知財求人 - 知財ポータルサイト「IP Force」
特許7335342電気通信ネットワークにおける端末内の移動体装置と協働するセキュアエレメントを認証する方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-08-21
(45)【発行日】2023-08-29
(54)【発明の名称】電気通信ネットワークにおける端末内の移動体装置と協働するセキュアエレメントを認証する方法
(51)【国際特許分類】
H04W 12/041 20210101AFI20230822BHJP
H04L 9/32 20060101ALI20230822BHJP
H04L 9/08 20060101ALI20230822BHJP
H04W 12/06 20210101ALI20230822BHJP
H04W 12/043 20210101ALI20230822BHJP
【FI】
H04W12/041
H04L9/32 200A
H04L9/32 200F
H04L9/08 C
H04W12/06
H04W12/043
【請求項の数】
7
(21)【出願番号】P 2021541565
(86)(22)【出願日】2020-01-16
(65)【公表番号】
(43)【公表日】2022-03-09
(86)【国際出願番号】 EP2020051045
(87)【国際公開番号】W WO2020148397
(87)【国際公開日】2020-07-23
【審査請求日】2021-08-23
(31)【優先権主張番号】19305068.9
(32)【優先日】2019-01-18
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】519283417
【氏名又は名称】タレス ディアイエス フランス エスアー
(74)【代理人】
【識別番号】100086368
【弁理士】
【氏名又は名称】萩原 誠
(72)【発明者】
【氏名】リー タン,ファン
(72)【発明者】
【氏名】ミレイユ パウリアック
【審査官】竹内 亨
(56)【参考文献】
【文献】国際公開第2018/169071(WO,A1)
【文献】NTT DOCOMO INC.,3<SP>rd</SP> Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 15)[online],3GPP TS33.501 V15.2.0,Internet<URL:https://www.3gpp.org/ftp/Specs/archive/33_series/33.501/33501-f20.zip>,2018年09月21日,P1, 31-44
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00-99/00
H04B 7/24-7/26
H04L 9/32
H04L 9/08
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
SEAF及びAUSF/UDM/ARPFを備える電気通信ネットワークにおける端末と協働するセキュアエレメントを認証する方法であって、前記方法が、3GPP(登録商標) TS 33.501による前記端末と前記SEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成することを含み、前記アンカー鍵(KSEAF_SRT)が、前記AUSF/UDM/ARPFにおいて、下記のステップ(i)~(iii)
(i)前記端末より前記SEAFを介して、少なくとも下記a)~c)を含むSUCIを受信し、
a)前記AUSF/UDM/ARPFのMCC/MNCコード;
b)前記AUSF/UDM/ARPFの公開鍵により暗号化されたMSIN及び安全な登録トークンSRT;
c)前記公開鍵の鍵識別子;
(ii)前記AUSF/UDM/ARPFにおいて復号されたSUCIから加入者識別番号IMSIと前記安全な登録トークンSRTとを取得し、前記加入者識別番号IMSIからこれに関連付けられた長期鍵Kを取得し、前記長期鍵K及び前記安全な登録トークンSRTから鍵KSRTを生成し、
(iii)前記セキュアエレメントにおいて、ランダムチャレンジRANDと前記鍵KSRTを用いた演算により得られた中間鍵KAUSF_SRTを使用した前記アンカー鍵(KSEAF_SRT)の演算を実行する、
を介して導出されることを特徴とする方法。
【請求項2】
a. 前記端末が、乱数、又は予め増加させた連続数である前記安全な登録トークンSRTを生成し、b. 前記端末が、前記加入者識別番号IMSIに加えて、前記安全な登録トークンSRTの暗号化を含む前記SUCIを、前記SEAFを介して送信することによって前記AUSF/UDM/ARPFに登録し、
c. 前記AUSF/UDM/ARPFが、前記加入者識別番号IMSI及び前記安全な登録トークンSRTを取得する登録メッセージを受信すると、前記加入者識別番号IMSIに関連付けられた前記長期鍵Kを取得し、
d. 前記AUSF/UDM/ARPFが前記長期鍵K及び前記安全な登録トークンSRTから導出される前記鍵KSRTを計算し、前記AUSF/UDM/ARPFが、前記ランダムチャレンジRAND、認証トークンAUTNSRT、第1の期待チャレンジ応答XRES* SRT、及び前記第1の期待チャレンジ応答XRES* SRTから導出される第2の期待チャレンジ応答HXRES* SRTを含む認証ベクトルAVSRTを、前記安全な登録トークンSRT及び前記長期鍵Kに基づいて計算し、
e. 前記AUSF/UDM/ARPFが、3GPP TS 33.501による前記端末と前記SEAFとの間の通信のための、前記鍵KSRTから間接的に導出される前記アンカー鍵(KSEAF_SRT)を計算し、
f. 前記AUSF/UDM/ARPFが前記SEAFに前記認証ベクトルAVSRTを送信し、
g. 前記SEAFが、前記認証ベクトルAVSRTを局所的に格納し、3GPP TS 33.501に従って前記認証ベクトルAVSRTに含まれている前記ランダムチャレンジRAND及び前記認証トークンAUTNSRTを端末に送信し、
h.前記端末が、受信した前記ランダムチャレンジRAND及び前記認証トークンAUTNSRTの有効性の検証を、前記端末が
i. 局所的に格納されている前記安全な登録トークンSRTと、前記セキュアエレメントに格納され、前記AUSF/UDM/ARPFに格納されている前記長期鍵Kと同じ値を有する端末の局所的に格納されている長期鍵Kとに基づいて登録鍵KSRTを導出し、
ii. 前記端末の局所的に格納されている前記長期鍵K及び前記安全な登録トークンSRTに基づいて期待されるAUTNSRTを局所的に計算し、
iii. 前記期待されるAUTNSRTが前記SEAFから受信した前記認証トークンAUTNSRTに等しいかどうかをチェックする
ことによって行い、
i. ステップh.iiiにおける前記チェックするステップが成功した場合に、前記端末が、ステップh.iで計算された前記登録鍵KSRT及び前記受信したランダムチャレンジRANDに基づいてチャレンジ応答RES* SRTを計算し、
j. 前記端末が、3GPP TS 33.501による前記端末と前記SEAFとの間の通信のための、前記端末の前記長期鍵K及び前記安全な登録トークンSRTから導出することによって得られた前記登録鍵KSRTから間接的に導出される別のアンカー鍵KSEAF_SRTを生成し、
k. 前記端末が、前記端末により計算された前記チャレンジ応答RES* SRTを前記SEAFに送信し、
l. 前記SEAFが、受信した前記チャレンジ応答RES* SRTから別のHRES* SRTを導出し、前記HRES* SRTがステップgで局所的に格納された前記認証ベクトルAVSRTに含まれる前記第2の期待チャレンジ応答HXRES* SRTに等しいかを検証し、
m. ステップlにおける前記検証が成功した場合に、前記SEAFがチェックに成功した前記チャレンジ応答RES* SRTを前記AUSF/UDM/ARPFに送信し、
n. 前記AUSF/UDM/ARPFが、前記SEAFから受信した前記チャレンジ応答RES* SRTがステップdで計算された前記第1の期待チャレンジ応答XRES* SRTに等しいかを検証し、
o. ステップnにおける前記検証が成功した場合に、前記端末が前記AUSF/UDM/ARPFによって認証されたと見なされ、前記AUSF/UDM/ARPFが、3GPP TS 33.501による前記端末の認証の状態を示す認証結果及びステップeで計算された前記アンカー鍵(KSEAF_SRT)を前記SEAFに送信し、
p. 前記端末及び前記SEAFが、3GPP TS 33.501に規定される通信のための前記アンカー鍵(KSEAF_SRT)を使用する、請求項1に記載の方法。
【請求項3】
a. 前記端末が、乱数、又は予め増加させた連続数である前記安全な登録トークンSRTを生成し、b. 前記端末が、前記加入者識別番号IMSIに加えて、前記安全な登録トークンSRTの暗号化を含む前記SUCIを、前記SEAFを介して送信することによって前記AUSF/UDM/ARPFに登録し、
c. 前記AUSF/UDM/ARPFが、前記加入者識別番号IMSI及び前記安全な登録トークンSRTを取得する登録メッセージを受信すると、前記加入者識別番号IMSIに関連付けられた前記長期鍵Kを前記AUSF/UDM/ARPFによって取得し、
d. 前記AUSF/UDM/ARPFが前記ランダムチャレンジRANDを生成し、前記長期鍵K及び前記ランダムチャレンジRANDから、認証トークンAUTN、第1の期待チャレンジ応答XRES*、第1の暗号鍵CK、第1の完全性鍵IK、及び3GPP TS 33.501に規定される前記第1の期待チャレンジ応答XRES*から導出される第2の期待チャレンジ応答HXRES*を導出し、
e. 前記AUSF/UDM/ARPFが、前記第1の暗号鍵CK及び前記安全な登録トークンSRTから導出される第2の暗号鍵CKSRT、及び前記第1の完全性鍵IK及び前記安全な登録トークンSRTから導出される第2の完全性鍵IKSRTを生成し、
f. 前記AUSF/UDM/ARPFが、3GPP TS 33.501による前記端末と前記SEAFとの間の通信のための、前記第2の暗号鍵CKSRT及び前記第2の完全性鍵IKSRTから導出される前記中間鍵KAUSF_SRTから導出される前記アンカー鍵(KSEAF_SRT)を計算し、
g. 前記AUSF/UDM/ARPFが前記SEAFに認証ベクトルAVSRTを送信し、
h. 前記SEAFが、前記認証ベクトルAVSRTを局所的に格納し、ステップgで計算された3GPP TS 33.501に従って前記認証ベクトルAVSRTに含まれている前記ランダムチャレンジRAND及び前記認証トークンAUTNを前記端末に送信し、
i. 前記端末が、受信した前記ランダムチャレンジRAND及び前記認証トークンAUTNの有効性の検証を、前記端末が
i. 前記端末が、端末の局所的に格納されている長期鍵Kと前記受信したランダムチャレンジRANDから、3GPP TS 33.501に規定される、期待される認証トークンXAUTN、端末チャレンジ応答RES*、第1の端末暗号鍵CK、第1の端末完全性鍵IKを導出し、
ii. 前記端末が、前記第1の端末暗号鍵CK及び前記安全な登録トークンSRTから導出される第2の端末暗号鍵CKSRT、及び前記第1の端末完全性鍵IK及び前記安全な登録トークンSRTから導出される第2の端末完全性鍵IKSRTを生成し、
iii. 前記端末が、3GPP TS 33.501による前記端末と前記SEAFとの間の通信のための、前記第2の端末暗号鍵CKSRT及び前記第2の端末完全性鍵IKSRTから導出される端末鍵KAUSF_SRTから導出される別の端末アンカー鍵(KSEAF_SRT)を計算する、
ことによって行い、
j. ステップiにおける前記検証が成功した場合に、前記端末が、前記端末により計算された前記端末チャレンジ応答RES*を前記SEAFに送信し、
k. 前記SEAFが、受信した前記端末チャレンジ応答RES*から別のHRES*を導出し、前記HRES*がステップhで局所的に格納された前記認証ベクトルAVSRTに含まれる前記第2の期待チャレンジ応答HXRES*に等しいかを検証し、
l. ステップkにおける前記検証が成功した場合に、前記SEAFがチェックに成功した前記端末チャレンジ応答RES*を前記AUSF/UDM/ARPFに送信し、
m. 前記AUSF/UDM/ARPFが、前記SEAFから受信した前記端末チャレンジ応答RES*がステップdで計算された前記第1の期待チャレンジ応答XRES*に等しいかを検証し、
n. ステップmにおける前記検証が成功した場合に、前記端末が前記AUSF/UDM/ARPFによって認証されたと見なされ、前記AUSF/UDM/ARPFが、3GPP TS 33.501による前記端末の認証の状態を示す認証結果及びステップfで計算された前記アンカー鍵(KSEAF_SRT)を前記SEAFに送信し、
o. 前記端末及び前記SEAFが、3GPP TS 33.501に規定される通信のための前記アンカー鍵(KSEAF_SRT)を使用する、請求項1に記載の方法。
【請求項4】
前記安全な登録トークンSRTが乱数である、請求項1乃至3のいずれかに記載の方法。
【請求項5】
前記安全な登録トークンSRTが認証要求ごとに前記セキュアエレメントによって変更される、請求項1乃至4のいずれかに記載の方法。
【請求項6】
SEAF及びAUSF/UDM/ARPFを備える電気通信ネットワークにおける端末内の移動体装置と協働するよう意図されたセキュアエレメントであって、前記AUSF/UDM/ARPFが、3GPP TS 33.501による前記端末と前記SEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成することを含み、前記アンカー鍵(KSEAF_SRT)が、前記AUSF/UDM/ARPFにおいて、下記のステップ(i)~(iii)
(i)前記端末より前記SEAFを介して、少なくとも下記a)~c)を含むSUCIを受信し、
a)前記AUSF/UDM/ARPFのMCC/MNCコード;
b)前記AUSF/UDM/ARPFの公開鍵により暗号化されたMSIN及び安全な登録トークンSRT;
c)前記公開鍵の鍵識別子;
(ii)前記AUSF/UDM/ARPFにおいて復号されたSUCIから加入者識別番号IMSIと前記安全な登録トークンSRTとを取得し、前記加入者識別番号IMSIからこれに関連付けられた長期鍵Kを取得し、前記長期鍵K及び前記安全な登録トークンSRTから鍵KSRTを生成し、
(iii)前記セキュアエレメントにおいて、ランダムチャレンジRANDと前記鍵KSRTを用いた演算により得られた中間鍵KAUSF_SRTを使用した前記アンカー鍵(KSEAF_SRT)の演算を実行する、
を介して導出されることを特徴とするセキュアエレメント。
【請求項7】
SEAFと、電気通信ネットワークにおける端末内の移動体装置と協働するよう意図されたセキュアエレメントとを備える前記電気通信ネットワークのAUSF/UDM/ARPFであって、前記AUSF/UDM/ARPFが、3GPP TS 33.501による前記端末と前記SEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成することを含み、前記アンカー鍵(KSEAF_SRT)が、前記AUSF/UDM/ARPFにおいて、下記のステップ(i)~(iii)
(i)前記端末より前記SEAFを介して、少なくとも下記a)~c)を含むSUCIを受信し、
a)前記AUSF/UDM/ARPFのMCC/MNCコード;
b)前記AUSF/UDM/ARPFの公開鍵により暗号化されたMSIN及び安全な登録トークンSRT;
c)前記公開鍵の鍵識別子;
(ii)前記AUSF/UDM/ARPFにおいて復号されたSUCIから加入者識別番号IMSIと前記安全な登録トークンSRTとを取得し、前記加入者識別番号IMSIからこれに関連付けられた長期鍵Kを取得し、前記長期鍵K及び前記安全な登録トークンSRTから鍵KSRTを生成し、
(iii)前記セキュアエレメントにおいて、ランダムチャレンジRANDと前記鍵KSRTを用いた演算により得られた中間鍵KAUSF_SRTを使用した前記アンカー鍵(KSEAF_SRT)の演算を実行する、
を介して導出されることを特徴とするAUSF/UDM/ARPF。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電気通信、より正確には電気通信ネットワークにおける端末内の移動体装置と協働するセキュアエレメントを認証する方法に関する。
【背景技術】
【0002】
本発明は、USIM、より一般的にはその他のxUICC製品(埋め込まれている又はそうでない、eUICC(埋め込みUICC)又はiUICC(組み込みUICC)など)に関する。xUICCはUSIM(汎用Simアプリケーション)を埋め込む。
【0003】
本明細書では、端末及びユーザ装置(UE)という表現は区別なく用いられる。端末又はUEは、移動体装置と、移動体装置と協働するセキュアエレメント(xUICC)とから構成される。
【0004】
3GPPの設立以来、受動的な盗聴が無線通信における重要な問題であることが知られている。2Gから現今の5Gまで、エアインターフェイスの完全性及び機密性は、AUSF/UDM/ARPFシステム及びUSIMに格納されている秘密鍵‘K’に依拠している。この秘密鍵K(かつては2Gネットワークに関連する3GPP仕様書でKiと呼ばれていた)は、3GPP仕様書TS 33.501、例えば5Gネットワーク向けの2018年12月付のバージョンV15.3.1において“長期鍵K”という名称で知られている。
【0005】
この仕様書は参照によって本明細書に組み込まれる。
【0006】
図1は、典型的には認証が5G環境でどのようにして行われるかを説明するフローチャートを示している。この図には、次のいくつかの要素が示されている。
-ユーザ装置20(UE又は端末)。すなわちセキュアエレメント(USIM)と協働する移動体装置(ME)。
-通常、VPLMN(訪問先公衆陸上移動体ネットワーク)又はHPLMNであり得るサービングネットワークレベルにあるSEAF21(セキュリティアンカー機能)。
-AUSF(認証サーバ機能)、UDM/ARPF22(統合データ管理/認証クレデンシャルリポジトリ及び処理機能)。AUSF/UDM/ARPFはHPLMN22(ホーム公衆陸上移動体ネットワーク)レベルにある。
-ユーザ装置20(UE又は端末)。すなわちセキュアエレメント(USIM)と協働する移動体装置(ME)。
-通常、VPLMN(訪問先公衆陸上移動体ネットワーク)又はHPLMNであり得るサービングネットワークレベルにあるSEAF21(セキュリティアンカー機能)。
-AUSF(認証サーバ機能)、UDM/ARPF22(統合データ管理/認証クレデンシャルリポジトリ及び処理機能)。AUSF/UDM/ARPFはHPLMN22(ホーム公衆陸上移動体ネットワーク)レベルにある。
【0007】
SEAF21はAUSFから中間鍵を受信する。
【0008】
AUSF(HSS、EAPサーバ)はARPFと相互作用し、SEAFからの要求を終了する。AUSFはオペレータのネットワーク又は第三者システムに存在する。
【0009】
UDM/ARPFはAuC(認証センター)に対応する。UDM/ARPFは長期的なセキュリティクレデンシャルを格納し、オペレータのホームネットワークドメインシステムに存在する。
【0010】
TS 33.501、例えば2018年12月付のバージョンV15.3.1には、この図に示されているような認証(AKA-認証及び鍵合意)がどのようにして行われるかが記載されている。
【0011】
(3GPP TS 33.501の§6.1.3.2に記載される)様々なステップが示される。
【0012】
ステップ1において、各Nudm_Authenticate_Get要求に対して、UDM/ARPFは5G HE AV(認証ベクトル)を作成する。UDM/ARPFは、TS 33.102に定義されるように“1”に設定された認証管理フィールド(AMF)分離ビットを含むAVを生成することによってこれを行う。次いでUDM/ARPFはKAUSFを導出し、XRES*を計算する。最終的にUDM/ARPFは、RAND、AUTN、XRES*及びKAUSFから5G HE AVを作成する。
【0013】
ステップ2において、UDMは、Nudm_UEAuthentication_Get応答で、5G HE AVが5G‐AKAに使用できる旨の表示と共に5G HE AVをAUSFに返す。Nudm_UEAuthentication_Get要求にSUCIが含まれていた場合に、UDMはNudm_UEAuthentication_Get応答にSUPIを含めることになる。
【0014】
ステップ3において、AUSFは、受信したSUPIと共にXRES*を一時的に格納する。AUSFはKAUSFを格納することがある。
【0015】
ステップ4において、AUSFは、XRES*からHXRES*を、KAUSFからKSEAFを計算することによって、UDM/ARPFから受信した5G HE AVから5G SE AVを生成し、5G HE AVにおいてXRES*をHXRES*に、KAUSFをKSEAFに置き換える。
【0016】
ステップ5において、AUSFはKSEAFを取り除き、Nausf_UEAuthentication_Authenticate応答で5G SE AV(RAND,AUTN,HXRES*)をSEAFに返す。
【0017】
ステップ6において、SEAFは、NASメッセージ認証要求でRAND,AUTNをAMF(ここでは図示されていない)を介してUEに送信する。このメッセージはまた、UE(USIMと協働するME)により使用されるngKSIと、KAMF及び認証が成功した場合に作成される部分的ネイティブセキュリティコンテキストを識別するためのAMFとを含むことができる。MEは、NASメッセージ認証要求で受信したRAND及びAUTNをUSIMに転送するものとする。
【0018】
ステップ7において、RAND及びAUTNを受信すると、USIMは、TS 33.102に記載されるようにAUTNを受け入れることができるかどうかをチェックすることによって5G AVの新鮮さを検証する。AUTNを受け入れることができる場合に、USIMは応答RESを計算する。USIMはRES、CK、IKをMEに返す。USIMがTS 33.102に記載されるように変換関数c3を用いてCK及びIKからKc(すなわちGPRS Kc)を計算し、これをMEに送信する場合に、MEはこのようなGPRS Kcを無視し、このGPRS KcをUSIM又はMEに格納しないものとする。MEは次にRESからRES*を計算する。MEはCK||IKからKAUSFを計算する。MEはKAUSFからKSEAFを計算するものとする。
【0019】
ステップ8において、UEはNASメッセージ認証応答でRES*をSEAFに返す。
【0020】
ステップ9において、SEAFはRES*からHRES*を計算し、SEAFはHRES*とHXRES*を比較する。これらが一致する場合、SEAFはサービングネットワークの観点から認証が成功したと見なす。
【0021】
ステップ10において、SEAFは、UEから受信するRES*を、Nausf_UEAuthentication_Authenticate要求メッセージでAUSFに送信する。
【0022】
ステップ11において、AUSFは、RES*を含むNausf_UEAuthentication_Authenticate要求メッセージを認証確認として受信する。RES*とXRES*が等しい場合、AUSFはホームネットワークの観点から認証が成功したものと見なす。AUSFは認証結果についてUDMに知らせる。
【0023】
ステップ12において、AUSFは、認証がホームネットワークの観点から成功したか否かをNausf_UEAuthentication_Authenticate応答でSEAFに示す。認証が成功した場合は、KSEAFはNausf_UEAuthentication_Authenticate応答でSEAFに送信される。AUSFが認証においてSEAFからSUCIを受信した場合、かつ認証が成功した場合は、AUSFはNausf_UEAuthentication_Authenticate応答メッセージにSUPIも含む。
【0024】
認証が成功した場合、Nausf_UEAuthentication_Authenticate応答メッセージで受信した鍵KSEAFは、鍵階層でいうところのアンカー鍵になる。そしてSEAFはKSEAFからKAMFを導出する。
【0025】
この認証にSUCIが使用される場合、SEAFは、SUPIを含むNausf_UEAuthentication_Authenticate応答メッセージを受信した後に、ngKSI及びKAMFをAMFに提供するのみとし、SUPIがサービングネットワークに知られるまでUEに通信サービスが提供されないことになる。
【0026】
図2は、SUCI(サブスクリプション秘匿化識別子)をどのようにして生成することができるかを示している。この図は一目瞭然である。SUCIは、少なくとも平文のMCC/MNC(移動体国コード/移動体ネットワークコード)コードと、ホームネットワークの公開鍵で暗号化されたMSIN(移動体加入者識別子)とを含む。ホームネットワークは、SUCIを受信すると、これをそのサブスクリプション識別子秘匿化解除機能(SIDF)によって公開鍵で解読してMSIN(非対称鍵ソリューション)を取得し、ひいてはSUCIからSUPIを取得する。したがって、SUCIは部分的に暗号化されたSUPI(サブスクリプション永続識別子)である。SUCIのフォーマットは3GPP TS 23.003で特定されている。SUCIがUEによりどのようにして計算されるかについての一例が3GPP TS 33.501に示されている。
【0027】
図3は、AUTNメッセージがどのようにして生成されるのかと、結果として生じるAVとを示している。
【0028】
まとめると、3G、4G又は5Gデバイス及びネットワーク認証プロセスにおいて、まずAUSF/UDM/ARPFによってランダムチャレンジ(RAND)が、これと共に事前共有秘密鍵K及びランダムチャレンジRANDに基づいた認証トークン(AUTN)が生成される。ポイントツーポイント認証の反対側で、USIMは、AUSF/UDM/ARPFから受信したランダムチャレンジ(RAND)及びそれ自体の事前共有秘密鍵Kに基づいて応答を計算しなければならない。USIMはまた、その計算した応答をAUSF/UDM/ARPFに返す前に、AUSF/UDM/ARPFから受信したもの(AUTN)に等しいことを検証する期待される認証トークン(XAUTN)を計算する。
【0029】
次いでAUSF/UDM/ARPFは、その期待応答に対するUSIM応答を検証してUSIM識別番号を確認する。
【0030】
次いで、事前共有秘密鍵K及びパーティ間で交換されたランダムチャレンジに基づいてエアインターフェイスの完全性及び機密性を保護するために、通信の両側で鍵が生成される。
【0031】
このようなプロセスにおける注意点は事前共有秘密鍵Kに対する感度である。本発明では、事前共有秘密鍵Kが3GPPエンティティ(輸送中及び格納時)及びUSIMに良好に保管されると想定される。しかしながら、本発明は、鍵Kが(例えばUSIMメーカーとAUSF/UDM/ARPFの間の輸送中に)この現実の状況の外側に漏洩する可能性があり、悪意のあるパーティが鍵Kを知っていることを利用してエアインターフェイス上の通信を受動的に盗聴するという仮説を取る。
【0032】
したがって、問題は、既存の認証プロセス及び以下の機密性及び完全性保護機構により、悪意のある第三者がエアインターフェイスを介してランダムチャレンジを得ることによって通信を盗聴することが可能になり、このランダムチャレンジ及びその知っている鍵Kから機密性保護鍵を計算できることである。
【0033】
そして、悪意のある第三者は、後に続くエアインターフェイスを介した全ての通信を、計算した機密性保護鍵で解読することができる。
【0034】
攻撃を受けているサブスクリプションの識別番号が、(例えば、ターゲットの識別番号、電話番号、SIMカードに書き込まれたIMSIなどを知ることによって)攻撃者によって推測される可能性があることも想定される。
【0035】
2G/3G/4G及び5Gにおいて、識別番号プライバシー機構がアクティブでない場合、攻撃者は、デバイスのネットワークへの新規登録/接続中にエアインターフェイスを介してサブスクリプション識別番号を獲得することができる。
【0036】
5Gにおいて、ユーザ識別番号プライバシー機構が使用され、サブスクリプション/ユーザの識別番号がAUSF/UDM/ARPF公開鍵で間接プロセスによってのみ暗号化されている場合、悪意のある第三者はユーザ/サブスクリプション識別番号を推測することができる。
【0037】
このような3GPP領域外に漏洩した鍵Kによる受動的な盗聴を防ぐために、いくつかの解決策が存在する。
【0038】
第1に、端末とサービングネットワークとの間にディフィー・ヘルマン・メカニズムを実装することによって、米国特許第9787661号に記載されているように悪意のある第三者によるエアインターフェイスの受動的な盗聴を防止することが可能になる。
【0039】
このような解決策の欠点は、
-端末、訪問先ネットワーク(MME/AMF)、及びホームネットワーク(HSS又はUDM/AUSF/ARPF)のレベルで変更が必要であること、
-端末の移動体装置部分で追加の公開鍵暗号化が必要であること、
である。
-端末、訪問先ネットワーク(MME/AMF)、及びホームネットワーク(HSS又はUDM/AUSF/ARPF)のレベルで変更が必要であること、
-端末の移動体装置部分で追加の公開鍵暗号化が必要であること、
である。
【0040】
第2の解決策は、長期鍵を頻繁に置き換えられることである。頻度は認証ごとに高い可能性がある。デバイスとホームネットワーク鍵ストアとの間の非同期化のリスクは、変更の頻度が増すほど高くなるため、同期機構を設けることが必要である。さらに、鍵の変更が、初期鍵K及び平文で送信されるトークンに依拠する場合、又は鍵Kに基づいて推測できる場合、悪意のある第三者は新しい鍵を推測できることになる。
【0041】
第3の方法は、国際公開2016/207316に記載されているように、鍵が漏洩したと思われる時点で、別のものに切り替えられるように、いくつかの鍵をUSIMに事前に格納することである。
【0042】
しかしながら、1つの鍵を獲得できたことで他の鍵も獲得できると想定できるため、この問題は悪意のある第三者にとってより挑戦しがいのあるものになる。
【発明の概要】
【0043】
本発明は、これらの問題に対する解決策を提案する。
【0044】
より正確には、本発明は、SEAF及びAUSF/UDM/ARPFを備える電気通信ネットワークにおける端末内の移動体装置と協働するセキュアエレメントを認証する方法であって、方法が、3GPP TS 33.501による端末とSEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成することを含み、アンカー鍵が、長期鍵Kからの導出により得られた鍵(KSRT)と、端末によりAUSF/UDM/ARPFに送信され、SUCI中のSUPIと共にAUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークンSRTとから間接的に導出される方法を提案する。
【0045】
2つの好適な実施形態が請求項2及び3に示される。
【0046】
好ましくは安全な登録トークンは乱数である。
【0047】
有利には、安全な登録トークンは認証要求ごとにセキュアエレメントによって変更される。
【0048】
本発明はまた、SEAF及びAUSF/UDM/ARPFを備える電気通信ネットワークにおける端末内の移動体装置と協働するよう意図されたセキュアエレメントであって、AUSF/UDM/ARPFが3GPP TS 33.501による端末とSEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成するように、セキュアエレメントが、端末によりAUSF/UDM/ARPFに送信され、SUCIに秘匿化されたSUPIと共にAUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークン(SRT)を生成し、アンカー鍵(KSEAF_SRT)が、長期鍵Kをセキュアエレメントにより導出することにより得られた鍵(KSRT)と、端末によりAUSF/UDM/ARPFに送信され、SUCIに秘匿化されたSUPIと共にAUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークン(SRT)とから導出されるセキュアエレメントを提案する。
【0049】
本発明はまた、SEAFと電気通信ネットワークにおける端末内の移動体装置と協働するよう意図されたセキュアエレメントとを備える電気通信ネットワークのAUSF/UDM/ARPFであって、AUSF/UDM/ARPFが3GPP TS 33.501による端末とSEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成するように、セキュアエレメントによりSUCIに秘匿化されたSUPIと共に送信された安全な登録トークン(SRT)を受信し、アンカー鍵(KSEAF_SRT)が、長期鍵Kをセキュアエレメントにより導出することにより得られた鍵(KSRT)と、端末によりAUSF/UDM/ARPFに送信され、秘匿化された安全な登録トークン(SRT)とから導出されるAUSF/UDM/ARPFに関する。
【図面の簡単な説明】
【0050】
本発明は、以下の図面と関連する以下の本発明の2つの好適な実施形態の説明を読むことによってより良く理解される。
【0051】
【発明を実施するための形態】
【0052】
図4は、本発明の第1の好適な実施形態を示している。
【0053】
この図では、改良されたセキュアエレメントと協働する移動体装置(ME)から構成されたUE30が、SEAF31(図1のSEAF21と同一)及び改良されたAUSF/UDM/ARPF32とメッセージを交換する。
【0054】
本発明の原理は、UE30(USIM)によりAUSF/UDM/ARPF32に送信され、AUSF/UDM/ARPF32の公開鍵で暗号化された安全な登録トークン(SRT)に基づいて事前共有秘密鍵Kを導出することに依拠する。
【0055】
第1のステップ40において、UE30は、少なくともAUSF/UDM/ARPF32のMCC/MNCコードと、MSINと、AUSF/UDM/ARPF32の公開鍵及び鍵の鍵識別子(例えばユーザのグループの各ユーザごとの)で暗号化された安全な登録トークンSRTとを含むSUCIを、AUSF/UDM/ARPF32にSEAF31を介して送信する。安全な登録トークンは、好ましくはセキュアエレメントによって生成される。
【0056】
SUPIは、例えばIMSI、又はネットワークアクセス識別子の形態をとるネットワーク固有の識別番号である。本明細書では、IMSIとSUPIは同じ意味で区別なく用いられる。
【0057】
SRTは、例えば乱数又は連続数(この連続数はこのプロセスに先立って増加させている)である。SRTは、SUCI中のSUPIと共にAUSF/UDM/ARPF32の公開鍵によって秘匿化される。したがって、SRTは暗号化されている。
【0058】
第2のステップ41において、AUSF/UDM/ARPF32は、登録メッセージを受信すると、加入識別番号(IMSI)及びSRTを取得する。IMSIから、このIMSIに関連付けられた長期鍵Kを取得する。
【0059】
次いでAUSF/UDM/ARPF32は、長期鍵K及びSRTによって鍵KSRTを生成する。したがって、KSRTは長期鍵K及びSRTから導出される。
【0060】
次いでAUSF/UDM/ARPF32は、ランダムチャレンジRANDを生成し、KSRT及びRANDからAUTNSRT、第1の期待チャレンジ応答XRES*
SRT並びに鍵CKSRT(機密性保護のための)及びIKSRT(完全性保護のための)を生成する。第1の期待チャレンジ応答XRES*
SRTから、AUSF/UDM/ARPF32は第2の期待チャレンジ応答HXRES*
SRTを生成する。鍵CKSRT及びIKSRTから、AUSF/UDM/ARPF32は、3GPP TS 33.501による端末30とSEAF31との間の通信のためのアンカー鍵(KSEAF_SRT)を生成し、アンカー鍵は鍵CKSRT及びIKSRTから取得された中間鍵KAUSF_SRTから導出される。
【0061】
次いでAUSF/UDM/ARPF32は、ステップ42において、RAND、AUTNSRT及びHXRES*
SRTを含む認証ベクトルAVSRTをSEAF31に送信する。
【0062】
ステップ43において、SEAF31は認証ベクトルを局所的に格納し、RAND及び認証トークンAUTNSRTをUE30に送信する。
【0063】
UE30はAUSF/UDM/ARPF32のように、自身の側でKSRT、認証トークンAUTNSRT、RES*
SRT、CKSRT及びIKSRTを生成する。UE30はまた、AUTNSRTがXAUTNSRTに等しいか検証し、鍵CKSRT及びIKSRTからKAUSF_SRTを、KAUSF_SRTからKSEAF_SRTを生成する。
【0064】
したがって、このステップ44においてUE30は、受信したチャレンジRAND及び認証トークンAUTNSRTの有効性を検証し、この有効性検証は端末UE30が、
-局所的に格納されている安全な登録トークンSRT及び局所的に格納されている長期鍵Kに基づいて登録鍵KSRTを導出し、
-端末の局所的に格納されている長期鍵K及びSRTに基づいて期待されるXAUTNSRTを局所的に計算し、
-期待されるXAUTNSRTがSEAF31から受信したAUTNSRTに等しいかチェックする、
ことによって、また
-このチェックが成功した(AUTNSRTがXAUTNSRTに等しい)場合に、端末30が前に計算した端末鍵KSRT及び受信したチャレンジRANDに基づいてチャレンジ応答RES* SRTを計算し、
-端末30が、3GPP TS 33.501による端末30とSEAF31との間の通信のための、端末30の長期鍵Kからの導出により得られた鍵KSRTと安全な登録トークンSRTとから間接的に導出される別のアンカー鍵KSEAF_SRTを生成する、
ことによって実行される。
-局所的に格納されている安全な登録トークンSRT及び局所的に格納されている長期鍵Kに基づいて登録鍵KSRTを導出し、
-端末の局所的に格納されている長期鍵K及びSRTに基づいて期待されるXAUTNSRTを局所的に計算し、
-期待されるXAUTNSRTがSEAF31から受信したAUTNSRTに等しいかチェックする、
ことによって、また
-このチェックが成功した(AUTNSRTがXAUTNSRTに等しい)場合に、端末30が前に計算した端末鍵KSRT及び受信したチャレンジRANDに基づいてチャレンジ応答RES* SRTを計算し、
-端末30が、3GPP TS 33.501による端末30とSEAF31との間の通信のための、端末30の長期鍵Kからの導出により得られた鍵KSRTと安全な登録トークンSRTとから間接的に導出される別のアンカー鍵KSEAF_SRTを生成する、
ことによって実行される。
【0065】
XAUTNSRTがAUTNSRTに等しいかのチェックは本明細書における近道である。実際、USIMは
-SQNの値をAUTNの内容から計算するステップと、
-XMACを計算するステップと、
-XMACがMACに等しいか検証するステップと、
-SQNの有効性を検証するステップと
を実現する。
-SQNの値をAUTNの内容から計算するステップと、
-XMACを計算するステップと、
-XMACがMACに等しいか検証するステップと、
-SQNの有効性を検証するステップと
を実現する。
【0066】
次のステップ45において、UE30は、UE30により計算されたチャレンジ応答RES*
SRTをSEAF31に送信する。
【0067】
ステップ46において、SEAF31は、受信したRES*
SRTから別のHRES*
SRTを導出し、HRES*
SRTがステップ42における局所的に格納されている認証ベクトルに含まれたHXRES*
SRTに等しいかを検証する。
【0068】
この検証ステップが成功した場合は、SEAF31はステップ47において、チェックに成功したRES*
SRTをAUSF/UDM/ARPF32に送信する。
【0069】
ステップ48において、AUSF/UDM/ARPF32は、上記SEAF31から受信したRES*
SRTが、以前に計算された期待されるチャレンジ応答XRES*
SRTに等しいかを検証する。それらが一致する場合は、AUSF/UDM/ARPF32はUE30が認証されたと見なし、ステップ49において3GPP TS 33.501による端末30の認証の状態を示す認証結果及びKSEAF_SRTをSEAF31に送信する。
【0070】
その後、SEAF31及びUE30は、3GPP TS 33.501に規定される通信のためのアンカー鍵KSEAF_SRTを使用することができる。
【0071】
したがって、本発明は、長期鍵Kからの導出により取得された鍵KSRTと、セキュアエレメント/端末30によりAUSF/UDM/ARPF32に送信され、SUCI中の端末/セキュアエレメントSUPIと共に、AUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークンSRTとからUE30により生成され間接的に導出されたアンカー鍵KSEAF_SRTの使用に依拠する。
【0072】
これより本発明の別の実施形態が図5に関連して説明される。
【0073】
この図には、図4に示されたものと同じ要素が示されている。
【0074】
SEAF31は図4と同じであるが、UE及びAUSF/UDM/ARPFは別の動作を行うため、それぞれ33及び34で参照される。ステップ40において、UE33は、AUSF/UDM/ARPF34に図4と同じSUCIを送信する。これはUE33が、例えば乱数又はこのプロセスに先立って増加させた連続数である安全な登録トークン(SRT)を生成及び送信することを意味する。
【0075】
端末33は、加入者識別番号(SUPI)に加えて、安全な登録トークンSRTの暗号化を含む端末SUCIを、SEAF31を介して送信することによってAUSF/UDM/ARPF34への登録を試みる。
【0076】
ステップ60において、AUSF/UDM/ARPF34は、端末識別番号及びSRTを取得する登録メッセージを受信すると、加入者識別番号(セキュアエレメント/端末のIMSI又は別の一意の参照番号)に関連付けられた長期鍵Kを取得する。
【0077】
次いでAUSF/UDM/ARPF34は、ランダムチャレンジRANDを生成する。AUSF/UDM/ARPF34は、長期鍵K及びRANDから、認証トークンAUTN、期待チャレンジ応答XRES*
、暗号鍵CK、完全性鍵IK、及び第2の期待チャレンジ応答HXRES*を導出する。HXRES*は、3GPP TS 33.501に規定されるように第1の期待チャレンジ応答XRES*から導出される。
【0078】
次いでAUSF/UDM/ARPF34は、第2の暗号鍵CKSRT及び第2の完全性鍵IKSRTを生成する。第2の暗号鍵は第1の暗号鍵及びSRTから導出され、第2の完全性鍵は第1の完全性鍵及びSRTから導出される。
【0079】
次いでAUSF/UDM/ARPF34は、3GPP TS 33.501による端末とSEAF31との間の通信のためのアンカー鍵(KSEAF_SRT)を計算する。アンカー鍵は鍵(KAUSF_SRT)から導出され、この鍵KAUSF_SRTはCKSRT及びIKSRTから導出される。
【0080】
ステップ61において、AUSF/UDM/ARPF34はSEAF31に認証ベクトルAVSRTを送信する。
【0081】
SEAF31は認証ベクトルを局所的に格納し、RAND及び認証トークンAUTNを端末33に送信する(ステップ62)。RAND及びAUTNは3GPP TS 33.501に従って以前に計算された認証ベクトルに含まれている。
【0082】
ステップ63においてUE33は、受信したチャレンジRAND及び認証トークンAUTNの有効性を検証し、この有効性検証は、UE33が、
-端末の局所的に格納されている長期鍵K及び受信したチャレンジRANDから、3GPP TS 33.501に規定される、期待される認証トークンXAUTN、端末チャレンジ応答RES*、端末暗号鍵CK、端末完全性鍵IKを導出し(これは3GPP TS 33.501に既に存在するものに対応する)、
-第1の端末暗号鍵及びSRTから導出される第2の端末暗号鍵CKSRT、及び第1の端末完全性鍵及びSRTから導出される第2の端末完全性鍵IKSRTを生成し、
-3GPP TS 33.501による端末とSEAF31との間の通信のための、端末CKSRT及び端末IKSRTから導出される端末鍵(KAUSF_SRT)から導出される別の端末アンカー鍵(KSEAF_SRT)を計算する
ことによって実行される。
-端末の局所的に格納されている長期鍵K及び受信したチャレンジRANDから、3GPP TS 33.501に規定される、期待される認証トークンXAUTN、端末チャレンジ応答RES*、端末暗号鍵CK、端末完全性鍵IKを導出し(これは3GPP TS 33.501に既に存在するものに対応する)、
-第1の端末暗号鍵及びSRTから導出される第2の端末暗号鍵CKSRT、及び第1の端末完全性鍵及びSRTから導出される第2の端末完全性鍵IKSRTを生成し、
-3GPP TS 33.501による端末とSEAF31との間の通信のための、端末CKSRT及び端末IKSRTから導出される端末鍵(KAUSF_SRT)から導出される別の端末アンカー鍵(KSEAF_SRT)を計算する
ことによって実行される。
【0083】
ステップ64において、検証が成功した場合は、UE33はSEAF31にUE33により計算されたチャレンジ応答RES*を送信する。
【0084】
ステップ65において、SEAFは受信したRES*から別のHRES*を導出し、HRES*がステップ61で受信した局所的に格納されている認証ベクトルに含まれるHXRES*に等しいかを検証する。
【0085】
検証が成功した場合は、SEAF31はステップ66において、チェックに成功したRES*をAUSF/UDM/ARPF34に送信する。
【0086】
AUSF/UDM/ARPF34は、ステップ67において、SEAF31から受信したRES*が、ステップ60で計算された期待されるチャレンジ応答XRES*に等しいかを検証する。
【0087】
ステップ67における検証が成功した場合は、UE33はAUSF/UDM/ARPF34によって認証されたと見なされ、AUSF/UDM/ARPF34は、ステップ68において、3GPP TS 33.501による端末の認証の状態を示す認証結果及びステップ60において計算されたKSEAF_SRTをSEAF31に送信する。
【0088】
ステップ69において、UE33及びSEAF31は、3GPP TS 33.501に規定される通信のためのKSEAF_SRTを使用する。
【0089】
この第2の代替策の利点は、(USIMではなく)端末の移動体装置部分が、USIMがSUPI及びSRTのSUCIへの秘匿化(AUSF/UDM/ARPF公開鍵によるSUPI及びSRTの暗号化)を実行できない場合に、SRTに基づいたCK及びIKの導出を実行できることである。
【0090】
この第2の代替策では、USIM(能力がある場合)は、SRTに基づいてCK及びIKの導出を行うことができるため、新しいプロセスが端末に対して透過的になる。
【0091】
前述のように安全な登録トークンは、好ましくは乱数であり、認証要求ごとにセキュアエレメントによって変更することができる。
【0092】
本発明はまた、SEAF及びAUSF/UDM/ARPFを備える電気通信ネットワークにおける端末内の移動体装置と協働するよう意図されたセキュアエレメントであって、AUSF/UDM/ARPFが、3GPP TS 33.501による端末とSEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成するように、セキュアエレメントが端末によりAUSF/UDM/ARPFに送信され、SUCI中のSUPIと共にAUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークン(SRT)を生成し、アンカー鍵(KSEAF_SRT)が、長期鍵Kをセキュアエレメントから導出することにより得られた鍵(KSRT)と、端末によりAUSF/UDM/ARPFに送信され、SUCI中のSUPIと共にAUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークン(SRT)とから間接的に導出されるセキュアエレメントに関する。
【0093】
本発明はまた、SEAFと、電気通信ネットワークにおける端末内の移動体装置と協働するよう意図されたセキュアエレメントとを備える電気通信ネットワークのAUSF/UDM/ARPFであって、AUSF/UDM/ARPFが3GPP TS 33.501による端末とSEAFとの間の通信のためのアンカー鍵(KSEAF_SRT)を生成するように、端末/セキュアエレメントにより送信され、SUCI中のSUPIと共にAUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークン(SRT)を受信し、アンカー鍵(KSEAF_SRT)が、セキュアエレメントに格納されている長期鍵Kを導出することにより得られた鍵(KSRT)と、AUSF/UDM/ARPF公開鍵で秘匿化され、端末によりAUSF/UDM/ARPFに送信され、SUCI中のSUPIと共にAUSF/UDM/ARPF公開鍵で秘匿化された安全な登録トークン(SRT)とから間接的に導出されるAUSF/UDM/ARPFに関する。
【0094】
以前の全ての3GPP認証/登録プロセス(2Gから現在の5G技術)と異なり、本発明は、鍵導出の基礎として安全な登録鍵(KSRT)を使用する。この安全な登録鍵は、USIMメーカー又はデバイスメーカーには知られておらず、AUSF/UDM/ARPF及び現場のUSIMにしか知られていない。
【0095】
他の解決策と異なり、本発明はネットワークの中間ノード(例えば、SEAF、AMF、移動体装置)の変更を必要としないため、ホームネットワーク(AUSF/UDM/ARPF)とUSIMの間で容易に実施することができる。
【0096】
他の解決策と異なり、本発明は3GPP TS 33.501に既に定義されているサブスクリプション識別番号プライバシーに使用されるUSIM内部の既存の公開鍵アセットを使用しているが、USIMがSUCI計算を行うことができず、移動体装置がSUPIプライバシーを与えることができる場合は、本機構はUEの移動体装置部分によって実行することもできる(第2の代替策)。
【0097】
USIMによってサポートされる場合、本発明はこれを移動体装置に対して透過的にする。
【図1】
【図2】
【図3】
【図4】
【図5】