知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-05
(45)【発行日】2024-09-13
(54)【発明の名称】一次局を認証する方法及びデバイス
(51)【国際特許分類】
H04W 12/122 20210101AFI20240906BHJP
H04W 12/108 20210101ALI20240906BHJP
H04W 56/00 20090101ALI20240906BHJP
【FI】
H04W12/122
H04W12/108
H04W56/00 130
【請求項の数】
8
(21)【出願番号】P 2023507647
(86)(22)【出願日】2021-08-04
(65)【公表番号】
(43)【公表日】2023-08-30
(86)【国際出願番号】 EP2021071708
(87)【国際公開番号】W WO2022029149
(87)【国際公開日】2022-02-10
【審査請求日】2024-02-29
(31)【優先権主張番号】20189373.2
(32)【優先日】2020-08-04
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】20201320.7
(32)【優先日】2020-10-12
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】20199594.1
(32)【優先日】2020-10-01
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】20201744.8
(32)【優先日】2020-10-14
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21150371.9
(32)【優先日】2021-01-06
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21150643.1
(32)【優先日】2021-01-08
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21150840.3
(32)【優先日】2021-01-11
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21151731.3
(32)【優先日】2021-01-15
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21162091.9
(32)【優先日】2021-03-11
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21172331.7
(32)【優先日】2021-05-05
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21176514.4
(32)【優先日】2021-05-28
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21178146.3
(32)【優先日】2021-06-08
(33)【優先権主張国・地域又は機関】EP
【早期審査対象出願】
(73)【特許権者】
【識別番号】590000248
【氏名又は名称】コーニンクレッカ フィリップス エヌ ヴェ
【氏名又は名称原語表記】Koninklijke Philips N.V.
【住所又は居所原語表記】High Tech Campus 52, 5656 AG Eindhoven,Netherlands
(74)【代理人】
【識別番号】110001690
【氏名又は名称】弁理士法人M&Sパートナーズ
(72)【発明者】
【氏名】ガルシア モーション オスカー
【審査官】横田 有光
(56)【参考文献】
【文献】国際公開第2018/140204(WO,A1)
【文献】特開2018-046349(JP,A)
【文献】3rd Generation Partnership Project; Technical Specification Group Services and System Aspects Study on 5G Security Enhancement against False Base Stations (Release 16) [online],3GPP TR 33.809 V0.9.0 (2020-05),2020年05月29日,[検索日2024.5.27],インターネット <URL:https://www.3gpp.org/ftp/Specs/archive/33_series/33.809/33809-090.zip>
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4、6
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
二次局によって実行される、セルラーのネットワークにおいて時間基準を得る方法であって、前記方法は、前記ネットワークへの初期接続で、時間基準に対する要求を送るステップであって、前記要求は署名生成器へ宛てられ、前記時間基準に対する要求は、ナンスとして使用されるランダムに生成された数を含む、ステップと、
前記時間基準及び前記ナンスを受信するステップであって、前記時間基準及び前記ナンスはナンス署名で署名される、ステップと、
前記ナンス及びナンス署名を使用して、受信したメッセージの真正性をチェックするステップと、
受信した前記時間基準を使用して前記二次局でクロックを構成するステップと、を有し、前記方法は、
複数のシステム情報メッセージを複数の一次局から受信するステップであって、前記システム情報メッセージは対応する一次局に関するそれぞれの時間基準情報をそれぞれ含む、ステップと、
前記一次局のそれぞれについて受信された署名の有効性をチェックするステップと、
有効な署名を持つ一次局のそれぞれについてセル識別子をチェックし、他の一次局と同一のセル識別子を有する一次局からの時間基準情報であって、前記他の一次局からの時間基準情報よりも前の値を有する時間基準情報を無視するステップと、
有効な署名を持つ一次局から発信された前記時間基準情報のうちの1つ又は複数からローカル時間基準を推測するステップと、をさらに有する、方法。
【請求項2】
前記時間基準情報は、前記一次局でのクロック値と前記ネットワークの署名生成器でのクロック値との間の差を表す時間オフセット、前記一次局でのクロック値、及び前記署名生成器でのクロック値のうちの少なくとも1つである、請求項1に記載の方法。
【請求項3】
前記ローカル時間基準を推測するステップは、有効な署名を持ち、前の時間を持つ重複するセル識別子を持たない一次局から発信される複数の時間基準情報から平均を計算するステップを含む、請求項1又は2に記載の方法。
【請求項4】
前記ローカル時間基準を推測するステップは、有効な署名を持つ一次局から発信される最新値を持つ時間基準情報を選択するステップを含む、請求項1又は2に記載の方法。
【請求項5】
前記要求は、初期無線リソース通信のセットアップ要求メッセージの一部である、請求項1に記載の方法。
【請求項6】
前記要求は、ネットワークアクセス階層の同一性要求に応答して送られるネットワークアクセス階層の同一性応答メッセージの一部である、請求項1に記載の方法。
【請求項7】
受信した前記署名は、以下のアルゴリズム、すなわち公開鍵下部構造のアルゴリズム、Boneh-Lynn-Shacham、BLSの署名アルゴリズム、Boneh-Gentry-Lynn-Shacham、BGLSの署名アルゴリズム、楕円曲線デジタル署名アルゴリズム、ファルコン署名アルゴリズム、レインボー署名アルゴリズム、及び大多変量短署名アルゴリズムのうちの少なくとも1つを使用してチェックされる、請求項1から6のいずれか一項に記載の方法。
【請求項8】
ネットワークにおいて通信するための二次局であって、前記二次局は、前記ネットワークへの初期接続で、時間基準に対する要求を送る送信器であって、前記要求は署名生成器へ宛てられ、前記時間基準に対する要求は、ナンスとして使用されるランダムに生成された数を含む、送信器と、
前記時間基準及び前記ナンスを受信する受信器であって、前記時間基準及び前記ナンスはナンス署名で署名される、受信器と、
前記ナンス及びナンス署名を使用して、受信したメッセージの真正性をチェックし、受信した前記時間基準を使用して前記二次局でクロックを構成するようにする、コントローラと、を備え、
前記受信器はさらに、複数のシステム情報メッセージを複数の一次局から受信し、前記システム情報メッセージは、対応する一次局に関連するそれぞれの時間基準情報をそれぞれ含み、
前記コントローラは、前記一次局のそれぞれについて受信された署名の有効性をチェックし、有効な署名を持つ前記一次局の少なくともそれぞれについてセル識別子をチェックし、他の一次局と同一のセル識別子を有する一次局からの時間基準情報であって、前記他の一次局からの時間基準情報よりも前の値を有する時間基準情報を無視し、
前記コントローラは、有効な署名を持つ一次局から発信される前記時間基準情報のうちの1つ又は複数からローカル時間基準を推測する、二次局。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワイヤレス通信の分野に関し、特に、一次局、例えば、基地局と、二次局、例えば、ネットワークを形成する端末又はモバイル局との間の通信のセキュリティ面に関する。他のエンティティは、そのようなネットワーク、そのようなセキュリティエンティティに存在する。
【背景技術】
【0002】
ワイヤレスネットワークでは、端末はデータを交換するためにネットワークへ接続する。セキュリティは、特に、物理的な相互作用がネットワークにアクセスするために必要とされないワイヤレスデバイスにとって非常に重要である。ワイヤレスネットワークは、このように、ネットワークで許可されないデバイスを除外できるように、いくつかの措置を実施しなければならない。
【0003】
従来の攻撃は、ワイヤレスネットワークのエンティティ、特に一次局又は基地局になりすます攻撃者を含む。このように、多くの対策は、ネットワークの様々なエンティティの同一性を認証することを目的とする。
【0004】
3GPP(登録商標)は、モバイル電気通信システムについて地球規模の解決策の標準化を担当する組織である。3GPP(登録商標)パートナーシップで開発されている電気通信システムも例外ではない。特に、5Gでは、セキュリティ措置がネットワークのセキュリティを強化するために議論されている。
【0005】
図1に示されるこれらの電気通信システムでは、二次局100は、端末又はエンドデバイス(5Gではユーザ機器UEとも称される)として作動する。二次局は、フィールドに展開される基地局(5GではgNBとも称される)として作動する一次局110を通して、音声及びデータサービスを含む様々なタイプのサービスにアクセスできる。各一次局110は、セル111とも称される領域に存在する二次局100にサービスを行い、通信する。一次局は、電気通信システムを制御し、サービスの伝送を調整し、ネットワークオペレータによって管理されているコアネットワーク(CN)120へ接続される。
【0006】
上述のように、攻撃者は「偽の」基地局(FBS)を使用して二次局を多くのやり方で攻撃することにより、一次局などのネットワークエンティティになりすます。FBSは、ネットワークオペレータによって管理される適切な一次局として動作し、次のような異なる目標でUEを引き付けることを目的とする。
- DoS攻撃を行う。
- 私的ユーザデータを得る。
- 中間者(MitM)攻撃及びその後の攻撃(例えば、aLTEr、imp4gt、ネットワークの構成ミスなど)を行う。
- 認証中継攻撃を行う。
- 自己組織化ネットワーク中毒攻撃を行う。
- 偽公的警告情報を送る。
- DoS攻撃を行う。
- 私的ユーザデータを得る。
- 中間者(MitM)攻撃及びその後の攻撃(例えば、aLTEr、imp4gt、ネットワークの構成ミスなど)を行う。
- 認証中継攻撃を行う。
- 自己組織化ネットワーク中毒攻撃を行う。
- 偽公的警告情報を送る。
【0007】
3GPP(登録商標) TS33.501の付属書類Eでは、どのようにネットワークがRRC_CONNECTEDモードにおける測定値報告にて送られた情報を使用して「偽の基地局のUE支援ネットワークベースの検出」を行うかが既に記載されている。
【0008】
3GPP(登録商標)によって現在論じられている解決策の1つは、コアネットワーク120の一部となり、ブロードキャストメッセージを保護できるデジタル署名ネットワーク機能(DSnF)の一部としての署名生成器121の実施にある。特に、送信元認証を確実にすることを目的とする。このように、図2に示すように、一次局110がシステム情報をブロードキャストしなければならない場合、要求201をコアネットワーク120へ送り、コアネットワークは対応する要求202を署名生成器121へ転送する。署名生成器121は、次に、対応する署名を203で計算し、一次局110にコアネットワーク120を通して、後の時点205でブロードキャストされる署名付きメッセージ204を供給する。
【0009】
3GPP(登録商標)は、FBSの課題を現在、調査し、異なる解決策を論じている。より多くの注目及び支持を受けている解決策の1つは、CNの一部となり、ブロードキャストメッセージを保護できるデジタル署名ネットワーク機能DSnFの実施にある(送信元認証)。gNBがシステム情報をブロードキャストしなければならない場合、要求をDSnFへ送り、gNBに、後の時点でブロードキャストされる署名付きメッセージを供給する。
【0010】
5Gのようなネットワークでは、UEについて提案された全体的なプロセスは、このように、次のとおりである。
i)周波数を走査する。
ii)重複したPCI(物理セル識別子)を持つ、すなわち、同じセル識別子を示し、それらの少なくとも1つが偽の基地局であることを意味するシステム情報(SI)メッセージなどの構成メッセージを削除又は無視する。
iii)構成メッセージ(例えば、MIB/SIB)を取得する。
iv)構成メッセージに関連付けられている署名をチェックする。
v)時間マーカーが、メッセージの鮮度を決めるために、メッセージが実際に最近送られたことを示しているかどうかをチェックする。これは、実の一次局によって発信されたが、偽の基地局によって繰り返された又は中継された(通常は一度改ざんされた)メッセージの場合に役立つ。
vi)UEが時間の概念を有していない場合、又は鮮度チェックに失敗した場合、複数のセルからの情報を使用して、時間の一貫性をチェックする。
i)周波数を走査する。
ii)重複したPCI(物理セル識別子)を持つ、すなわち、同じセル識別子を示し、それらの少なくとも1つが偽の基地局であることを意味するシステム情報(SI)メッセージなどの構成メッセージを削除又は無視する。
iii)構成メッセージ(例えば、MIB/SIB)を取得する。
iv)構成メッセージに関連付けられている署名をチェックする。
v)時間マーカーが、メッセージの鮮度を決めるために、メッセージが実際に最近送られたことを示しているかどうかをチェックする。これは、実の一次局によって発信されたが、偽の基地局によって繰り返された又は中継された(通常は一度改ざんされた)メッセージの場合に役立つ。
vi)UEが時間の概念を有していない場合、又は鮮度チェックに失敗した場合、複数のセルからの情報を使用して、時間の一貫性をチェックする。
【0011】
しかしながら、このプロトコルは、攻撃者によって使用できるいくつかの弱点を示す。特に、システムに対する対策の1つを悪用することが可能である。例えば、攻撃者が実の基地局と同じ識別子(例えば、PCI)を有する複数の偽の基地局を使用する場合、実の基地局とFBSとの両方が除外される。次いで、攻撃者が異なる識別子を持つ他のFBSを追加するだけで十分であり、それがセルにおけるUEにとって唯一の利用可能な選択肢になる。そのようなUEは、次に、FBSによって提供される誤った情報、例えば、動作時に一回、鮮度チェックを役に立たなくする誤った時間などを使用する。
【発明の概要】
【発明が解決しようとする課題】
【0012】
本発明の1つの目的は、上述した問題を軽減することである。
【0013】
本発明の他の目的は、攻撃者がネットワークのエンティティにアクセス又はなりすますことの困難さを高くすることを可能にする方法を提供することである。
【0014】
本発明のさらに他の目的は、偽の基地局を検出してそのメッセージを無視できる二次局である。
【課題を解決するための手段】
【0015】
このように、発明の第1の態様によると、セルラーネットワークにおいて二次局が時間基準を得るための請求項1に記載の方法が提案される。この第1の態様に従って、本方法は、
複数のシステム情報SIのメッセージを複数の一次局から受信し、上記SIメッセージは対応する一次局に関するそれぞれの時間基準情報をそれぞれ含み、
一次局のそれぞれについて受信された署名の有効性をチェックし、
有効な署名を持つ一次局のそれぞれについてセル識別子をチェックし、他の一次局と同一であり、他の一次局からのものよりも前の値を有するセル識別子を持つ一次局からの時間基準情報を無視し、
有効な署名を持つ一次局から発信された時間基準情報のうちの1つ又は複数からローカル時間基準を推測するステップを有する。
複数のシステム情報SIのメッセージを複数の一次局から受信し、上記SIメッセージは対応する一次局に関するそれぞれの時間基準情報をそれぞれ含み、
一次局のそれぞれについて受信された署名の有効性をチェックし、
有効な署名を持つ一次局のそれぞれについてセル識別子をチェックし、他の一次局と同一であり、他の一次局からのものよりも前の値を有するセル識別子を持つ一次局からの時間基準情報を無視し、
有効な署名を持つ一次局から発信された時間基準情報のうちの1つ又は複数からローカル時間基準を推測するステップを有する。
【0016】
このように、署名検証の前に、同じ識別子を有する一次局から発信された構成メッセージを削除しないことで、既存の識別子を使用する任意の偽の基地局を最初に除外できる。このように、攻撃者が二次局に、このチェックによって実の一次局を除外させることは、もはや不可能である。結果として、これにより、二次局は、ネットワークにおいて動作時に一回、鮮度チェックに必要とされる正しいタイミング情報を得ることが可能である。
【0017】
第1の態様の第1の変形例では、時間基準情報は、一次局でのクロック値とネットワークの署名生成器でのクロック値との間の差を表す時間オフセット、一次局でのクロック値、及び署名生成器でのクロック値のうちの少なくとも1つである。
【0018】
これにより、一次局の、既に利用可能な時間からの偏差(又はオフセット)として符号化できるため、時間の通信をオーバーヘッドの観点から効率的にできる。
【0019】
第1の態様の他の変形例では、ローカル時間基準を推測するステップは、有効な署名を持ち、前の時間を持つ重複するセル識別子を持たない一次局から発信される複数の時間基準情報から平均を計算することを含む。
【0020】
したがって、これにより、時間の誤差又は偏差を軽減できる。これにより、また、計算された時間が偽の基地局に部分的に基づくしかないため、攻撃をより困難にして、より多くの数を実際に有害にする必要がある。
【0021】
本発明の第1の態様のさらに他の変形例では、ローカル時間基準を推測するステップは、有効な署名を持つ一次局から発信される最新値を持つ時間基準情報を選択することを含む。
【0022】
この変形例は、このように、様々な実証された一次局によって表示される最新の時間を使用する。したがって、これは、過去のメッセージを再生し、動作時に一回、鮮度規準に合格するために、偽の基地局が古い時間値を使用することを防ぐ助けとなる。
【0023】
さらに、第1の態様及びその変形例から独立して又は組み合わせて使用できる本発明の他の態様によると、
二次局は、ネットワークへの初期接続で、時間基準に対する要求を送り、上記要求は署名生成器へ宛てられ、
時間基準に対する要求は、ナンスとして使用されるランダムに生成された数を含み、
時間基準及びナンスを受信し、時間基準及びナンスはナンス署名で署名され、
ナンス及びナンス署名を使用して、受信したメッセージの真正性をチェックし、
受信した時間基準を使用して二次局でクロックを構成することを有する、二次局の方法が提案される。
二次局は、ネットワークへの初期接続で、時間基準に対する要求を送り、上記要求は署名生成器へ宛てられ、
時間基準に対する要求は、ナンスとして使用されるランダムに生成された数を含み、
時間基準及びナンスを受信し、時間基準及びナンスはナンス署名で署名され、
ナンス及びナンス署名を使用して、受信したメッセージの真正性をチェックし、
受信した時間基準を使用して二次局でクロックを構成することを有する、二次局の方法が提案される。
【0024】
本発明のこの態様の変形例では、要求は、初期無線リソース通信RRCのセットアップ要求メッセージの一部である。或いは、要求は、ネットワークアクセス階層NASの同一性要求に応答して送られるNASの同一性応答メッセージの一部である。
【0025】
本発明のこの態様は、システムを攻撃に対してさらに信頼できるものにするために本発明の第1の態様と組み合わせて使用できるが、早期統合の利点を提示する。このように、この解決策は、一次局での無線リソース制御RRCセットアップ手順及びステートマシンへいくつかのステップを追加しても、二次局情報を漏洩しない。
【0026】
本発明のすべての前の態様及びそれらの変形例と組み合わせて使用できる変形例では、受信した署名は、以下のアルゴリズム、すなわち公開鍵下部構造PKIのアルゴリズム、Boneh-Lynn-Shacham、BLSの署名アルゴリズム、Boneh-Gentry-Lynn-Shacham、BGLSの署名アルゴリズム、楕円曲線デジタル署名アルゴリズムECDSA、ファルコン署名アルゴリズム、レインボー署名アルゴリズム、及び大多変量短署名GeMSSのアルゴリズムのうちの少なくとも1つを使用してチェックされる。
【0027】
本発明の第2の態様によれば、請求項9に記載の二次局が提案される。この二次局は、ネットワークにおいて通信するために適合され、複数のシステム情報SIのメッセージを複数の一次局から受信するように適合された受信器であって、上記SIメッセージは、対応する一次局に関連するそれぞれの時間基準情報をそれぞれ含む、受信器と、
一次局のそれぞれについて受信された署名の有効性をチェックし、有効な署名を持つ少なくとも一次局のそれぞれについてセル識別子をチェックし、他の一次局と同一であり、他の一次局からのものよりも前の値を有するセル識別子を持つ一次局からの時間基準情報を無視するように構成されたコントローラと、を備え、
上記コントローラは、有効な署名を持つ一次局から発信される時間基準情報のうちの1つ又は複数からローカル時間基準を推測するように適合されている。
一次局のそれぞれについて受信された署名の有効性をチェックし、有効な署名を持つ少なくとも一次局のそれぞれについてセル識別子をチェックし、他の一次局と同一であり、他の一次局からのものよりも前の値を有するセル識別子を持つ一次局からの時間基準情報を無視するように構成されたコントローラと、を備え、
上記コントローラは、有効な署名を持つ一次局から発信される時間基準情報のうちの1つ又は複数からローカル時間基準を推測するように適合されている。
【0028】
このように、署名検証の前に、同じ識別子を有する一次局から発信された構成メッセージを削除しないことで、既存の識別子を使用する任意の偽の基地局を最初に除外できる。このように、攻撃者が二次局に、このチェックによって実の一次局を除外させることは、もはや不可能である。結果として、これにより、二次局は、ネットワークにおいて動作時に一回、鮮度チェックに必要とされる正しいタイミング情報を得ることが可能である。
【0029】
上記装置は、離散的なハードウェア構成要素、集積チップ、若しくはチップモジュールの構成部を持つ離散的なハードウェア回路に基づいて、又はメモリに格納されたソフトウェアルーチン若しくはプログラムによって制御され、コンピュータ可読媒体に書き込まれ、若しくはインターネットなどのネットワークからダウンロードされる信号処理デバイス若しくはチップに基づいて実施されることが留意される。
【0030】
請求項1の方法、及び請求項9の二次局は、特に、従属請求項に定義されるような類似の及び/又は同一の好ましい実施形態を有することが理解されるものとする。
【0031】
本発明の好ましい実施形態は、従属請求項又は上記実施形態とそれぞれの独立請求項との任意の組合せであってもよいことが理解されるものとする。
【0032】
本発明のこれら及び他の態様は、以下に記載される実施形態を参照して明らかにされ、解明されるであろう。
【図面の簡単な説明】
【0033】
【図1】本発明が実施できるセルラーネットワークを表す既に説明したブロック図である。
【図2】プロトコル提案によるメッセージ交換を表す既に説明した論理時間図である。
【図3】本発明の第1実施形態による方法を表すフローチャートである。
【図4】本発明の第2実施形態による方法を表すフローチャートである。
【図5】本発明の第1実施形態による二次局を表すブロック図である。
【図6】本発明の第3実施形態による方法を表すフローチャートである。
【図7】本発明の第3実施形態の他の態様による方法を表すフローチャートである。
【図8】本発明の第3実施形態による二次局及び署名生成器を表すブロック図である。
【図9】本発明の第4実施形態の他の態様による方法を表すフローチャートである。
【図10】本発明の第4実施形態による連続するメッセージ及び対応する署名の送信のプロトコルを示す時間図である。
【図11】本発明の第4実施形態の変形例による連続するメッセージ及び対応する署名の代替プロトコルを示す時間図である。
【図12】第5実施形態の第1の例によるネットワークを表すブロック図である。
【図13】第5実施形態の第2の例によるネットワークを表すブロック図である。
【図14】本発明の第6実施形態によるネットワークを表すブロック図である。
【図15】本発明のさらなる実施形態による連続するメッセージ及び対応する署名の代替プロトコルを示す時間図である。
【図16】本発明のこのさらなる実施形態の変形例による連続するメッセージ及び対応する署名の代替プロトコルを示す時間図である。
【図17】本発明のさらに別の実施形態によるシステム情報保護のためのプロトコルを表すフローチャートである。
【図18】本発明のさらに別の実施形態によるシステム情報保護のためのプロトコルを表すフローチャートである。
【図19】本発明のさらに別の実施形態によるシステム情報保護のためのプロトコルを表すフローチャートである。
【図20】本発明のさらに別の実施形態によるシステム情報保護のためのプロトコルを表すフローチャートである。
【図21】本発明のさらに別の実施形態によるシステム情報保護のためのプロトコルを表すフローチャートである。
【図22】本発明のさらに別の実施形態によるシステム情報保護のためのプロトコルを表すフローチャートである。
【図23】3つのタイプのMitMデバイス及びMitMデバイスを使用する指定の攻撃シナリオを描くブロック図である。
【発明を実施するための形態】
【0034】
上記に見られるように、本発明は、例えば5Gネットワークとしてのセルラーネットワークにおいて実施できる。図1に関して見られるように、そのようなセルラーネットワークは、ネットワークセルから別の111へ移動するモバイルデバイス(又はUE)である複数の端末又は二次局100を備える。各セル111は、二次局100とコアネットワーク120との間のインターフェースを作る一次局110(又はgNodeB)からサービスを提供される。
【0035】
したがって、二次局100は、様々な無線チャネル、(二次局から一次局への)アップリンク及び(一次局から二次局への)ダウンリンク上で一次局110と通信する。他の無線チャネルは、例えば二次局(例えばサイドリンクチャネル)間及び一次局(例えばX2インターフェース)間に存在するが、図1の単純化のために表されていない。本発明の実施形態は、これらのインターフェースにも適用できるが、二次局と一次局との間のリンクへ説明の以下の部分に焦点を当てる。
【0036】
二次局がネットワークへ接続できるようにするために、一次局110は、セル111を介していくつかの構成情報をブロードキャストする。この構成情報は、マスター情報ブロック(MIB)及びシステム情報ブロックを含む。まず、MIBは定期的に(例えば80ミリ秒ごとに)ブロードキャストされるメッセージであり、次のSIBの復号を可能にするためにすべての必要な情報を含む。
【数1】
【0037】
二次局がMIBを得ると、定期的に(例えば、80ミリ秒、160ミリ秒ごとに)、又は二次局からの要求に応じて送信できるいくつかのシステム情報ブロックを復号できる。これらのSIBは、ネットワークの動作及びパラメータを記述する。ネットワーク全体のセキュリティを改善するために、これらのSIBへデジタル署名を追加して、だれでも一次局になりすますことを防ぐことが提案される。デジタル署名は、エンティティをデジタルデータへ結合する技法である。この結合は、受信者並びに任意の第三者によって独立して検証できる。このように、デジタル署名は、署名者によってのみ知られているデータ及び秘密鍵から計算される暗号値である。データは、この場合、SIB自体において担持されるペイロードへ対応する。この署名により、二次局は、メッセージが一次局へ属していることの保証を有することができる。
【0038】
5Gの例では、利用可能な選択肢の1つは、コアネットワーク120のデジタル署名生成器が、各メッセージについてこれらの一次局からの要求に応じて一次局110へ署名を生成して提供することである。別の選択肢は、デジタル署名生成器が一次局のそれぞれに含まれることである。この解決策は、メッセージの少なくともいくつかについて使用できるので、コアネットワークのデジタル署名生成器の負荷を低減することになる。
【0039】
これらの署名の態様のうちの1つは、署名が第三者、例えば、メッセージを再生して実の一次局になりすましている攻撃者によって追加されなかったことを確実にすることである。これを回避するために、鮮度値が署名へ追加されて署名が最近生成されたことを確実にする。したがって、情報の鮮度を検証する1つの選択肢は、クロックを同期して、情報が古すぎないことをチェックすることによる。時間は署名生成器(DSnF)が所有する時間に基づき、二次局(UE)はこの時間を知らなければならない。この時間は、二次局の利用可能な他の時間又は一次局で利用可能な時間とは異なることがある。しかしながら、これは、署名を生成する二次局及びエンティティを何らかのやり方で同期させることを必要とする。
【0040】
ネットワーク全体の観点から、時間差を処理するための署名生成器(DSnF)、一次局(gNB)、及び二次局の動作は次のようになり得る。
- 一次局が、そのパラメータの少なくともいくつか、例えば、その静的パラメータ、すなわち長い間隔の期間中に変化しないままであるパラメータについて署名要求を署名生成器へ送ると、一次局は、それ自体の時間を含む。そうすると、一次局及び署名生成器は、時間プロトコル(簡易ネットワーク時間プロトコルSNTPなど)を実行して、メッセージ送信の遅延時間又は異なるローカル時間によるタイミング誤差を訂正する。署名生成器は、一次局のクロック値と署名生成器のクロック値との間の時間差、例えば、gNB_DSnF_time_differenceフィールドに対して署名する。この値は、経時的に大きく逸脱すべきではないため、クロック間の差がしきい値を超えて逸脱しない限り、静的フィールドである。
- 一次局が、そのパラメータの少なくともいくつか、例えば、その静的パラメータ、すなわち長い間隔の期間中に変化しないままであるパラメータについて署名要求を署名生成器へ送ると、一次局は、それ自体の時間を含む。そうすると、一次局及び署名生成器は、時間プロトコル(簡易ネットワーク時間プロトコルSNTPなど)を実行して、メッセージ送信の遅延時間又は異なるローカル時間によるタイミング誤差を訂正する。署名生成器は、一次局のクロック値と署名生成器のクロック値との間の時間差、例えば、gNB_DSnF_time_differenceフィールドに対して署名する。この値は、経時的に大きく逸脱すべきではないため、クロック間の差がしきい値を超えて逸脱しない限り、静的フィールドである。
【0041】
通常、時間は長い間隔の期間中、同期したままでいるべきである。この想定が当てはまらない場合は、一次局は署名生成器に時間差に署名するように再度要求する。署名生成器は、次に、各署名付きメッセージに、一次局との最新の静的時間差並びに現在時刻を含めてよい。
【0042】
動作中、一次局は、一次局と署名生成器との間の時間差を含む署名付きメッセージを定期的にブロードキャストする。一次局の時間は、システム情報ブロック9SIB9でブロードキャストされるか、又は他のシステム情報メッセージでブロードキャストされる可能性がある。通信のオーバーヘッドを低減するために、この時間をSIB1に含めてもよい。SIB9の時間は、UTC時間及びGPS時間を含むことができ、SIB9で定義されているように、GPS時間(秒単位)=timeInfoUTC(秒単位)-2,524,953,600(秒)+うるう秒として計算できる。或いは、署名生成器(DSnF)によって所有される署名付き時間を含むことも可能である。
【0043】
SIB1及びSIB9でタイミング情報を受信したとき、二次局は署名生成器の時間を得て、受信したメッセージが古すぎるかどうか、例えば、署名の有効期間より古くない、例えば、システムフレーム番号付け/ハイパーフレーム番号付け(SFN/HFN)の期間(2時間54分45秒)よりも短いかどうかをチェックする。言い換えると、署名付きメッセージは約3時間のみ有効である。
【0044】
他の時間ソースがない場合、この時間を使用して、一旦、二次局が一次局にジョインしコアネットワークとの安全な接続を確立すると、二次局のクロックを同期させる。一次局によって分配された時間は、システム情報の安全なブロードキャストの目的には十分である約10ミリ秒の同期誤差をもたらす。実際、MIB及びSIB1は少なくとも80ミリ秒の周期性で分配される。一旦、デバイスが、信頼される一次局にジョインして、信頼される署名生成器の時間にアクセスすると、
a)デバイスは、標準的な技法を使用して、その時間同期をさらに改善するべきである。
b)その後、デバイスは、他の理由で同期を失ったことを検出しなければ、その時間を更新しない。
a)デバイスは、標準的な技法を使用して、その時間同期をさらに改善するべきである。
b)その後、デバイスは、他の理由で同期を失ったことを検出しなければ、その時間を更新しない。
【0045】
さらに、上記時間精度では十分ではないか、又は攻撃者が有効な一次局から古い署名付きメッセージを再生する可能性があるため、二次局は、その時間をさらに実証するために外部のデータのソースを必要とする。次の選択肢が実行可能である。
- 署名生成器がGPSに関連する時間を有し、この関連が知られている場合、二次局は時間を得られる。しかしながら、すべてのデバイスがGPSユニットを有するわけではなく、又はGPS信号の受信は場所によっては可能ではない。
- 時間基準がない場合且ついずれかの一次局にジョインする前に、二次局は複数の一次局からブロードキャストされたSIを学習し、それらの類似性をチェックし、最新の時間を取ることができる。これには、攻撃者が複数の偽基地局を、二次局が間違った時間を得るように置く恐れがあるという問題がある。二次局が、いずれかの署名検証の前に重複したセル識別子(PCI)を持つ一次局を拒否する場合、別の問題が生じる。すべての周波数が走査されるまでプロセスは終了できないため、セル選択プロセスの期間が長くなる可能性があるという事実に加えて、これは追加の課題を伴う。これが行われた場合、攻撃者は実際の基地局の重複する偽の基地局を宣伝するだけであり、すなわち、同じPCIで署名が必要とされないので、二次局はそれらの一次局からの良好な時間測定値を十分考慮しない。この場合、二次局は最初に署名をチェックし、適切に署名されていないシステム情報を拒否するべきである。このステップの後、同じPCIを持つ2つの異なる一次局からブロードキャストされたシステム情報がある場合は、二次局は最新のシステム情報で値を取るべきである。正しく署名され、時間が近い、例えば、80ミリ秒以内であるシステム情報をブロードキャストする複数の一次局がある場合、アプローチは、最も高い時間を正しいものとして取ることである。しかしながら、これは、一次局がわずかに同期していない可能性がある。別のアプローチは、二次局が、受信した時間の平均としてその時間を計算することである。
- 署名生成器がGPSに関連する時間を有し、この関連が知られている場合、二次局は時間を得られる。しかしながら、すべてのデバイスがGPSユニットを有するわけではなく、又はGPS信号の受信は場所によっては可能ではない。
- 時間基準がない場合且ついずれかの一次局にジョインする前に、二次局は複数の一次局からブロードキャストされたSIを学習し、それらの類似性をチェックし、最新の時間を取ることができる。これには、攻撃者が複数の偽基地局を、二次局が間違った時間を得るように置く恐れがあるという問題がある。二次局が、いずれかの署名検証の前に重複したセル識別子(PCI)を持つ一次局を拒否する場合、別の問題が生じる。すべての周波数が走査されるまでプロセスは終了できないため、セル選択プロセスの期間が長くなる可能性があるという事実に加えて、これは追加の課題を伴う。これが行われた場合、攻撃者は実際の基地局の重複する偽の基地局を宣伝するだけであり、すなわち、同じPCIで署名が必要とされないので、二次局はそれらの一次局からの良好な時間測定値を十分考慮しない。この場合、二次局は最初に署名をチェックし、適切に署名されていないシステム情報を拒否するべきである。このステップの後、同じPCIを持つ2つの異なる一次局からブロードキャストされたシステム情報がある場合は、二次局は最新のシステム情報で値を取るべきである。正しく署名され、時間が近い、例えば、80ミリ秒以内であるシステム情報をブロードキャストする複数の一次局がある場合、アプローチは、最も高い時間を正しいものとして取ることである。しかしながら、これは、一次局がわずかに同期していない可能性がある。別のアプローチは、二次局が、受信した時間の平均としてその時間を計算することである。
【0046】
このように、本発明の第1実施形態によると、図3に示すように、二次局が、有効に署名された一次局からのみ得られた信号に基づいて同期を維持するための時間基準を得ることが提案される。これを行うために、二次局100は、まず、ステップS301で、複数のシステム情報SIのメッセージを複数の一次局110から受信し、例えば、すべての隣接セルにサービスを行う。これらのSIメッセージは、対応する一次局に関するそれぞれの時間基準情報をそれぞれ含む。この時間基準は、通常、メッセージの署名時の署名生成器でのクロック値、又はSIメッセージの送信時の一次局のクロック値である。時間基準は、SIメッセージが送られたシステムフレーム番号及び/又はサブフレーム番号に基づいて、二次局が絶対時間を計算することを可能にするタイミングマッピング基準と組み合わせてもよい。
【0047】
ステップS302では、二次局は、一次局のそれぞれについて、受信された署名の有効性をチェックする。署名が有効であるとはみられない一次局は、次に、タイミング情報の計算のために無視される。ステップS303では、二次局は、次に、有効な署名を持つ一次局のそれぞれのセル識別子をチェックし、別の一次局と同一であるセル識別子を持つ一次局からの時間基準情報を無視する。例えば、同じセル識別子を共有する一次局よりも前の値を有する一次局は除外される。これは、ステップS303では、二次局がすべての一次局のセル識別子を比較することを意味する。重複したセル識別子がある場合、二次局は、前の時間値及び重複したセル識別子を示す一次局が過去のメッセージを再生している偽の基地局であると想定する。
【0048】
ステップS304では、二次局は、有効な署名を持つ一次局から発信される時間基準情報の1つ又は複数からローカル時間基準を推測する。このように、二次局は、ステップS302及びS303で偽の基地局を除外した後、残りの一次局を信頼し、少なくとも受信メッセージの鮮度をチェックする目的で、推測された時間に基づいて二次局がそれ自体のクロックを同期させる時間基準を得ることができる。
【0049】
前述のように、時間基準情報は、一次局でのクロック値、又は署名生成器でのクロック値である。或いは、時間基準は、一次局でのクロック値とネットワークの署名生成器でのクロック値との間の差を表す時間オフセットであってもよい。このように、二次局は、その後、一次局のクロック値から又はメッセージのシステムフレーム番号から署名生成器のクロック値を推測できる。
【0050】
ステップS304でのローカル時間基準の計算は、有効な署名を持ち、前の時間を持つ重複するセル識別子を持たない一次局から発信される時間基準情報のいくつか又はすべての平均を計算することによって行う。検出された一次局の最初のいくつかを、例えば、ある優先度又は信頼クレジットに基づいて(例えば、ハードウェア又はファームウェア版に基づいて)選好することが有利である。或いは、ステップS304は、有効な署名を持つが前の時間との重複のない一次局から発信される最新の値を持つ時間基準情報を選択することを含む。
【0051】
図5は、本発明の第1実施形態による二次局500を表すブロック図である。この二次局は、ネットワーク、例えば、5Gセルラーネットワークにおいて通信することに適合された受信器502と送信器503とを含む通信ユニット501を備える。
【0052】
受信器502は、少なくとも1つのアンテナ、又は複数のアンテナを持つアンテナ列を備える。この受信器は、複数の一次局から送られたメッセージを受信するように適合される。このようなメッセージは、通信ネットワークにおける二次局通信ユニット501の構成のためのシステム情報SIのメッセージでよい。これらのSIメッセージは、それぞれの一次局に関連したそれぞれの時間基準情報をそれぞれ含む。二次局500は、二次局の動作を制御するためのコントローラ504も含む。このコントローラは、コンピュータプログラミングユニット、又はハードウェアとソフトウェアとの他の組合せである。コントローラ504は、一次局のそれぞれについて受信署名の有効性をチェックし、有効な署名を持つ一次局の少なくともそれぞれについてセル識別子をチェックするように構成される。次いで、コントローラ504は、セル識別子が別の一次局と同一であり、他の一次局からのものよりも前の値を有する一次局からの時間基準情報を無視する。最終的に、コントローラ504は、有効な署名を持つ一次局から発信される時間基準情報の1つ又は複数からローカル時間基準を推測する。
【0053】
第1実施形態から独立して実施できるが、第1実施形態と組み合わせてもよい第2実施形態では、二次局が署名生成器時間に直接アクセスすることが提案される。二次局がネットワーク、例えば、5Gシステムへ初めて接続するとき、及び/又は信頼される時間がない場合、及び/又は長期間オフラインになっていた後、二次局は、時間検証チェックが間違っていても一次局にジョインできる。この場合、二次局によって実行される最初の行動は、署名生成器の時間へ直接アクセスすることである。これが生じる前に、他の行動を実行する必要はない。この目的のために、二次局はコアネットワークとの安全な時間要求接続を開始できる。時間要求接続の最初のメッセージでは、二次局は、ハンドシェイクの鮮度を確保するために、ナンス(例えば、128ビット以上のランダムに生成された値)を含む。二次局もローカルタイマーを開始する。このメッセージは、二次局の観点から安全である必要がない。このメッセージは、現在時刻及び受信したナンスに署名する署名生成器(DSnF)へ転送される。メッセージは、次いで、一次局を通して二次局へ送られる。メッセージを受信したとき、二次局は署名の有効性及びナンスの存在をチェックして、二次局は、このメッセージが再生されず、新しいことを知る。二次局は、タイマーが所与の値、例えば、20ミリ秒を超えない場合に、メッセージを受け入れるかどうかをチェックすることが可能である。二次局は、次いで、タイマー/2を追加することで、受信した署名生成器の時間を訂正する。この時間が与えられると、二次局は、署名付きシステム情報及び時間の有効性のチェックに進むことができる。受信したシステム情報が最新であれば、一次局にジョインできる。最新ではない場合、二次局は一次局から切断される。上記ハンドシェイクに対する代替案は、署名生成器と他の安全な時間同期プロトコルを行って、その時間を収めることである。このプロトコルのリスクは、攻撃者によって悪用されて多くの時間要求を署名生成器へ送り溢れさせることであるが、それらの時間要求は、所与のしきい値(秒当たりの要求の量)がしきい値を超えた場合、システムの異なる部分、例えば、一次局で遮られてよい。
【0054】
このプロトコルは、初期のRRCセットアップ手順に統合できる。アプローチは、RRCSetupRequestにナンスを含めることである。署名生成器からの署名付き回答は、一次局によってRRCSetupメッセージに含まれる。このような早期統合の利点は、二次局に対して情報が漏洩しないことである。しかしながら、それにより、一次局でのRRCセットアップ手順及びステートマシンをより複雑にする。或いは、ナンスは、NAS同一性要求への回答として二次局によって送られたNAS同一性応答メッセージに含めてもよい。コアアクセス及びモビリティ管理機能(AMF)がこのナンスを持つメッセージを受信すると、AMFは、時間署名のために、これを署名生成器へ転送する。回答は、AMFがNAS認証要求を二次局へ送る前又は同時に提供されるべきである。このようにして、二次局は、それ以上の通信に関与する前に、時間及び一次局証明書を検証できる。
【0055】
このように、先に見られたように、図4を参照してここで説明した、第1実施形態と組み合わせて又は独立して実施できる第2実施形態では、二次局はまた、ネットワークへの初期接続においてステップS401で時間基準に対する要求を送り、上記要求は署名生成器へ宛てられる。この要求は、この署名生成器が一次局とは別のエンティティにある場合、一次局によって署名生成器へ任意で転送されてよい。時間基準に対する要求は、二次局によって作成されたナンスとして使用されるランダムに生成された数を含む。
【0056】
ステップS402では、二次局は、時間基準及びナンスを含む応答メッセージを受信する。時間基準及びナンスは、署名生成器によって作成されたナンス署名で署名される。二次局は、次に、ステップS403で、ナンス及びナンス署名を使用して受信したメッセージの真正性をチェックする。最終的に、二次局は受信した時間基準を使用して、二次局でクロックを構成する。
【0057】
この実施形態では、要求は、初期の無線リソース通信RRCのセットアップ要求メッセージの、又はネットワークアクセス階層NASの同一性要求に応答して送られたNASの同一性応答メッセージの、一部である。
【0058】
前の実施形態のいずれかにおいて、受信された署名は、以下のアルゴリズム、すなわち公開鍵下部構造PKIのアルゴリズム、Boneh-Lynn-Shacham、BLSの署名アルゴリズム、Boneh-Gentry-Lynn-Shacham、BGLSの署名アルゴリズム、楕円曲線デジタル署名アルゴリズムECDSA、ファルコン署名アルゴリズム、レインボー署名アルゴリズム、及び大多変量短署名GeMSSのアルゴリズムのうちの少なくとも1つを使用して署名生成器によって作成されることに留意されたい。同様に、二次局は、対応するアルゴリズムを使用して署名の有効性を検証する。
【0059】
さらに、上記解決策に加えて、署名生成器が信頼される外部ソースからの時間(例えば、現在のNISTビーコン又は既知の基準ソースからの時間)に依存する場合、二次局は、異なるタイプの接続性、例えば、WiFiを有していると、現在時刻を直接、得られる。署名生成器自体は、二次局がインターネットへアクセスするとすぐにいつでも時間ソースにアクセスできるように、二次局に対して知られ/事前構成される可能性のある既知のAPIを有してもよい。
【0060】
第1及び/又は第2実施形態のいずれかと組み合わせて又は独立して使用できる第3実施形態によると、システム情報ブロックに含まれるパラメータのタイプに応じて異なる署名を使用することが提案される。実際、構成メッセージに含まれるいくつかのパラメータは静的であり、頻繁な更新を必要とする可能性が低いことが認識された。このように、静的パラメータに一回署名し、得た署名を次のメッセージに再使用することが可能である。
【0061】
実際、現在の解決策は、システム情報ブロックSIBのいくつかのフィールドが静的なままで、他のフィールドは変化し続けるという事実を利用しない。現在使用されている選択肢は、すべてに常に署名することである。しかしながら、これは非効率的であり得る。
【0062】
したがって、第3実施形態の第1の例によれば、署名を次のように計算することが提案される。
DSA(HASH(HASH(fixed_field)|changing_field))
ここで、DSAはデジタル署名アルゴリズム、例えば、ECDSAであり、HASHはハッシュ関数、例えば、ハッシュ、ハッシュチェーン、又はマークル木である。fixed_fieldは、値が本質的に静的である1つ又は複数のパラメータ値を含むことができるフィールドである。静的により、例えば、これらがセルの地上構成へつながっているので、この静的パラメータ構成の変更が生じる可能性が低いことを意味する。逆に、changing_fieldは、例えば、セルの現在の負荷又は干渉状態に基づいて、定期的に調整されそうな、通常、より動的なパラメータ値を含む。
DSA(HASH(HASH(fixed_field)|changing_field))
ここで、DSAはデジタル署名アルゴリズム、例えば、ECDSAであり、HASHはハッシュ関数、例えば、ハッシュ、ハッシュチェーン、又はマークル木である。fixed_fieldは、値が本質的に静的である1つ又は複数のパラメータ値を含むことができるフィールドである。静的により、例えば、これらがセルの地上構成へつながっているので、この静的パラメータ構成の変更が生じる可能性が低いことを意味する。逆に、changing_fieldは、例えば、セルの現在の負荷又は干渉状態に基づいて、定期的に調整されそうな、通常、より動的なパラメータ値を含む。
【0063】
このアプローチは、また、固定フィールドが単一メッセージごとに署名生成器へ提出される必要がないため、通信のオーバーヘッドを低減する。代わりに、どのフィールドがどのくらいの間、一定なままであるか、及び変化するフィールドの値を通信できる。同様に、署名生成器と通信する場合、一次局はHASH(fixed_field)を送るしかない。明らかに、これには署名生成器がシステム情報を検証する機会がないというリスクがある。この検証は、署名生成器が一回行うことができ、その後の繰り返しでは、署名生成器は固定フィールドのハッシュが変化しないことをチェックするしかない。
【0064】
同様に、署名はMIB及びSIBごとに計算されてよい。しかしながら、例えば、MIB、SIB1、SIB2を含むSIの複数のブロックにわたって計算することもできる。二次局は、例えば、MSIを形成するMIBとSIB1との両方について単一の署名が得られる。署名自体はSIB1に含めることができ、署名を検証するためにはMIBとSIB1との両方を得る必要がある。このことは、MIBは非常に小さく、長い署名が収まる可能性が低いので、実際に有利である。しかしながら、MIBにおいて送信された情報を検証することが重要である。同様に、PCIなどの他の情報も検証されてよい。本実施形態の一例では、検出されたPCI、MIB及びSIB1を連結して、それらを一緒に署名できる。結果として得られる署名はSIB1に含めることができる。
【0065】
同様に、署名は、二次局によって要求に応じて得られる新しいSIBに位置する可能性がある。これは、後方互換性に対処することを助け、オンデマンドで交換されるだけであるため、通信のオーバーヘッドを低減する。この場合、二次局は、一次局によって転送されるナンスを含む要求を署名生成器へ署名のために送ることができる。このアプローチは、署名された情報の鮮度を確保する。
【0066】
同様に、署名は、葉が異なるSIBであるマークル木の根で計算されてよい。このようにして、オーバーヘッドを最小限に抑えながら、異なるSIBを個別に検証することが可能である。SIB1は、署名付きマークル木の根を含む。デバイスが異なるSIBを要求すると、そのマークル木の根で検証される。
【0067】
このように、図6に示される第3実施形態によれば、情報のセットの真正性をチェックする方法が提案され、この方法は、
ステップS601で、二次局で一次局から少なくとも1つの構成メッセージを受信し、上記構成メッセージは、それぞれのパラメータに対する複数のフィールドを含み、
ステップS602で、一次局からの構成メッセージを認証するための受信署名を二次局で受信することを有する。ステップS601及びS602は、例えば、ステップS601で受信されたメッセージの署名が添付されている場合、単一のステップで行われてよい。しかしながら、単一の署名を複数のメッセージに署名するために使用されることも可能である。このような場合、署名は、これらのメッセージの後又は最後に送られる。実際に、少なくとも1つの構成メッセージを受信するステップは、複数の構成メッセージを受信することを含んでもよく、受信された署名は、複数の構成メッセージを認証する。
ステップS601で、二次局で一次局から少なくとも1つの構成メッセージを受信し、上記構成メッセージは、それぞれのパラメータに対する複数のフィールドを含み、
ステップS602で、一次局からの構成メッセージを認証するための受信署名を二次局で受信することを有する。ステップS601及びS602は、例えば、ステップS601で受信されたメッセージの署名が添付されている場合、単一のステップで行われてよい。しかしながら、単一の署名を複数のメッセージに署名するために使用されることも可能である。このような場合、署名は、これらのメッセージの後又は最後に送られる。実際に、少なくとも1つの構成メッセージを受信するステップは、複数の構成メッセージを受信することを含んでもよく、受信された署名は、複数の構成メッセージを認証する。
【0068】
第3実施形態の方法は、ステップS603で、フィールドの第1のサブセットに基づいて第1のハッシュ値を得て、1つ又は複数の第1のフィールドからなるフィールドの第1のサブセットは静的な値を有するパラメータに関連し、
ステップS604で、第2のハッシュ値を得るために第1のハッシュ値とフィールドの第2のサブセットとの組合せ上に第2のハッシュ演算を適用し、1つ又は複数の第2のフィールドからなるフィールドの第2のサブセットは変数値を有するパラメータに関連し、
ステップS605で、受信した署名を第2のハッシュ値に基づいて検証して受信した構成メッセージを認証することをさらに有する。
ステップS604で、第2のハッシュ値を得るために第1のハッシュ値とフィールドの第2のサブセットとの組合せ上に第2のハッシュ演算を適用し、1つ又は複数の第2のフィールドからなるフィールドの第2のサブセットは変数値を有するパラメータに関連し、
ステップS605で、受信した署名を第2のハッシュ値に基づいて検証して受信した構成メッセージを認証することをさらに有する。
【0069】
第3実施形態の一例では、ステップS605は、受信構成メッセージを認証するために、受信署名を第2のハッシュ値から導出された署名と比較することによって行われる。
【0070】
したがって、この実施形態により、署名生成器が署名しなければならないメッセージの量を低減できる。さらに、より強力な署名アルゴリズムを使用して構成メッセージの静的パラメータに署名できるので、少なくとも同じレベルの保護を維持しながら、二次局の計算の負荷も低減する。
【0071】
第1のハッシュ値を得るステップS603では、二次局のメモリに格納されている、前に計算された第1のハッシュ値を回収することも含むことに留意されたい。実際に、第1のハッシュ値は初期のメッセージに対して計算され、次の構成メッセージのそれぞれに対して再使用された可能性がある。これは、この第1のハッシュ値を複数回、再計算することを回避する。
【0072】
実際に、(新しい)静的パラメータを担持する初期メッセージについて、第1のハッシュ値を得るステップS603は、第1のハッシュ演算をフィールドの第1のサブセット上へ適用して第1のハッシュ値を得て、第1のハッシュ値をその後の使用のために格納することを含む。
【0073】
この第3実施形態の変形例では、ステップS603で、有効な格納された第1のハッシュ値が二次局のメモリに存在するかどうかを判定し、有効な第1のハッシュ値が存在すると判定すると、そのような第1のハッシュ値をメモリから回収することが可能である。そうでなければ、二次局は、第1のハッシュ演算をフィールドの第1のサブセット上へ適用して第1のハッシュ値を得て、有効な第1のハッシュ値が存在しないと判定すると、第1のハッシュ値をその後の使用のためにメモリに格納してもよい。そのような変形例では、第1のハッシュ値は、次の、その生成からの経過した時間が有効性しきい値を下回る、一次局の同一性が認証される、及び一次局が現在サービスを行う一次局であるという条件のうちの1つ又は複数が満たされる場合に有効と考えられる。
【0074】
このような有効性しきい値は、一次局から信号で送られるか、又はいくつかのシステム情報メッセージの周期性に等しい。
【0075】
ステップS604では、第3実施形態の方法は、第2のハッシュ値上へデジタル署名アルゴリズムを適用することによって導出署名を導出することを有する。
【0076】
前の実施形態と同様に、デジタル署名アルゴリズムは、楕円曲線デジタル署名アルゴリズム(ECDSA)である。
【0077】
図7に示される第3実施形態のさらなる態様では、情報のセットを認証するための署名を生成する方法が提案され、この方法は、以下を有する。
ステップS701では、署名生成器で二次局を構成するための少なくとも1つの構成メッセージを一次局から受信し、上記構成メッセージは、それぞれのパラメータに対して複数のフィールドを含む。署名生成器は、次に、ステップS702で、フィールドの第1のサブセットに基づいて第1のハッシュ値を得て、1つ又は複数の第1のフィールドからなるフィールドの第1のサブセットは静的値を有するパラメータに関連している。署名生成器は、次に、S703で、第2のハッシュ演算を第1のハッシュ値とフィールドの第2のサブセットとの組合せ上に適用して第2のハッシュ値を得ることができ、1つ又は複数の第2のフィールドからなるフィールドの第2のサブセットは変数値を有するパラメータに関連し、第2のハッシュ値から導出される署名を生成して構成メッセージを認証する。代替では、このステップは、第1のハッシュ値の受信後に一次局で行われてもよい。
ステップS701では、署名生成器で二次局を構成するための少なくとも1つの構成メッセージを一次局から受信し、上記構成メッセージは、それぞれのパラメータに対して複数のフィールドを含む。署名生成器は、次に、ステップS702で、フィールドの第1のサブセットに基づいて第1のハッシュ値を得て、1つ又は複数の第1のフィールドからなるフィールドの第1のサブセットは静的値を有するパラメータに関連している。署名生成器は、次に、S703で、第2のハッシュ演算を第1のハッシュ値とフィールドの第2のサブセットとの組合せ上に適用して第2のハッシュ値を得ることができ、1つ又は複数の第2のフィールドからなるフィールドの第2のサブセットは変数値を有するパラメータに関連し、第2のハッシュ値から導出される署名を生成して構成メッセージを認証する。代替では、このステップは、第1のハッシュ値の受信後に一次局で行われてもよい。
【0078】
ステップS704では、署名生成器は、署名を一次局へ送信する。
【0079】
そのような場合、第1のハッシュ値を得るステップは、以下の、
第1のハッシュ値を一次局から受信するステップ、
二次局のメモリに格納されている、前に計算された第1のハッシュ値を回収するステップ、又は
第1のハッシュ演算をフィールドの第1のサブセット上へ適用して第1のハッシュ値を得るステップのうちの1つを有する。
第1のハッシュ値を一次局から受信するステップ、
二次局のメモリに格納されている、前に計算された第1のハッシュ値を回収するステップ、又は
第1のハッシュ演算をフィールドの第1のサブセット上へ適用して第1のハッシュ値を得るステップのうちの1つを有する。
【0080】
このような二次局とデジタル署名エンティティの構造は図8に示される。図8上で、二次局801は、受信器803を含む通信ユニット802を備える。この受信器803は、少なくとも1つの構成メッセージを一次局から受信するように適合され、ここで、上記構成メッセージは、それぞれのパラメータに関連して複数のフィールドを含む。受信器は、また、構成メッセージを認証するための受信署名を一次局から受信するように構成される。
【0081】
二次局は、また、フィールドの第1のサブセットに基づいて第1のハッシュ値を得るように構成されたコントローラ804を含み、1つ又は複数の第1のフィールドからなるフィールドの第1のサブセットは、静的値を有するパラメータに関連している。このコントローラは、コンピュータプログラミングユニット、又はハードウェアとソフトウェアとの他の組合せである。コントローラは、第1のハッシュ値とフィールドの第2のサブセットとの組合せ上で第2のハッシュ演算を行って第2のハッシュ値を得て、1つ又は複数の第2のフィールドからなるフィールドの第2のサブセットは変数値を有するパラメータに関連し、次いで、第2のハッシュ値に基づいて、受信した署名を検証して、受信した構成メッセージを認証できる。
【0082】
図8の署名生成器811は、情報のセットを認証するための署名を生成するように適合される。特に、署名生成器811は、二次局を構成するための少なくとも1つの構成メッセージを一次局から受信するように適合された受信器812を備え、ここで、上記構成メッセージは、それぞれのパラメータに関連して複数のフィールドを含む。この受信器812は、通常、一次局へ無線で接続されるアンテナ又はアンテナ列を備える。しかしながら、署名生成器はコアネットワークの一部であることができるため、この通信ユニットは、例えば、それを一次局へつなげるイーサネット接続又は光ファイバー接続に基づいて配線される。さらに、本実施形態の変形例では、署名生成器が一次局自体に存在することが可能である。そのような場合、受信器は、上位層からパケットを受信し、署名生成器811によって処理される論理受信器である。
【0083】
署名生成器は、フィールドの第1のサブセットに基づいて第1のハッシュ値を得るコントローラ813を備え、1つ又は複数の第1のフィールドからなるフィールドの第1のサブセットは、静的値を有するパラメータに関連している。署名生成器コントローラ813は、第2のハッシュ演算を第1のハッシュ値とフィールドの第2のサブセットとの組合せ上に適用して第2のハッシュ値を得ることができ、1つ又は複数の第2のフィールドからなるフィールドの第2のサブセットは、変数値を有するパラメータに関連している。コントローラは、構成メッセージを認証するために第2のハッシュ値から導出される署名を生成するように構成される。
【0084】
最終的に、署名生成器は、署名を一次局へ送信する送信器814を備える。前に見られたように、この実施形態の変形例では、署名生成器が一次局自体に存在することが可能である。このような場合、送信器は、パケットを一次局の下位層へ送信する論理送信器である。
【0085】
独立して又は前に論じた実施形態と組み合わせて実施できる本発明の第4実施形態によれば、異なる署名検証アルゴリズムが時間に応じて選択される情報のセットの真正性をチェックする方法が提案される。
【0086】
実際、例えば、量子耐性のある効率的な署名アルゴリズムを検討すると、現在知られている量子耐性(QR)署名アルゴリズムは、公開鍵、それらの署名、又はその両方のいずれかにおいてかさばることを認識することが重要である。比較として、マスター情報ブロック(MIB)は、前に見られたように、23ビットの合計サイズを有し、SIB1(SIメッセージ)は物理層で最大2976ビットへ制限されることを考えなければならない。この最大物理サイズは、利用可能なQRアルゴリズムのほとんどの適用性を制限する。実際、GeMSS及びレインボーは、それらの非常にかさばる公開鍵をエンドデバイス上で事前に構成できると想定して、署名サイズが34と64バイトとの間の長さを有する唯一の実行可能な量子耐性選択肢である。また、さらに精査すると、これらの解決策の効率が低下し、又は壊れることさえ起こる恐れがある。
【0087】
この第4の実施形態は、より効率的で量子耐性があり得る解決策を詳述する。提案された署名解決策は、強力な(QR)デジタル署名アルゴリズム(DSA)と軽量DSAとの組合せに基づく。強力な(QR)DSAは、例えば、AES128以上と等価である長い鍵を使用するECDSAであり得る。軽量DSAは、短期間で情報に署名するのに十分な強度の小さな鍵を使用するECDSAであり得る。或いは、軽量DSAは、ハッシュチェーンに基づく軽量署名アルゴリズムに基づいてもよい。この例は、説明の残りの部分で使用される方法であるが、短い鍵又はその他のDSAの組合せを持つECDSAに置き換えられてもよい。
【0088】
第4実施形態によれば、図9で説明したようなメッセージの真正性をチェックする方法が提案される。このような方法は、二次局で一次局から構成メッセージのシーケンスを受信するステップS901を有する。ステップS902では、二次局は、各構成メッセージについて、少なくとも1つの対応する署名を受信する。或いは、単一の署名は構成メッセージ(例えば、MIB+SIB1)のセットに使用されてもよい。ステップS903では、二次局は、時間基準に応じて、デジタル署名アルゴリズムのセットから少なくとも1つのデジタル署名アルゴリズムを選択する。これは、瞬時に応じて、どちらか一方のDSAアルゴリズムが選択され、受信したメッセージを検証するために使用されることを意味する。
【0089】
そして、ステップS904では、二次局は、選択されたデジタル署名アルゴリズムに基づいて、受信した署名を検証する。任意で、公開鍵を使用して、受信した署名を検証してもよい。
【0090】
第4実施形態の第1の変形例では、第1のデジタル署名アルゴリズムは、第2のデジタル署名アルゴリズムよりも頻繁に選択される。例えば、より短い署名は、オーバーヘッドを削減するので、より頻繁に使用される。次に、より長い周期性で、より長い署名が使用される。別の例として、第1の署名アルゴリズムは、第2のデジタルアルゴリズムよりも複雑ではない。これは、第1のアルゴリズムが、第2のアルゴリズムよりも署名を生成及び/又は検証するために必要な計算力が少ないことを意味する。一例では、第2のアルゴリズムが使用される周期性は、構成期間のk倍に等しい。この構成期間は、例えば、変数パラメータの周期性である。第2の期間は、例えば、SFN期間でもよい。第2のアルゴリズムは、ECDSAでもよい。第1の署名アルゴリズムは、第2の署名アルゴリズムが使用されなければ、より短い間隔で使用されるハッシュ、例えば、ハッシュチェーンに基づく。或いは、第1の署名アルゴリズムは常に含まれるので、第2のアルゴリズムが使用される場合、構成メッセージは2つの署名を含むことを意味する。
【0091】
さらに、第4実施形態の好ましい変形例は、第2の期間におけるメッセージが、第2の期間中に静的のままであるフィールドの署名を含むことができ、それらのフィールドの1つは、第3実施形態と同様に、構成期間とともに送られる構成メッセージを検証するために使用される公開鍵であることを留意すべきである。
【0092】
このように、前に見られたように、構成メッセージは、構成期間とともに定期的に送ることができ、第2のデジタル署名アルゴリズムは、第2の期間ごとに1回定期的に選択され、ここで、第2の期間は、構成期間の倍数であり、上記倍数は、少なくとも2である。第1のデジタル署名アルゴリズムは、それ以外の場合、又はメッセージごとに選択される。
【0093】
第1のアルゴリズムは、ハッシュチェーンアルゴリズム、Boneh-Lynn-Shacham、BLSの署名アルゴリズム、Boneh-Gentry-Lynn-Shacham、BGLSの署名アルゴリズムのうちの少なくとも1つに基づいてもよく、第2のアルゴリズムは、楕円曲線デジタル署名アルゴリズムECDSA、ファルコン署名アルゴリズム、レインボー署名アルゴリズム、及び大多変量短署名GeMSSのアルゴリズムのうちの少なくとも1つであってよい。具体的な例示的実施では、第1のアルゴリズムは楕円曲線デジタル署名アルゴリズムECDSAであり、第2のアルゴリズムもECDSAであるが、第1のアルゴリズムは第2のアルゴリズムよりも短い鍵を使用する。
【0094】
先に論じたように、第3実施形態は、次のようにして、本実施形態と組み合わされてよい。構成メッセージは、このように、それぞれのパラメータに関連して複数のフィールドを含む。この例では、デジタル署名アルゴリズムの第1のデジタルアルゴリズムは、フィールドの第1のサブセットに基づいて第1のハッシュ値を得るステップを含み、1つ又は複数の第1のフィールドからなるフィールドの第1のサブセットは、静的値を有するパラメータに関連している。
【0095】
次いで、第2のハッシュ演算が、第1のハッシュ値とフィールドの第2のサブセットとの組合せ上に適用されて第2のハッシュ値を得て、1つ又は複数の第2のフィールドからなるフィールドの第2のサブセットは、変数値を有するパラメータに関連している。さらに、デジタル署名アルゴリズムの第2のデジタルアルゴリズムは、第1のハッシュ演算を適用してフィールドの第1のサブセットに基づいて値を得るステップを含み、1つ又は複数の第1のフィールドからなるフィールドの第1のサブセットは、静的値を有するパラメータに関連している。
【0096】
様々なデジタル署名アルゴリズムに関しては、自然な選択は、FIPS186-4仕様で指定されているECDSAを署名アルゴリズムとして選ぶことである。より短い署名、バッチ検証、及び署名プロセスの事前計算を可能にするいくつかの他の解決策は、双線形マップに基づいている。しかしながら、ECDSA及び双線形マップに依存する解決策は、量子コンピュータの出現により、限られた時間だけ使用される可能性が高い。さらに、ECDSAが使用され、その相対的に良い性能にもかかわらず、公開鍵暗号は単純な対称鍵動作よりも依然として高価である。文献によれば、10000リンクを持つハッシュチェーンの計算には14ミリ秒かかり、ECDSA224署名の検証には6.81ミリ秒かかると報告されている。
【0097】
したがって、第4実施形態で提案された署名解決策は、(ハッシュチェーンベースの)TESLA及び(QR)DSAに基づく。TESLAは、ハッシュチェーンHCによって与えられるソース認証を可能にする安全なブロードキャストアプローチについて説明する。
時間iで、h_{n}<-h_{n-1}<-h_{n-2}<-...<-h_{0}、ここでh_{n-i}を使用して、メッセージmのメッセージ認証コード(MAC)をMAC(m,h_{n-i})として計算できる。
時間iで、h_{n}<-h_{n-1}<-h_{n-2}<-...<-h_{0}、ここでh_{n-i}を使用して、メッセージmのメッセージ認証コード(MAC)をMAC(m,h_{n-i})として計算できる。
【0098】
ここでh_{i+1}=hash(h_{i})である。値h_{n-i}は時間i+1で開示され、それにより、受信側は、
(1)前に受信したMAC、及び
(2)受信したh_{n-i}がhash(h_{n-i-1})と等しいかどうか、をチェックすることによって前に受信したMACを検証することができる。
(1)前に受信したMAC、及び
(2)受信したh_{n-i}がhash(h_{n-i-1})と等しいかどうか、をチェックすることによって前に受信したMACを検証することができる。
【0099】
h_{0}は、すべての値が導出されるHCのシードである。h_{n}は、すべてのデバイスへ安全で信頼されるやり方で分配する必要があるトラストアンカーである。
【0100】
この第4実施形態は、次のように5G DSnFシステムにハッシュチェーンアプローチを統合する。
署名生成器は、ハッシュチェーンのシードと、好適なDSA、例えば、ECDSA若しくはQR DSAの公開鍵/秘密鍵の対との両方を有する。一次局gNB及び署名生成器DSnFは、DSnFが一次局の現在時刻を認識して、どの通信遅延でも訂正できるように、それらのクロックを同期させるプロトコルを実行する。一次局gNBは、署名生成器に、オンデマンドで時間iのメッセージのMACを要求できる。署名生成器は、ハッシュチェーンリンクを使用して、基地局へ伝送される対応するMACを効率的に計算する。これらの通信の流れは、予め行うことができることに留意されたい。署名生成器は、時間同期プロトコルを使用して、署名付きメッセージに含まれるクロック間のいかなる潜在的な時間差も認識する。
署名生成器は、ハッシュチェーンのシードと、好適なDSA、例えば、ECDSA若しくはQR DSAの公開鍵/秘密鍵の対との両方を有する。一次局gNB及び署名生成器DSnFは、DSnFが一次局の現在時刻を認識して、どの通信遅延でも訂正できるように、それらのクロックを同期させるプロトコルを実行する。一次局gNBは、署名生成器に、オンデマンドで時間iのメッセージのMACを要求できる。署名生成器は、ハッシュチェーンリンクを使用して、基地局へ伝送される対応するMACを効率的に計算する。これらの通信の流れは、予め行うことができることに留意されたい。署名生成器は、時間同期プロトコルを使用して、署名付きメッセージに含まれるクロック間のいかなる潜在的な時間差も認識する。
【0101】
一次局は、署名生成器によって提供された、署名付きシステム情報を、その後の適切なタイミングで二次局へブロードキャストできる。
【0102】
署名生成器は、時間iで使用されたハッシュチェーン要素h_{n-i}をすべての加入された一次局へ分配し、次いで一次局によって二次局へさらにブロードキャストされる。データの第1の流れは、オンデマンドで、すなわち、ソース認証された情報が、後でブロードキャストできるように署名する必要がある場合に行うことができる。ハッシュチェーン要素が開示される第2の通信の流れは、厳密な同期を必要とする。
【0103】
5Gのコンテキストでは、MIB及びSIB1が80/160ミリ秒の間隔でブロードキャストされることが知られている。このように、署名生成器は、次のハッシュチェーン要素を同じ頻度で分配しなければならず、この要素はSIの一部としてすべてのUEへブロードキャストされる。例えば、最小限のシステム情報(MSI=MIB+SIB1)は、図10に示されるように、このやり方で保護されると考えられる。なお、時間iは、この場合、例えば、160ミリ秒スロットを表すことができる。時間i+1で、前のMACを計算するために使用されたハッシュチェーンのリンクが開示される。これは、例えば、160ミリ秒間隔内のすべてのメッセージが同じハッシュチェーンリンクを使用することを意味する。このようなハッシュチェーンのアプローチは、例えば、図10に示され、構成メッセージのシーケンス及びそれらに対応する署名を表す。
【0104】
二次局がシステム情報のブロックを追跡し続けてハッシュチェーンのアンカーで初期化された場合、単一のハッシュ計算が前に受信したハッシュ値を検証するために必要とされるため、次いで、検証は非常に速くなる。二次局がシステムに対して新しい場合、HCアンカーを最初に受信して検証する必要がある。それを初期のNASハンドシェイク後に分配することは、UEがFBSにジョインすることを意味できるため、選択肢ではない。このように、実際のデジタル署名アルゴリズム(DSA)を避けることは実行可能ではないようである。非常に好適な選択肢は、従来の署名アルゴリズムとハッシュチェーンとの組合せを有することにある。
【0105】
長い間隔の秒ごとに1回(例えば、システムフレーム番号の継続時間である10.24秒ごとであり得る)、署名生成器はデジタル署名アルゴリズム(DSA)で次のハッシュチェーンアンカーに署名し、それを、すべての二次局へブロードキャストする一次局へ分配する。
【0106】
周期的なMIB/SIB1は、短い間隔の期間で、ハッシュチェーンアプローチに続いて、MACによって署名される。これは、図11に示され、DSAで署名されたアンカーが時間1で分配される。このアプローチは、ハッシュチェーンとデジタル署名アルゴリズムとを組み合わせる。このアプローチで、二次局が、セルにサービスを行う一次局にジョインするとき、ハッシュチェーンアンカーを取得し、署名を検証することを必要とする。これは、わずかな遅延を引き起こすが、その後、検証が単純なハッシュに基づいているため、CPU性能が大幅に向上する。署名生成器がハッシュチェーンの秘密鍵とシードとの両方を所有する場合は、二次局は、複数の一次局に対して有効であり得るハッシュチェーンアンカーを取得できる。したがって、これにより、二次局が複数の一次局を走査するときに、リソース要件が減少する。
【0107】
異なるアプローチは、署名生成器が最上位にあり、一次局が署名生成器によって署名される一種の公開鍵下部構造において、署名生成器と一次局との間で署名能力を分割することであることに留意されたい。署名生成器は、長い間隔の間に使用されるハッシュチェーンのアンカーに第2の署名アルゴリズムで署名することを担当する。この署名が行われると、DSAは、アンカーが一次局のみに知られている既知のシードに対応することもチェックできる(これは、署名生成器と一次局との間の交換における機密性を必要とする)。署名生成器は、長い間隔の期間に静的なままであるすべてのパラメータに、1回、署名する。署名生成器は、一次局に、署名付きアンカーと署名付き固定パラメータとを供給する。一次局は、長い間隔の間、図11に示されるように、これらの固定パラメータをブロードキャストし続ける。オンデマンドで要求された任意の動的パラメータ又はSIBの署名は、ハッシュチェーンのアプローチに基づいて一次局によって行われる。このアプローチは、二次局が特定のSIB(SIB2~SIB5)をオンデマンドで要求でき、厳密な時間同期が必要とされる状況に非常に好適である。
【0108】
デジタル署名アルゴリズムとハッシュチェーンのアプローチとの両方が使用されると、複数のSIBの静的フィールド(例えば、PCI、MIB、SIB1、SIB2など)の署名はSIB1又は新しいSIBに位置できる。新しいSIBに含まれる場合、このSIBはオンデマンドで二次局へ送られ、エネルギー消費量を減少させることができる。残りのSI(例えば、SIB1、SIB2など)は、動的フィールドの速い検証を可能にするハッシュチェーンベースのアプローチで計算されたMACを含む。
【0109】
14ミリ秒で10000リンクを持つハッシュチェーンを生成できることを追加されたい。長い間隔がSFN及びHFNの場合、2^20リンクが必要とされる。これには1.46秒かかる。長い間隔がSFNの場合には、これは約1.4ミリ秒になる。ハッシュチェーンのリンクのみが80ミリ秒ごとに開示されるため、ハッシュチェーンを生成する時間は18ミリ秒及び0.175ミリ秒になる。このように、ハッシュチェーンのアプローチが実行可能であると結論付けられる。DSA署名は、SFN間隔よりも頻繁に含められるので、ハッシュチェーンのアンカーをより速く取得し静的パラメータの検証をより頻繁に行うことができる。一次局は、長い間隔の時間ごとに静的パラメータに署名する要求を署名生成器へ送ることができ、その長い間隔の間、一次局は、固定パラメータの署名をブロードキャストし続け、ハッシュチェーンベースのアプローチを使用して動的パラメータに、それ自体で署名できる。
【0110】
かさばる署名を持つDSAさえ利用可能であれば、又は、よりかさばる証明書が含まれるPKIが公開鍵を検証するために必要とされる場合、DSA署名は、単一のアンカーに署名する目的で、複数のメッセージにフラグメント化できることに留意されたい。例えば、SIB1ごとに、64バイトのフラグメントを含むことができ、32バイトのアンカーに署名する署名+証明書の長さが1600バイトの場合、署名+証明書を25の連続したメッセージに分割できる。単一の新しいSIBであるか、フラグメント番号を示すフラグメント化フィールドを有する可能性もある。新しいメッセージが160ミリ秒ごとにブロードキャストされる場合は、長い間隔は少なくとも4秒の長さである。それでも、このアプローチにより、二次局がアンカーを取得したときにすべての単一メッセージに署名して検証でき(より速い検証)、検証がより速くなることを確実にする。
【0111】
上記の例では、二次局がアンカーをまだ有していない場合、すべてのメッセージの検証を開始できるまで4秒間待機する必要がある。或いは、システムは新しいアンカーと古いアンカーとの両方の署名をブロードキャストする。これにより、二次局は、パケットの受信を開始し、例えば、h_(n-i)で開始し、それらをハッシュベースのアプローチで事前に検証し、古いアンカーh_0を受信するとすぐに、二次局はn-iハッシュを計算して検証を完了できる。
【0112】
二次局が署名生成器と十分、時間同期しておらず、攻撃者が、開示されたHCリンクを悪用しながらメッセージを記録し返信することによってこの状況を利用しようとするような潜在的攻撃を回避するために、HCアプローチで保護されたメッセージのハッシュをDSAアルゴリズムで署名されたメッセージの入力として含めることによって、システムを強化できる。これは、攻撃者が、それらの値を自由に使用且つ悪用できないことを意味する。
【0113】
このように、ブロードキャストされたアンカーは、異なるハッシュチェーンの一部であり、すなわち、2つの異なるシード、又はn回のハッシュ演算によって分離された同じハッシュチェーンにおける中間リンクを有することができる。その場合を判定するために、ハッシュアンカーは次の形式を使用して符号化する。
0XYZ...XYZ(新しいハッシュチェーン用の新しいアンカー)
1XYZ...XYZ(前のハッシュチェーンにおける中間リンクに対応する新しいアンカー)
0XYZ...XYZ(新しいハッシュチェーン用の新しいアンカー)
1XYZ...XYZ(前のハッシュチェーンにおける中間リンクに対応する新しいアンカー)
【0114】
ここで、XYZ...XYZは実際のハッシュ値、すなわち、h_(n-i)に対応する。この区別は、二次局がしばらくの間一次局を既に聴いている場合に、前のハッシュチェーンにおける中間リンクである新しいアンカーの検証が単一のハッシュ演算でより速く行えるようにするために重要である。
【0115】
前の実施形態と組み合わせてよく、又は別々に実施してよい第5実施形態によれは、二次が接触した一次局のロケーションを決定し、このロケーションがこの一次局の基準ロケーションと一致しているかどうかを検証することが提案される。
【0116】
より具体的には、提案された解決策のいくつかでは、署名生成器は以下をすることによって一次局の検証を行う。
1.公開鍵トラストアンカーを得る。
2.セル走査、走査頻度、PCIの重複を除外する。
3.間違った署名を持つものを除外してデジタル署名を検証する。
4.時間カウンタを検証する、古いタイマーを持つものを除外する。
1.公開鍵トラストアンカーを得る。
2.セル走査、走査頻度、PCIの重複を除外する。
3.間違った署名を持つものを除外してデジタル署名を検証する。
4.時間カウンタを検証する、古いタイマーを持つものを除外する。
【0117】
しかしながら、このアプローチはいくつかの欠点を有する。まず、トラストアンカーをセットアップすることを必要とする。さらに、物理セル識別子(PCI)の重複を直接除外し、これは攻撃者が、領域内と同じPCI又は劣る接続性を持つ偽の基地局を宣伝した場合、サービス拒否攻撃を引き起こすことを意味する。二次局はすべてを走査しないか、又は走査時の干渉のせいで、いくつかの情報を単に欠落させる恐れがある。本発明者らにより、物理的ロケーションが現在チェックされていないことも認識される。このロケーションは、攻撃者が異なるロケーションで情報を再ブロードキャストしないことを確かめるために、二次局によって検証且つチェックされなければならないパラメータである。同様に、デジタル署名が使用されるとしても、秘密鍵は、証明機関の秘密鍵がそこなわれたのと同じやり方でそこなわれる可能性がある。これが起こると、攻撃者は、そこなわれた秘密鍵で署名されたシステム情報を公開している偽の基地局を、なお置く可能性がある。
【0118】
この第5実施形態では、これらの課題を解決することがこのように提案される。重複した識別子を持つ基地局を除外する問題を回避するために、第1実施形態の解決策に加えて、又は代えて、物理層でブロードキャストされたデータから導出されたロケーション情報を利用することが可能である。この実施形態の利点の1つは、MIB及びSIBが処理される(そしてデジタル署名が検証される)前であっても、これが起こり得ることである。例えば、同じセル識別子を持つ2つの信号が異なるロケーションから到来して、二次局が(a)一次局がそれらの1つに位置していることを認識しているが、他のロケーションにおける一次局を認識していない場合は、二次局は、そのロケーションが既知のロケーションと一致しない一次局をフィルタリングで除去できる。
【0119】
特に、二次局は、一次局のロケーション情報にもアクセスできる。したがって、第5実施形態によると、一次局の同一性を検証する方法が提案され、この方法は、少なくとも1つの信号を二次局で受信することを有する。二次局は、次に、上記受信信号に基づいてロケーションパラメータを決定する。次いで、決定されたロケーションパラメータは一次局の同一性につなげられた基準ロケーションパラメータと比較されて一次局が信頼できるかどうかを決める。
【0120】
このように、二次局は、受信信号が実の一次局のサイトから発信されそうであるかどうかを判定できる。これにより、物理的ロケーションがそのような攻撃者の偽の一次局のすべてではないにしても一部を除外する可能性があるため、攻撃がより困難になる。
【0121】
第5実施形態の第1の変形例では、ロケーションパラメータの決定は、一次局の放射パターンを推定することを含み、決定されたロケーションパラメータを基準ロケーションパラメータと比較することは、推定された放射パターンを一次局の基準放射パターンと比較することを含む。そのような場合、二次局は、基準放射パターンを決定するために、それ自体のロケーションを考慮に入れてよい。
【0122】
第5実施形態のこの第1の変形例の一例では、二次局による放射パターンの推定は、一次局について検出された放射ビームの数を数えることを含む。二次局は、次に、この数の放射ビームを参照リストの形式で基準放射パターンと比較する。このような参照リストは、参照される各一次局について、一次局が使用している放射ビームの数、又は一次局が使用できるビームの最大数を含む。列挙された参照リストは、一次局の同一性(例えば、PCI)を含む。また、参照される一次局のロケーション(例えば、GPS座標)を含めてもよい。
【0123】
この上記方法は、非常に悪い展開シナリオにおいてUEにも使用でき、予想される放射パターンに関連する基地局からの高密度の情報(例えば、基地局の周りの空間内の各点(1mm、cm、m刻み)についての放射パターン)を必要とすることなく類似性チェックを行えるという利点を有することに留意されたい。また、放射パターンの類似性チェックは、基地局のブロードキャスト信号に存在するSSBビームの数を単に数えることにあるため、基地局とUEの正確な位置に関する知識も必要としない。この情報量は非常に限られ、物理セル識別子(PCI)に関連付けられたSSBの数にすぎない。PCIは、同期ブロックの一部としてもブロードキャストされる。UEが、UEのネットワークへ接続する初回を、帯域外で又は安全なやり方で受信できるというこの情報に基づいて、UEは以下を行うことができる。
a)UEは、SSB及びPCIを読み取るセルを走査する。
b)UEは、UEへ展開された放射情報に基づいて、そのPCIについて予想されるSSBビームの数をチェックする。
c)UEは、測定されたSSBの数がそのPCIについて予想されるSSBの数と一致することをチェックする。
a)UEは、SSB及びPCIを読み取るセルを走査する。
b)UEは、UEへ展開された放射情報に基づいて、そのPCIについて予想されるSSBビームの数をチェックする。
c)UEは、測定されたSSBの数がそのPCIについて予想されるSSBの数と一致することをチェックする。
【0124】
この変形例では、基準放射パターンは、一次局のデータベースから得られる。例えば、アプリケーションマストデータは、このデータを提供する。別の可能性は、互いを信頼するネットワークオペレータが一次局の位置を交換して、一次局の組合せリストを作成することである。二次局が位置する追跡領域に位置する一次局は、二次局に格納される。MIB及びSIB1を受信すると、二次局が、重複したセル識別子を有する一次局の1つの位置が予想されるロケーションと一致しないと判定した場合、二次局はその一次局を除外するしかない。
【0125】
或いは、二次局は、放射パターンを収集し、それを既知の一次局に報告してよく、この一次局は、任意でネットワークと連携して、受信された放射パターンをチェックする。これは、単一の放射パターンずつ行うことができ、又は二次局が、ある期間にわたって複数の放射パターンを収集し、それらを(全体として、又は反復して)既知の一次局へ報告する予備ステップを含むことができる。各測定された放射パターンに対応する二次局のロケーションが含まれてもよい。
【0126】
チェックの精度及び堅牢性を高めることができるこの変形例のさらなる例では、一次局が異なる方向に放射された異なるビームを使用し、図12に示されるように異なる識別子を使用して同期信号をブロードキャストすることを考慮に入れることによって、放射ビームの数に加えて(又は代わりに)、一次局のロケーションを推定できる。特に、5Gは、NSSS={0,1,...,335}及びNPSS={0,1,2}である3NSSS+NPSSとして計算された1008までのPCIをサポートする。ここで、SSSは二次同期信号識別子を指し、PSSは一次同期信号識別子を指す。PSS及びSSSは、同期信号ブロック(SSブロック)の一部として送信される。SSBは、各SSB送信についてビーム方向を変えることでビーム掃引時に使用されるSSバースト(ビーム当たり1つのSSB)を形成することによってバッチで送信される。SSバーストにおけるSSBの最大数は周波数に依存し、4(3GHz未満)、8(3~6GHz)、又は64(6~52.6GHz)であり得る。SSBの周期性はネットワークによって構成され、初期セル選択のデフォルト送信周期性であるのに対し、SSバーストセット周期性はすべての周波数範囲、すなわち、2NRフレームについて20ミリ秒でデフォルトである。一次局は、SSBについて複数の候補位置を無線フレーム内に画定する。異なる方向に放射される各SSBは、SSBインデックスと呼ばれる一意の番号によって識別でき、どのSSBの識別が検出されるかは、どこに二次局が位置するかによる。二次局は、一定期間(1つのSSBセットの期間)に検出した各SSBの復調基準信号(PBCH DMRS)の信号強度を測定できる。測定結果から、二次局は最も強い信号強度を持つSSBインデックスを識別できる。最も強い信号強度を持つこのSSBは、二次局にとって最良のビームである。
【0127】
二次局が一次局の正常の放射パターン(SB#の数及び/又は方向)とそれ自体のロケーション(例えば、GPSによって)を知り、一次局を測定し、PCIに関する情報を有する場合、最良のSB及び相対的受信電力は、一次局が実か偽かを示すことができる。
【0128】
図12では、攻撃者がUE1を対象とするFBSを置く。UE1は、本発明のこの部分で使用される技法を利用するので、FBSは、UE1が同じ送信署名を受信するように、そのビームを再度、向けなければならない。そのため、ビーム1201はそれに向かっている。FBSはUE1をうまく対象とするが、放射パターンが変化するため、他のUE(例えば、UE2)は実のBSとFBSとを、なお区別できる。
【0129】
二次局がそのロケーション及び放射パターン(異なる識別子を持つSSBをブロードキャストする際、基地局の異なるビームがどの方向を指すか)を知っていると想定すると、二次局は予想される受信放射パターンが何であるはずかを導出できる。通常、二次局1200は、全方向性アンテナを有する。例えば、二次局が、その位置、ビーム1201がそれへ向かい、ビーム1203が反対方向に進み、ビーム1202と1204とが垂直方向に進むことを知る場合は、二次局1100は、ビーム1201について最大の信号強度、ビーム1203について最低、及びビーム1202と1204とについて中間値を予想できる。予想される相対的信号強度走査は、その相対位置を計算できるので、二次局1200の指定位置が与えられた異なるビームについてアンテナの利得分布から導出でき、それを用いて、異なるビームに対する二次局1200へ向かっているアンテナの利得を計算できる。ここで、相互相関を計算することにより、この予想信号を受信信号と比較できる。信号が整列されている場合、最大値はゼロ付近のはずである。相互相関が0よりはるかに離れた最大値を出力する場合は、一次局は潜在的な偽基地局として分類できる。
【0130】
この方法は、常に保証するわけではなく、又は攻撃者が指定の対象二次局を攻撃することを防ぐが、FBSによってアドレス指定できるデバイスの数を大幅に小さい割合へ低減し、全体的なリスクを低減できる。
【0131】
UEがIDLEモードにあり、UEが基地局のSIを取得しているときの、放射パターンを使用する上記方法を説明する。この方法は、次のようにTR33.809におけるKI#3に適合している動作フェーズ(CONNECTEDモード)時にも適用できる。動作時、UEは、その通信に使用しているgNBビームを追跡することもできる。例えば、1分の間隔で、10秒刻みで、UEが移動している間、UEは以下のビームを見た可能性がある。
[B_1、B_32、B_32、B_19、B_45、B_45]
[B_1、B_32、B_32、B_19、B_45、B_45]
【0132】
UEは、これらのビーム統計及びタイミング(例えば、UTC時間)を収集し、それらをgNBへ保護された様式で送ることができる。gNBは、次に、UEと通信するために使用されるビームが、gNBが実際に使用したビームと同じであるかどうかを比較できる。MitMが定位置にある場合、これは当てはまりそうにないので、gNBはMitMの存在を検出する。
【0133】
本実施形態の拡張では、二次局、例えば、UEは、収集された物理的情報の報告をコアネットワークへ送る。この報告は、偽の基地局のUE支援のネットワークベースの検出のためのTS33.501の付属書類Eの拡張と見なし得る。ネットワークは、UEのロケーションを含む複数の二次局(UE)の情報及び受信された放射パターン信号を組み合わせて、基地局及び偽基地局がどこにあるかを推定できる。
【0134】
UEは、所与の時間及びロケーションで測定されたビームを報告できる。例えば、以下のデータ、すなわち各時間t_iについて、UEl_iのロケーション、及び測定されたビームのセットが、ネットワークへのUE報告に含められる。所与のビームBは、PCI識別子、ビームインデックス番号、及び測定電力を含むことができる。このような報告は、次のように示される。
{{{t_0}{l_0}{B_0_0,...,B_0_n0}},
{{t_1}{l_1}{B_1_0,...B_1_n1}},
...
{{t_k}{l_k}{B_k_0,...,B_k_nk}}}
{{{t_0}{l_0}{B_0_0,...,B_0_n0}},
{{t_1}{l_1}{B_1_0,...B_1_n1}},
...
{{t_k}{l_k}{B_k_0,...,B_k_nk}}}
【0135】
上記は、セル取得時に使用されるビームインデックス(SSBインデックス)を示すことに留意する。上記は、動作時に使用されるビームインデックスを示すこともあり得る。
【0136】
コアネットワークは複数のUEからの情報を有するので、コアネットワークは、偽基地局が指定の領域を対象としている場合でも、この情報を使用して偽基地局の存在を判定できる。この目的のために、コアネットワークは、セル取得時の所与の基地局、例えば、SSBインデックスへ関連付けられたビームに対する測定値のマップを再作成する。偽基地局が近くの位置での別の基地局の同一性を偽装しようとする場合、偽基地局は、予想されない放射パターンを作成する。偽基地局のロケーションは、測定されたビームの幾何学的中心を見つけることによって大まかに決定できる。
【0137】
UEが移動してgNBを変更したい場合、UEはハンドオーバを行えることに留意する。ハンドオーバプロセス時に、UEは、UEによって受信されたような異なるビーム/gNBの信号強度の報告を含む、その好ましい対象gNBについて、接続されている現在のgNBに報知できる。現在のgNBは、異なるビーム/gNBのこの測定された放射パターンが予想どおりであるか否かをチェックできる。現在のgNBはまた、UEが測定された放射パターンで何が予想されるかを相互チェックできるように、UEのロケーションを知って、予想される放射パターンが何であるかをこの段階で報知する恐れがある。変則が検出された場合、UEはgNBに報知でき(検出がUE側である場合)、又はgNBは、そのような変則についてUEに報知し、異なる対象gNB/ビームが好ましいことを示すことができる。
【0138】
ロケーションL_FBSで偽基地局を実行し、ロケーションL_RBSで実の基地局の同一性を偽装する攻撃者は、実の基地局が、その同じビームインデックスを使用しているのと同じ位置で、所与のSSBインデックスを持つビームを置くことによって、UEがそれを検出することを防ごうとする恐れがあることに留意する。そのような攻撃下のそのようなUEは、測定することになっているビームインデックスを測定するので、攻撃者を検出できない可能性がある。しかしながら、そのような攻撃者でさえ、UEとCNとが連携している場合は、隠れることができない。例えば、以下のとおりである。
・偽の基地局が、すべてのUEから報告された測定値によって最後の段落に記載したように発見されることを防ぎたい場合、偽基地局はその指定のビームを使用するしかない。偽基地局がより多くのビームを使用する場合、他のロケーションでの他のUEは、上述のようにその存在を明らかにしそうである。
・ただし、偽の基地局がSSBにおいて単一ビームを使用する場合、UEも、セル取得時に基地局が使用するビームの数を知っているため、疑わしくなる。
・偽の基地局が、すべてのUEから報告された測定値によって最後の段落に記載したように発見されることを防ぎたい場合、偽基地局はその指定のビームを使用するしかない。偽基地局がより多くのビームを使用する場合、他のロケーションでの他のUEは、上述のようにその存在を明らかにしそうである。
・ただし、偽の基地局がSSBにおいて単一ビームを使用する場合、UEも、セル取得時に基地局が使用するビームの数を知っているため、疑わしくなる。
【0139】
特に、ネットワークは信号を三角測量して基地局の位置を推定する。UEはまた、TR33.809-v0.10.0における解決策22に記載されているように、信号強度又は到着角度などの測位基準信号(PRS)などの他の測位情報を基地局から報告できる。ネットワークが偽基地局の存在を検出した場合、ネットワークは、この偽基地局が除外されるように、その存在をUEに報知できる。ネットワークはさらなる行動をとることもできる。
【0140】
このプロセスは、したがって、次のように要約できる。
【0141】
【表1】
【0142】
しかしながら、ネットワークがUEに報知し、UEがFBSに関するこの情報に対して行動をとる場合、例えば、基地局を除外する場合は、UEは、特定のタイプの攻撃を受けやすいことに留意する。特に、攻撃者はこの様子を悪用してシステムを攻撃できる。特に、
・偽データ攻撃:正直な基地局が、その測位情報、例えば、PRSをブロードキャストしない場合、攻撃者はこのPRSを含む、その信号を再ブロードキャストするFBSを実装できる。これにより、UEは誤った測位情報をネットワークへ通信することになる。この間違った情報は、ネットワークに正直な基地局が間違ったロケーションにあると思わせ、正直な基地局を偽局として誤って分類することになる。
・再生データ攻撃:偽基地局が正直な基地局の信号を再ブロードキャストするだけの場合、UEは矛盾した測位信号もとらえ、ネットワークが正直なBSを偽物として誤って分類することになる。
・偽データ攻撃:正直な基地局が、その測位情報、例えば、PRSをブロードキャストしない場合、攻撃者はこのPRSを含む、その信号を再ブロードキャストするFBSを実装できる。これにより、UEは誤った測位情報をネットワークへ通信することになる。この間違った情報は、ネットワークに正直な基地局が間違ったロケーションにあると思わせ、正直な基地局を偽局として誤って分類することになる。
・再生データ攻撃:偽基地局が正直な基地局の信号を再ブロードキャストするだけの場合、UEは矛盾した測位信号もとらえ、ネットワークが正直なBSを偽物として誤って分類することになる。
【0143】
このような状況では、ネットワークの動作、及びTR33.809-v0.10.0における解決策22の動作は、以下のやり方で適合される。
・偽データに対する解決策:ネットワークは、基地局が実際にブロードキャストする情報(例えば、PRS、はい又はいいえ)を認識し、基地局が偽であるか否かを判定する際に、それを考慮に入れなければならない。ネットワークが、基地局は情報をブロードキャストしないことを確信した場合は、UEからのこの測定値報告は、基地局が受信情報のタイプをブロードキャストするかどうかをネットワークがチェックする上記ステップa)とb)との間に新しいステップを追加することによって削除されるべきであり、そうでない場合、データは削除される。この段階で、ネットワークは、UEが攻撃を受けているか又は悪意のあるノードが基地局から偽の情報をブロードキャストしているかのいずれかを推測できる。悪意のあるUEの場合は、同じ領域における複数のUEが同じ情報を報告すると、破棄できる。
・再生されたデータに対する解決策:報告が同じ基地局に関する矛盾する情報、例えば、同じ基地局へつながっているが、少なくとも2つの異なる位置へマッピングされている放射パターンを含む場合は、ネットワークは、ネットワークを、1つ又は複数のFBSを実行している攻撃者が関与している恐れがあることが疑わしい複数の異なる基地局に分割するべきである。この分割は、上記のステップb1)で行われる。
・偽データに対する解決策:ネットワークは、基地局が実際にブロードキャストする情報(例えば、PRS、はい又はいいえ)を認識し、基地局が偽であるか否かを判定する際に、それを考慮に入れなければならない。ネットワークが、基地局は情報をブロードキャストしないことを確信した場合は、UEからのこの測定値報告は、基地局が受信情報のタイプをブロードキャストするかどうかをネットワークがチェックする上記ステップa)とb)との間に新しいステップを追加することによって削除されるべきであり、そうでない場合、データは削除される。この段階で、ネットワークは、UEが攻撃を受けているか又は悪意のあるノードが基地局から偽の情報をブロードキャストしているかのいずれかを推測できる。悪意のあるUEの場合は、同じ領域における複数のUEが同じ情報を報告すると、破棄できる。
・再生されたデータに対する解決策:報告が同じ基地局に関する矛盾する情報、例えば、同じ基地局へつながっているが、少なくとも2つの異なる位置へマッピングされている放射パターンを含む場合は、ネットワークは、ネットワークを、1つ又は複数のFBSを実行している攻撃者が関与している恐れがあることが疑わしい複数の異なる基地局に分割するべきである。この分割は、上記のステップb1)で行われる。
【0144】
したがって、より一般的には、一次局の放射パターンを推定し、推定された放射パターンを一次局の基準放射パターンと比較するステップを含むように、前に論じた実施形態を適合させることが可能である。さらに、放射パターンが基準パターンと一致しないと判定すると、その判定に基づいて潜在的な偽一次局のロケーションを決定するステップを含むことができる。任意で、潜在的な偽一次局のロケーションを決定することは、放射パターンに含まれるビームのインデックスを基準と比較することを含む。UEからの測定値報告に基づいてネットワーク側(又は指定の専用エンティティ内)でこれらのステップを行うことが有利であるが、これらのステップのいくつか又はすべては、UEによっても行うことができる。
【0145】
さらなる変形例では、エンティティ(おそらくネットワーク又は一次局に置かれる)は、推定放射パターンの何らかの指示を含む測定値報告を受信し、エンティティは、放射パターンの何らかの指示を含む受信された測定値報告を分析して、偽一次局がネットワークに存在するかどうかを決定する。この決定は、基準放射パターンと比較することによって、又は経時的な変化を監視することによって、又は複数の異なるUEからの測定値報告を相互チェックすることによって行うことができる。
【0146】
さらに、二次局が、放射パターンを推定するときにPBCHパラメータを監視することが選択肢である。例を挙げると、監視することは、各SSBについてPBCH DMRSの強度を測定することを含む。
【0147】
代替又は補完的な解決策は、基地局ログ(BSLog)又は複数の当事者によって操作される複数のデータベースとして示される可能性のあるよく知られたデータベースに一次局のログを保持することである。1つの選択肢は、基地局のロケーション及び構成を知るネットワークオペレータが所有する情報に基づいて、この基地局ログを構築することである。二次局は、次に、近くに位置する一次局のBSLog情報を要求できる。
【0148】
さらなる選択肢は、ユーザが測定値を提出でき、又は走査された基地局とネットワークオペレータとが利用可能な基地局を公開できる公開BSLogを築くことである。そのようなデータベースは、広く拡張されていないように見えても存在する。それらの例はマストデータである。そのようなBSLogが存在する場合、UEは、一次局の推定位置がBSLogに含まれるこの一次局のロケーションと一致するかどうかを検証して、保証を追加できる。二次局の決定はBSLogの内容に依存するため、BSLogが信頼されることは基本である。外部監査できる複数のBSLogがある場合、信頼を高めることができる。BSLogがそのエントリを操作することを回避するために、木の根が公開されている検証木であるマークル木によってエントリを組み合わせることができる。これにより、BSLogが後の時点で特定のエントリを修正できないことを確かめる。この技法は、rfc6962で指定されているように証明書の透明性で使用される。別の選択肢は、あるタイプのブロックチェーン技術を使用することである。このように、BSLogへ提出された情報を使用して、提出された信号強度とSB測定値とを考慮に入れることにより、一次局のロケーションを検証且つ推定できる。例えば、以下の場合である。
o UE1 131は、ロケーション(x=0、y=0)で、所与の放射パターン1311を測定する(図13)。これは、どのビームがUE1 131へ向かっているかを指し示す。
o UE2 132は、ロケーション(x=2X、y=0)で、所与の放射パターン1321を測定する(図13)。これは、どのビームがUE2 132へ向かっているかを指し示す。この情報で、UE1 131及びUE2 132は一緒に、BSがx<0又はx>2Xにおいてそれらの間にあるかどうかを判定できる。
o UE1 131は、ロケーション(x=0、y=0)で、所与の放射パターン1311を測定する(図13)。これは、どのビームがUE1 131へ向かっているかを指し示す。
o UE2 132は、ロケーション(x=2X、y=0)で、所与の放射パターン1321を測定する(図13)。これは、どのビームがUE2 132へ向かっているかを指し示す。この情報で、UE1 131及びUE2 132は一緒に、BSがx<0又はx>2Xにおいてそれらの間にあるかどうかを判定できる。
【0149】
次いで、BSLogは、一致するBS1のロケーションについての推定値が与えられたので、測定された信号強度及び方向も考慮に入れて、UE1、UE2及び任意の他のUEによって報告された測定値が一致することを判定できる。
【0150】
UEは、それらの測定値をすぐに又は常に送信する必要はないが、プライバシーを保護するために一定の遅延で送信できる。また、プライバシーを保護するために、測定された放射パターンへノイズをいくらか追加もできる。
【0151】
上記は、デジタル署名の使用で拡張もできる。この場合、BSLogは有効なデジタル署名を含むBSからの測定値を受け入れるしかない。同様に、UEがSIをBSから受信すると、UEは、使用された公開鍵を含む受信SIが、公開BSLogで利用可能な情報と一致するかどうかをチェックする。
【0152】
これまでの説明は、攻撃者が実行する基地局として定義された偽基地局に関するものである。偽基地局の別の概念は、2021年2月10日からhttps://arxiv.org/abs/2102.05606でオンラインによる利用可能な「SteaLTE:フルスタックワイヤレス隠写術を備えたサービスとしての私的5Gセルラー接続性」に記載される。この攻撃では、UE及び基地局は、ある指定のハードウェアを有する可能性がある。
【0153】
基地局によってブロードキャストされたシステム情報は、例えば、MitMデバイスによって再生される恐れがある。以下のような異なるタイプのMitM攻撃者がある。
A.RFリピータは、UEとgNBとの間の攻撃者によって置かれたデバイスである。RFリピータは、メッセージを処理せずに、UEとgNBとの間でRF信号を再ブロードキャストする。このRF再ブロードキャストは、例えば、UEとgNBとの間の時間同期及び割り当てられた通信リソースに影響を与える顕著な通信遅延を被ることなく行われると想定される。RFリピータは、後の時点で解除されてサービス拒否の攻撃を引き起こす可能性がある通信リンクをUEとgNBとの間に作成するために使用される恐れがあるため、積極的な攻撃者と見なされる。
B.MitMは、UEとgNBとの間に攻撃者により置かれた偽基地局(FBS)及び偽UE(FUE)からなるデバイスである。MitMデバイスは、メッセージを単に再ブロードキャストするのではなく、メッセージを転送する。これは、FUE及びFBSは、アップリンク及びダウンリンク通信を処理してメッセージを受信、処理、且つ再送信しなければならないことを意味する。MitMは、メッセージを注入且つ修正することもできる。メッセージの転送及び処理は、例えば、UEとgNBとの間の時間同期に影響を与える通信遅延を被ると想定される。標準MitMデバイスは、メッセージを注入し、修正し、ドロップできるので、積極的な攻撃者である。
C.ステルスMitMは、UEとgNBとの間に攻撃者によって置かれた偽ビームとFUEとからなるデバイスである。偽ビームは、このgNBビームの到達範囲が低いか又はないロケーションで、gNBのビームのうちの1つを模倣する基地局ビームである。こうすることにより、UEはステルスMitMへ接続し、身を隠す。この観点から、この攻撃は、LTE上へ物理信号オーバーシャドウ攻撃のより単純な版と見なすことができる。この積極的な攻撃者は、標準のMitMよりも、よく身を隠すことができるため、ステルスと呼ばれ、攻撃者は、UE又はCNが予想されるgNB PCI又は関連するビーム番号をチェックしても、UE又はCNに気付かれることなく、実際のgNBへ近いロケーションで指定の偽ビームを送信できる。
A.RFリピータは、UEとgNBとの間の攻撃者によって置かれたデバイスである。RFリピータは、メッセージを処理せずに、UEとgNBとの間でRF信号を再ブロードキャストする。このRF再ブロードキャストは、例えば、UEとgNBとの間の時間同期及び割り当てられた通信リソースに影響を与える顕著な通信遅延を被ることなく行われると想定される。RFリピータは、後の時点で解除されてサービス拒否の攻撃を引き起こす可能性がある通信リンクをUEとgNBとの間に作成するために使用される恐れがあるため、積極的な攻撃者と見なされる。
B.MitMは、UEとgNBとの間に攻撃者により置かれた偽基地局(FBS)及び偽UE(FUE)からなるデバイスである。MitMデバイスは、メッセージを単に再ブロードキャストするのではなく、メッセージを転送する。これは、FUE及びFBSは、アップリンク及びダウンリンク通信を処理してメッセージを受信、処理、且つ再送信しなければならないことを意味する。MitMは、メッセージを注入且つ修正することもできる。メッセージの転送及び処理は、例えば、UEとgNBとの間の時間同期に影響を与える通信遅延を被ると想定される。標準MitMデバイスは、メッセージを注入し、修正し、ドロップできるので、積極的な攻撃者である。
C.ステルスMitMは、UEとgNBとの間に攻撃者によって置かれた偽ビームとFUEとからなるデバイスである。偽ビームは、このgNBビームの到達範囲が低いか又はないロケーションで、gNBのビームのうちの1つを模倣する基地局ビームである。こうすることにより、UEはステルスMitMへ接続し、身を隠す。この観点から、この攻撃は、LTE上へ物理信号オーバーシャドウ攻撃のより単純な版と見なすことができる。この積極的な攻撃者は、標準のMitMよりも、よく身を隠すことができるため、ステルスと呼ばれ、攻撃者は、UE又はCNが予想されるgNB PCI又は関連するビーム番号をチェックしても、UE又はCNに気付かれることなく、実際のgNBへ近いロケーションで指定の偽ビームを送信できる。
【0154】
【0155】
図23-ステルスMitMを使用するMitMデバイス及び攻撃シナリオ:攻撃者は、SSB=1のgNBのビームに到達された領域にSSB=3を持つ偽ビームを置く。SSB=3も有効なビームであるが、異なる領域では、PCIをチェックするだけでは攻撃を検出することは実行可能ではない。
【0156】
ステルスMITM攻撃者の場合、上記攻撃は、gNBがSSBに署名し、UEがそれを検証する場合、軽減できる。検証ステップは、SSBが受信されるロケーションをチェックすることを含む場合がある。
【0157】
RFリピータを使用する攻撃者の場合、UEは、UEが静的なままであるときに、gNBの強い信号が現れたり消えたりし続けるかどうかを監視する可能性がある。この状況が起こると、これは、攻撃者がRFリピータを使用して、例えば、RFリピータをオンに切り替え、UEがそれを介してジョインするのを待ってからオフに切り替えることにより、1つ又は複数のUEの動作(DoS)を妨害することを示す可能性がある。このように、さらに別の実施形態によれば、二次局は、上記一次局が信頼できない可能性があると判定すると、一次局の選好レベルを下げることを検討する。上記判定は、基地局が期間にわたってオン及びオフを切り替えていることを判定することを含む。このように、本実施形態の変形例では、UEは、そのようなパターンに従うgNBの同期信号を監視し、そのようなパターンが検出された場合は、UEは、gNBの優先順位を下げ、言い換えると、その送信電力が再び突然はるかにより良くなったとしても、そのようなgNBにジョインするという選好を減少させる。この検出アルゴリズムは、下記を考慮すると役立つ場合がある。
o UEが移動しているか否か。UEが移動していることを知る場合、これは変化している受信信号電力の原因である恐れがある。検出アルゴリズムは、このような場合、例外を作り、そのようなgNBについて高い優先順位をなお保持する可能性がある。
o 受信したgNB同期信号がモバイル基地局に属しているかどうか。モバイル基地局に属している場合、これは変化している受信信号電力のソースになり得る。検出アルゴリズムは、このような場合、例外を作り、そのようなgNBについて高い優先順位をなお保持する可能性がある。
o UEが移動しているか否か。UEが移動していることを知る場合、これは変化している受信信号電力の原因である恐れがある。検出アルゴリズムは、このような場合、例外を作り、そのようなgNBについて高い優先順位をなお保持する可能性がある。
o 受信したgNB同期信号がモバイル基地局に属しているかどうか。モバイル基地局に属している場合、これは変化している受信信号電力のソースになり得る。検出アルゴリズムは、このような場合、例外を作り、そのようなgNBについて高い優先順位をなお保持する可能性がある。
【0158】
このように、より一般的には、二次局がその近傍にある容疑デバイスを検出する方法が提案でき、この方法は、二次局が、ある期間にわたって対象デバイスからのリンク特性の変化を検出し、二次局は、リンク特性の変化が上記期間にわたって二次局のロケーションと不一致である場合に、対象デバイスを疑わしいと判定することを有する。
【0159】
同様に、ある期間にわたって対象デバイスからのリンク特性の変化を検出するように適合されたコントローラへ結合された受信器を含む二次局が提案され、二次局のコントローラは、リンク特性の変化が上記期間にわたって二次局のロケーションと不一致である場合に、対象デバイスを疑わしいと判定する。
【0160】
一例では、リンク特性は、対象デバイスとのリンクの強度である。
【0161】
別の例では、二次局は、既知の一次局へ容疑デバイスの存在を報告する。報告することは、容疑デバイスの位置推定を含む。
【0162】
第5実施形態の別の変形例では、ロケーションパラメータは、一次局によって使用される暗号鍵が、ローカルで使用することが許可されている暗号鍵に対応するかどうかをチェックすることによって決定される。さらなる変形例では、信号は、二次局での一次局からの構成メッセージであり、構成メッセージは、構成メッセージを認証するための少なくとも署名を含む。この場合、二次局は、以下によって構成メッセージを認証する。
- メッセージを検証するために必要とされる公開鍵へ関連付けられた秘密鍵が、二次局の現在のロケーション又は現在のPLMNにおいて構成メッセージに署名することを認可されているかどうかをチェックする。
- 認可された場合は、署名を検証する。
- メッセージを検証するために必要とされる公開鍵へ関連付けられた秘密鍵が、二次局の現在のロケーション又は現在のPLMNにおいて構成メッセージに署名することを認可されているかどうかをチェックする。
- 認可された場合は、署名を検証する。
【0163】
この変形例では、署名生成器の公開鍵は、秘密鍵の特定の権利、例えば、特定のロケーションのみでの基地局のシステム情報に署名する権利にも関連付けられる。このように、署名の有効性及びタイミングをチェックすることの次に、二次局は、署名を作成するために使用される秘密鍵が現在のロケーションで使用される権利を有しているかどうかもチェックしなければならない。例えば、UEが中国のネットワークオペレータの公開鍵を有し、UEが米国にあるときに基地局のSIを検証するためにその鍵を必要とする基地局を検出した場合、UEはその基地局を遮るべきである。これにより、攻撃者が、例えば、オペレータの秘密鍵をそこない、それを使用して別の場所に偽基地局を作成することを確実にできないようにする。同様に、公開鍵と秘密鍵との複数の対がネットワークオペレータによって使用でき、各対は異なるロケーションへ関連付けられる。これにより、広範な攻撃の可能性を制限する。
【0164】
これに対処するために、セル走査手順を拡張して、秘密鍵のロケーション関連の署名権をチェックできる(以下の擬似コードにおいて)。
【数2】
【0165】
同様に、署名生成器は、セキュリティ違反の場合の影響を低減するために、異なるロケーションについて複数の鍵の対を使用することが薦められる。二次局は、現在のロケーションで正しい鍵対が使用されているかどうかをチェックできる。
【0166】
公開鍵へ関連付けられたアクセス権の検証に関しては(例えば、所与のロケーションで情報を検証するように認可された公開鍵である、所与のPLMNからSIを検証するように認可された公開鍵であるなど)、署名検証の前又は後に行うことができる。署名検証の前にそれを行うことには、鮮度検証と同様に、より速く、よりエネルギー効率が良いという利点がある。
【0167】
先に論じた様々な実施形態に関連して、重要な課題は、二次局におけるトラストアンカーのプロビジョニングに関する。これは、署名付き情報を検証するために使用される公開鍵に関する。第1の選択肢は、二次局がコアネットワークに初めてジョインするときにこの情報を設置することにある。これは、最初の接続が偽の基地局になりやすい恐れがあることを意味するが、この危険は後に消える。これは、単一の対の公開鍵と秘密鍵とがオペレータによって使用される場合、好適な解決策である。ただし、オペレータが複数の鍵の対を使用したい場合、例えば、ロケーションによっては使用することがより困難になる。これは、また、公開鍵が所与の期間のみ有効であるときに課題となる。
【0168】
この改善では、署名生成器での公開鍵と秘密鍵との対が署名されず、証明書に埋め込まれていない、例えば、CAによって署名されたと考えられる。これは、二次局が複数のネットワークオペレータによって管理される一次局を通して接続できることが望ましい場合の自然な拡張である。
【0169】
第2の選択肢は、公開鍵が、演算子及びロケーションを含むいくつかの既知のパラメータに依存する同一性ベースの署名を使用することにある。第1のパラメータは、次のように、SIB1において利用可能な情報から導出できる。
【数3】
【0170】
これらのパラメータは、秘密鍵の所有者を識別するので、PLMN識別子、trackingAreaCodeなどのロケーション情報を含む。しかしながら、この情報は、ロケーション情報(GPS座標)で強化されて、一次局のロケーション、及び一次局の移動性の態様、静的であるか若しくはそのロケーションは変化するか(例えば、バスに置かれている場合)をより良く決定する可能性がある。タイミング情報は、後に検証されるため、公開鍵の生成には含まれない。
【0171】
既に論じた実施形態では、偽の基地局を回避することに焦点を当てた解決策についてこれまでに説明した。しかしながら、ネットワークが犠牲になる恐れのある別のタイプの攻撃は、中間者(MitM)攻撃である。これらは、実の一次局の情報を転送できて、前の実施形態のいくつかでは検出されない中継ノードを含む。現在時刻がTransmission_Time+Time_Differenceよりも古い場合に、メッセージを受信する二次局がそれを拒否するように、Time_Differenceフィールドを含めて署名することが提案された。しかしながら、これでは、Time_Differenceの値を推定することは困難であるため、常に十分であるとはいえない。
【0172】
MitM攻撃を回避するための可能な選択肢は、署名付きセル識別子(PCI)を使用することである。このように、重複したPCIを持つ一次局は削除される。しかしながら、このアプローチは、いくつかの課題も有する。第一に、二次局は、実の基地局の信号を検出又は受信できない恐れがある。例えば、図14に示されるように、攻撃者は、二次局から範囲外である一次局の信号を得ることを可能にする非常に高感度/強力なアンテナを持つ偽のUEを使用する恐れがある。これは、いわゆる範囲拡張攻撃である。第二に、攻撃者は二次局で実の基地局の信号をただ妨害する恐れがある。そして第三に、上述のように、重複した一次局をさらにチェックせずに削除すると、複数セルの時間同期方法を攻撃する新しいやり方が開かれる。
【0173】
第6実施形態は、このように、はるかに堅牢な解決策を提案する。この第6実施形態によれば、署名生成器は、一次局のSFNと署名生成器の時間との間のマップに署名する。さらに、二次局のクロックは、署名生成器のクロックと厳密に同期する。これらの前提条件が満たされる場合、二次局は一次局から署名付きシステム情報を受信し、その署名を検証し、時間を検証し、SFN値を検証し、ブロードキャストされたデータが検証されたSFN値でブロードキャストされたかどうかをチェックする。
【0174】
このように、第6実施形態によれば、構成メッセージの真正性をチェックする方法が提案され、この方法は、二次局で一次局から構成メッセージを受信することを有し、ここで、構成メッセージは、
- 署名生成器でのクロック値と一次局によって使用されるシステムフレーム番号付けとの間のタイミング対応指示と、
- 第2の構成メッセージが送られたフレームを識別するフレーム番号指示と、
- 構成メッセージを認証するための署名と、を含む。
- 署名生成器でのクロック値と一次局によって使用されるシステムフレーム番号付けとの間のタイミング対応指示と、
- 第2の構成メッセージが送られたフレームを識別するフレーム番号指示と、
- 構成メッセージを認証するための署名と、を含む。
【0175】
さらに、第6実施形態の方法によると、構成メッセージを以下によって認証することをさらに含む。
- フレーム番号指示が、構成メッセージが受信されたフレーム番号に対応することをチェックし、
- 構成メッセージの受信の時間を推定送信時間とタイミング対応指示に基づいて比較し、
- 構成パラメータ値に基づいて署名を検証する。
- フレーム番号指示が、構成メッセージが受信されたフレーム番号に対応することをチェックし、
- 構成メッセージの受信の時間を推定送信時間とタイミング対応指示に基づいて比較し、
- 構成パラメータ値に基づいて署名を検証する。
【0176】
或いは、本方法は、
二次局で一次局から第1の構成メッセージを受信し、第1の構成メッセージは、
- 署名生成器でのクロック値と一次局によって使用されるシステムフレーム番号付けとの間のタイミング対応指示と、
- 第1の構成メッセージを認証するための第1の署名と、を含み、
少なくとも1つの構成パラメータ値、第2の構成メッセージが送られたフレームを識別するフレーム番号指示、及び受信された第2の署名を含む第2の構成メッセージを受信し、
- フレーム番号表示が第2の構成メッセージが受信されたフレーム番号に対応することをチェックし、
- フレーム番号指示及びタイミング対応指示に基づいて第2の構成メッセージの受信の時間を送信の推定された時間と比較し、そして
- 構成パラメータ値に基づいて受信した第2の署名を検証することによって、第2の構成メッセージを認証することを有する。
二次局で一次局から第1の構成メッセージを受信し、第1の構成メッセージは、
- 署名生成器でのクロック値と一次局によって使用されるシステムフレーム番号付けとの間のタイミング対応指示と、
- 第1の構成メッセージを認証するための第1の署名と、を含み、
少なくとも1つの構成パラメータ値、第2の構成メッセージが送られたフレームを識別するフレーム番号指示、及び受信された第2の署名を含む第2の構成メッセージを受信し、
- フレーム番号表示が第2の構成メッセージが受信されたフレーム番号に対応することをチェックし、
- フレーム番号指示及びタイミング対応指示に基づいて第2の構成メッセージの受信の時間を送信の推定された時間と比較し、そして
- 構成パラメータ値に基づいて受信した第2の署名を検証することによって、第2の構成メッセージを認証することを有する。
【0177】
これらの実施形態では、第1の構成メッセージは、受信された第2の署名を認証するために使用される暗号鍵を含む。さらに、前の実施形態のいくつかと同様に、第1の構成メッセージは静的構成パラメータ値を含み、第2の構成メッセージは可変構成パラメータ値を含む。
【0178】
高レベルのセキュリティを維持するために、第1の構成メッセージは、次の、サブフレーム番号付けがその値の範囲全体にまたがるために必要な時間、及びハイパーフレーム番号付けがその値の範囲全体にまたがるために必要な時間のうちの1つに等しい第1の制限された時間有効性を有する。
【0179】
第6実施形態の一例では、第2の構成メッセージは、次の、サブフレーム番号の所定数の最上位ビットが変化するのに必要な時間、サブフレーム番号の6つの最上位ビットが変化するのに必要な時間、160ミリ秒、又は80ミリ秒のうちの1つに等しい第2の制限された時間有効性を有する。
【0180】
既に論じた実施形態と同様に、第2の署名は、ECDSA及びハッシュチェーンのうちの1つによって生成又は検証される。
【0181】
第6実施形態の一般的な考え方のいくつかの態様は、すべての一次局の動的システムフレーム番号フィールドに署名することを必要とするため、署名生成器のオーバーヘッドを高くする可能性がある。これは、署名生成器が多くのメッセージに署名する必要があることを意味する。これは、例えば、次のように最適化できる。
a)gNBの静的フィールドはデジタル署名パラメータで署名されて、次を含む長期セキュリティを提供する。
a.DSnF時間に基づいて、gNB SFNが0に等しい場合。これはreference_SFN_gNBと表記される。
b.動的フィールドを検証するために使用される公開鍵:current_dynamic_fields_public_key。
b)署名付き静的フィールドの署名の有効性は、10秒240ミリ秒、すなわち、システムフレーム番号付けがラップアラウンドするのにかかる時間に等しい。
c)一次局の動的フィールドは、秘密鍵current_dynamic_fields_private_keyで署名される。この署名鍵は、一次局に特有であり得る。
d)署名付き動的フィールドの署名の有効性は、フレーム倍数、例えば、新しいMIBがブロードキャストされるまでにかかる時間、又はMIBに含まれるSFNの6つの最上位ビットが変化するまでにかかる時間(160ミリ秒)に等しい。
e)二次局のクロックは、署名生成器のクロックと同期している。
a)gNBの静的フィールドはデジタル署名パラメータで署名されて、次を含む長期セキュリティを提供する。
a.DSnF時間に基づいて、gNB SFNが0に等しい場合。これはreference_SFN_gNBと表記される。
b.動的フィールドを検証するために使用される公開鍵:current_dynamic_fields_public_key。
b)署名付き静的フィールドの署名の有効性は、10秒240ミリ秒、すなわち、システムフレーム番号付けがラップアラウンドするのにかかる時間に等しい。
c)一次局の動的フィールドは、秘密鍵current_dynamic_fields_private_keyで署名される。この署名鍵は、一次局に特有であり得る。
d)署名付き動的フィールドの署名の有効性は、フレーム倍数、例えば、新しいMIBがブロードキャストされるまでにかかる時間、又はMIBに含まれるSFNの6つの最上位ビットが変化するまでにかかる時間(160ミリ秒)に等しい。
e)二次局のクロックは、署名生成器のクロックと同期している。
【0182】
これらの前提条件が満たされる場合、二次局は一次局から次を受信する。
a)署名生成器によって署名された一次局の静的システム情報。二次局は、その署名を検証し、時間を検証し、reference_SFN_gNB及びcurrent_dynamic_fields_public_keyを得る。
b)current_dynamic_fields_private_keyで署名された動的フィールド。UEは、例えば、次に、
1.署名を検証し、
2.動的フィールドSFNをチェックし、
3.受信したシステム情報が現在検証されているSFNに受信されたかどうかをチェックし、
4.reference_SFN_gNB+10*SFN=current_UE_time(等式1)かどうかをチェックできる。
a)署名生成器によって署名された一次局の静的システム情報。二次局は、その署名を検証し、時間を検証し、reference_SFN_gNB及びcurrent_dynamic_fields_public_keyを得る。
b)current_dynamic_fields_private_keyで署名された動的フィールド。UEは、例えば、次に、
1.署名を検証し、
2.動的フィールドSFNをチェックし、
3.受信したシステム情報が現在検証されているSFNに受信されたかどうかをチェックし、
4.reference_SFN_gNB+10*SFN=current_UE_time(等式1)かどうかをチェックできる。
【0183】
このプロトコルは、次の理由でMitM攻撃を解決する。
a)FBSが一次局と同じ基準SFN基準時間を保持する場合、ブロードキャストされたシステム情報におけるSFNの値を遅延なく処理できないため、変化させなければならない。
b)FBSがそれ自体のSFN基準時間を導入する場合、等式1におけるチェックは失敗することになる。
a)FBSが一次局と同じ基準SFN基準時間を保持する場合、ブロードキャストされたシステム情報におけるSFNの値を遅延なく処理できないため、変化させなければならない。
b)FBSがそれ自体のSFN基準時間を導入する場合、等式1におけるチェックは失敗することになる。
【0184】
この設計は、静的フィールドの署名の有効性を約10秒へ制限するため、堅牢である。これにより、失効リストが必要となることを回避する。さらに、current_dynamic_fields_public_keyの有効性を制限する。このように、軽量方式を使用することが可能である。
【0185】
さらに、動的フィールドの有効性を数十ミリ秒へ制限する。これは、MitMがメッセージを再生するときに、MitMがメッセージを処理して再度送信し、これには時間がかかるため、MitM中継ノードを回避するための解決策をもたらす。
【0186】
MitMが実のBSと同じSFN基準システムを有する場合、それは後で送信されるため、MIBにおけるSFNフィールドを変更することを必要とするので、検証は失敗する。しかしながら、MitMが、署名を検証できるようにSFNを変更しない場合、FBSは、SFNカウンタが適合するようにそれ自体のSFN基準時間を使用する必要がある。ただし、これは署名付きSFN_Reference_timeと一致しない。それで、等式1におけるチェックは失敗することになる。MitMノードは、同じSFN基準時間を使用して情報を再ブロードキャストするために10.24秒待つ可能性があるが、これは、署名付き静的フィールドがこの10.24秒間のみ有効な場合、機能しない。
【0187】
UTC時間又はSFNなどの時間カウンタの署名に基づく解決策は時間の同期を必要とする。このような時間同期が十分ではない、又は達成が難しい場合、この解決策は(及びTR33.809-v0.10.0における解決策#7及び#11でも)、リプレイ攻撃に対してなお脆弱である恐れがある。この場合、DSnFが短期間(例えば10.24秒)使用される基地局について短期公開鍵と秘密鍵との対に署名すると想定する以下の実施形態が実現できる。基地局は、システム情報とともに短期公開鍵をブロードキャストする。
a)基地局は、その短期公開鍵を含むSIをブロードキャストする。
b)UEが基地局にジョインすることを決めた場合、UEは、秘密K及びナンスを生成し、基地局の短期公開鍵でそれらの両方を暗号化する。UEは、例えば、鍵導出関数を用いて、K及びナンスが導出される単一の秘密値を生成する可能性もある。UEは、接続関連において、できるだけ早くこの情報を送る。例えば、ランダムアクセス手順時である。ステップbの目標は、UEと基地局との間で鍵を共有して基地局の公開鍵を使用することである。UEは、この目的のために他のアルゴリズム、例えば、Diffie-Hellman鍵交換又はKEMを使用する可能性がある。
c)基地局は、暗号化されたメッセージを受信したとき、メッセージを復号し、ナンスを得て、その短期秘密鍵で署名する。基地局はこのメッセージをUEへ送る。基地局は、暗号CRC技法と組み合わせて使用されるものとして鍵Kを設定する。ステップcでは、基地局は、ナンスに署名することによって、暗号化された鍵の受信の証明をUEへ提供する。或いは、基地局は、他の認証トークンを計算でき、例えば、受信したナンスを使用して、受信した鍵でメッセージ認証コード(MAC)を計算し、これを検証のためにUEへ送り返してよい。MAC(K、ナンス)。UEはまた、このMACの最下位ビット、例えば、32の最下位ビットを送ってもよい。UEはまた、受信した鍵のハッシュを送ってもよい。
d)最後のメッセージを受信したとき、UEは、署名(真正性)、及びナンスがUEにより基地局へ送ったものに対応するかどうかを検証する。これら2つのチェックが成り立つ場合、UEは、暗号CRC技術、又はEP21150019.4の優先権の下で2020P00937EPを参照する同時係属出願に記載されている「偽基地局攻撃を検出するための向上された機構」と組み合わせて使用されるものとして鍵Kを設定する。
a)基地局は、その短期公開鍵を含むSIをブロードキャストする。
b)UEが基地局にジョインすることを決めた場合、UEは、秘密K及びナンスを生成し、基地局の短期公開鍵でそれらの両方を暗号化する。UEは、例えば、鍵導出関数を用いて、K及びナンスが導出される単一の秘密値を生成する可能性もある。UEは、接続関連において、できるだけ早くこの情報を送る。例えば、ランダムアクセス手順時である。ステップbの目標は、UEと基地局との間で鍵を共有して基地局の公開鍵を使用することである。UEは、この目的のために他のアルゴリズム、例えば、Diffie-Hellman鍵交換又はKEMを使用する可能性がある。
c)基地局は、暗号化されたメッセージを受信したとき、メッセージを復号し、ナンスを得て、その短期秘密鍵で署名する。基地局はこのメッセージをUEへ送る。基地局は、暗号CRC技法と組み合わせて使用されるものとして鍵Kを設定する。ステップcでは、基地局は、ナンスに署名することによって、暗号化された鍵の受信の証明をUEへ提供する。或いは、基地局は、他の認証トークンを計算でき、例えば、受信したナンスを使用して、受信した鍵でメッセージ認証コード(MAC)を計算し、これを検証のためにUEへ送り返してよい。MAC(K、ナンス)。UEはまた、このMACの最下位ビット、例えば、32の最下位ビットを送ってもよい。UEはまた、受信した鍵のハッシュを送ってもよい。
d)最後のメッセージを受信したとき、UEは、署名(真正性)、及びナンスがUEにより基地局へ送ったものに対応するかどうかを検証する。これら2つのチェックが成り立つ場合、UEは、暗号CRC技術、又はEP21150019.4の優先権の下で2020P00937EPを参照する同時係属出願に記載されている「偽基地局攻撃を検出するための向上された機構」と組み合わせて使用されるものとして鍵Kを設定する。
【0188】
この時点で、UEとgNBとの両方が共通の秘密を有することを検証した。しかしながら、MitMがパケットを転送しただけの真ん中にまだいる恐れがある。UEと基地局との間の次の通信では、MAC層でのCRCはCRC’=MessageAuthenticationCode(CRC|BlockID、K)に置き換えられ、ここで、BlockIDは、通信で使用されるリソース(時間/周波数)を一意に識別する識別子である。この技法は、以下でより詳しく説明する暗号CRCの考え方に従う。時間/周波数リソースの識別が非常に細かい粒度で達成された場合は、達成された保護はより良くなることになる。例えば、攻撃者が、割り当てられたスロット内のミニスロットを再生できないことを確かめるために、ミニスロットと同じくらい短い時間で時間を識別すべきである。MitMが定位置にある場合、基地局は、UEからの着信メッセージの暗号CRC検証がMAC層で失敗することに注意することになる。これは、UEに通知し、ネットワークに通知し、潜在的に通信を閉じることができる問題を基地局へ指し示す。
【0189】
上記の最後のステップd)では、基地局が、置き換えられたばかりの新しい短期秘密鍵を使用して署名することに留意する。このように、UEは、2つのチェックを行う必要があり、1つは、それが有する基地局の現在の短期公開鍵でのチェックであり、このチェックが失敗した場合、UEは、新しく署名された短期公開鍵が受信されるまで待ってから、チェックをやり直す必要がある。
【0190】
この手順はスタンドアロンであり、暗号CRCがスタンドアロンで適用される場合にも、UE及び基地局がASセキュリティの確立を必要とせずに共通の鍵について合意できるため、有益であることに留意する。この解決策は、CIoTデバイスなど、アクセス階層(AS)セキュリティを実行しないデバイスにも好適である。上記の手順はTR33.8095-v0.10.0における解決策#7及び#11へ適合させて再生保護を達成できることにも留意する。
【0191】
暗号CRCに関しては、通信プロトコルは、基地局とユーザデバイスとの間のリンク上にデータブロックを画定してよいが、データブロックは、ユーザデータ及びチェックサムフィールド、並びにデータブロックにおけるユーザデータでの誤差検出についてのチェックサムを備える。ユーザデバイスは、送受信器、プロセッサ、及びデータブロックのデータ整合性をもたらすための整合性ユニットを含む。プロセッサは、リンクを横切るデータブロックのシーケンスに関するリンクデータを使用して、基地局へのリンク上のデータ転送を管理するように配置でき、リンクデータは、シーケンスにおける各データブロックについて異なる。一定期間の後、例えば、フレーム番号が限られた数のビットを使用するので、リンクデータは繰り返す。このような繰り返し期間におけるデータブロックは、整合性保護に関してデータブロックのシーケンスと見なされる。プロセッサは、基地局と共有される秘密整合性鍵を得るようにさらに配置できる。
【0192】
整合性ユニットは、各データブロックに対して、秘密整合性鍵を使用しながら、チェックサムフィールドのうちの所定の1つについてのチェックサムの組合せ及びリンクデータの所定部分を暗号で処理するように構成される。次いで、暗号で処理された組合せは、必要に応じて、通信プロトコルによって定義されたようにチェックサムの長さへ切り捨てられ、切り捨てられた暗号で処理された組合せは、以下、単に切り捨てられた組合せと呼ぶが、誤差検出及び整合性保護に使用される。これに対して、切り捨てられた組合せは、データブロックを送信する前にチェックサムフィールドのうちの所定の1つに挿入され、データブロックを受信した後にチェックサムフィールドのうちの所定の1つにおける値と比較される。
【0193】
上記の特徴は、次の効果を有する。切り捨てられた組合せは、送り手と受信側で同じ暗号処理を行い、その後、結果を受信側で比較することにより、送信誤差及び整合性誤差を検出することを可能にする。有利には、切り捨てられた組合せがチェックサムを元々、含んでいたチェックサムフィールドに挿入されるので、そのような整合性保護を有していないレガシー通信システムと比較すると、リンク上のデータ転送に追加のビットは必要とされないが、送信誤差は、同じチェックサムが送信側で使用され、受信側で再計算されるので等しく検出される。
【0194】
より詳細には、通信システムでは、通信プロトコルは、基地局とユーザデバイスとの間のリンク上のデータブロックを定義する。データブロックはユーザデータ及びチェックサムフィールドを有するが、チェックサムはデータブロックにおけるユーザデータでの誤差検出用である。セルラーネットワークは、少なくとも地域領域にわたるモバイルデバイスにワイヤレス通信を提供する。
【0195】
ユーザデバイスは、通信プロトコルに従って送受信するために配置された送受信器と、リンクデータを使用して基地局へのリンク上のデータ転送を管理するように配置されたプロセッサとを備える。リンクデータは、リンクを介して転送されるデータブロックのシーケンスに関する。リンクデータはシーケンスにおける各データブロックについて異なるが、いくつかの部分は後続のシーケンスで繰り返す。そのようなリンクデータの様々な例が、例示的な3GPP(登録商標)システムについて上記に提示された。
【0196】
プロセッサは、基地局と共有される秘密整合性鍵を得るようにさらに配置される。2つのデバイス間で秘密鍵を確立するための様々な機構が知られ、そのような鍵データを安全に交換するために使用される。
【0197】
Diffie-Hellmanは、2つの当事者間で秘密鍵を確立するためのよく知られた技法であり、秘密鍵を確立するための当事者間の通信は、確立された秘密鍵に関して情報を第三者へ明らかにしない。2つの当事者はそれぞれ、それら自体の公開鍵と秘密鍵との対を使用し、公開鍵を相互に交換する。各当事者は、それ自体の秘密鍵と相手の公開鍵、及び可能な場合は、他の情報、例えば、各当事者からのナンス(乱数)を使用して秘密鍵を計算できる。各当事者は、Diffie-Hellmanを行う、又はより古い鍵の対を再使用するたびに、鍵の対を新たに作成する。
【0198】
ユーザデバイスは、データブロックのデータ整合性を提供するための整合性ユニットをさらに備え、整合性ユニットは、各データブロックについて以下のプロセスを行うように配置される。第一に、整合性ユニットは、秘密整合性鍵を使用しながら、チェックサムフィールドのうちの所定の1つについてのチェックサムとリンクデータの所定の部分との組合せを暗号で処理する。暗号処理は、例えば、暗号化又はハッシュベースのメッセージ認証コード(HMAC)の適用である。様々な例を以下に説明する。チェックサムは、通信プロトコルに定義されるように計算され、ブロック番号又はブロックアドレス、及び任意でさらなるリンクデータ、すなわちブロックごとに変わるリンクデータの所定の選択と連結される。さらに、このような組合せは、パディングデータ又はソルトを含む。ソルトは、パスワード若しくはパスフレーズなどのデータを「ハッシュ化」する暗号関数への追加入力として使用されるランダムデータである。ソルトはナンスの概念と密接に関連している。ソルトの主な機能は、辞書攻撃又はそのハッシュ化された等価物、事前に計算されたレインボーテーブル攻撃から防御することである。パディングデータ又はソルトが使用される場合、値は基地局とユーザデバイスとの間で共有しなければならない。使用する値は、仕様、例えば、3GPP(登録商標)仕様で定義される。或いは、基地局は、例えば、システム情報ブロックにおいてユーザデバイスへ使用する値を送ってもよい。使用する値は、すべてのユーザデバイスについて同じであり、又はユーザデバイスごとに異なる。好適な変化するリンクデータの様々な例を以下に説明する。それで、必要な長さのビットの組合せ列が暗号で処理されるように形成される。
【0199】
第二に、整合性ユニットは、暗号で処理された組合せを、通信プロトコルによって長さが定義されたチェックサムの長さへ切り捨てる。上記切り捨てにより、切り捨てられた暗号で処理された組合せは、当初に意図されたとおりにチェックサムのチェックサムフィールドにここで適合する。例えば、nビットのチェックサムフィールドについて、切り捨ては、最初のnビット、最後のnビット、又は暗号で処理された組合せのnビットの任意の所定の選択若しくは順列を使用する。
【0200】
最後に、整合性ユニットは、送信前に、切り捨てられた組合せをチェックサムフィールドのうちの所定の1つに挿入することにより、誤差検出及び整合性保護のために切り捨てられた組合せを使用する。同様に、データを受信しながら、整合性ユニットは、受信データ及びそれぞれの対応する所定のリンクデータに基づいて計算したように、チェックサムフィールドのうちの所定の1つにおける受信値を、切り捨てられた組合せと比較することによって、切り捨てられた組合せを使用する。受信値が新しく計算された値と等しい場合、チェックサムが対象とするデータの整合性が検証されるが、データに誤差がないことも確実にする。そうでなければ、単一のビット誤差又は単一の修正されたユーザデータバイトの場合でも、チェックサムは異なる。今後、暗号処理された組合せは大きく異なることになる。それで、ユーザデータの送信誤差と意図的な修正との両方により、異なる切り捨てられ暗号処理された組合せをもたらす。それで、送信時のユーザデータの操作、いわゆる中間者攻撃は、チェックサムフィールドから同じ数のビットを使用して検出する。また、中間者による余分なデータの挿入は、中間者が、正しい切り捨て暗号処理された組合せを推測することが難しいため、はるかにより困難になる。
【0201】
上記実施形態のさらなる例では、厳密な時間同期を必要とせずに公開鍵暗号を使用する機構が提案される。
【0202】
一般に、この例の方法は、二次局がセルラーネットワークにおいて時間基準を得る方法であり、この方法は、
複数のシステム情報SIのメッセージを複数の一次局から受信し、上記SIメッセージは対応する一次局に関するそれぞれの時間基準情報をそれぞれ含み、
一次局のそれぞれについて受信した署名と時間基準との有効性をチェックし、
有効と判定された一次局のうちの1つと鍵を交換し、
緩い同期の影響を受けないMitM検出プロセスを使用して、選択した一次局が本物かどうかを判定することを有する。
複数のシステム情報SIのメッセージを複数の一次局から受信し、上記SIメッセージは対応する一次局に関するそれぞれの時間基準情報をそれぞれ含み、
一次局のそれぞれについて受信した署名と時間基準との有効性をチェックし、
有効と判定された一次局のうちの1つと鍵を交換し、
緩い同期の影響を受けないMitM検出プロセスを使用して、選択した一次局が本物かどうかを判定することを有する。
【0203】
この例はまた、送信器と受信器とを備える二次局と以下を行うように適合されたプロセッサとを含む。
複数のシステム情報SIのメッセージを複数の一次局から受信し、上記SIメッセージは対応する一次局に関するそれぞれの時間基準情報をそれぞれ含み、
一次局のそれぞれについて受信した署名と時間基準との有効性をチェックし、
有効と判定された一次局のうちの1つと鍵を交換し、
緩い同期の影響を受けないMitM検出プロセスを使用して、選択した一次局が本物かどうかを判定する。
複数のシステム情報SIのメッセージを複数の一次局から受信し、上記SIメッセージは対応する一次局に関するそれぞれの時間基準情報をそれぞれ含み、
一次局のそれぞれについて受信した署名と時間基準との有効性をチェックし、
有効と判定された一次局のうちの1つと鍵を交換し、
緩い同期の影響を受けないMitM検出プロセスを使用して、選択した一次局が本物かどうかを判定する。
【0204】
緩い同期の影響を受けないMitM検出プロセスは、例えば、交換されたメッセージについて暗号CRCの使用を要する。
【0205】
この解決策は、以下の事実を含む、DSnF解決策におけるものと同じ設定を必要とする。
1.基地局は、DSnFによって署名された署名付きSIをブロードキャストする。
2.UEは、基地局によってブロードキャストされた署名付きSIを検証するための対応するトラストアンカーを備える。
3.DSnFは、基地局へ関連付けられた公開鍵に署名し、基地局は対応する秘密鍵を使用してSIにおける動的フィールドに署名する。
1.基地局は、DSnFによって署名された署名付きSIをブロードキャストする。
2.UEは、基地局によってブロードキャストされた署名付きSIを検証するための対応するトラストアンカーを備える。
3.DSnFは、基地局へ関連付けられた公開鍵に署名し、基地局は対応する秘密鍵を使用してSIにおける動的フィールドに署名する。
【0206】
この解決策は、また、上述の暗号CRC(C-CRC)解決策を必要とする。C-CRC解決策により、UE及びgNBは任意の再生されたメッセージをドロップできる。
【0207】
プロトコルの流れは図15に示され以下のとおりである。
1.gNBは署名付きシステム情報をブロードキャストする。
2.UEはデジタル署名の有効性を検証し、SIを検証する。
3.UEは安全なやり方で対称鍵Kを生成する。
4.UEは、gNBの公開鍵で暗号化することにより、安全なやり方でKをgNBへ送る。
5.a.UEは、メッセージ4を送った後にタイマーTaを開始する。
b.gNBは、メッセージ4の受信後にタイマーTbを開始する。
6.a.UEは、メッセージ4を送った後、鍵Kを使用してC-CRC方法をアクティブ化する。
b.gNBは、メッセージ4の受信後に鍵Kを使用してC-CRC方法をアクティブ化する。
7.標準プロトコルの流れであるが、C-CRCで保護される。
8.a.Ta>Tmaxでメッセージ8が送られていない場合、UEはMitMの存在を判定し、別の基地局の検索に進む。
b.Tb>Tmaxでメッセージ8が受信されていない場合、gNBはMitMの存在を判定し、通信をドロップする。
9.no-MitMが検出されたことを確認するUEによって送られた最終メッセージ。
10.a.UEは、メッセージ9を送った後、C-CRC方法を非アクティブ化する。
b.gNBは、メッセージ9を受信した後、C-CRC方法を非アクティブ化する。
11.標準通信。
1.gNBは署名付きシステム情報をブロードキャストする。
2.UEはデジタル署名の有効性を検証し、SIを検証する。
3.UEは安全なやり方で対称鍵Kを生成する。
4.UEは、gNBの公開鍵で暗号化することにより、安全なやり方でKをgNBへ送る。
5.a.UEは、メッセージ4を送った後にタイマーTaを開始する。
b.gNBは、メッセージ4の受信後にタイマーTbを開始する。
6.a.UEは、メッセージ4を送った後、鍵Kを使用してC-CRC方法をアクティブ化する。
b.gNBは、メッセージ4の受信後に鍵Kを使用してC-CRC方法をアクティブ化する。
7.標準プロトコルの流れであるが、C-CRCで保護される。
8.a.Ta>Tmaxでメッセージ8が送られていない場合、UEはMitMの存在を判定し、別の基地局の検索に進む。
b.Tb>Tmaxでメッセージ8が受信されていない場合、gNBはMitMの存在を判定し、通信をドロップする。
9.no-MitMが検出されたことを確認するUEによって送られた最終メッセージ。
10.a.UEは、メッセージ9を送った後、C-CRC方法を非アクティブ化する。
b.gNBは、メッセージ9を受信した後、C-CRC方法を非アクティブ化する。
11.標準通信。
【0208】
メッセージ4はRRCSetupRequestであり得ることに留意されたい。メッセージ9は、NASセキュリティモード完了であり得る。メッセージ7は、RRCSetupComplete及びNASハンドシェイクを含む。詳細は規範的なフェーズ時に指定できる。
【0209】
さらに、C-CRC解決策は、MAC層で標準CRCを置き換える。これは、メッセージを転送、修正、又は注入するMitMがある場合(ステップ7)、それらのメッセージはUE及びgNBによってドロップされることを意味する。MitMはKへアクセスしないので、C-CRCを正しく計算できない。
【0210】
前の例の変形例は、ダウングレード攻撃、すなわち、デバイスがプロトコルの最新版と互換性がないふりをする虚偽に単に基づく攻撃のリスクを低減することを可能にする。この種の攻撃は、動作の高品質のモード(例えば、暗号化された接続)を放棄させ、古いシステムとの後方互換性のために通常提供される古い低品質の動作モード(例えば、クリアテキスト)を優先する。
【0211】
この解決策は、下記を含む同じ設定を前提とする。
1.基地局は署名付きSIをブロードキャストする。
2.UEは署名付きSIを検証するための対応するトラストアンカーを有する。
3.SIに署名するために使用されるK-SIGPrivateは、追跡領域に特有である。
1.基地局は署名付きSIをブロードキャストする。
2.UEは署名付きSIを検証するための対応するトラストアンカーを有する。
3.SIに署名するために使用されるK-SIGPrivateは、追跡領域に特有である。
【0212】
この解決策では、前述のように、MAC層でのCRCを暗号CRC(C-CRC)に置き換えることも必要とする。
C-CRC=MessageAuthenticationCodeComputation(K,CRC|blockID)
ここでMessageAuthenticationCodeComputation()が24ビットのメッセージ認証コードを返す関数である場合、|は連結を示し、blockIDはMAC層でデータを送信するために使用される物理的リソースブロック(RB)、すなわち、時間及び周波数の物理的リソースを識別する一意の識別子を指す。プロトコルの流れは図16に示され次のとおりである。
1.gNBは、署名付きシステム情報をブロードキャストする。
2.UEはデジタル署名の有効性を検証し、SIを検証する。なお、これは、証明書の有効期限が切れていないかどうかを検証することを含む。これは厳密な時間同期を必要としないことを前提とする。
3.UEは安全なやり方で対称鍵Kを生成する。注記2を参照。
4.UEは、gNBの公開鍵で暗号化することにより、KをgNBへ安全なやり方で送る。UEはまた、ナンスN_UEを含む。
5.gNBはE(K,N_gNB|N_UE)、すなわち、Kで暗号化された、UEから受信したナンス及び基地局からの新しいナンスを送ることによってKの受信を確認する。UEは、メッセージがN_UEを含むことをチェックする。そうでない場合、UEはMitMの存在を判定する。
6.UEはE(K,N_UE|N_gNB)を送ることによって最終確認メッセージを送る。gNBは、メッセージがN_gNBを含むことをチェックする。gNBがこのメッセージを受信しない、又はチェックが失敗した場合、gNBはMitMの存在を判定する。
7.a.UEは、メッセージ6を送った後にタイマーTaを開始する。
b.gNBは、メッセージ6の受信後にタイマーTbを開始する。
8.a.UEは、メッセージ6を送った後に鍵Kを使用してC-CRC方法をアクティブ化する。
b.gNBは、メッセージ6の受信後に鍵Kを使用してC-CRC方法をアクティブ化する。
9.標準プロトコルの流れであるがC-CRCで保護される。注記1参照。
10.a.Ta>Tmaxでありメッセージ11がUEによって送られていない場合、MitMが存在していると決めて別の基地局の検索に進む。注記3及び注記4を参照。
b.Tb>Tmaxでありメッセージ11がgNBによって受信されていない場合、MitMが存在していると決めて通信をドロップする。注記3及び注記4を参照。
11.no-MitMが検出されたという暗黙の確認として機能するUEによって送られた最終メッセージ。
12.a.UEは、メッセージ11を送った後にC-CRC方法を非アクティブ化する。
b.gNBは、メッセージ11を受信した後にC-CRC方法を非アクティブ化する。
13.標準通信。
C-CRC=MessageAuthenticationCodeComputation(K,CRC|blockID)
ここでMessageAuthenticationCodeComputation()が24ビットのメッセージ認証コードを返す関数である場合、|は連結を示し、blockIDはMAC層でデータを送信するために使用される物理的リソースブロック(RB)、すなわち、時間及び周波数の物理的リソースを識別する一意の識別子を指す。プロトコルの流れは図16に示され次のとおりである。
1.gNBは、署名付きシステム情報をブロードキャストする。
2.UEはデジタル署名の有効性を検証し、SIを検証する。なお、これは、証明書の有効期限が切れていないかどうかを検証することを含む。これは厳密な時間同期を必要としないことを前提とする。
3.UEは安全なやり方で対称鍵Kを生成する。注記2を参照。
4.UEは、gNBの公開鍵で暗号化することにより、KをgNBへ安全なやり方で送る。UEはまた、ナンスN_UEを含む。
5.gNBはE(K,N_gNB|N_UE)、すなわち、Kで暗号化された、UEから受信したナンス及び基地局からの新しいナンスを送ることによってKの受信を確認する。UEは、メッセージがN_UEを含むことをチェックする。そうでない場合、UEはMitMの存在を判定する。
6.UEはE(K,N_UE|N_gNB)を送ることによって最終確認メッセージを送る。gNBは、メッセージがN_gNBを含むことをチェックする。gNBがこのメッセージを受信しない、又はチェックが失敗した場合、gNBはMitMの存在を判定する。
7.a.UEは、メッセージ6を送った後にタイマーTaを開始する。
b.gNBは、メッセージ6の受信後にタイマーTbを開始する。
8.a.UEは、メッセージ6を送った後に鍵Kを使用してC-CRC方法をアクティブ化する。
b.gNBは、メッセージ6の受信後に鍵Kを使用してC-CRC方法をアクティブ化する。
9.標準プロトコルの流れであるがC-CRCで保護される。注記1参照。
10.a.Ta>Tmaxでありメッセージ11がUEによって送られていない場合、MitMが存在していると決めて別の基地局の検索に進む。注記3及び注記4を参照。
b.Tb>Tmaxでありメッセージ11がgNBによって受信されていない場合、MitMが存在していると決めて通信をドロップする。注記3及び注記4を参照。
11.no-MitMが検出されたという暗黙の確認として機能するUEによって送られた最終メッセージ。
12.a.UEは、メッセージ11を送った後にC-CRC方法を非アクティブ化する。
b.gNBは、メッセージ11を受信した後にC-CRC方法を非アクティブ化する。
13.標準通信。
【0213】
メッセージ4、5、6、7、及び9の指定のインスタンス化は、次のとおりであることに留意されたい:メッセージ4はRRCSetupRequestの可能性があり、メッセージ5はRRCSetupの可能性があり、メッセージ6はRRCSetupCompleteの可能性があり、メッセージ9はNASハンドシェイクを含む場合があり、メッセージ11はNASセキュリティモード完了の可能性がある。正常な通信の流れは通常どおり進行するが、C-CRCがアクティブであるという唯一の違いがあることを観測することが重要である。さらに、MitMはKへアクセスしないので、C-CRCを正しく計算できない。メッセージ4、5、6は、MitMがC-CRCのアクティブ化に干渉できないことを確実にする。
【0214】
さらに、C-CRC解決策は、MAC層での標準CRCを置き換える。これは、メッセージを転送、修正、又は注入するMitMがある場合(ステップ7)、それらのメッセージはUE及び/又はgNBによってドロップされることを意味する。ステップ7でメッセージを受信しないということは、前のメッセージが欠落しているため、メッセージ9も送受信されないことを意味し、このように、タイマーTa及びTbがタイムアウトし、UEがジョインする手順がドロップされる。このように、この解決策は、信頼可能なやり方でリプレイ攻撃を回避するために必要である、例えば、1又は2ミリ秒のオーダーの厳密な時間同期を必要とせずに、すべての場合で再生保護を達成する。
【0215】
さらに、鮮度を提供するためにblockIDが一意であることが有利である。この目的で、次のように構築できる。
blockID=Frame|Subframe|Slot|Allocated_Resources_TIME|Allocated_Resources_Frequency
ここで|は連結を意味し、Allocated_Resources_Time及びAllocated_Resources_Frequencyは、所与のFrame/Subframe/Slotでの送信に使用されるリソースを決定する。
blockID=Frame|Subframe|Slot|Allocated_Resources_TIME|Allocated_Resources_Frequency
ここで|は連結を意味し、Allocated_Resources_Time及びAllocated_Resources_Frequencyは、所与のFrame/Subframe/Slotでの送信に使用されるリソースを決定する。
【0216】
SFNの周期は10.24秒であるため、このblockID構造はTmaxについての最大値を設定する。Tmaxを長くする必要がある場合は、異なるblockID構造が規範的なフェーズ時に画定できる。
【0217】
後方互換性に関して、上記の設計では、新しいUEは限られた時間でC-CRCを実行する。ステップ11の後、UEは標準CRCを実行する。C-CRCのアクティブ化はステップ4及び5で交渉され、後方互換性テーブルは次のとおりである。
【0218】
【表2】
【0219】
MitMがケースlUE、nBS及びケースnUE、lBSを使用して干渉しダウングレード攻撃を組み立てようとする恐れがあることを考えなければならない。なお、このダウングレード攻撃は、UEとgNBとの両方がこの解決策をサポートする状況に関する。以下では、それを検討する。
・ケースnUE、lBSを使用するダウングレード攻撃:MitMは、署名がないかのようにgNBのSIBを転送できる。これが起こると、UEはC-CRCをアクティブ化せず、E(K、PK)を追加しない。C-CRCはUE又はBSによってアクティブ化されない。このダウングレード攻撃は、UE及びgNBはリスクがあることを知っているので(C-CRCがアクティブ化されなかったので)、受け入れ可能であると見なすことができる。UE及びgNBは、FBSの回復力のある接続を受け入れないという方針を有することができる。
・ケース2を使用するダウングレード攻撃:MitMはE(K、PK)を削除するので、gNBはC-CRCをアクティブ化しない。gNBはそれをアクティブ化しないので、Hash(K)も送らないので、UEはC-CRCをアクティブ化しない。前の場合と同様に、少なくともUE及びgNBはリスクがあることを知っているので(C-CRCがアクティブ化されなかったので)、このダウングレード攻撃は受け入れ可能であると見なすことができる。
・ケースnUE、lBSを使用するダウングレード攻撃:MitMは、署名がないかのようにgNBのSIBを転送できる。これが起こると、UEはC-CRCをアクティブ化せず、E(K、PK)を追加しない。C-CRCはUE又はBSによってアクティブ化されない。このダウングレード攻撃は、UE及びgNBはリスクがあることを知っているので(C-CRCがアクティブ化されなかったので)、受け入れ可能であると見なすことができる。UE及びgNBは、FBSの回復力のある接続を受け入れないという方針を有することができる。
・ケース2を使用するダウングレード攻撃:MitMはE(K、PK)を削除するので、gNBはC-CRCをアクティブ化しない。gNBはそれをアクティブ化しないので、Hash(K)も送らないので、UEはC-CRCをアクティブ化しない。前の場合と同様に、少なくともUE及びgNBはリスクがあることを知っているので(C-CRCがアクティブ化されなかったので)、このダウングレード攻撃は受け入れ可能であると見なすことができる。
【0220】
このようなダウングレード攻撃は現在の解決策にも適用可能であり、現在の解決策では、新しいUEは、安全なやり方(発生源検証及びリプレイ攻撃)で適切なgNBと通信していると考え、リプレイ攻撃を受けている恐れがあることに留意されたい。
【0221】
上記の例示的な実施形態は、署名付きSI、特に、5Gにおいて周期的にブロードキャストされるMIB/SIB1の受信によってトリガされる。しかしながら、SIB1のサイズが小さく(3000ビット未満)、追加できる情報の量、特にデジタル署名又はデジタル証明書のサイズを制限する。これに対する解決策は、UEがMIB/SIB1の受信後、署名を含む指定されるSIB、SIB_Sを、先を見越して要求する新しい変形例である。UEが、SIB_Sを受信すると、UEは、設置されたトラストアンカーを使用して、SIが所与の基地局から発信されていることを検証できる。UEは、基地局の公開鍵(PK)も検証できる。UEは、次に、上記の図におけるようにステップ4でこのPKを使用して、プロトコルの残りの部分をトリガする。この場合、ステップ9は、いくつかの事前定義されたアップリンクメッセージとダウンリンクメッセージとからなる可能性がある。
【0222】
最終的に、すべての前の実施形態での要件により、この公開鍵PKは、(ステップ2で要求されるようにSIの)署名検証と(ステップ4で要求されるように)公開鍵暗号化との両方に使用できる。ステップ2の署名検証用の公開鍵がPKEに使用できない場合、SIBで送られた証明書は、ステップ4でのPKE用の追加のgNBの公開鍵を含むべきである。
【0223】
第6実施形態のさらなる変形例では、2^10フレーム、すなわち、10.24秒の間又はSFNがラップアラウンドするまで、静的パラメータに署名する代わりに、静的パラメータは、2時間54分45.76秒の持続時間、すなわち、SFN及びHFNがラップアラウンドするまで署名してもよい。これにより、署名生成器のオーバーヘッドがさらに低減される。さらに、動的パラメータに署名するために使用されるデジタル署名アルゴリズムは、ECDSAなどの標準アルゴリズムに基づくことができるが、対応する公開鍵の有効性が短いため、セキュリティレベルが低下する。或いは、例えば、ハッシュチェーン、テスラに基づく軽量な方法であってよい。
【0224】
提案された署名の組合せは、量子耐性署名に対する良い解決策も提供する。デジタル署名は、公開鍵又は署名のいずれかのサイズでかさばる。第6実施形態の解決策により、相対的に低い周波数で重いデジタル署名の使用を可能にする。動的フィールドは、はるかにより頻繁に署名する必要があり、このためには、量子耐性もあるハッシュベースの解決策が良い候補である。さらに、動的フィールドの署名は、現在のDSnFアーキテクチャに適合する署名生成器(DSnF)で行うことができる。ただし、DSnFは、SFNに対する開始時間を含むすべての重要なフィールドに署名しているため、一次局へ外部委託してもよい。gNBが動的フィールドに署名する場合、DSnFのオーバーヘッドが低減され、署名付き情報は時間どおりにブロードキャストするために利用可能であるという明らかな利点がある。
【0225】
この解決策は、また、DSAさえ使用すれば、機能する。このように、DSAは、長い間隔の時間、静的情報に署名するために使用できる。これは、一次局によって使用されたハッシュチェーンアンカーにも署名して動的フィールドに署名する。これが行われると、DSAを使用してSFN_HFN_Reference_timeにも署名するべきである。良いトレードオフは、DSAに、新しいHCアンカー、SFN_HFN_Reference_time、...HFN/SFN(2時間54分45秒)に署名させることである。代替案は、SFN周期ごと(10.24秒)に、DSnFがはるかにより多くのデータ要求を取り扱わなければならないという欠点がある。SIB/MIBの残りは、各一次局によって管理されるHCベースのアプローチで保護される。
【0226】
最終的に、本発明のこの第6実施形態では、UEが初期はわずかに同期していないか、又は適切な時間を有していない恐れがあることが何度か言及された。これが起こり、UEがわずかに異なる時間(例えば、10ミリ秒の差)を有する場合、UEは、メッセージが予想よりも遅く1、...、max_delayHFN/SFNで受信された場合、メッセージを受け入れるしかない。これが起こると、UEはDSnFで安全な時間同期プロトコルを開始し、遅延が起こり続けるかどうかを再度チェックすべきである。このような場合、UEはMitM中継ノードの下にあり、異なる一次局を探すべきである。
【0227】
この実施形態では、リプレイ攻撃に対する保護は、メッセージの鮮度をチェックすることによって達成される。この鮮度は、集中管理されるDSnF時間及び基地局特有のSFNへリンクされる。しかしながら、場合によっては、MitM攻撃者が非常に速く行動し、特定のシステムが時間同期要件を緩和しなければならない恐れがある。これが起こると、UEは、同じPCI及び同じ時間を持つ2セットのシステム情報を受信することになる。この状況では、選択肢は、両方のSIセットを拒否し、異なる基地局へ接続することである。これは、DoS攻撃を引き起こす可能性がある(例えば、UEが単一の基地局を観測できる場合)、又はシステムの性能を低下させる可能性がある(例えば、UEが、より悪い接続性を提供する基地局へ接続することを決めた場合)という欠点を有する既知の選択肢である。UEはまた、代替機構を選んでもよく、すなわち、UEが同一のPCI及び時間を持つ2つ以上のSIセットを受信した場合は、UEは、実現可能であったとしても再生された可能性が低いものであるため、最初に受信したものを選ぶことになる。
【0228】
したがって、より一般的には、複数のシステム情報メッセージを複数の一次局から受信したとき、さらなるステップは、重複したSIメッセージをすべて拒否することを有してよい。或いは、さらなるステップは、最近でない方のSIメッセージを選択し、残りのSIメッセージを拒否することを有する。
【0229】
前述のすべての実施形態は、第7実施形態で詳述され、5Gへつながる単一の解決策で使用できる。第7実施形態によれば、DSnFフレームワークに適合するFBS及びMitMノードを回避するためのセル走査手順が説明される。その主な特徴は次を含む。
同期信号に分配された物理層における情報を、UEロケーション、及び基地局の既知の放射パターンとともに、FBSの早期検出のために使用する。
システム情報、すなわち、MIB及びSIB1を確保するために、PKIとハッシュチェーンとの性能最適化の組合せを使用し、主要な実施形態の1つでは、DSnFはハッシュチェーンのアンカーに署名し、基地局はシステム情報を保護するためにハッシュチェーンアプローチを使用し、UEはFBSを回避するために、署名付き情報を検証する。
固定フィールドと可変フィールドとの効率的な検証をサポートしてDSnF及びシステムの性能を改善するための最適化を提供する。
ロケーションAの秘密鍵をそこない、それを使用してロケーションBでの情報に署名する攻撃を回避するために、秘密鍵がUEの現在のロケーションでメッセージに署名することを許可されることを検証し、
単純なリプレイ攻撃を回避するために、タイミング情報が複数の基地局から学習される、又はUEとDSnFとの間の初期ハンドシェイクを通じて得られる場合、署名付き情報の鮮度を検証し、
署名付きSFN/HFNが現在の時刻に適合することを検証して、このやり方でMitM中継攻撃を回避する。
同期信号に分配された物理層における情報を、UEロケーション、及び基地局の既知の放射パターンとともに、FBSの早期検出のために使用する。
システム情報、すなわち、MIB及びSIB1を確保するために、PKIとハッシュチェーンとの性能最適化の組合せを使用し、主要な実施形態の1つでは、DSnFはハッシュチェーンのアンカーに署名し、基地局はシステム情報を保護するためにハッシュチェーンアプローチを使用し、UEはFBSを回避するために、署名付き情報を検証する。
固定フィールドと可変フィールドとの効率的な検証をサポートしてDSnF及びシステムの性能を改善するための最適化を提供する。
ロケーションAの秘密鍵をそこない、それを使用してロケーションBでの情報に署名する攻撃を回避するために、秘密鍵がUEの現在のロケーションでメッセージに署名することを許可されることを検証し、
単純なリプレイ攻撃を回避するために、タイミング情報が複数の基地局から学習される、又はUEとDSnFとの間の初期ハンドシェイクを通じて得られる場合、署名付き情報の鮮度を検証し、
署名付きSFN/HFNが現在の時刻に適合することを検証して、このやり方でMitM中継攻撃を回避する。
【0230】
FBSを扱うためのセル走査手順は、以下に説明するように、複数の任意のステップを含むことができる。
o UEが指定の周波数へ合わせる
o UEはPSS、SSSを検出しようとするが、UEがこれを検出できない場合、次の周波数へ合わせる
o UEがPSS/SSSをうまく検出すると、
UEは、選んだSSBインデックス及び対応する信号強度復調基準信号(PBCH DMRS)を格納する
o [物理信号に基づくBSロケーション及びPCIチェック]UEの現在のロケーション、SSBインデックス、及びPBCH DMRSの強度に基づいて、UEは、BSの推定位置が、第4実施形態におけるように信頼されるBSLogに述べたロケーションと一致するかどうかをチェックする。
o UEが指定の周波数へ合わせる
o UEはPSS、SSSを検出しようとするが、UEがこれを検出できない場合、次の周波数へ合わせる
o UEがPSS/SSSをうまく検出すると、
UEは、選んだSSBインデックス及び対応する信号強度復調基準信号(PBCH DMRS)を格納する
o [物理信号に基づくBSロケーション及びPCIチェック]UEの現在のロケーション、SSBインデックス、及びPBCH DMRSの強度に基づいて、UEは、BSの推定位置が、第4実施形態におけるように信頼されるBSLogに述べたロケーションと一致するかどうかをチェックする。
【0231】
一意のPCIを持つBSがあり、その推定ロケーションが既知のBSLogにおけるロケーションと一致する場合、デバイスはそのBSを受け入れる。
【0232】
一意のPCIを持つが、BSLogにおけるものとは異なる推定ロケーションであるBSがある場合、デバイスはそのBSを選好リストの最後に置く。
【0233】
同じPCIを持つが推定ロケーションが異なる2つのBSがあり、ロケーションのうちの1つがBSLogと一致しない場合、デバイスはそのBSを廃棄する。
【0234】
同一のPCI及び同一の推定位置を持つ2つのBSがある場合(例えば、UEが解決策3の一部を使用しない、又は攻撃者がUEを対象とする場合)、デバイスはそれらを重複として目印をつけ、プロセスを進めてそれらの署名及び時間をチェックする。
【0235】
UEはPBCHを復号してMIBを得ようとする。UEがPBCHをうまく復号すると、PDCCH及びPDSCHを復号してRMSI及びOSIを得ようとする。
【0236】
[デジタル署名されたSIの検証]この時点で、トラストアンカーが構成されている場合、SIB1でブロードキャストされるMSIのデジタル署名を検証できる。構成されていない場合は、署名の検証はスキップされる。
【0237】
これは、多くのフィールドが静的である上記の第2実施形態と同様に行われる。それらのフィールドは一回だけ検証される。後で、唯一の動作は、それらの値が変更されていないままかどうかをチェックすることである。これが成り立つ場合、固定フィールドのハッシュは入力として使用され、可変フィールドと連結されて現在の署名を検証する。
【0238】
UEは、検証が失敗した場合、BSを廃棄する。
【0239】
さらに、UEは、メッセージに署名する秘密鍵が、UEが位置する領域において許可されていない場合、BSを廃棄する。UEは、SIBにおいてもブロードキャストされるBSの署名付きロケーションを得ることができ、ロケーションがUEの置かれたロケーションと一致しない場合、BSは拒否される。
o[鮮度チェック]セル走査手順でのこのステップは、第5実施形態による鮮度検証に関する。
o[中継されたメッセージのチェック]セル走査手順でのこのステップは、第6実施形態により行われる。
o[鮮度チェック]セル走査手順でのこのステップは、第5実施形態による鮮度検証に関する。
o[中継されたメッセージのチェック]セル走査手順でのこのステップは、第6実施形態により行われる。
【0240】
上記の実施形態では、署名生成器は、静的フィールド及び動的フィールドに署名するための2対の公開鍵を有する。別の実施形態では、一次局は、これら2対の鍵を所有するエンティティである。
【0241】
上記の実施形態では、顕著な態様のうちの1つは、様々なエンティティ間の同期の必要性であり、特に一次局及び署名生成器は同期する必要があるか、又は時間差を知らなければならない。実際、一次局は情報をブロードキャストしなければならない。ただし、一次局は、複数の基地局の署名付きSIでブロードキャストされた署名生成器の時間が同期していることを確かめるために、「いつ」行うかを知る必要がある。そうでない場合、これは一次局のクロックがより速く刻む(このように、その時間が高くなる)状況をもたらす可能性がある。説明における同期方法に従って、二次局はこの時間を基準として使用することになる。これは、この理由で、おそらくより良い送信電力でより良い接続性をもたらし、二次局が有効な一次局を拒否する状況をもたらす可能性がある。
【0242】
さらに、リプレイ攻撃を防ぐことを助ける。時間を使用してリプレイ攻撃を回避する場合は、基地局が正確な時間をブロードキャストすることが重要である。そうしないと、基地局のクロックが、より速く刻まれる(そして、より新しい)場合、少し早くデータをブロードキャストするので、攻撃者は情報を再生できる。
【0243】
さらに、時間の一貫性をチェックすることが重要であり、3GPP(登録商標)TR33.809セクション6.20.2.5.4では、「各セルからのデジタル署名が有効であるが複数のセルから最近受信した時間カウンタが検証に失敗した場合、UEはそれらのセルから時間カウンタの一貫性をチェックする。それらが互いへ近い場合、UE時間がネットワークと同期していないことを示す。時間カウンタに一貫性がない場合、(例えば、古い情報を再生することによって)攻撃者の存在を示す。いずれの場合も、UEは、中継された時間カウンタが最新では非常になさそうなので、最も高い時間カウンタを持つセルを選択できる。複数のセルから受信された時間カウンタの一貫性をチェックすることを選ぶ場合、UEローカル時間に対して時間カウンタをチェックする必要がないことがある。これにより、すべてのUE及びネットワークのなかで時間同期の必要性を排除してもよい。」と述べられている。セクション6.20.2.5.5では、セル選択プロセスが説明される。重複したPCIを持つSIを走査して削除した後、進んで、MIB、SIBを取得し、署名及び鮮度を検証する。ここから、現在のDSnFが、重複したPCIを持つSIの削除後に時間一貫性チェックを行うことを推測できる。
【0244】
さらに、上記で論じたように、MitM中継ノードは、対象UEの範囲内にある可能性があるが、対象UEは、実の基地局から遠すぎる恐れがある。しかしながら、領域におけるいくつかのUEは、MitM中継ノードと実の基地局との両方を聴く可能性が高い。それらのUEは、(重複したPCIのため)除外されたSIをコアネットワーク、又は一回接続された基地局へ報告できるので、コアネットワークは偽基地局の存在を評価する。コアネットワークの評価が肯定的である場合、コアネットワークは影響を受けた基地局に報知し、さらなる行動をとる、例えば、限られた期間、オフに切り替えることを決めることがある。
【0245】
3GPP(登録商標) TR33.809、セクション6.20.2.6.1では、どのようにリプレイ攻撃を扱うかが説明される。ローカルのリプレイ攻撃の防止には、PCI情報の削除が使用される。遠隔リプレイ攻撃防止について、テキストはロケーションを述べる。上述したように、重複した情報を持つSIの除去は、MitMと基地局との両方が相対的に互いへ近いと記載される範囲拡張攻撃のため、十分ではない恐れがある。しかしながら、ブロードキャストメッセージに追加され署名され得るものは、基地局の範囲である。基地局のロケーションとともに範囲情報は、所与の基地局からSIを受信すると予想される領域を決定するので、上記の攻撃も回避するか、少なくとも軽減することを助けることができる。極端な場合、基地局は受信が予想される領域をブロードキャストもできる。
【0246】
最終的に、6.20での現在のテキストは、MIB、SIBが署名されていると述べる。いくつかのフィールドもMIB及びSIBの外側ではあるが署名されることを強調することが重要である。例えば、SFNの4LSBは、それら自体、MIBに含まれない。
【0247】
UEによって署名且つ検証されることが既に提案されているセル特有のパラメータPCI及びダウンリンク周波数の次に、PBCHで送信される次のパラメータも署名しなければならない。
a)SSBインデックスも署名且つチェックしなければならない。SSBインデックスはビームに特有であるので、MIBの一部ではない。この情報が署名されていない場合、攻撃者は「追加ビーム」を用いてFBSを作成して追加のSSBをブロードキャストする恐れがある。実行可能でもある攻撃は、攻撃者が実際のビームXYZを受信できない領域にインデックス、例えば、XYZで偽ビームを作成するようなタイプである。この情報が署名/検証されない場合、攻撃者は(少し前にブロードキャストされた)ビームからデータを得て、少し後にブロードキャストされる偽ビーム(実のビームを偽造する)にデータを置くことができる。或いは、SIは、基地局によって使用されるビームの数に署名するように強化され、UEは基地局が使用するビームの数をチェックしてよい。
*すべてのSSBサブキャリアのオフセットビット、それらのうちの1つがPBCHに担持される可能性があるためである。これが署名されない場合、攻撃者は周波数オフセットを修正できる恐れがある。
*半フレームビット(1ビット)は署名しなければならない。半フレームビットが修正された場合、攻撃者は間違ったフレーム同期(5ミリ秒誤差)を行う恐れがあり、例えば、MIBは、フレームの前半の代わりに、フレームの後半に位置する恐れがある。
a)SSBインデックスも署名且つチェックしなければならない。SSBインデックスはビームに特有であるので、MIBの一部ではない。この情報が署名されていない場合、攻撃者は「追加ビーム」を用いてFBSを作成して追加のSSBをブロードキャストする恐れがある。実行可能でもある攻撃は、攻撃者が実際のビームXYZを受信できない領域にインデックス、例えば、XYZで偽ビームを作成するようなタイプである。この情報が署名/検証されない場合、攻撃者は(少し前にブロードキャストされた)ビームからデータを得て、少し後にブロードキャストされる偽ビーム(実のビームを偽造する)にデータを置くことができる。或いは、SIは、基地局によって使用されるビームの数に署名するように強化され、UEは基地局が使用するビームの数をチェックしてよい。
*すべてのSSBサブキャリアのオフセットビット、それらのうちの1つがPBCHに担持される可能性があるためである。これが署名されない場合、攻撃者は周波数オフセットを修正できる恐れがある。
*半フレームビット(1ビット)は署名しなければならない。半フレームビットが修正された場合、攻撃者は間違ったフレーム同期(5ミリ秒誤差)を行う恐れがあり、例えば、MIBは、フレームの前半の代わりに、フレームの後半に位置する恐れがある。
【0248】
MIBは1回ではなく、複数回、SSB当たり1回送信される。SFN及びMIBについて基準時間は、半フレームビットを考慮して受信した第1のSSBブロックの時間である。
【0249】
メッセージを受け入れるための時間窓は、UEと基地局との間の距離、例えば、UEがそのロケーション及びgNBのロケーションを知っている場合に依存できる。この場合、UEが所与のロケーションでMIBを受信すると、UEはそのPCIを用いてgNBのロケーションを調べ、距離を計算し、電波が光速で伝搬することを考慮して、その距離に依存するメッセージを受け入れるための時間窓を設定できる。
【0250】
より一般的には、二次局が一次局からのシステム情報メッセージの有効性をチェックする方法を使用することはこのように有利であり得るが、この方法は、SIメッセージの受信の時間の有効性をチェックすることを含み、上記ステップは二次局と一次局との間の距離の推定値を考慮に入れる。実施形態では、この距離の推定は、二次局のロケーション及び一次局のロケーションに基づいて距離を計算する予備ステップを必要とする。一次局のロケーションは、一次局のロケーション及び識別子を詳述する集中参照サーバから得られる。
【0251】
別の態様では、二次局が一次局からのシステム情報メッセージの有効性をチェックする方法が提案され、この方法は、SIメッセージの受信の時間の有効性を時間基準に基づいてチェックすることを含み、ここで、時間基準は放射ビーム(又はSSB)インデックスから適合される。
【0252】
SFNは、基地局のスケジュールへ直接つなげられた時間カウンタとして機能するので、タイムスタンプの鮮度をチェックするときに署名及び/又は考慮することには利点がある。これは、S3-210541におけるセクション3.4.1、特に、現在のテキストが、署名/タイムスタンプが複数のSIB1において複数回繰り返される場合は、許容される時間窓(t_w)が、より大きいということを述べているという事実、すなわち、ネットワーク遅延t_d(署名時間、送信時間、伝播時間、受信時間、及び署名検証時間を含む)、UEと基地局との間の同期レベルの差を説明するパラメータtau、及び複数のSIB1において同じ署名/タイムスタンプが繰り返されるためスケジュールされた遅延を説明するパラメータt_s、例えば、N SIB1において同じタイムスタンプ/署名が使用される場合、t_s=(N-1)20であることを言及する。このアプローチにより、処理の遅延は最小限に抑えられるが、リプレイ攻撃を非常に簡単にする。
【0253】
この状況に対処するために、同じタイムスタンプ/署名が複数のSIB1に使用され、UEが誤差を作りたくない場合、UEは次を行うべきである。
-第1のステップ)SIB1が受信されたフレーム番号SFN_received、及び同じタイムスタンプ/署名が最初に使用されたときの相対位置(基準フレーム番号)を見る。これは、k=SFN_received%Nとして導出でき、ここで「%」はモジュロ演算である。この情報を用いて、UEは、タイムスタンプを(timestamp+k*20)として訂正し、この値を現在の時刻と比較できる。
-第2のステップ)FBSはSFNを修正する可能性があるため(SFNが署名されない場合)、次にUEは、新しいタイムスタンプ/署名が分配される次のフレームまで、受信したSIB1を監視し続けなければならない。このようにして、UEは、攻撃者がt_d+tauよりも長いフレームを再生していないことを保証できる。なお、いずれの場合も、署名/タイムスタンプが繰り返される場合、UEは、UEがt_w=t_d+tauの確実性を得るまで、平均t_s/2で依然として待たなければならない。
-第1のステップ)SIB1が受信されたフレーム番号SFN_received、及び同じタイムスタンプ/署名が最初に使用されたときの相対位置(基準フレーム番号)を見る。これは、k=SFN_received%Nとして導出でき、ここで「%」はモジュロ演算である。この情報を用いて、UEは、タイムスタンプを(timestamp+k*20)として訂正し、この値を現在の時刻と比較できる。
-第2のステップ)FBSはSFNを修正する可能性があるため(SFNが署名されない場合)、次にUEは、新しいタイムスタンプ/署名が分配される次のフレームまで、受信したSIB1を監視し続けなければならない。このようにして、UEは、攻撃者がt_d+tauよりも長いフレームを再生していないことを保証できる。なお、いずれの場合も、署名/タイムスタンプが繰り返される場合、UEは、UEがt_w=t_d+tauの確実性を得るまで、平均t_s/2で依然として待たなければならない。
【0254】
t_dについてタイミングは、おそらく約1ミリ秒又はわずかにそれ以上である。例えば、MIBは、SCS=15又は30kHzの4つのOFDMシンボルで送信される。15kHzの場合、MIB送信には266マイクロ秒かかる。4つのビームがある場合、第1のビームと第4のビームとの間の時間差はほぼ1ミリ秒である。受信でも同じである。これはSIB1の送受信を考慮に入れないので、MIB+SIB1の合計送信/受信時間は266マイクロ秒よりも長い。これは送信遅延についても同様である。到着時刻を見ると、最大値(単位LTE)は0.6ミリ秒までに相当する。
【0255】
このように、より一般的な用語では、連続したメッセージに署名する方法を使用することが提案でき、この方法は、複数の連続したメッセージについて単一の署名を再使用することを有し、ここで各メッセージはタイムスタンプも含み、この方法は、メッセージの有効性をチェックする前に、受信したタイムスタンプから実際の送信タイムスタンプを計算することをさらに有する。
【0256】
トラストアンカーは地理的領域へリンクされるはずである。UEがトラストアンカーを使用する場合、UEは、使用しているトラストアンカーがUEのロケーションで許可されているかどうかをチェックしなければならない。
【0257】
ハッシュチェーンは、アンカーが中央エンティティから分配され、gNBがハッシュチェーンの例を使用してgNBによりブロードキャストされたデータを保護する場合、良い解決策になり得る。これは、5Gの同期性及びMIB/SIB1メッセージの伝送を考慮に入れた非常に好適な解決策である。特に、SIB1は、ハッシュチェーンの非開示リンク、及びUEに前に受信したSIB1/MACを検証させるハッシュチェーンリンクで計算されたMACを含む。SIB2/SIB5メッセージはオンデマンドで分配できる。TESLAがそれらのメッセージへ適用されると、これらのメッセージは、次の開示されていないハッシュチェーン要素で計算されたMACを含み、これは次のSIB1メッセージで開示される。ハッシュチェーンはSFNスケジュールに非常によく適合する。上記のコメント(4)を参照。
【0258】
6MSBが、MIBで、4LSBが、PBCHで送信される10ビットSFN全体に署名しなければならない代わりに、最上位ビットのみに署名する必要がある。例えば、8、7、6MBSに署名することにより、40、80、160ミリ秒の時間周期性を得る。
【0259】
時間同期の課題に関して:一般的なアプローチは、UEが複数のgNBからのタイムスタンプを使用してそれらの時間を学習し、それが同期していないかどうかを見出す。この時間一貫性アプローチについて、gNBが厳密に同期されることが必要とされる。さらに、署名が検証されたタイムスタンプのみを考慮しなければならない。
【0260】
第2のアプローチは、最新時刻又は検証されたタイムスタンプの平均を使用することである。
【0261】
これが機能するための第3のアプローチは、UEが現在の(DSnF/gNB)時間を要求できることである。これは、UEの時間が同期されない及び/又は周囲のgNBが少なすぎるシナリオに関連している。UEは要求をDSnFへ送り、現在の時刻を取り戻す。
【0262】
どのアプローチを使用するか(時間の一貫性、又はDSnF/gNBから現在時刻を直接回収すること)、及びどの状況下であるかは方針によって決定される。例えば、時間一貫性チェックは、攻撃者が偽基地局を十分に制御し、UEがk個のタイムスタンプからそれらの値がすべて一貫しているか否かを判定しようとする場合、依然として操作できる。情報がブロードキャストされて署名されると、UEは、そこなわれたノードの1/2未満の場合、すなわち、k=2n+1の基地局(タイムスタンプ)がある場合、n個までの偽基地局(タイムスタンプ)がある場合、同じである可能性がある。他のビザンチンモデルでは、境界はk=3n+1であり、次に、システムは、そこなわれた値の1/3まで耐える。第2のアプローチについて、方針は、現在時刻として最高のタイムスタンプを使用するために必要であるタイムスタンプの最小数を含む可能性がある。例えば、UEさえタイムスタンプへアクセスすれば、方針は、UEが第3のアプローチを使用し、時間を基地局から回収するべきであることを示す可能性がある。方針は、また、時間精度が相互チェックされるべき頻度を含んでもよい。これは、例えば、少なくとも1時間当たり1回であり得る。方針により、また、異なる短い時間で、例えば、10分の時間窓内で集められたタイムスタンプを使用する可能性がある。
【0263】
いくつかの既存の解決策は、システム情報の真正性を確保し、FBS/MitMを扱うことを目的としている。これらの解決策は、システム情報メッセージの有効性をチェックする有効性方法に基づき、この方法は、
二次局が連続したシステム情報メッセージを受信し、
二次局は、検証のために、検証メッセージを少なくとも受信したシステム情報メッセージ(又はそれぞれの内容の一部)に基づいて生成することを有する。
二次局が連続したシステム情報メッセージを受信し、
二次局は、検証のために、検証メッセージを少なくとも受信したシステム情報メッセージ(又はそれぞれの内容の一部)に基づいて生成することを有する。
【0264】
一例において、検証メッセージは、受信したシステム情報メッセージの少なくともサブセットのハッシュである。
【0265】
1つの解決策では、検証メッセージは二次局によって一次局へ送られ、安全なチャネルを介して検証する。或いは又はさらに、検証メッセージは、検証のために、一次局によって二次局へ送られてもよい。一次局は、コアネットワークにおいて、gNB又はネットワーク機能である可能性がある。
【0266】
より詳細には、これらの解決策は、このように、gNBは、UEがAS安全コンテキストを確立した後に、MIB/SIB/PCIのハッシュをUEへ提供することにある。UEは、gNBによって提供される情報を、前に受信したMIB/SIB/PCIと比較し、それらが一致しているかどうかをチェックできる。そうでない場合は、指示をgNBへ送る。これは、例えば、TR33.809-0c1、解決策19に記載されている。図17は、TR33.809-0c1において解決策19でのシステム情報保護のプロトコルの流れを示す。
【0267】
TR33.809-0c1では、同様の解決策、すなわち、解決策14が記載され、ここで、UEは、受信したMIB/SIBのハッシュをgNBへ送るエンティティである。gNBは、情報が一致するかどうかをチェックする当事者である(上記の図17のステップ6に等しい)。他のやり方で、解決策14は解決策19のようであるが、UEとgNBとの役割が交換されている。
【0268】
このような解決策には特定の制限がある。
a)MIBのすぐ次にブロードキャストされるPBCHでのいくつかのフィールドは、検証プロセスに含まれない。これらのフィールドは、SSBインデックス、SSBサブキャリアのオフセットビット、又は半フレームビットを含む。これが制限である理由は、攻撃者が通信に干渉することは簡単である恐れがある。例えば、5Gでは、基地局は、複数のビームを使用して、複数のSSBでPCI/MIBをブロードキャストできる。基地局が、例えば、2つのビームのみを使用するように構成される場合は、攻撃者は異なるSSBインデックスで追加の偽ビームを設定できる。攻撃者は、非常に高い電力を使用して、その偽ビームを介して実の基地局の実際のMIB/SIB/PCIを再ブロードキャストするしかない。このようにして、UEは、図17におけるステップ6でのMIB/SIB/PCIのチェックが成功するので、実の基地局へ接続されていると考えるが、それでも偽ビームへ接続される。同様の攻撃が、SSBサブキャリアのオフセットビット又は半フレームビットのハッシュが交換且つ検証されない場合、実行可能である恐れがある。なお、実のビームの次に追加の偽ビームを設定することは、受信時に受信が同期されるようにFBSの送信を構成することを必要とするため、難しい場合があるが、関連する学術研究に示されるように、これはまったく実行不可能ではない。
b)これらの解決策は、MIB/SIB/PCIに署名することを主張する。しかしながら、MIBはSFNの6つの最上位ビットを含む。これは、比較する64の可能なハッシュがあることを意味する。この状況は、SSBインデックスを検証することも必要とされる場合、さらに悪くなる。
c)これらの解決策はMitMを防がない。
a)MIBのすぐ次にブロードキャストされるPBCHでのいくつかのフィールドは、検証プロセスに含まれない。これらのフィールドは、SSBインデックス、SSBサブキャリアのオフセットビット、又は半フレームビットを含む。これが制限である理由は、攻撃者が通信に干渉することは簡単である恐れがある。例えば、5Gでは、基地局は、複数のビームを使用して、複数のSSBでPCI/MIBをブロードキャストできる。基地局が、例えば、2つのビームのみを使用するように構成される場合は、攻撃者は異なるSSBインデックスで追加の偽ビームを設定できる。攻撃者は、非常に高い電力を使用して、その偽ビームを介して実の基地局の実際のMIB/SIB/PCIを再ブロードキャストするしかない。このようにして、UEは、図17におけるステップ6でのMIB/SIB/PCIのチェックが成功するので、実の基地局へ接続されていると考えるが、それでも偽ビームへ接続される。同様の攻撃が、SSBサブキャリアのオフセットビット又は半フレームビットのハッシュが交換且つ検証されない場合、実行可能である恐れがある。なお、実のビームの次に追加の偽ビームを設定することは、受信時に受信が同期されるようにFBSの送信を構成することを必要とするため、難しい場合があるが、関連する学術研究に示されるように、これはまったく実行不可能ではない。
b)これらの解決策は、MIB/SIB/PCIに署名することを主張する。しかしながら、MIBはSFNの6つの最上位ビットを含む。これは、比較する64の可能なハッシュがあることを意味する。この状況は、SSBインデックスを検証することも必要とされる場合、さらに悪くなる。
c)これらの解決策はMitMを防がない。
【0269】
解決策19(及び/又は14)におけるこれらの制限を克服するために、システム情報メッセージの有効性をチェックする改善された有効性方法が提案され、この方法は、
二次局が、一次局又は一次局へつなげられたセキュリティエンティティによって送られた連続システム情報メッセージを受信し、
二次局は、検証のために、検証メッセージを、少なくとも受信したシステム情報メッセージ(又はそれぞれの内容の一部)に基づいて生成することを有し、
ここで、システムフレーム番号が検証メッセージ生成に含まれない、システムフレーム番号の一部のみが検証メッセージ生成に含まれる、又はシステムフレーム番号は検証メッセージとともに送られるという代替案のうちの少なくとも1つが満たされる。SFNの一部は、SFNの最上位ビットのうちのいくつかである。例えば、SFNの6つのMSBであり得る。さらなる代替案は、以下のこれらの変形例の詳細な説明に列挙される。
二次局が、一次局又は一次局へつなげられたセキュリティエンティティによって送られた連続システム情報メッセージを受信し、
二次局は、検証のために、検証メッセージを、少なくとも受信したシステム情報メッセージ(又はそれぞれの内容の一部)に基づいて生成することを有し、
ここで、システムフレーム番号が検証メッセージ生成に含まれない、システムフレーム番号の一部のみが検証メッセージ生成に含まれる、又はシステムフレーム番号は検証メッセージとともに送られるという代替案のうちの少なくとも1つが満たされる。SFNの一部は、SFNの最上位ビットのうちのいくつかである。例えば、SFNの6つのMSBであり得る。さらなる代替案は、以下のこれらの変形例の詳細な説明に列挙される。
【0270】
このように、より具体的には、図1で説明した通信の流れを次のように改善できる。
1)制限a)を扱う第1実施形態は、PBCHフィールドのハッシュが交換且つ検証されるように、図1に示された通信の流れを拡張することにある。これは、SSBインデックス、SSBサブキャリアのオフセットビット、又は半フレームビットを含む。なお、SFNの4つの最下位ビット(LSB)も含まれる場合がある。しかしながら、これは常に必要とされるわけではなく、例えば、MIBがフレーム番号0、4、8などで40ミリ秒ごとに送信される場合である。このような構成では、それらの4つのLSBは常に0000である。
2)制限a)を扱う第2実施形態は、SSBインデックスが受信されたSIB1においてアクティブであるかどうかをチェックすることにある。ここでは、SIB1が次を含むことを想起する(https://www.concepts-of-5g.com/2019/10/cell-synchronization.htmlを参照)。
ここで、ssb_PositionsinBurstはアクティブであるビームを示す。UEは、受信したSSB_indexが実際にこのフィールドにおいて設定されているかどうか、及び基地局によって提供されるSIB1のハッシュが、受信したSIB1に基づいてローカルで計算されたものと一致することをチェックできる。
3)制限b)を扱う第3実施形態は、gNB/UEが、ジョイニング手順においてUEによって使用されるSSB(SSB_UEと表記される)を追跡し、(i)メッセージ5の前にブロードキャストされた最後のMIB(SFN)及び(ii)SSB_UEを使用して計算されたMIB/PBCHのハッシュを送ることにある。UEは、最後に受信したMIB(及び最後に受信したSFN)、及びジョイニング手順で使用されたSSBを使用する。
4)制限b)を扱う第4実施形態は、複数のハッシュを、可能なMIB値につき1つ送り、UEがそれらのすべてをチェックすることにある。ハッシュは、UEでの検索をより効率的にするために、それらの計算に使用されるSFN/SSBインデックスの指定値へつながることができる。
5)制限c)を扱う第5実施形態は、MIB/SIBのハッシュが交換されるときに、MitM検出について、暗号CRC解決策(又はランダムスケジューリングなどの解決策)を使用することである。
1)制限a)を扱う第1実施形態は、PBCHフィールドのハッシュが交換且つ検証されるように、図1に示された通信の流れを拡張することにある。これは、SSBインデックス、SSBサブキャリアのオフセットビット、又は半フレームビットを含む。なお、SFNの4つの最下位ビット(LSB)も含まれる場合がある。しかしながら、これは常に必要とされるわけではなく、例えば、MIBがフレーム番号0、4、8などで40ミリ秒ごとに送信される場合である。このような構成では、それらの4つのLSBは常に0000である。
2)制限a)を扱う第2実施形態は、SSBインデックスが受信されたSIB1においてアクティブであるかどうかをチェックすることにある。ここでは、SIB1が次を含むことを想起する(https://www.concepts-of-5g.com/2019/10/cell-synchronization.htmlを参照)。
【数4】
3)制限b)を扱う第3実施形態は、gNB/UEが、ジョイニング手順においてUEによって使用されるSSB(SSB_UEと表記される)を追跡し、(i)メッセージ5の前にブロードキャストされた最後のMIB(SFN)及び(ii)SSB_UEを使用して計算されたMIB/PBCHのハッシュを送ることにある。UEは、最後に受信したMIB(及び最後に受信したSFN)、及びジョイニング手順で使用されたSSBを使用する。
4)制限b)を扱う第4実施形態は、複数のハッシュを、可能なMIB値につき1つ送り、UEがそれらのすべてをチェックすることにある。ハッシュは、UEでの検索をより効率的にするために、それらの計算に使用されるSFN/SSBインデックスの指定値へつながることができる。
5)制限c)を扱う第5実施形態は、MIB/SIBのハッシュが交換されるときに、MitM検出について、暗号CRC解決策(又はランダムスケジューリングなどの解決策)を使用することである。
【0271】
例えば、上記の実施形態1)及び2)を図17へ適用した場合は、結果として得られるプロトコルは、攻撃者が追加のSSBインデックスで偽ビームを設定し、それを介して実の基地局のSIB/MIB/PCIを転送するという、上記の制限a)で説明した攻撃をうまく打ち負かすことができる。これは、基地局が、(ハッシュ値を介して)通信に使用したビーム(SSBインデックス)に関してUEに報知するからである。攻撃者が異なるビームを使用した場合、SSBインデックスは異なり、ハッシュは一致しなくなる。さらに、このプロトコルは、メッセージ5を送る前に送られた最後のMIBのハッシュを送るしかないので、効率的である。これにより、通信及び計算のオーバーヘッドが低減される。
【0272】
また、TR33.809でのいくつかの解決策は、TS33.501付属書類Eの拡張の一部として、UEからの測定値報告を強化するために、MIB、SIB1及び他のSIBのハッシュを報告することを提案することに留意する。このような解決策の例は、TR33.809での解決策#4である。そこで言及されたアプローチは、TR33.809での解決策14及び19にも存在する2つの欠点を有する。第1の欠点は、解決策#4がMIB/SIB1に基づきハッシュを計算することを必要とする。ただし、MIBはSFNの6ビット(10ビット中)、6つのSFN最上位ビット(MSB)を含む。これは、64の異なる「有効な」ハッシュ値をもたらす。より良い代替案は、MIBのハッシュを計算する前に、MIBからこれらの6つのSFNビットを削除することにある。
【0273】
場合によっては、MIBのハッシュ、SIB1のハッシュ、SIB2のハッシュなどを報告することが望ましい。例えば、解決策#4は、複数のハッシュが交換されることを示す。MIBのハッシュが送られる場合、上記のように、6つのSFN MSBなしで行うべきである。しかしながら、これでもいくつかの課題を引き起こす。その理由は、MIBがわずか数十ビットであるのに対し、ハッシュ関数SHA-256の出力は256ビット長であるからである。このように、MIBのハッシュを送信することは効率的ではなく、代替実施形態では、SFNの有無にかかわらず、MIBの内容を直接交換することが好ましいので、受信当事者が内容を直接検証できる。これは、MIB及びSIB1のハッシュが別々に計算される場合、他の解決策、例えば、TR33.809での解決策14又は18にも適用可能である。
【0274】
SFNが含まれる場合、UEは、MIB/SIB1のハッシュと、MIBが測定された時間とを報告する可能性がある。なお、MIBは、SFNの6つのMSBを含むしかなく、各MIBは複数回ブロードキャストされるため、時間の不確実性をもたらす。時間精度を改善し、受信当事者がどのMIBをUEが受信したかを見分けられるようにするために、UEは、新しいMIBが受信された時間、すなわち、SFNの6つのMSBが前に受信したMIBでのSFNの6つのMSBと異なるMIBを報告するべきである。或いは、受信したMIBの時間の次に、SFNの4つのLSBを含めるべきである。ネットワークは、次に、実の基地局によって指定の時点で使用されたMIB/SIB1値を追跡するべきである。これは、SFNが10.24秒ごとに値を繰り返すため、実行可能である。このように、基地局が時間t0でSFN値に関してコアネットワークに報知し、任意でMIB/SIB1についての64の有効なハッシュ値を送信するか、コアネットワークが64のハッシュ値を計算して推測するための情報を提供する場合、コアネットワークは、どのSFN値が任意の時間tで基地局によって使用されるのか、そしてMIB/SIB1のどのハッシュ値を報告するべきかを知る。これをすることにより、ネットワークは、どのハッシュ値を検証に使用するべきかをより良く識別し、システム情報を再生することにより有効な基地局の同一性を偽装しているが、完全に同期されているわけではない攻撃者を検出できる。同様に、この記載で説明したように、5G基地局は、異なるそれぞれのロケーションを指す複数のビームを介してMIB/SIB1をブロードキャストできる。各ビームについてのSSBインデックスは、PBCHに含まれ、ビームを識別する。UEがMIB/SIB1のハッシュを報告するとき、UEは、測定された信号が最も高い受信電力を有する指向性ビームの識別子(例えば、SSBインデックス、又は方向を表す角度の指示)、言い換えると、UEがセルとの通信リンクにおいて使用した指向性ビームをハッシュの計算に含めてもよい。UEがそうする場合、次に、MIB/SIB1の受信ハッシュを含む基地局への報告において、UEは、MIB/SIBが測定されたとき、そのロケーション及び時間を含むことができる。基地局(そして、基地局がコアネットワークに報知すると、コアネットワーク)は、おそらく時間の関数として放射パターン(すなわち、ビームの方向)を知り、例えば、ビームが完全に静的であるわけではない場合、基地局は、時間tでビームが指定の方向に向けられたことを知る。この知識を用いて、基地局(及びコアネットワーク)は、UEが所与のロケーション及び時間に、どの指向性ビームをとらえるべきであったかを知る。次いで、コアネットワークは、所与の時間/ロケーションについてUEによって報告されたMIB/SIB1のハッシュが、UEが測定すべきであったものに適合するかどうかをチェックできる。コアネットワークは、時間窓wt及びロケーション窓wlを定義する方針を含む可能性があるため、コアネットワークが、時間t0及びロケーションl0で基地局がSFN_i及びビームインデックスBiを使用していたことを知る場合は、コアネットワークはMIB/SIB1のハッシュを(SFN_i-wt、...,SFN_i+wt)及び(B_i-wl,...,B_i+wl)について有効であると受け入れる可能性があることに留意する。
【0275】
解決策#4のコンテキストに記載されたタイミング及びロケーションに関するこの追加情報を解決策#14及び#19へ組み込み、リプレイ攻撃に対するこれらの解決策の耐性を高められることに留意されたい。特に、解決策#19では、gNBはUEにMIB/SIBのハッシュを供給する。gNBがそうすると、gNBは、UEに、例えば、安全なRRCメッセージを通じて、UEが所与の時間又はロケーションで受信するべきであったMIB/SIBのハッシュに関する情報を供給できる。例えば:
・gNBが、UEに、MIB/SIB1の64のハッシュ(MIBがSFNの6ビットを含むことを考慮したMIBの64の可能な値について)及び基準時間、例えば、これらの6ビットが0に設定されたMIB/SIB1についてのハッシュが初めてブロードキャストされた時間を供給する場合。UEは、受信されたMIB/SIB1が、安全なRRCメッセージにおいて受信されたものと同じ実の基地局のタイミングに従った/従うかどうかをチェックできる。このチェックは、偽基地局のタイミングが実際の基地局のタイミングと厳密に同期していない場合に、UEがリプレイ攻撃を識別することを助けることができる。これは、時間窓、例えば、1ミリ秒を有することによって行うことができる。UEは、タイミングがその時間窓の外側にある場合、基地局をFBSとして分類し得る。
・或いは、基地局は、ハッシュMIB/SIB1の計算に、PBCHのいくつかのフィールド、特に、SSBインデックス及び/又はSFNの最下位ビットを含むことができる。基地局は、UEがそのロケーションで使用/測定すべきであったPBCHからのこの情報を使用して計算されたMIB/SIB1のハッシュに関して、安全なRRCメッセージを通じてUEに報知できる。基地局は、MIB/SIB1のハッシュの次にこの情報を含むことができる。なお、これは、UEがそのロケーションをgNBへ、MitMがそれを修正できないように安全なやり方で報告することを必要とすることができる。或いは、これは、gNBが、MitMにより影響されることなく、信頼できるようにUEの位置を学習できることを必要としてもよい。これは図18に示される。
・或いは、基地局は、SFN又は任意のフィールドをPBCHに含むことなく、MIB/SIB1のハッシュを計算する。基地局は、次に、このハッシュと予想されるSFN及びPBCHフィールド、例えば、SSBインデックスとを安全なRRCメッセージで供給する。受信したとき、UEはすべての値が正しいことをチェックする必要がある。これは図19に示される。
・gNBが、UEに、MIB/SIB1の64のハッシュ(MIBがSFNの6ビットを含むことを考慮したMIBの64の可能な値について)及び基準時間、例えば、これらの6ビットが0に設定されたMIB/SIB1についてのハッシュが初めてブロードキャストされた時間を供給する場合。UEは、受信されたMIB/SIB1が、安全なRRCメッセージにおいて受信されたものと同じ実の基地局のタイミングに従った/従うかどうかをチェックできる。このチェックは、偽基地局のタイミングが実際の基地局のタイミングと厳密に同期していない場合に、UEがリプレイ攻撃を識別することを助けることができる。これは、時間窓、例えば、1ミリ秒を有することによって行うことができる。UEは、タイミングがその時間窓の外側にある場合、基地局をFBSとして分類し得る。
・或いは、基地局は、ハッシュMIB/SIB1の計算に、PBCHのいくつかのフィールド、特に、SSBインデックス及び/又はSFNの最下位ビットを含むことができる。基地局は、UEがそのロケーションで使用/測定すべきであったPBCHからのこの情報を使用して計算されたMIB/SIB1のハッシュに関して、安全なRRCメッセージを通じてUEに報知できる。基地局は、MIB/SIB1のハッシュの次にこの情報を含むことができる。なお、これは、UEがそのロケーションをgNBへ、MitMがそれを修正できないように安全なやり方で報告することを必要とすることができる。或いは、これは、gNBが、MitMにより影響されることなく、信頼できるようにUEの位置を学習できることを必要としてもよい。これは図18に示される。
・或いは、基地局は、SFN又は任意のフィールドをPBCHに含むことなく、MIB/SIB1のハッシュを計算する。基地局は、次に、このハッシュと予想されるSFN及びPBCHフィールド、例えば、SSBインデックスとを安全なRRCメッセージで供給する。受信したとき、UEはすべての値が正しいことをチェックする必要がある。これは図19に示される。
【0276】
解決策#14は解決策#19のようであるが、この場合、UEはMIB/SIB1のハッシュをgNBへ報告する。#19についての上記の説明に続いて、UEはgNBへ安全なやり方で報告できる。
・MIBが得られ、セルにジョインする要求をトリガした時間を含むMIB/SIB1のハッシュ。次いで、gNBは、UEにより受信されたMIB/SIB1が、解決策#19について上記で行ったようにタイミングスケジュールに適合するかどうかをチェックできる。これは、UEにより測定されたSFN時間がgNBのものと同じであることを検証することによってチェックできる。なお、これは、gNB及びUEが同期していると想定して、絶対時間基準、例えば、UTC時間によって行うことができる。この目的のために、UEとgNBとの両方が、MIBが、UEが最初のメッセージを送ってセルにジョインする前に、受信/送信されたUTC時間を追跡する。これらの2つの時間t_rx及びt_txを与えられて、(gNBにより測定された)MIB/SIB1の送信時間t_txから(UEにより測定された)受信時間t_rxを減算し、それが、しきい値、例えば、TH1=1ミリ秒より大きいかどうかを検証することが可能である。t_rx-t_tx>TH1の場合は、MitMが存在する恐れがある。これは図20に示される。
・MIBが得られ、セルにジョインする要求をトリガした時間を含むMIB/SIB1のハッシュ。次いで、gNBは、UEにより受信されたMIB/SIB1が、解決策#19について上記で行ったようにタイミングスケジュールに適合するかどうかをチェックできる。これは、UEにより測定されたSFN時間がgNBのものと同じであることを検証することによってチェックできる。なお、これは、gNB及びUEが同期していると想定して、絶対時間基準、例えば、UTC時間によって行うことができる。この目的のために、UEとgNBとの両方が、MIBが、UEが最初のメッセージを送ってセルにジョインする前に、受信/送信されたUTC時間を追跡する。これらの2つの時間t_rx及びt_txを与えられて、(gNBにより測定された)MIB/SIB1の送信時間t_txから(UEにより測定された)受信時間t_rxを減算し、それが、しきい値、例えば、TH1=1ミリ秒より大きいかどうかを検証することが可能である。t_rx-t_tx>TH1の場合は、MitMが存在する恐れがある。これは図20に示される。
【0277】
なお、gNBは多くのUEから情報を受信するので、基地局は複数のUEからタイミング情報を使用してMIB/SIB1が予想よりも遅れて受信されるかどうかをより高い精度でより良く判定できる。gNBは、(UEによって測定且つ伝送された)MIB/SIBの受信時間から(gNBによって測定された)MIB/SIB1の送信時間を減算し、それらの値を平均することによってこれを行うことができる。平均化演算は、ノイズが好適な特徴、例えば、均一に分布し、平均が0である場合、ノイズを除去する。このノイズは、完全に同期しているわけではない、例えば、UEクロックが原因である恐れがある。この平均値が所与のしきい値、例えば、TH2=0.5ミリ秒を超えている場合、基地局はMitMの存在に関する警報をトリガできる。TH1及びTH2の値は構成可能である。一般に、TH2はTH1よりも小さくするべきであることに留意する。なお、基地局のクロックが同期していない場合、これにより、MITM警報をトリガする可能性がある一定の誤差が生じる。このように、MITMが検出された場合、基地局は、時間が、これらの誤差の源を回避するために同期されているかどうかをチェックしてから、最終的なMITM検出を決めるべきである。
【0278】
・選択されたビームのPBCHに存在するSSBインデックス、すなわち、受信電力が最も高いビームを含めて計算されたMIB/SIB1のハッシュ。次いで、gNBは、SSBインデックスが、UEがセルにジョインしたときに使用されたのと同じビームに対応するかどうかをチェックできる。これは図21に示される。
・或いは、SSBインデックスを含み、UEがそのMIB/SIB1を測定したときのUEのロケーションを含めて計算されたMIB/SIB1のハッシュ。次いで、gNBは、SSBインデックス/MIB/SIB1の受信したハッシュが、UEがその指定のロケーションで測定すべきであったMIB/SIB1に対応し、基地局の放射パターンに対応するかどうかをチェックできる。例えば、UEのロケーションを知ると、基地局は、UEが最も強力なものとして測定すべきであったSSBインデックスを知ることができ、次に、このSSBインデックスを使用して、受信したハッシュを比較できる。これは図22に示される。gNBは複数のUE報告を受信するため、gNBは、測定値がそれ自体の予想される放射パターンと一致しているかどうかだけではなく、それらの測定値が互いに一致しているかどうかをチェックする。基地局は、物理モデルから、又は初期のネットワーク計画且つ展開時に行われた測定から、予想される放射パターンを得られることに留意する。放射パターンは、新しい建物、植生(樹木)などの建設によって影響される可能性があるため、基地局は、時間窓内、例えば、過去2週間以内にUEによって報告された測定値に基づいて、その予想される放射パターンを更新できる。時間tでの放射パターンRP(t)は、時間t-1での放射パターンRP(t-1)と、時間tで受信した平均測定値AM(t)との関数として計算できる。例えば、RPはRP(t)=a*RP(t-1)+(1-a)M(t)、ここでaはメモリ因子である、として更新できる。a=0の場合は、システムにはメモリがなく、RPは前の値に依存しない。a=1の場合は、放射パターンは変化しない。放射パターンは、他の因子、例えば、雨により影響される可能性があることに留意する。基地局は、異なる環境状況について、上記のように複数の放射パターンを有することができる。
・或いは、SSBインデックスを含み、UEがそのMIB/SIB1を測定したときのUEのロケーションを含めて計算されたMIB/SIB1のハッシュ。次いで、gNBは、SSBインデックス/MIB/SIB1の受信したハッシュが、UEがその指定のロケーションで測定すべきであったMIB/SIB1に対応し、基地局の放射パターンに対応するかどうかをチェックできる。例えば、UEのロケーションを知ると、基地局は、UEが最も強力なものとして測定すべきであったSSBインデックスを知ることができ、次に、このSSBインデックスを使用して、受信したハッシュを比較できる。これは図22に示される。gNBは複数のUE報告を受信するため、gNBは、測定値がそれ自体の予想される放射パターンと一致しているかどうかだけではなく、それらの測定値が互いに一致しているかどうかをチェックする。基地局は、物理モデルから、又は初期のネットワーク計画且つ展開時に行われた測定から、予想される放射パターンを得られることに留意する。放射パターンは、新しい建物、植生(樹木)などの建設によって影響される可能性があるため、基地局は、時間窓内、例えば、過去2週間以内にUEによって報告された測定値に基づいて、その予想される放射パターンを更新できる。時間tでの放射パターンRP(t)は、時間t-1での放射パターンRP(t-1)と、時間tで受信した平均測定値AM(t)との関数として計算できる。例えば、RPはRP(t)=a*RP(t-1)+(1-a)M(t)、ここでaはメモリ因子である、として更新できる。a=0の場合は、システムにはメモリがなく、RPは前の値に依存しない。a=1の場合は、放射パターンは変化しない。放射パターンは、他の因子、例えば、雨により影響される可能性があることに留意する。基地局は、異なる環境状況について、上記のように複数の放射パターンを有することができる。
【0279】
図18から図22のコンテキストに説明される上記の実施形態により、gNBは、接続するUEにより使用されるSSBを検証する。このようにして、gNB又はネットワークは、どのFBS/MitM攻撃者も、UEを引き付けるために、そのシステム情報とともに偽ビームを使用していないことをチェックできる。この偽ビーム攻撃は、図23のコンテキストでは「ステルスMitM」攻撃者と表記された。攻撃者が攻撃を開始しようとして、UEが最も強力/好ましいものとして認めるビームを安全なやり方で報告するしかない場合は、gNB/ネットワークは、次によって攻撃者の存在を検出できる。
1)gNBのビームのそれぞれを通して接続するUE(絶対又は相対)の数を追跡し、
2)ビームあたりのUEのこの分布の変化を正常な状況と比較して監視する。
正常な状況、すなわち、単位時間当たりにジョインするUEの予想数(絶対数又は相対数)を追跡するとき、gNB/ネットワークは、最後の時間単位(「current_n」と表記される)でジョインするUEと前の履歴n値との両方に応じて、「historical_n(t)」と表記される、時間tでの、この正常/期待値を更新する可能性がある。例えば、historical_n(t)=(1-a)current_n+a*historical_n(t-1)、ここでaは0から1の間である。これは1ビーム当たりで行うことができる。gNBは、少なくともビームを介して最後の時間単位にジョインしたUEが、所与のしきい値(絶対的又は相対的)を超えて期待値と異なる場合に、警報をトリガできる。
1)gNBのビームのそれぞれを通して接続するUE(絶対又は相対)の数を追跡し、
2)ビームあたりのUEのこの分布の変化を正常な状況と比較して監視する。
正常な状況、すなわち、単位時間当たりにジョインするUEの予想数(絶対数又は相対数)を追跡するとき、gNB/ネットワークは、最後の時間単位(「current_n」と表記される)でジョインするUEと前の履歴n値との両方に応じて、「historical_n(t)」と表記される、時間tでの、この正常/期待値を更新する可能性がある。例えば、historical_n(t)=(1-a)current_n+a*historical_n(t-1)、ここでaは0から1の間である。これは1ビーム当たりで行うことができる。gNBは、少なくともビームを介して最後の時間単位にジョインしたUEが、所与のしきい値(絶対的又は相対的)を超えて期待値と異なる場合に、警報をトリガできる。
【0280】
例えば、図23に示されるように、4つのビームを持つgNBを想定する。UEが、既知の(例えば、過去のデータに基づく)様式で、例えば、各ビームを介してUEの1/4まで、4つのビームを介してgNBへ接続すると想定する。例えば、これは、時間単位、例えば、1分、5分、1時間でビームを介してジョインするUEの数を指す可能性がある。なお、これは、時刻、曜日、特別なイベント(例えば、コンサート又は祝日)によって異なる場合がある。所与の時点で、ステルスMitM攻撃者は、ステルスMitM攻撃者のFUE部分がgNBのSSB3ビームを介してgNBへ接続することを示す図におけるように、SSB3で偽ビームを置くと想定する。これが起こると、gNBが接続するために使用されたSSBをチェックする場合、gNBは、UEの1/4がSSB2を介してジョインし、UEの1/4がSSB4を介してジョインし、UEの1/2までがSSB3を介してジョインすることに注意する。この分布が予想される分布から逸脱しているため、gNB/ネットワークは警報をトリガする。なお、図23のシナリオでは、攻撃者は、そうでなければSSBチェックが失敗するため、SSB3を介してジョインしなければならない。これは、偽ビームの存在を指し示す。
【0281】
図23において攻撃シナリオを参照すると、ステルスMitM攻撃者は、(i)信号が弱いため容易であり、(ii)FBS/MitMに向かってUEをより効果的に引き付け、(iii)gNBによって気付かれる可能性が低いため、所与の領域で最も弱いビームを暗くする可能性がある。攻撃者が図23に示すようにビームSSB3を暗くする場合は、UEは偽ビームSSB3へ接続されたRACHの機会を使用する。RACHの機会は、例えば、Tdoc R1-1611905に記載されている、又はhttps://arxiv.org/pdf/1804.01908.pdfで入手可能であるM.Giordaniらによる「ミリ波周波数での3GPP(登録商標) NR用のビーム管理に関するチュートリアル」に記載されているようにUEがランダムなアクセスを行うために使用できる時間及び周波数リソースを指す。UEは、SSB3でビームへ接続された時間/周波数スロットに、そのRACHプリアンブルのメッセージを送る。gNBは、すべてのビームに関連したRACHプリアンブルのスロットを監視するが、gNBのビームSSB3がその領域に到達していないため、gNBは、UEのRACHプリアンブルのメッセージを見逃す可能性がある。
【0282】
図23のシナリオでは、特に、接続するために使用されたSSBが検証される場合は、攻撃者は、ある領域で最も強いビームを暗くすることにより、図23におけるSSB攻撃を適用しようとする可能性があることに留意する。図23の場合、これはビームSSB1に相当する。これが起こると、gNB/ネットワーク及びUEは、SSBインデックスをチェックすることによって攻撃を検出できない。しかしながら、gNB/ネットワーク/UEは特定の態様を監視して攻撃を検出できる。
o 攻撃者がビームSSB1を暗くする場合は、攻撃者は、より強い信号を暗くしなければならない。これは実行不可能ではないが、gNB/ネットワーク/UEが期待値と比べて高すぎる信号強度で受信したSSBビームを監視するとき、より多くの警報がトリガされる可能性がある。
o 攻撃者がSSB1をうまく、すなわち、その高い送信電力のために検出されることもなく、暗くしたと想定すると、UEはSSB1へ接続されたRACHの機会も使用しなければならない。しかしながら、これは攻撃者にとって最善の選択肢ではない可能性がある。その理由は、実のgNBがビームSSB1へ関連付けられたRACH時間/周波数の機会を監視しているので、gNBがUEのRACHプリアンブルメッセージを受信する可能性がある。これが起こると、実のgNBは、ランダムアクセス応答をUEへも送ることができる。このように、UEは、複数の、例えば2つのランダムアクセス応答を受信するかどうかを監視できる。これが起こると、UEも何かが間違っていることに気付くことになる。
o 同様に、実のgNBがUEのPRACHメッセージを受信しなかったと想定すると、実のgNBもFBS/MitMからのランダムアクセス応答をそれ自体で検出できる可能性がある。実のgNBによる予測されないランダムアクセス応答の検出も警報をトリガする。
o 攻撃者がビームSSB1を暗くする場合は、攻撃者は、より強い信号を暗くしなければならない。これは実行不可能ではないが、gNB/ネットワーク/UEが期待値と比べて高すぎる信号強度で受信したSSBビームを監視するとき、より多くの警報がトリガされる可能性がある。
o 攻撃者がSSB1をうまく、すなわち、その高い送信電力のために検出されることもなく、暗くしたと想定すると、UEはSSB1へ接続されたRACHの機会も使用しなければならない。しかしながら、これは攻撃者にとって最善の選択肢ではない可能性がある。その理由は、実のgNBがビームSSB1へ関連付けられたRACH時間/周波数の機会を監視しているので、gNBがUEのRACHプリアンブルメッセージを受信する可能性がある。これが起こると、実のgNBは、ランダムアクセス応答をUEへも送ることができる。このように、UEは、複数の、例えば2つのランダムアクセス応答を受信するかどうかを監視できる。これが起こると、UEも何かが間違っていることに気付くことになる。
o 同様に、実のgNBがUEのPRACHメッセージを受信しなかったと想定すると、実のgNBもFBS/MitMからのランダムアクセス応答をそれ自体で検出できる可能性がある。実のgNBによる予測されないランダムアクセス応答の検出も警報をトリガする。
【0283】
上記は、データが交換される場合、UE又はgNB/ネットワークで監視され得る。例えば、UEは、gNB/ネットワークへ、受信したランダムアクセス応答の量を送ってもよい。
【0284】
図23で説明した攻撃を実行する攻撃者は、所与の領域に焦点を合わせる恐れがある。その理由は、攻撃者が、その偽ビームSSBを、暗くしたいgNBのSSB信号と同期しなければならないからである。攻撃の領域が広すぎると、偽ビームSSBは、攻撃下の領域のいくつかの部分によって、実際のgNB SSBビームと完全には同期されない。これが起こると、いくつかのUEは偽ビームSSBを完全に復号できない、又は元のSSBフレームの一部の存在を検出できる可能性がある。これがUEに起こると、UEはそのようなSSBを拒否する可能性がある。UEはまた、この情報がFBS/MitMの存在を決定するために使用されるように、この情報をgNB又はネットワークへ報告し得る。これは、例えば、ネットワークがSSBを正しく復号できない及び/又は元のSSBフレームの一部の存在を検出する複数のUEから複数の測定値を受信する場合に、行うことができる。
【0285】
前の実施形態は、gNBへ接続されたUEのコンテキストで説明され、UEが偽基地局へ接続することを防ぐことを目的とする。3GPP(登録商標)近接サービスなどのワイヤレス標準での同様のシナリオは、UEが中継として作動することを要する。この場合、遠隔UEは、中継UEを介してgNBへ接続できる。いくつかの実施形態は、遠隔UEが、遠隔UEと実際の中継UEとの間に置かれた偽中継UE又はMitMデバイスへ接続することを防ぐために適用可能である。
【0286】
このように、前の実施形態で見られたように、偽の基地局又は中間者に基づく攻撃の可能性を低減するためのシステム全体が提案される。このシステムの構成要素は、二次局、署名生成器、及び述べられた実施形態のうちの1つ又は複数を実施する一次局を含む。本装置は、コンピュータプログラムのプログラムコード手段によって及び/又は関連デバイスの専用ハードウェアとしてそれぞれ実施される。コンピュータプログラムは、他のハードウェアと一緒に又は一部として供給される、光記憶媒体又はソリッドステート媒体などの好適な媒体上に格納及び/又は分配されるが、インターネット又は他の有線若しくはワイヤレス電気通信システムを介してなどの他の形態で分配してもよい。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】