、HE/HLR(Home Environment/Home Location Register)へ10で認証データ要求を送信するものとして示されている。HE/HLRは、12で、1組の認証ベクトル(AV(i..n))を生成し、14で、ベクトル(AVi..n)を認証データ応答メッセージ内でVLR/SGSNへ送信し、VLR/SGSNは、転じて、16で、それら認証ベクトルを記憶する。
【0080】
VLR/SGSNは、18で、認証ベクトルを選択し、このベクトルの内容に基づいて、20で、ランダム値RAND(i)及び認証トークンAUTN(i)が割り当てられたパラメータRANDを使用してチャレンジを含むユーザ認証要求メッセージARQを送信し、AUTN(i)は、以下に詳細に説明するチャレンジ検証コードをも含み、iは、その値がAViに関連付けられていることを示す。UEでは、次いで検証ステップ22においてAUNT(i)が検証され、結果RES(i)が計算される。次いで、UEは、20で、結果RES(i)を含むユーザ認証応答メッセージ(ARE)を送信する。認証ベクトルは、期待される結果XRES(i)を含み、VLR/SGSNは、次いで、26で、受信された結果RES(i)を期待される結果XRES(i)と比較し、比較が成功した場合、すなわち、それらが等しいと判明した場合、VLR/SGSNは、30で、暗号化鍵CK(i)及び完全性保護鍵IK(i)を選択する。また、UEは、28で、同じ鍵CK(i)及びIK(i)を計算する。これらは次いで、セッション鍵を取得するために使用される。いくつかのシステム(例えば、LTE)では、鍵CK(i)及びIK(i)がセッション鍵Kasmeを取得するために使用される。
【0081】
図1に示し、上記で説明したタイプの認証では、有利に予め共有された秘密鍵Kがユーザ機器とネットワークの双方で使用される。
【0082】
UMTS/LTE AKAは、セキュリティ及びロバスト性の実証済みの実績により、将来の世代のモバイルネットワーク(例えば、5G)の基礎としても使用されることが予測される。後で、特に明記しない限り、「AKA」は、UMTS AKA、LTE AKA、又はこれらに基づくプロトコル、例えば「5G」ネットワークの将来の拡張などを示すために使用される。
【0083】
上記でも述べたように、図1に示すAKAプロトコルは、UE、VLR/SGSN(Visitor Location Register/Serving Gateway Support Node)、HE/HLR(Home Environment/Home Location Register)の間で通信が行われる3GPP TS33.102に整合する。4G/LTEでは、モビリティ管理エンティティ(MME)がVLR/SGSNに取って代わり、HE/HLRはホーム加入者サーバ(HSS)に対応する。なお、この図では、端末/UE/通信デバイスをMSと呼ぶ。本開示では、MS及びUEは同じエンティティである。
【0084】
AUTN(i)(認証トークン)は、様々なフィールドからなるパラメータである:AMF(認証管理フィールド)、MAC及びシーケンス番号標識(SQN、恐らくは匿名鍵AKによって暗号化/修正される)。MAC(i)は、USIMにより実装された暗号機能を通じて第三者によって偽造されることからチャレンジRAND(i)(ランダム数)、並びにSQN及びAMFを保護するメッセージ認証コードである。鍵CK(i)及びIK(i)は、3Gでは暗号化/完全性保護のために直接的に使用され、4G/LTEでは、それら目的のために、CK(i)及びIK(i)から(具体的には、CK(i)及びIK(i)によって形成される鍵Kasmeから)暗号化/完全性鍵を導出することによって間接的に使用される。
【0085】
UE及びHEの双方で提供されるこれらの暗号機能では、共有鍵Kがこのように使用される。
【0086】
Kは、USIM及びHSS/AuCによってこのように共有される鍵(通常128ビット)であり、AuCは、認証センターの略である。その共有鍵は、他方の当事者には秘密にしておかなければならない。
【0087】
暗号化の及び他の形式の計算の説明の残りの部分で使用される簡略化した表記法として、明示的に言及されたもの以外のパラメータが、鍵導出関数(KDF)、メッセージ認証コード(MAC)及びここで説明されるすべての例における他のすべての関数などといった関数へ入力されてもよい。それらパラメータは、明示的に記載されたものとは異なる順序で配置されてもよい。それらパラメータは、関数への入力の前に変換されてもよい。例えば、いくつかの非負の整数nについて、パラメータのセットP1,P2,…,Pnを第2の関数fをまず実行することによって変換することができ、その結果、すなわちf(P1,P2,…,Pn)が関数に入力される。
【0088】
パラメータP1が「output_key」と呼ばれる鍵を計算するためにKDFへ入力される前にまず変換される場合の鍵導出の一例は、output_key=KDF(f(P1),他の何らかのパラメータ)という形式の導出であり得る。ここで、fは、何らかの任意の関数又は一連の関数である。入力「何らかの他のパラメータ」は、例えばあるコンテキストに鍵をバインドするために使用される、0個、1個又はそれ以上の他のパラメータであり得る。時として、“…”という表記が「何らかの他のパラメータ」の同義語として使用され得る。パラメータは、別々のパラメータとして入力されてもよく、又は一緒に連結され、次いでKDFへの単一の入力として入力されてもよい。従って、当業者であれば、追加のパラメータを使用してもよいこと、パラメータを変換し又は再編成するなどしてもよいこと、及び、それらの変形が存在するとしても本アイデアの要部は同じままであることを理解するであろう。
【0089】
上で言及したように、AKAのセキュリティは、鍵Kが秘匿されていることに依存する。近日、USIMカードの製造業者のセキュリティが破られ、1組のK鍵が「漏洩し」(又は悪意のある者へ渡り)、従って、これらの鍵に関連付けられた加入者が、偽装、接続ハイジャック、及び盗聴などの危険にさらされる(なぜなら、CK(i)及び/又はIK(i)から導出される暗号化鍵もまたそのようにして潜在的に危険にさらされる)ことがメディアで報告された。https://firstlook.org/theintercept/2015/02/19/great-sim-heist/の記事に、前述のセキュリティへの影響をもたらすAKAプロトコルの潜在的な問題は、AKAがいわゆるPFS(Perfect forward Secrecy)を欠いていることにあることが述べられている。PFSは、セッション鍵を確立するために使用される長期鍵が露見していても、過去のセッション鍵もまた露見していることは依然として示唆されないことを意味する。すなわち、長期鍵が破られている状況で、セッション鍵は将来において安全である。AKAは、実際には、有利ではあるがより脆弱な特性を有し、それはしばしば鍵分離(key separation)として言及される:セッション鍵(CK(i)、IK(i)など)が露見するとしても、過去/将来のCK(j)、IK(j)(及びさらに導出される鍵)は露見しない。しかしながら、長期鍵Kが露見している場合、そのようなすべてのセキュリティ上の特性にはあまり価値が無い。
【0090】
本発明の複数の態様は、PFSを追加することを通じて上述の認証機能について改善をなすことに関係する。従って、ユーザ機器とネットワークの双方の通信セキュリティを強化することに関係する。
【0091】
但し、これがどのようになされるかを詳細に説明する前に、以下に環境のいくつかのさらなる詳細が与えられるであろう。
【0092】
図2は、通信デバイス40の1つの例示的な通信環境を概略的に示しており、図2の通信デバイス40は、通信セキュリティが強化される対象のユーザ機器(UE)の一形式である。この例では、第1及び第2の通信ネットワークが存在し、このケースでは共にLTEネットワークのようなモバイル通信ネットワークである。ユーザ機器UEは、このケースでは、第1の通信ネットワーク36の基地局BS42と無線インターフェースを介して無線で接続されており、その通信ネットワークは第1のワイヤレスネットワークWN1である。そして、基地局42は、第1のワイヤレスネットワークWN1の第1のネットワークデバイス44へ接続され、第1のネットワークデバイス44は、ネットワークノードであると見なすこともできる。この例では、第1のネットワークデバイスは、MMEである。そして、MME44は、第2の通信ネットワーク38内の第2のネットワークデバイス46へ接続され、第2の通信ネットワーク46は、第2のワイヤレスネットワークWN2である。第2のネットワークデバイス46は、このケースでは、HSSであり、ネットワークノードであると見なすことができる。第1のワイヤレスネットワークWN1は、訪問先ネットワーク、すなわちUEが訪問するネットワークであってもよく、第2のワイヤレスネットワークWN2は、UEのホームネットワーク、すなわちUEに関連するサブスクリプションをホスティングするネットワークであってもよい。多くのネットワークにおいて、ノードB又はeNodeBと示され得る基地局42は、第1のワイヤレスネットワークWN1のアクセスネットワークANと呼ばれる部分で提供され、コアネットワークCNと呼ばれる部分にMME44が設けられる。
【0093】
従って、第1の通信ネットワーク36は、この例では、UEによって訪問されるネットワークであり、第2の通信ネットワーク38は、UEのホームネットワークである。
【0094】
異なる実施形態において、各ワイヤレスネットワークは、任意の数の有線又はワイヤレスネットワーク、ネットワークノード、基地局、コントローラ、ワイヤレスデバイス、中継局、並びに/又は、有線接続若しくはワイヤレス接続を介してデータ及び/若しくは信号の通信を促進し若しくは当該通信に参加し得る任意の他のコンポーネントを含んでよい。
【0095】
各ワイヤレスネットワークは、1つ以上のIPネットワーク、公衆交換電話網(PSTN)、パケットデータネットワーク、光ネットワーク、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、ワイヤレスローカルエリアネットワーク(WLAN)、有線ネットワーク、ワイヤレスネットワーク、メトロポリタンエリアネットワーク、及びデバイス間の通信を可能にする他のネットワークを含んでもよい。
【0096】
図1において見られるように、UEと第1のネットワークデバイスとの間で通信が行われる。しかしながら、同じく見てわかるように、認証情報(AV)は、本質的に、UEのホームネットワーク内の第2のネットワークデバイスによって提供されていた。
【0097】
前述のように、本発明は、図2のシステムのようなシステムにPFSを導入することを対象としている。
【0098】
基礎として使用する1つの適切な方式は、ディフィーヘルマンプロトコルで定義された方式である。UEと第1のワイヤレスネットワークWN1との間に実装されるこの方式は、図3に概略的に示されている。
【0099】
図3において見られるように、第1のワイヤレスネットワークWN1(及び通常は第1のネットワークデバイス)は、ベース値gのx(ランダム数)乗として生成されたパラメータを送信し、UEは、同じベース値gのy(別のランダム数)乗として生成されたパラメータで応答する(「ランダム」という用語は、統計的にランダムであること及び擬似ランダムであることの双方を含むものと理解されるべきである)。それらパラメータは、例えば共有鍵(図示せず)を使用して認証されるものとする。一度認証されると、UE及び第1のネットワークデバイスは、共通のセッション鍵を使用することができ、そのセッション鍵はまたそのように共有される。セッション鍵の基底を、K´=g^(xy)又はK´=g^(yx)(これらは同じ値K´を導くことになる)として取得することができる。上記鍵は、より具体的には、gのx乗のy乗、又はgのy乗のx乗として取得されてよく、すなわち(g^x)^y 又は (g^y)^xである。
【0100】
理解され得るように、セキュアなセッション鍵である上記セッション鍵K´は、値x及びyに基づいて生成され得る。当業者であれば、楕円曲線、及び離散対数問題が困難である他の巡回群もまた使用されてよいことを認識するであろう。但し、楕円曲線のケースでは加法表記x*gがより適切であるものの、簡明さのために、乗法表記g^xを使用している。さらなる詳細については、MenezesらによるHandbook of Applied Cryptography(fifth printing (August 2001), CRC Press)を参照されたい。
【0101】
図4は、UEの1つの実現例を示している。UEは、ユニバーサル加入者アイデンティティモジュール(USIM)48を含んでよく、USIM48は、例えばPFS−AKA(perfect forward security Authentication and Key Agreement)モジュール52へ接続されるスマートカードの形式であり、PFS−AKAモジュール52は、転じて、ワイヤレス通信モジュールであり得る通信モジュール50へ接続される。ここでは、通信モジュール50及びPFS−AKAモジュール52は共にモバイル機器46を形成し、一方でUSIMはアイデンティティモジュール48である。よって、併せて、USIM、PFS−AKAモジュール、及び通信モジュールがユーザ機器を形成する。
【0102】
ME46を実現する1つの手法が図5に概略的に示されている。ME46は、プロセッサ54、記憶装置56、インターフェース50B及びアンテナ50Aを含む。これらの構成要素は、ワイヤレスネットワークにおいてワイヤレス接続を提供するなど、ME機能を提供するために共に作動し得る。ME46の構成要素は、単一の大きいボックス内に配置された単一のボックスとして示されているが、実際には、MEは、単一の図示された構成要素を構成する複数の異なる物理的な構成要素を含んでもよい(例えば、記憶装置56は、複数の個別のマイクロチップを含んでもよく、各マイクロチップは、合計記憶容量の一部を表す)。
【0103】
プロセッサ54は、マイクロプロセッサ、コントローラ、マイクロコントローラ、中央処理装置、デジタル信号プロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、又は任意の他の適切なコンピューティングデバイス、リソース、あるいはハードウェア、ソフトウェア及び/又は単独で、もしくは記憶装置56、ME機能など他のME構成要素との組み合わせで提供するように動作可能なコード化されたロジックの組み合わせ、のうちの1つ以上の組み合わせであり得る。そうした機能性は、ここに開示される特徴又は利点のいずれかを含む、ここで議論される多様なワイヤレス機能を提供することを含み得る。
【0104】
記憶装置56は、限定ではないものの、永続的な記憶装置、固体メモリ、遠隔的にマウントされるメモリ、磁気メディア、光メディア、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、リムーバブルメディア、又は任意の他の適切なローカル又はリモートのメモリ構成要素を含む、任意の形式の揮発性又は不揮発性のコンピュータ読取可能なメモリであってよい。記憶装置56は、ME46によって利用されるソフトウェア及びコード化されたロジックを含む、任意の適切なデータ、命令、又は情報を記憶し得る。記憶装置56は、プロセッサ54によって行われる任意の計算及び/又はインターフェース50Bを介して受信される任意のデータを記憶するために使用され得る。
【0105】
インターフェース50Bは、UEと、基地局42などのネットワークデバイスとの間のシグナリング及び/又はデータのワイヤレス通信に使用され得る。例えば、インターフェース50Bは、UEがワイヤレス接続を介して基地局42との間でデータを送受信することを可能にするために必要とされ得る任意のフォーマット、符号化、又は変換を実行し得る。インターフェース50Bは、アンテナ50aへ連結され又はアンテナ50aの一部であり得る無線送信機及び/又は受信機を含んでもよい。無線機は、ワイヤレス接続を介して基地局42へ送出されるデジタルデータを受信し得る。無線機は、デジタルデータを、適切なチャネル及び帯域幅パラメータを有する無線信号へ変換し得る。次いで、無線信号は、アンテナ50aを介して基地局42へ送信され得る。
【0106】
アンテナ50aは、データ及び/又は信号をワイヤレスに送受信可能な任意のタイプのアンテナであってよい。
【0107】
また、記憶装置56は、MEの第1のワイヤレスネットワークへの通信に関してPFSをハンドリングするための命令を含んでもよい。
【0108】
記憶装置56は、より具体的には、プロセッサ54にPFS−AKAモジュール52を実装させるコンピュータ命令を含み得る。通信モジュール50は、本質的に、インターフェース50Bとアンテナ50Aとの組み合わせを通じて実装され得る。
【0109】
図6は、汎用的なネットワークデバイス57を示しており、その構造は、第1及び第2のネットワークデバイス44及び46の双方に適用可能である。ネットワークデバイス47は、プロセッサ60、記憶装置62及びインターフェース58を含む。これらの構成要素は、単一の大きいボックス内に配置された単一のボックスとして示されている。しかしながら、実際には、ネットワークデバイスは、単一の図示された構成要素を構成する複数の異なる物理的な構成要素を含んでもよい(例えば、インターフェース58は、有線接続のための配線を連結するための端子を含んでもよい)。同様に、ネットワークデバイス57は、各々がそれ自体のそれぞれのプロセッサ、記憶装置、及びインターフェース構成要素を有し得る複数の物理的に別個の構成要素から構成されてもよい。ネットワークデバイス57が複数の別個の構成要素を含むいくつかのシナリオでは、1つ以上の別個の構成要素を複数のネットワークデバイス間で共有することができる。
【0110】
プロセッサ60は、マイクロプロセッサ、コントローラ、マイクロコントローラ、中央処理装置、デジタル信号プロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、又は任意の他の適切なコンピューティングデバイス、リソース、あるいはハードウェア、ソフトウェア及び/又は単独で、もしくは記憶装置62、ネットワークデバイス機能など他のネットワークデバイス構成要素との組み合わせで提供するように動作可能なコード化されたロジックの組み合わせ、のうちの1つ以上の組み合わせであり得る。例えば、プロセッサ60は、記憶装置62に記憶された命令を実行し得る。
【0111】
記憶装置62は、限定ではないものの、永続的な記憶装置、固体メモリ、遠隔的にマウントされるメモリ、磁気メディア、光メディア、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、リムーバブルメディア、又は任意の他の適切なローカル又はリモートのメモリ構成要素を含む、任意の形式の揮発性又は不揮発性のコンピュータ読取可能なメモリを含んでよい。記憶装置62は、ネットワークデバイス57によって利用されるソフトウェア及びコード化されたロジックを含む、任意の適切な命令、データ、又は情報を記憶し得る。記憶装置62は、プロセッサ60によって行われる任意の計算及び/又はインターフェース58を介して受信される任意のデータを記憶するために使用され得る。
【0112】
ネットワークデバイス57は、ネットワークデバイス57、ネットワークWN1もしくはWN2、及び/又はUEの間のシグナリング及び/又はデータの有線での通信に使用され得るインターフェース58をも含む。例えば、インターフェース58は、ネットワークデバイス57が有線接続を介してネットワークWN1もしくはWN2との間でデータを送受信することを可能にするために必要とされ得る任意のフォーマット、符号化、又は変換を実行し得る。
【0113】
本発明の複数の態様は、AKAにPFSを追加することに関する。
【0114】
以下の実施形態は、簡略化のために4G/LTEの文脈で説明されるが、IMS AKA(IPマルチメディアサブシステムAKA)及びEAP−AKA(拡張可能認証プロトコル−AKA)にも適用可能であり、実施形態は、現在議論されている5Gシステム、又はAKAに基づく任意の他の将来のシステム、又は予め共有される鍵を有するアイデンティティモジュールが使用される他の設定に適用可能であるものとして、現在のところ理解される。
【0115】
上述したように、本発明の態様は、有利にはディフィーヘルマン(DH)プロトコルに基づいて、通信デバイスと第1のネットワークデバイスとの間の通信においてPFSを提供することに関する。
【0116】
但し、このプロトコルは、必要なパラメータを搬送するために計算の労力と追加の帯域幅とを要する:交換されるDHパラメータは、現在のところ標準化されているAKAプロトコルのパラメータ(RAND、RESなど)よりもはるかに大きい。無線インターフェースを介してシグナリングされるビット数を増やすことが可能であったとしても、UE内の標準化されたUSIM−MEインターフェースを維持することが望ましいはずであり、これは、DHが強力なセキュリティを提供する中で、プロトコルパラメータのサイズが上記レベルを下回ることについてのボトルネックを示唆している(RANDは現在のところ128ビットであり、AKAの128ビット強度と一致するセキュリティに到達するために、DHの楕円曲線の派生には少なくとも256ビットのDHパラメータが、素数pを法とする標準的な離散対数DHでは約3000ビットのDHパラメータが必要とされる)。そのうえ、DHは、中間者(MITM)攻撃の影響を受け易く、これは、DHパラメータを認証するための何らかの機構を追加する必要性を示唆する。これを行うための自然なアプローチは、AKAに別のデータフィールドを追加することであり、さらに多くのシグナリングオーバーヘッドがもたらされるはずである。
【0117】
従って、1つの目的は、長期共有鍵の使用に関して通信デバイスと通信ネットワークとの間の通信のセキュリティレベルを上げることである。追加的なメッセージを送信することを回避することも重要であり得る。従って、新しいメッセージを追加することなく、既存のメッセージ構造が使用されることが望ましい。これは、追加的なメッセージを送信することが、特に通信デバイス内の限られたリソースであり得るエネルギーを使用することから、通信デバイス及び一般的な環境レベルの双方に関する省エネルギーの観点から重要であり得る。さらに、ネットワーク通信は典型的には標準化されており、PFSを追加するための簡易なアプローチを用いる場合、認証及びMITM保護を提供するために必要となるはずの新たなエレメントを既に存在するメッセージ内に追加することに比して、新しいメッセージの導入に関し同意をなすことはしばしばはるかに困難である。
【0118】
先に進む前に、DHプロトコルによって例示される、PFSを提供するプロトコルにおける認証についてのいくつかの考察が有益である。AKAの特定の文脈では、当業者は、この目的のために、USIMにおける計算によって生成される1つ以上のAKA結果パラメータ、すなわちRES、CK及び/又はIKを使用したいという思いに駆られるかもしれない。これは、概してセキュリティにとって危険である。例えば、何らかの関数F´についてx=F´(CK,IK)及び/又はy=F´(CK,IK)を介したDHパラメータg^x及び/又はg^yの計算は、PFSをもたらさない。なぜなら、長期鍵Kの知識からこれらのパラメータを計算することができるからである。従って、AKAパラメータ及びプロトコルデータフィールドの再利用は有益であるが、慎重に用いる必要がある。従って、x及びyは、AKAパラメータには非依存であるべきである。
【0119】
一方、MITMに対する保護のために、1つ以上のAKAパラメータを使用し、標準的なMACを追加することができる。例えば、UEからのAKA応答は、RES,g^y,MAC(CK||IK||…,g^y||…)を含むことができるはずである(従って、これはおそらく、AKAプロトコルの前述のMACパラメータと混同されるべきではない別のMAC関数である。また、固定的なAKAパラメータのセットを検討していることから、インデックスiを表記せず、上記のようにCK(i)の代わりに、例えばCKを書いていることにも留意されたい)。なお、概して、MAC内でどの鍵を使用すべきか、すなわちMAC(…,…)への入力における第1のパラメータとして、複数のオプションが存在する。詳細化し過ぎて説明を不明瞭にしないように、従って、例えば、上記のように、MAC(CK||IK||…,g^y||…)の代わりにMAC(g^y)と書くなど、鍵(及びあまり重要ではない他のパラメータ)はしばしば表記されない。…は、他の変数/パラメータがあり得ることを示し、||は入力をMAC関数に結合する手法、例えば連結(concatenation)を示す。但し、より一層経済的な方法は、UEからMMEへ送信される際にRESを搬送する既存の情報エレメント内に上記のMACを取り入れることであり、たとえば、RES(及びオプションでCK、IK)を鍵として使用してRES´=MAC(RES,g^y,…)を計算し、そのようにしてUEはRES´,g^yのみで応答する。MAC関数は、HMACに基づいてもよく、HMACは、たとえばAESに基づく、(3GPP TS 33.102に定義されているような)ネイティブAKA f−関数又は他の適した関数のうちの1つである。RESは、g^y及び鍵値(CK/IK又はRES)に基づくMACとして計算されるので、実際にはg^yの真正性についての検証コードであることが明らかである。さらに、MACは、鍵としてのRESにも基づく場合、同時にRESを検証するために使用することができる。また、ここで理解されるべきこととして、MACは、RES´を計算するために使用できる1つの関数の候補に過ぎない。別の例は、一般的な鍵導出関数又は擬似ランダム関数である。
【0120】
通信オーバーヘッドを節約しながらそれでもPFSを提供する目的で、ネットワークからMEへ送信されるDH値g^xにも同様の考察が当てはまる。
【0121】
具体的には、AuC/HSSは、いくつかの実施形態では、それに応じてサービングネットワークへ送信される認証ベクトルを生成し、すなわち、RAND=g^xなどのパラメータを計算し、RANDに、f−関数などへの入力の前にハッシュを適用する。従って、g^xは、新しい情報エレメントを追加することなく、RAND AKAプロトコルフィールドで実質的に搬送される。いくつかの実施形態において、HSSは、認証ベクトル(AV)の一部としてMMEへCK、IK(又はKasmeなどそこから導出される鍵)を送信する必要がない。なぜなら、結果として得られる共有鍵は、いずれにしろAV生成時にHSSにとって既知でないg^(xy)に基づくことになるからである。他の実施形態において、AuC/HSSは、鍵生成に含められるべきCK、IKを含んでもよい。例えば、LTEでは、鍵は、CK、IKからのKasme鍵の導出におけるPLMN(Public Land Mobile Network)識別子の包含を通じて、アクセスネットワークに「バインド」される。注記したように、HSSにとってAVが生成される時点でg^(xy)は既知ではないことから、PLMN IDへのバインディングは、CK、IKからのいくつかのさらなる鍵の導出にPLMN IDを含め、AVにその導出された鍵を含めることによって達成されることができる。MMEが採用されてもよく、すなわち、HSSからAV内でXRESが与えられる場合、MMEは、上記の実施形態では、加入者の真正性を検証する前にXRES´=MAC(XRES,g^y)を計算することになり、何らかの適切な関数FなどについてKasmeをF(g^(xy)||…)として導出し得る。MEが同様にKasmeを計算してもよい。
【0122】
次に、第1の実施形態について、図7及び8も参照して説明し、図7は、通信ネットワークのネットワークデバイスと通信関係にあるユーザ機器の通信セキュリティを強化する方法のフローチャートを示し、図8は、通信ネットワークの第1のネットワークデバイスの通信セキュリティを強化する方法の方法ステップのフローチャートを示す。
【0123】
ここで与えられる例では、通信ネットワーク36は、第1のワイヤレスネットワークWN1であり、第1のネットワークデバイス44は、第1のワイヤレスネットワークのMMEである。
【0124】
動作は、UEが第1の通信ネットワーク36に接続することから開始し得る。この一部として、たとえば国際モバイル加入者識別情報IMSIなどの識別子が、UEから又はむしろUEのUSIM48から第1のネットワークデバイス44へ提供されてもよく、第1のネットワークデバイス44は、転じて、認証ベクトルAVを求める要求を第2の通信ネットワーク38内の第2のネットワークデバイス46へ送信する。第2のネットワークデバイス46は、認証トークンAUTN、ランダム値RAND、検証計算の期待される結果XRES、並びに初期セッション鍵Kasmeを含み得る認証ベクトルを生成する。これはまた、鍵CK/IKなど他の鍵を含んでもよい。従って、これまで、第2のネットワークノード46は、既存の(3GPP)AKA仕様に従って動作し得る。このようにして、第1のネットワークデバイス44は、ステップ74で、少なくともランダム値RAND及び期待される検証結果XRESを含み得る認証ベクトルを取得する。ここでは、UEに対するチャレンジとしての使用のためにRANDが提供され、AUTNがこのチャレンジについてのチャレンジ検証コードを含むことに言及することができる。
【0125】
認証ベクトルを取得した後、第1のネットワークデバイスは、次いで、ステップ76で、第1のPFSパラメータPFS1を取得し、第1のPFSパラメータPFS1は、ベース値gのx(ランダム値)乗として、すなわちg^xとしての生成を通じて取得されてよく、ランダム値xは、第1のネットワークデバイス44によって生成されてもよい。代替的に、ランダム値x及び/又は第1のPFSパラメータPFS1は、第2のネットワークデバイス46から取得され、このケースにおいて、第2のノード46は、AKAによって現在仕様化されているもの以外の追加の動作を実行する。その後、第1のネットワークデバイス44は、ステップ78で、第1のPFSパラメータPFS1についての第1の検証コードVC1を取得する。1つの変形例では、第1のネットワークデバイス44は、検証コード自体を生成することによってVC1を取得し、別の変形例では、第2のネットワークデバイスが第1の検証コードを生成する。従って、第2の変形例では、第2のノード46が、AKAによって現在仕様化されているもの以外に追加の動作を実行する場合もある。第1の検証コードVC1は、鍵として、XRES又は初期セッション鍵Kasmeなどの認証ベクトルの既知の鍵を使用して、第1のPFSパラメータPFS1上でメッセージ認証コード(MAC)として生成され得る。第2のネットワークデバイス46が第1の検証コードを生成する場合、RAND値は第1のPFSパラメータPFS1に基づく。このケースにおいて、RAND値は、第1のPFSパラメータPFS1として、又は暗号ハッシュなど、第1のPFSパラメータPFS1のハッシュとして、第2のネットワークデバイス46によって生成され得る。それにより、例えば、UEによって、チャレンジ検証コードAUTNを第1のPFSパラメータPFS1についての第1の検証コードVC1としても使用することができる。ここで言及し得ることとして、これら双方の例におおいて、RANDは、事実上、UEのUSIM48に対するチャレンジである。
【0126】
次いで、第1のネットワークデバイス44は、恐らくは共にRAND情報エレメントにより符号化されるチャレンジRAND及び第1のPFSパラメータPFS1、並びに第1の検証コードVC1をUEへ送信し、これらは、有利には、ステップ80で、認証要求メッセージARQ内で送信され得る。第1の検証コードVC1が別個の(すなわち、AUTNとは異なる)コード、例えば第1のネットワークデバイス44によって生成される専用のMACである場合、認証トークンAUTNもまた上記メッセージ内に別に提供されてよい。
【0127】
次いで、ステップ64において、チャレンジRAND、第1のPFSパラメータPFS1(RAND内で又は追加のパラメータ内で符号化される)、及び第1の検証コードVC1(AUTN又は別個のコード内で符号化される)がUEにおいて受信される。それらは、より具体的には、ME46の通信モジュール50によって受信される認証要求メッセージARQを通じて受信され、そこからPFS−AKAモジュール52へ転送されてよい。
【0128】
PFS AKAモジュール52では、ステップ65で、チャレンジ又はその派生がUSIM48へ転送される。これは、純粋なチャレンジをUSIM48へ転送する目的で行われる。純粋なチャレンジは、上述した代替手段に依存して、2つの方法のうちの1つで取得されてよい。RAND情報エレメントが第1のPFSパラメータPFS1を符号化する場合、それは、RAND情報エレメントのハッシュ、すなわちg^xのハッシュをPFSAKAモジュールが計算することを通じて派生として取得され得る。これは、RANDが未だ第1のPFSパラメータg^xのハッシュでない場合、この段階で1つが計算され得ることを意味する。RAND情報エレメントが第1のPFSパラメータPFS1を符号化しない場合、RAND情報エレメントの値がUSIMへ直接的に入力され得る。また、PFS AKAモジュールによって受信されるチャレンジが暗号ハッシュなど第1のPFSパラメータのハッシュである場合、USIMへそれが直接的に転送されてもよい。上記転送は、UE内の標準化されたUSIM−MEインターフェースを介して実行される。
【0129】
上述したように、USIM48は、鍵Kを含み、有利には、鍵Kは第2のネットワークデバイス46と予め共有されている。また、USIM48は、暗号処理手段をも含む。その場合、このモジュール48は、チャレンジ(RAND及びAUTN)に対する応答として、少なくとも1つの結果パラメータ(CK/IK)を提供し得る。1つの結果パラメータが、初期セッション鍵Kasmeを取得するためにPFS AKAモジュール52によって使用され得る、暗号化鍵CK及び完全性保護鍵IKなどの1つ以上の暗号鍵であってもよい。別の結果パラメータは、チャレンジに対する応答パラメータRESであってもよく、応答パラメータは、応答値を有する。従って、このような応答パラメータは、予め共有される鍵及び上記暗号処理手段に基づいて計算される暗号値を有する。
【0130】
このようにして、モバイル機器46、及びより具体的にはPFS AKAモジュール52は、ステップ66で、1つ以上の結果パラメータを取得し又はむしろ受信し、続いて、ステップ68で、第1のPFSパラメータPFS1の真正性、すなわちg^xの真正性を判定する。従って、PFS AKAモジュール52は、VC1及び1つ以上の結果パラメータに基づいて、PFSパラメータPFS1が真正であるかを判定する。これは、第1の検証コードのための鍵が1つ以上の結果パラメータに基づいていること、及び、VC1内で搬送されるMACを上記鍵を用いて検証することを通じて行われ得る。第1の検証コードがチャレンジの一部であるか、又はむしろチャレンジ検証コードAUTN、すなわちAUTNのMACサブフィールド内で搬送される場合、真正性を判定するために結果パラメータが取得されれば十分である。すなわち、USIM49は、AUTNの検証がUSIMの内部で失敗した場合には、いかなる結果パラメータも提供さえせず、エラーテータスコードを返却する。従って、第1の検証コードは、チャレンジ検証コードの少なくとも一部として提供されてもよい。このようにして、真正性は、USIM48が少なくとも1つの結果パラメータを提供することに基づいて判定される。
【0131】
少なくとも1つの結果パラメータは、予め共有される鍵K及び暗号処理手段を使用して上記チャレンジ又はチャレンジの派生を検証することの、アイデンティティモジュールによる失敗を示すエラー標識を含んでもよい。これは、RAND=g^x abd−AUTN検証がUSIMの内部で失敗した場合に当てはまり得る。そのようなエラー信号がPFS AKAモジュール52によって受信された場合、PFS AKAモジュール52は、第1のPFSパラメータが真正でないと直接的に判定し得る。
【0132】
その後、ME46又はむしろME46のPFS AKAモジュール52は、ステップ70で、第2のPFSパラメータPFS2及び第2の検証コードVC2を生成し、第2のPFSパラメータPFS2は、ベース値gのy(別のランダム値)乗、すなわちg^yとして生成され得る。一方、検証コードVC2は、第2のPFSパラメータPFS2及び鍵(例えば、結果パラメータのうちの1つ)又は結果パラメータの派生Kd(例えば、Kasme)のメッセージ認証コード(MAC)として生成され得る。このように、第2の検証コードは、第2のPFSパラメータと、結果パラメータ又は結果パラメータの派生を使用して計算され得る。この第2の検証コードVC2が応答パラメータRESに基づいて生成される場合、VC2は通常RESを搬送する情報エレメント内に符号化され得る。それは、次いで、例えばRES及びg^yのMACなど、RES及びg^yの関数として生成されてよく、この場合、RESが鍵として機能する。従って、PFSモジュールは、MAC(Kd,g^y,…)として、MAC(Kasme,g^y,…)として、又はMAC(RES,g^y,….)としてのいずれかで、VC2を計算する。次いで、第2のPFSパラメータPFS2及び第2の検証コードVC2は、ステップ72で、別個の応答パラメータRESと共に(Kdが鍵として使用された場合)、又は通常はRES情報エレメントであるはずのものにVC2を符号化することによって(RESが鍵として使用された場合)、のいずれかで第1のネットワークデバイスへ送信され、より具体的には、認証要求応答メッセージARE内で送信され得る。
【0133】
また、PFS AKAモジュール52は、第1及び第2の検証コードが特定の関係を満たすかどうかをも検証してよい。これあ当てはまるのは、第1のPFSパラメータ、すなわちg^xがチャレンジRAND内で符号化されておらず、第1の検証コードVC1がたとえば明示的なMACなどの別個のコードである場合であってよく、それはUSIMの外部で検証される。このケースにおいて、上記特定の関係は、等価性である。
【0134】
従って、第2のPFSパラメータPFS2及び第2の検証コードVC2、並びに、場合によっては別個の応答パラメータが、ステップ82で、例えば認証要求応答メッセージARE内で第1のネットワークデバイス44によって受信される。次いで、第1のネットワークデバイス44は、ステップ84で、応答パラメータRESの真正性を判定し、これはチャレンジ結果又は応答パラメータ値RESを期待されるチャレンジ結果XRESと比較することを通じて行われ得る。最後に、ステップ86で、第2の検証コードVC2に基づいて、第2のPFSパラメータPFS2が検証される。第2の検証コードVC2が応答RESとは別に提供される場合、ステップ86における検証は、第2の検証コードVC2を検証するために、初期セッション鍵Kasme又はその派生Kdを鍵として使用して、第2のPFSパラメータのMACに基づいてなされもよい。第2の検証コードVC2が、鍵としての応答パラメータ値に基づいて関数として提供され、VC2がRESパラメータ内に符号化された場合、第1のネットワークデバイスはステップ84と86とを同時に実行してもよく、なぜなら、第2の検証コードの正しい値は、UEが正しいRES、すなわちXRESにより示されるものと同じ値を使用したことを示唆するからである。
【0135】
これにより、通信セキュリティを強化する方式が実装されている。これは、より具体的には、PFSを提供することから、秘密である予め共有される鍵が破られている場合のセキュリティを強化する。
【0136】
その後のセッション、たとえば、UEとネットワークとの間の、より具体的にはUEと第1のネットワークデバイス44との間のデータ又はシグナリング交換では、この場合、セッション鍵を通信を保護するために使用すること、及びそのセッション鍵が第1及び第2のPFSパラメータに基づくことが可能である。セッション鍵は、より具体的には、g^(xy)に従って、ベースgの値x乗の値y乗に基づいてよい。代替的に、Kasmeとg^(xy)との結合という派生が使用されてもよい。それにより、理解し得ることとして、少なくとも第1及び第2のPFSパラメータを生成するために使用される値x及びyに基づくセキュアなセッション鍵が取得される。従って、これは、PFSパラメータのうちの1つと、他のPFSパラメータの指数とに基づいて生成される。これは、より具体的には、PFS AKAモジュール52が第1のPFSパラメータPFS1と第2のPFSパラメータPFS2の指数yとに基づいてセッション鍵を生成し得る一方で、第1のネットワークデバイス44が第2のPFSパラメータPFS2と第1のPFSパラメータPFS1の指数xとに基づいてセッション鍵を生成し得ることを意味し得る。
【0137】
次に、第2の実施形態について、図9を参照しながら説明する。図9は、HSSの形式の第2のネットワークデバイス、MMEの形式の第1のネットワークデバイス、及びMEとUSIMとに分けられるユーザ機器が関与するシグナリングチャートを示している。この実施形態において、第2のノード(HSS)は、現在のAKA仕様の一部ではないステップ群を実行し、図10については、チャレンジ検証コードをより詳細に示している。
【0138】
図10において見られるように、及び前に説明したように、AUTNパラメータによって提供されるチャレンジ検証コードは、フィールド:AMF(認証管理フィールド)、MAC(メッセージ認証コード)、及び、このケースでは匿名鍵AK)によって暗号化されるシーケンス番号標識SQNを含む。MACフィールドが第1の検証コードVC1Aとして使用されていることも理解され得る。ここで言及し得ることとして、第1の検証コードについてSQNフィールドを使用することも可能である。
【0139】
第2の実施形態は、ネットワーク/ネットワークデバイスからUE/通信デバイスへの送信の際にPFSパラメータとしてDH値を搬送するためにRANDパラメータを使用することに基づく::RAND=g^x、又は、g^xの派生。
【0140】
なお、DHのいくつかのバリエーションに従って計算されるPFSパラメータは、RANDの現在のところ標準化されているサイズである128ビットよりも実質的に大きいかもしれない。従って、これはUSIM−MEインターフェースに問題を生じさせかねない。これに対処するために、USIM(及びHSS、ホーム加入者サーバ)のf−アルゴリズムにRANDを入力する前に、例えば、暗号化ハッシングによって、提供されたRAND値が圧縮され得る。すなわち、RAND´=H(RAND)=H(g^x)であり、ここでは、Hは、適切な数のビットを生成する適切な関数であり、例えば、Hは、SHA2(SHAはSecure Hash Algorithmを表す)、AES(Advanced Encryption Standard)、HMAC(key-Hashed Message Authentication Code)などに基づいてよい。原理上、Hは、RANDから128ビットのセット、例えば、下位128ビットを選択する関数とすることもできる。UE側では、USIMにRAND´を入力する前に、HをME(例えば、PFSモジュール)に同様に適用することができる。RANDはUSIMを対象とするチャレンジであるので、理解し得ることとして、MEがそのようにしてチャレンジの派生を生成し及びそれをUSIMへ転送してもよい。結果として、(AUTN内に含まれる)AKA MACフィールドがRAND´に依存して計算されることになり、但し、Hの使用を通じて、実質的には依然としてRAND、すなわちg^xに依存して計算されるであろう。従って、このDH値のAuC(認証センター)/HSSからUSIMへの認証が、特にサービングネットワークとUEとの間のMITM攻撃を防止しながら獲得される。なぜなら、移送中のg^xの何らかの成りすまし又は修正は、UE内のUSIMにおいてAUTN検証によって検出されるはずだからである。
【0141】
図4及び図7を参照すると、これは、第1のPFSパラメータPSF1の修正又は捏造が、高い確率で、AUTN(より正確にはMACサブフィールド)の不正となることを示唆するであろう。その場合、AUTNの検証はUSIM48の内部で失敗し、USIMは、結果パラメータのいずれも、提供さえしないであろう。第1のPFSパラメータの真正性は、このようにして、USIM48が少なくとも1つの結果パラメータを提供することに基づいて判定される。
【0142】
より大きいRAND値は、AuC/HSSによって計算され、修正された形式の認証ベクトル(AV)内でMME(Mobile Management Entity)へ送信され得る。別の可能性は、MMEがAV内で通常通りのサイズで形成されたRANDを受信し、それをUEへ送信する前に、RANDにビットの集合を後方又は前方へ付加することによってRANDを拡張することである。この後者の場合、関数Hの選択は、受信されたRANDをMMEがどのように拡張したかに適合しなければならず、さもなければUSIMはRAND/AUTNのペアを拒否することになる。
【0143】
この第2の実施形態の残りは、AUTNが第1の検証コードVC1を提供するために使用され(以下、VC1Aに対応する)、又は等価的に、第1のPFSパラメータPFS1がRAND情報エレメント内に符号化されるという特別なケースにおける第1の実施形態と同一である。第2の実施形態の動作は、より具体的には、次のようになり、及び図9に示されている通りであり得る。・例えば、ネットワークアタッチ88の一部として、例えばIMSI(International Mobile Subscriber Identity)などの識別子がUE(USIM)から提供される。これは、10で、HSSへ転送される。・HSSは、89で、認証ベクトル(AV)を生成する。この実施形態によって追加されるいくつかの新たな構成要素に焦点を当てる(他の部分は概して影響を受けない)。具体的には、議論したようにRANDはg^xとして生成され、その圧縮されたバージョンRAND´がf1、f2、…等の通常のAKA計算で使用される。応答AV90において、HSSは、(MMEが後で共有鍵を計算できるようにするため)xを含める/追加する。従って、MMEはxからRANDを計算することができることから、HSSは、RANDを送信することを省略してもよい。同様に、今やセッション鍵K´をDH値(g^x及びg^y)から推測し得ることから、必ずしもCK及びIK(又はそこから導出される鍵、例えばLTEのKasme)を送信することは必要ではないかもしれない。CK及びIKが移送される必要があるかどうかは、本開示の他の箇所で議論される実施形態の詳細に依存する。・MMEは、20で、RAND及びAUNTをUE/USIMへ転送する。ここで、RANDは、チャレンジであると共に第1のPFSパラメータPFS1であり、AUTNのMACフィールドは、第1のPFSパラメータPFS1についての第1の検証コードVC1Aであり、なぜならそれは、実質的にg^xでもあるRANDに依存して計算されているためである。・UE(例えば、ME部分)は、RAND´=H(RAND)を計算し、92で、それをAKAパラメータ導出(RES、CK、IK)のためにUSIMへ送信する。注記したように、USIMが内部的にAUTNのMAC部分を検証する際、これは、g^xの真正性を検証するためにも供される。・USIMは、94で、RES、CK、IKによって応答し得る。MEがこの応答を受信することを通じて、第1のPFSパラメータPFS1が真正であると判定することもでき、さもなければ、これらのパラメータを含む応答は提供されないはずである。・UEは、96で、DH値g^y及び関連付けられる認証情報を生成する。従って、UEは、第2のPFSパラメータPFS2及び第2の検証コードVC2Aを生成する。第2の検証コードVC2Aは、MAC(Kd||…,g^y||…)という形式の値RES´として実現されることができる。認証情報の厳密な形式(使用すべき鍵Kdなど)は様々であってよい:−1つの変形例では、RESのみが鍵Kdのための基底として使用される。
−別の変形例では、RES及びCK、IKのうちの少なくとも1つがKdのための基底として使用される(これは、認証ベクトルを生成する際にHSSがこれらを含めたことを前提とする)。KasmeをKdのための基底として使用することもできる。このように、第2の検証コードVC2Aは、鍵Kdのための基底としてRESが使用されることを通じてRES’として生成され得る。なお、RESが認証/応答RES´の導出に含められない場合、MEがRESをも送信する必要があり得る。概して、RES´は、現在のAKAプロトコルのRESに置き換わってもよく、又はRESとは別の追加的なパラメータとして送信されてもよい。
次いで、MEは、24でMMEへg^y及びRES´を送信する。・MMEは、98で対応する計算を実行して、RES´を検証し及び共有鍵K´を計算し得る。g^(xy)への依存に加えて、K´は、HSSによって供給された場合、CK、IK(又はKasme鍵)に依存して計算されることもでき、たとえば、鍵導出関数Gについて、K´=G(g^(xy)、CK、IK、…)である。(例えば、暗号化などデータ保護のための)さらなる鍵がUE及びMME(図示せず)によってK´から導出されてもよい。
【0144】
第2の実施形態の変形例では、使用されるチャレンジはg^xのハッシュである。これは、HSSによって生成され、MMEによってUEへ送信されるRANDがg^xのハッシュであることを意味する。これにはg^xも伴う必要がある。それにより、MEがそのハッシュを計算することなく、MEからUSIMへRANDを直接的に送信することができる。
【0145】
第3の実施形態では、第2のノードは、現在のAKA仕様の一部ではないいかなるステップも実行しなくてよい。以下では、第2のノードが現在のAKA仕様に対する追加のステップを実行するいくつかのオプションが存在するが、これらのステップはオプションであり、望まれる場合には回避することができる。
【0146】
この実施形態では、g^xに関する情報をネットワーク(サービング又はホームネットワーク)からUEへ移送し又は搬送するために、RANDパラメータは使用されない。従って、第1の検証コードを搬送するためにAUNTを使用することもできない。代わりに、ネットワークはRANDをUEへ別個に送信し、RANDとして、その同じメッセージの新しい情報エレメント内にg^xを含める。注記したように、その送信はHSSを起点としてもよく、又はMMEを起点としてもよい(例えば、MMEがランダムxをローカルに生成する)。このケースにおいて、g^xは認証される必要があり、ネットワーク(サービング又はホーム)は、メッセージにg^xについて計算された追加のMACをもメッセージ内に含める。このMACのための鍵は、例えば、RES、又はCK/IKの一方又はその双方とすることができる。それは、Kasmeなど、その派生であってもよい。関数Hは、この実施形態では恒等関数である。それにより、派生はチャレンジと同一になる。この実施形態の1つの利点は、サービングネットワーク(例えば、MME)が値xを選択することができ、サービングネットワークとAuC/HSSとの間でこれをシグナリングする必要がないことである。実際には、今日使用されているようなこれらのノード間の同じシグナリングを再利用することができる。欠点は、より大きいg^x値と共に、128ビットRANDをサービングネットワークからUEへ送信する必要があることである。従って、エアインターフェース上にいくらかより多くの帯域幅を要する。
【0147】
以下に、図10を参照しながら第3の実施形態をさらに説明する。図10は、USIM、ME、MME及びHSSが関与するシグナリングチャートを示している。・動作は、MMEが10で認証ベクトルを求める要求をHSSへ送信することにより開始し得る。HSSは、100で、RAND、AUTN、XRES及びセッション鍵Kasmeを含む認証ベクトル応答で応答する。次いで、MMEは、第1のPFSパラメータPFS1を生成すると共に、第1の検証コードVC1Bを生成し、ここで、第1のPFSパラメータPFS1は、g^xとして生成されてもよく、第1の検証コードVC1Bは、例えばXRES又はKasmeを共通鍵として使用して、MAC(g^x)として生成されてもよい。これが終了すると、MMEは、20で、認証要求メッセージをUEのMEへ送信する。このケースにおける認証要求は、RAND、AUTN、g^x及びMAC(g^x)を含む。次いで、MEは、102で、AUTNの一部としてチャレンジRAND及びチャレンジ検証コードをUSIMへ転送し、USIMは、104で、鍵CK/IK及び応答パラメータRESで応答する。それにより、USIMは、チャレンジに正しく応答したことになる。次いで、MEは、第1の検証コードVC1Bを使用して第1のPFSパラメータPFS1を認証する。このケースでは、これは、共通鍵を通じて第1の検証コードVC1Bが生成されることを通じて行われ得る。共通鍵は、このケースでは、(MEにおける応答パラメータ値RESと同一である)XRESであった。次いで、MEは、第2のPFSパラメータPFS2及び第2の検証コードVC2Bを生成し、第2のPFSパラメータPFS2は、g^yとして生成され、第2の検証コードVC1Bは、いずれもMMEにとっては既知であるCK/IK、Kasme又はRESのいずれかを使用してMAC(g^y)として生成されてよく、認証応答メッセージ24で結果RESと共にこれらを送信する。次いで、MMEは、RESとXRESとの比較を通じて結果を検証し、また、MAC(g^y)及び適切な鍵、例えばCK/IK又はXRESなどを使用してg^yを検証する。その後、MEは、106で、g^(xy)の関数としてセッション鍵K´を計算し、その関数は、典型的にはg^(xy)のハッシュである。また、MMEは、108で、g^(xy)の同じ関数としてセッション鍵K´を計算する。
【0148】
それにより、UEは、改善されたセキュリティで第1のワイヤレスネットワークと通信することができる。
【0149】
理解すべきこととして、この第3の実施形態においても、たとえば、第2の検証コードVC2Bを計算するために使用される鍵が前の実施形態の場合のようにRESに依存する場合、第2の検証コードとしてRES´を使用することが可能である。
【0150】
なお、全ての実施形態が、米国特許第7,194,765号において開示された発明と組み合わせられてもよい。このケースにおいて、HSSがMMEにXRESを提供するのではなく、むしろXRES´=H(XRES)である。UEは、次いで、MMEがXRES´を計算し及び検証できるように、RESをMMEへ明示的にシグナリングし得る。このケースにおいて、CK及びIK(又はそこから導出される何らかの鍵)のうちの少なくとも1つをRES´の計算に含めるべきである。
【0151】
なお、あらためて言うと、GBA及びEAP−AKAはAKAを活用することから、当業者であれば、この説明の後に、説明した実施形態をそれら文脈にも簡易な修正により適用することができることを理解するであろう。本開示の実施形態の少なくとも1つの利点として、ネットワーク認証、たとえば、モバイルネットワーク認証にPFSが低コストで又は最小のコストで追加され、AKAプロトコルのためのSIM−MEインターフェースとの後方互換性が可能となり及び/又は保証される。本開示の実施形態の少なくとも1つの別の利点は、ハッキングされたHSS及びハッキングされたスマートカードベンダーサイトなど、長期鍵の侵害の影響を制限することである。他の利点は、追加的な送信信号の使用を回避することを含み、それによってエネルギーが節約される。
【0152】
モバイル機器のコンピュータプログラムコードは、例えばCD ROMディスク又はメモリスティックなど、データ記憶媒体の形式のコンピュータプログラムプロダクトの形式であり得る。このケースにおいて、データ記憶媒体は、上記のモバイル機器の機能性を実装するコンピュータプログラムコードを有するコンピュータプログラムを担持する。コンピュータプログラムコード112を有する1つのそのようなデータ記憶媒体110は、図12に概略的に示されている。
【0153】
第1のネットワークデバイスのコンピュータプログラムコードは、例えばCD ROMディスク又はメモリスティックなど、データ記憶媒体の形式のコンピュータプログラムプロダクトの形式であり得る。このケースにおいて、データ記憶媒体は、上記の第1のネットワークデバイスの機能性を実装するコンピュータプログラムコードを有するコンピュータプログラムを担持する。コンピュータプログラムコード116を有する1つのそのようなデータ記憶媒体114は、図13に概略的に示されている。
【0154】
図14に概略的に示すように、通信デバイス40は、いくつかの実施形態では、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信するための受信ユニット118と、チャレンジ又はその派生をアイデンティティモジュールへ転送するための転送ユニット120と、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信するための受信ユニット122と、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定するための判定ユニット124と、上記判定において第1のPFSパラメータが真正である場合に、第2のPFSパラメータを生成し及びネットワークデバイスへ送信するための生成ユニット126と、を含み得る。これらユニットは、一実施形態において、ソフトウェア命令に対応する。別の実施形態において、これらユニットは、ASIC又はFPGAなど1つ以上のハードウェア回路内のハードウェアユニットとして実装される。
【0155】
通信デバイスは、通信デバイスとネットワークデバイスとの間の通信のためのセッション鍵を生成するための生成ユニットをさらに含んでもよく、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
【0156】
チャレンジ、第1のPFSパラメータ、及び第1の検証コードを受信するための受信ユニット118は、さらに、認証要求メッセージ内でネットワークデバイスからチャレンジ、第1のPFSパラメータ、及び第1の検証コードを受信するための受信ユニットであってもよく、認証要求メッセージは、チャレンジ検証コードをも含む。少なくとも1つの結果パラメータを受信するための受信ユニット122は、転じて、チャレンジに対する応答として応答パラメータを受信するための受信ユニットであってもよく、生成ユニット126は、第2の検証コードと共に第2のPFSパラメータを生成し及びこれらを応答パラメータをも含む認証応答メッセージ内で送信するための生成ユニットであってもよい。
【0157】
判定ユニット124はさらに、認証要求メッセージの対応する別個の情報エレメント内に含まれる第1の検証コードを使用して第1のPFSパラメータの真正性を判定するための判定ユニットであってもよい。
【0158】
第1の検証コードがチャレンジ検証コードの少なくとも一部として提供される場合、判定ユニット124は、さらに、アイデンティティモジュールが少なくとも1つの結果パラメータを提供することに基づいて第1のPFSパラメータの真正性を判定するための判定ユニットであってもよい。
【0159】
生成ユニット126は、応答パラメータに基づいて第2の検証コードを生成し、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを送信する、ための生成ユニットであってもよい。
【0160】
図15に示すように、第1のネットワークデバイス44は、いくつかの実施形態において、チャレンジを取得するための取得ユニット128と、第1のPFSパラメータを取得するための取得ユニット130と、第1のPFSパラメータについての第1の検証コードを取得するための取得ユニット132と、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信するための送信ユニット134と、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信するための受信ユニット136と、応答パラメータの真正性を判定するための判定ユニット138と、第2の検証コードに基づいて第2のPFSパラメータを検証するための検証ユニット140と、を含み得る。
【0161】
これらユニットは、一実施形態において、ソフトウェア命令に対応する。別の実施形態において、これらユニットは、ASIC又はFPGAなど1つ以上のハードウェア回路内のハードウェアユニットとして実装される。
【0162】
第1のネットワークデバイス44は、さらに、通信デバイスと第1のネットワークデバイスとの間の通信のためのセッション鍵を計算するための計算ユニットをさらに含んでもよく、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
【0163】
チャレンジを取得するための取得ユニット128は、チャレンジ検証コードを取得するための取得ユニットであってもよく、送信ユニット134は、チャレンジ、第1のPFSパラメータ及び第1の検証コードを、チャレンジ検証コードと共に認証要求メッセージ内で送信するための送信ユニットであってもよく、受信ユニット136は、認証応答メッセージ内で第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信するための受信ユニットであってもよい。
【0164】
第1の検証を取得するための取得ユニット132は、第1のPFSパラメータを使用して第1の検証コードを生成するための生成ユニットを含んでもよく、送信ユニット134は、認証要求メッセージの対応する別個の情報エレメント内で第1の検証コードを送信するための送信ユニットであってもよい。
【0165】
第1のネットワークデバイスは、第1のPFSパラメータの生成において使用されるべき値xを受信するための受信ユニットを含んでもよい。指数値である値xは、シード値と称されてもよい。このケースにおいて、第1の検証コードを取得するための取得ユニット132は、チャレンジ検証コードの少なくとも一部として第1の検証コードを取得するための取得ユニットであってもよく、送信ユニット134は、第1の検証コードをチャレンジ検証コードの少なくとも一部として認証要求メッセージ内で送信するための送信ユニットであってもよい。
【0166】
チャレンジを取得するための取得ユニット128は、期待されるチャレンジ結果を取得するための取得ユニットであってもよく、判定ユニット138は、期待されるチャレンジ結果との比較を通じて応答パラメータの真正性を判定するための判定ユニットであってもよい。
【0167】
応答パラメータは、第2の認証コードが応答パラメータに基づくことを通じて認証応答メッセージに含められてもよい。このケースにおいて、受信ユニット136は、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを受信するための受信ユニットであってもよく、判定ユニット138及び検証ユニット140は、第2の検証コードを使用して、応答パラメータの真正性の判定と第2のPFSパラメータの検証とを同時に行うための、組み合わせとしての判定及び検証ユニットであってもよい。
【0168】
図16に概略的に示すように、第2のネットワークデバイスは、転じて、いくつかの実施形態において、第1のネットワークデバイスへチャレンジを送信するための送信ユニット14を含み得る。
【0169】
第2のネットワークデバイスは、さらに、少なくとも値xに基づいて第1のPFSパラメータを生成することを通じて、第1のPFSパラメータを取得するための値を提供するための提供ユニット144と、第1のPFSパラメータを使用してチャレンジ検証コードを生成するための生成ユニットと、第1のネットワークデバイスへ上記値を送信するための送信ユニットとを含んでもよい。
【0170】
これらユニットは、一実施形態において、ソフトウェア命令に対応する。別の実施形態において、これらユニットは、ASIC又はFPGAなど1つ以上のハードウェア回路内のハードウェアユニットとして実装される。
【0171】
本発明は、最も実用的で好ましい実施形態であると今のところ考えられているものとの関連で説明されているが、本発明は、開示された実施形態に限定されるものではなく、むしろ、多様な修正例及び均等の構成を包含することが意図されることが理解されるべきである。従って、本発明は、以下の特許請求の範囲によってのみ限定される。