特表2022-513134サイズ制限がある認証プロトコルにおける安全なアタッチメントの確保
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-02-07
(54)【発明の名称】サイズ制限がある認証プロトコルにおける安全なアタッチメントの確保
(51)【国際特許分類】
H04L 9/08 20060101AFI20220131BHJP
G06F 7/58 20060101ALI20220131BHJP
H04W 12/041 20210101ALI20220131BHJP
H04W 12/72 20210101ALI20220131BHJP
H04W 12/30 20210101ALN20220131BHJP
【FI】
H04L9/08 B
G06F7/58 620
H04W12/041
H04W12/72
H04L9/08 E
H04W12/30
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2021529453
(86)(22)【出願日】2019-11-21
(85)【翻訳文提出日】2021-05-25
(86)【国際出願番号】 EP2019082139
(87)【国際公開番号】W WO2020079287
(87)【国際公開日】2020-04-23
(31)【優先権主張番号】18306602.6
(32)【優先日】2018-12-03
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
(71)【出願人】
【識別番号】519283417
【氏名又は名称】タレス ディアイエス フランス エスアー
(74)【代理人】
【識別番号】100086368
【弁理士】
【氏名又は名称】萩原 誠
(72)【発明者】
【氏名】マルク ランベルトン
(72)【発明者】
【氏名】エリク ブルターニュ
(72)【発明者】
【氏名】アリーヌ グーゲット
(72)【発明者】
【氏名】シルヴァン モランディ
(72)【発明者】
【氏名】アルノー シュワルツ
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA33
5K067DD17
5K067HH36
(57)【要約】
モバイルデバイス(MD)の一群のクレデンシャルコンテナ(CC)に格納されている同じエフェメラルIMSI範囲(RG1(IMSI))と、サーバ(SV)と、同じエフェメラルIMSI範囲(RG1(IMSI))を有するモバイルデバイス(MD)の一群のクレデンシャルコンテナ(CC)とにより共有された関連グループマスタ鍵(MK11)とを使用して、さらに保護されたセッションを開始する初期設定段階を含み、第1のメッセージ(ATTR(rIMSI)_1)中の限られたペイロードを使用してIMSI範囲(RG1(IMSI))からランダムに選ばれたrIMSIを送信し、次に同様にモバイルデバイス(MD)からサーバ(SV)へのメッセージ(AUTF(rIMSI,AUTS)_3)中の限られたペイロードを使用して送信されたクレデンシャルコンテナの識別子(CCId)と、サーバ(SV)が保有する個別化マスタ鍵(MK12)とを用いてサーバ(SV)により取得された個別鍵(SK12c,SK12i)を使用する。
【選択図】 図1
【選択図】 図1
【特許請求の範囲】
【請求項1】
伝統的な暗号化の使用を防ぐデータサイズ符号化制限があるプロトコルの使用中に、クレデンシャルコンテナ(CC)を有するモバイルデバイス(MD)をサーバ(SV)に安全にアタッチする方法であって、前記制限が、少なくとも-特に前記モバイルデバイス(MD)から前記サーバ(SV)方向の各交換におけるデータペイロードの数に関する制限、
-前記サーバ(SV)から前記モバイルデバイス(MD)方向及び前記モバイルデバイス(MD)から前記サーバ(SV)方向におけるデータペイロードのサイズの非対称性に関する制限、及び
-前記データペイロード中の一部のデータを暗号化できないことに関する制限、を含み、
前記方法が、モバイルデバイス(MD)の一群のクレデンシャルコンテナ(CC)に格納されている同じエフェメラルIMSI範囲(RG1(IMSI))と、前記サーバ(SV)と前記同じエフェメラルIMSI範囲(RG1(IMSI))を有する前記モバイルデバイス(MD)の前記一群のクレデンシャルコンテナ(CC)とにより共有された関連グループマスタ鍵(MK11)とを使用して、さらにサーバランダム値(Rnd)を使用する保護されたセッションを開始する初期設定段階を含み、前記初期設定段階が、前記モバイルデバイス(MD)から前記サーバ(SV)への第1のメッセージ(ATTR(rIMSI)_1)中の限られたペイロードを使用して、前記サーバ(SV)が保護された通信段階を開始するための鍵を生成できるようにするために前記IMSI範囲(RG1(IMSI))からランダムに選ばれたrIMSIを送信し、次に、前記モバイルデバイス(MD)の前記クレデンシャルコンテナ(CC)に格納され、同様に前記モバイルデバイス(MD)から前記サーバ(SV)へのメッセージ(AUTF(rIMSI,AUTS)_3)中の限られたペイロードを使用して送信された前記クレデンシャルコンテナの識別子(CCId)と、前記サーバ(SV)が保有する個別化マスタ鍵(MK12)とを用いて前記サーバ(SV)により取得された個別鍵(SK12c,SK12i)を使用する、ことを特徴とする方法。
【請求項2】
前記サーバ(SV)による前記個別鍵(SK12c,SK12i)の取得が、同様に前記初期設定段階中に前記モバイルデバイス(MD)から前記サーバ(SV)への前記メッセージ(ATTR(rIMSI)_1)中の限られたペイロードで送信された前記モバイルデバイス(MD)の識別子を用いて行われる、請求項1に記載の方法。
【請求項3】
前記モバイルデバイス側で、-前記エフェメラルIMSI範囲(RG1(IMSI))を前記クレデンシャルコンテナ(CC)において受信及び格納するステップと、
-前記クレデンシャルコンテナ(CC)及び前記サーバ(SV)により共有され、前記同じエフェメラルIMSI範囲(RG1(IMSI))を有するクレデンシャルコンテナ(CC)毎に同じ前記グループマスタ鍵(MK11)と、前記モバイルデバイス(MD)の前記クレデンシャルコンテナ(CC)の識別子及び前記サーバ(SV)が保有する個別化マスタ鍵(MK12)を使用して導出された、個別暗号鍵(SKc)及び個別完全性鍵(SKi)と呼ばれる前記2つの個別鍵(SK12c,SK12i)とを、前記クレデンシャルコンテナ(CC)において受信及び格納するステップと、
を含むプロビジョニング段階を含む、請求項1に記載の方法。
【請求項4】
前記初期設定段階が、アタッチメントが必要な場合に、前記モバイルデバイス(MD)側で、-あらかじめ格納されている前記エフェメラルIMSI範囲(RG1(IMSI))からランダムに取り出されたIMSI値(rIMSI)を運ぶ少なくともアタッチメント要求を前記サーバ(SV)に、前記プロトコルに従う第1のメッセージ(ATTR(rIMSI)_1)で送信するステップと、
-前記ランダムに選ばれたIMSI値(rIMSI)及びサーバランダム値(Rnd)を使用して固有のセッションの確立を可能にするパラメータを含む、前記サーバ(SV)からの認証要求を、前記グループマスタ鍵(MK11)及び受信した前記ランダムに選ばれたIMSI値(rIMSI)を使用して前記サーバ(SV)側で取得した、導出された完全性鍵(SK11i)を使用して署名された前記プロトコルに従う第2のメッセージ(AUTR(RND,AUTN)_2)で受信するステップと、
-前記グループマスタ鍵(MK11)及び前記ランダムに選ばれたIMSI値(rIMSI)を使用して導出された暗号鍵(SK11c)を使用して暗号化されたクレデンシャルコンテナ識別子(CCId)を、前記グループマスタ鍵(MK11)及び前記ランダムに選ばれたIMSI値(rIMSI)を使用して前記クレデンシャルコンテナ(CC)で導出された完全性鍵(SK11i)を使用して署名された前記プロトコルに従う第3のメッセージ(AUTF(rIMSI,AUTS)_3)で送信するステップと、
-前記個別暗号鍵(SK12c)を使用して暗号化された一時的なサブスクリプションを有効にするためにパーソナライズされるコマンド及びパラメータを、前記個別完全性鍵(SK12i)を使用して署名された前記プロトコルに従う第4のメッセージで受信するステップと、
前記保護された通信段階における前記プロトコルの後続のメッセージが、前記個別暗号鍵(SK12c)で暗号化され、前記個別完全性鍵(SK12i)で署名されるステップと、を含む請求項3に記載の方法。
【請求項5】
クレデンシャルコンテナ(CC)を有し、伝統的な暗号化の使用を防ぐデータサイズ符号化制限があるプロトコルの使用中に、サーバ(SV)にアタッチされるように適合されたモバイルデバイス(MD)であって、前記制限が、少なくとも-特に前記モバイルデバイス(MD)から前記サーバ(SV)方向の各交換におけるデータペイロードの数に関する制限、
-前記サーバ(SV)から前記モバイルデバイス(MD)方向及び前記モバイルデバイス(MD)から前記サーバ(SV)方向におけるデータペイロードのサイズの非対称性に関する制限、及び
-前記データペイロード中の一部のデータを暗号化できないことに関する制限、を含み、
前記クレデンシャルコンテナが、
-一群のモバイルデバイス(MD)と共有されたエフェメラルIMSI範囲(RG1(IMSI))と、
-前記サーバ(SV)と、同じ前記エフェメラルIMSI範囲(RG1(IMSI))を有する前記一群のモバイルデバイス(MD)とに共有された関連グループマスタ鍵(MK11)と、
-2つの個別鍵、すなわち個別完全性鍵(SK12i)及び個別暗号鍵(SK12c)と、を格納し、
前記エフェメラルIMSI範囲(RG1(IMSI))及び前記関連グループマスタ鍵(MK11)を使用して、さらにサーバランダム値(Rnd)を使用しつつ、前記サーバ(SV)との保護されたセッションを開始し、前記初期設定段階が、前記モバイルデバイス(MD)から前記サーバ(SV)への第1のメッセージ(ATTR(rIMSI)_1)中の限られたペイロードを使用して、前記サーバ(SV)が保護された通信段階を開始するための鍵を生成できるようにするために前記IMSI範囲(RG1(IMSI))からランダムに選ばれたIMSI値(rIMSI)を送信し、
前記サーバ(SV)が、前記モバイルデバイス(MD)から前記サーバ(SV)へのメッセージ(AUTF(rIMSI,AUTS)_3)中の限られたペイロードを使用して送信された前記モバイルデバイス(MD)の前記クレデンシャルコンテナ(CC)の識別子(CCId)と、前記サーバ(SV)が保有する個別化マスタ鍵(MK12)とを使用して前記個別鍵(SK12i,SK12c)を取得する、前記保護された通信段階の間に前記2つの個別鍵(SK12i,SK12c)が機能を果たす、ことを特徴とするモバイルデバイス(MD)。
【請求項6】
前記モバイルデバイス(MD)が、-あらかじめ格納されている前記エフェメラルIMSI範囲(RG1(IMSI))からランダムに取り出されたIMSI値(rIMSI)を運ぶ少なくともアタッチメント要求を前記サーバ(SV)に、前記プロトコルに従う第1のメッセージ(ATTR(rIMSI)_1)で送信するステップと、
-前記ランダムに選ばれたIMSI値(rIMSI)及びサーバランダム値(RND)を使用して固有のセッションの確立を可能にするパラメータを含む、前記サーバ(SV)からの認証要求を、前記グループマスタ鍵(MK11)及び受信した前記ランダムに選ばれたIMSI値(rIMSI)を使用して前記サーバ(SV)側で取得した、導出された完全性鍵(SK11i)を使用して署名された前記プロトコルに従う第2のメッセージ(AUTR(RND,AUTN)_2)で受信するステップと、
-前記グループマスタ鍵(MK11)及び前記ランダムに選ばれたIMSI値(rIMSI)を使用して導出された暗号鍵(SK11c)を使用して暗号化されたクレデンシャルコンテナ(CC)識別子(CCId)を、前記グループマスタ鍵(MK11)及び前記ランダムに選ばれたIMSI値(rIMSI)を使用して前記クレデンシャルコンテナ(CC)で導出された完全性鍵(SK11i)を使用して署名された前記プロトコルに従う第3のメッセージ(AUTF(rIMSI,AUTS)_3)で送信するステップと、
-前記個別暗号鍵(SK12c)を使用して暗号化された一時的なサブスクリプションを有効にするためにパーソナライズされるコマンド及びパラメータを、前記個別完全性鍵(SK12i)を使用して署名された前記プロトコルに従う第4のメッセージ(AUTR(RND,AUTN)_4)で受信するステップと、
-前記保護された通信段階における前記プロトコルの後続のメッセージが、前記個別暗号鍵(SK12c)で暗号化され、前記個別完全性鍵(SK12i)で署名されるステップと、を実行するように適合された、請求項5に記載のモバイルデバイス(MD)。
【請求項7】
伝統的な暗号化の使用を防ぐデータサイズ符号化制限があるプロトコルの使用中に、クレデンシャルコンテナ(CC)を有するモバイルデバイス(MD)をアタッチするように適合されたサーバ(SV)であって、前記制限が、少なくとも-特に前記モバイルデバイス(MD)から前記サーバ(SV)方向の各交換におけるデータペイロードの数に関する制限、
-前記サーバ(SV)から前記モバイルデバイス(MD)方向及び前記モバイルデバイス(MD)から前記サーバ(SV)方向におけるデータペイロードのサイズの非対称性に関する制限、及び
-前記データペイロード中の一部のデータを暗号化できないことに関する制限、を含み、
前記サーバが、少なくとも
-同じエフェメラルIMSI範囲(RGj(IMSI))を共有し、前記サーバ(SV)にアタッチされるように意図された所定数の前記モバイルデバイスのクレデンシャルコンテナ(CC)群に対する所定数のグループマスタ鍵(MK1j)であって、前記サーバ(SV)と、対応する群の全ての前記モバイルデバイスのクレデンシャルコンテナ(CC)とに共有されるグループマスタ鍵(MK1j)と、
-前記同じエフェメラルIMSI範囲(RGj(IMSI))を共有し、前記サーバ(SV)にアタッチされるように意図された所定数の前記モバイルデバイスのクレデンシャルコンテナ(CC)群に対する同じ所定数の個別化マスタ鍵(MK2j)であって、前記対応する群の個別化マスタ鍵(MK2j)と前記モバイルデバイスのクレデンシャルコンテナの識別子(CCId)とから導出された2つの個別鍵、すなわち完全性個別鍵(SK2ji)及び暗号個別鍵(SK2jc)で各モバイルデバイスのクレデンシャルコンテナ(CC)をパーソナライズするのに使用される個別化マスタ鍵(MK2j)と、を格納し、
グループ決定モジュールが、一群のモバイルデバイス(MD)により共有された1つのエフェメラルIMSI範囲からランダムに選ばれた受信したIMSI(rIMSI)を用いてグループ(j)を決定するように適合され、
導出モジュールが、第1のグループマスタ鍵(MK1j)、及び前記対応する群のモバイルデバイスのクレデンシャルコンテナ(CC)から受信したランダムに選ばれたIMSI(rIMSI)から完全性鍵及び暗号鍵(SK1ji,SK1jc)を計算し、第2のグループマスタ鍵(MK2j)及び前記モバイルデバイスのクレデンシャルコンテナの識別子(CCId)から個別完全性鍵及び個別暗号鍵(SK2ji,SK2jc)を計算するように適合され、
前記エフェメラルIMSI範囲(RG1(IMSI))及び前記関連グループマスタ鍵(MK1j)を使用して、さらにサーバランダム値(RND)を使用しつつ、前記モバイルデバイス(MD)から前記サーバ(SV)への第1のメッセージ(ATTR(rIMSI)_1)中の限られたペイロードを使用する初期設定段階において、前記モバイルデバイスのクレデンシャルコンテナ(CC)との保護されたセッションを開始して、前記サーバ(SV)が、前記2つの個別鍵(SK2ji,SK2jc)を使用して保護された通信段階を開始するための鍵を生成できるようにするために前記IMSI範囲(RGj(IMSI))からランダムに選ばれたIMSI(rIMSI)を送信する、ことを特徴とするサーバ(SV)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、伝統的な暗号化の使用を防ぐデータサイズ符号化制限があるプロトコルの使用中に、クレデンシャルコンテナを有するモバイルデバイスをサーバに安全にアタッチする方法であって、制限が、少なくとも
-特にモバイルデバイスからサーバ方向の各交換におけるデータペイロードの数に関する制限、
-サーバからモバイルデバイス方向及びモバイルデバイスからサーバ方向におけるデータペイロードのサイズの非対称性に関する制限、及び
-データペイロード中の一部のデータを暗号化できないことに関する制限、
を含む方法に関する。
-特にモバイルデバイスからサーバ方向の各交換におけるデータペイロードの数に関する制限、
-サーバからモバイルデバイス方向及びモバイルデバイスからサーバ方向におけるデータペイロードのサイズの非対称性に関する制限、及び
-データペイロード中の一部のデータを暗号化できないことに関する制限、
を含む方法に関する。
【0002】
本発明はまた、上記方法を実施するモバイルデバイス及びサーバに関する。
【0003】
本発明は、セルラアクセス、2G、3G、4G/LTE、NB‐IOT、及びおそらく関連通信接続サービスのための5G無線ネットワークを用いるコンシューマ・M2Mデバイスに関する。本発明は、クレデンシャルコンテナとしてUICC、eUICC(埋め込み)、iUICC(組み込み)又はsoftSimを使用するデバイスに関する。
【背景技術】
【0004】
モバイルデバイスとネットワークとの間で交換されるシグナリングメッセージは、必ずしも暗号化されているとは限らない。デバイスがアタッチ及び認証される前は、非アクセス層(NAS)プロトコルは暗号されておらず、アタッチメントの後であっても、シグナリングメッセージは、コアネットワーク(3Gの場合のMAP)又はEPSコア(4G/LTEの場合のDiameter)において平文のメッセージで運ばれる。ここで、一般的に5G通信ではこのような交換も暗号化されることに留意されたい。しかしながら、このような高速のアタッチメントプロトコルにはメッセージについての制限が依然として存在するであろう。シグナリングメッセージがIMSI(国際移動体加入者識別番号)、OPC、MNO(移動体ネットワークオペレータ)情報又は任意のアプリケーションレベルデータなどの機密データを伝達するのに使用される場合、データ交換を保護する、特に機密データを暗号化する必要がある。OPCは一時的なMNOで認証を得るのに古くから使用されている。OPCは、次の文書、すなわちETSI TS 135 208 V6.0.0(2014-12)に定義される暗号化された秘密定数OPである。
【0005】
データ交換は、そのようなプロトコル、例えば特許出願EP18305159.8に開示されるEasy ConnectプロトコルにおけるMilenage認証メッセージにピギーバックされることがよくあるため、インターネット上で使用される伝統的な暗号化スキーマの使用を防ぐデータサイズ符号化制限が存在する。Easy Connectのような高速の認証プロトコルの特定の制限を考慮に入れると同時に良好なセキュリティレベルを提供する新しい暗号化スキーマを定義することが必要である。
【0006】
現在、UICC、eUICC及びiUICCとの通信に保護されたチャネルを提供するいくつかの方法が存在する。例えば、ETSI TS 102 225に定義されたメカニズム。しかし、Easy Connectのようなプロトコルのデータサイズ制限を満たすとともに、データプライバシー、完全性及び信頼性を含む良好なセキュリティレベルを提供できるメカニズムは存在しない。
【0007】
なお、Easy Connectダイアログは次の3つのデータペイロード交換である。
-サーバからモバイル:32バイトペイロード(このうちの一部のビット/バイトは暗号化できない)
-モバイルからサーバ:14バイトペイロード
-サーバからモバイル:32バイトペイロード。
-サーバからモバイル:32バイトペイロード(このうちの一部のビット/バイトは暗号化できない)
-モバイルからサーバ:14バイトペイロード
-サーバからモバイル:32バイトペイロード。
【0008】
現在、バイト数が少なく、交換メッセージ数が低減された保護されたセッションを提供する方法はない。
【0009】
したがって、本技術分野における別の代替的かつ有利な解決策が望まれる。
【発明の概要】
【発明が解決しようとする課題】
【0010】
本発明は、認証プロトコルの定義により限られた非対称のペイロードを有する認証メカニズムを保護することを可能にする解決策を提案することを目的とする。
【課題を解決するための手段】
【0011】
本発明は、最も広義には、モバイルデバイスの一群のクレデンシャルコンテナに格納されている同じエフェメラルIMSI範囲と、サーバと同じエフェメラルIMSI範囲を有するモバイルデバイスの一群のクレデンシャルコンテナとにより共有された関連グループマスタ鍵とを使用して、さらにサーバランダム値を使用する保護されたセッションを開始する初期設定段階を含む方法であって、初期設定段階が、モバイルデバイスからサーバへの第1のメッセージ中の限られたペイロードを使用して、サーバが保護された通信段階を開始するための鍵を生成できるようにするためにIMSI範囲からランダムに選ばれたIMSIを送信し、次に、モバイルデバイスのクレデンシャルコンテナに格納され、同様にモバイルデバイスからサーバへのメッセージ中の限られたペイロードを使用して送信されたクレデンシャルコンテナの識別子と、サーバが保有する個別化マスタ鍵とによってサーバにより取得された個別鍵を使用する方法と定義される。
【0012】
モバイルデバイスのクレデンシャルコンテナの識別子から導出された個別鍵と結合されたグループマスタ鍵と関連付けられた一群のモバイルデバイスのクレデンシャルコンテナによる共有されたIMSI範囲の独創的な使用は、サーバ及びモバイルデバイスのクレデンシャルコンテナの信頼性のセキュリティチェックを行うことを可能にする。CCの識別子は、例えば、CCがeUICCである場合はEIDであってよく、CCがUICCである場合はICCIDであってよい。
【0013】
本発明は、次のセキュリティ基準に達することを可能にする。
‐データプライバシー: モバイルUICC識別子のようなパーソナルデータは、第三者エンティティが平文で読み取ることができない。
‐完全性: 交換されたデータは第三者エンティティが修正することができない。
‐信頼性: 高速の認証ダイアログの両端はピアが認証されていることが保証される。
‐機密性: 機密データは、第三者エンティティによる傍受を避けるために暗号化される。
‐アンチリプレイ: サーバランダム値及びランダムIMSIの選択が、UICCがサーバを装うハッカーにより簡単に攻撃されるのを保護する機能を果たすため、以前のプロトコルフルシーケンスを再現することはできない。
‐データプライバシー: モバイルUICC識別子のようなパーソナルデータは、第三者エンティティが平文で読み取ることができない。
‐完全性: 交換されたデータは第三者エンティティが修正することができない。
‐信頼性: 高速の認証ダイアログの両端はピアが認証されていることが保証される。
‐機密性: 機密データは、第三者エンティティによる傍受を避けるために暗号化される。
‐アンチリプレイ: サーバランダム値及びランダムIMSIの選択が、UICCがサーバを装うハッカーにより簡単に攻撃されるのを保護する機能を果たすため、以前のプロトコルフルシーケンスを再現することはできない。
【0014】
この解決策は、認証が効果的であるために必要なパラメータだけが送信されるため、サーバからの暗号化データの量を減らし、ランダムに選ばれたIMSI及び暗号化された識別子だけをモバイルが送信すればよいため、モバイルにより送信されるデータを最大限に減らすことができる。
【0015】
この解決策は、3GPP/GSMA規格の修正を必要とせず、標準的なシグナリングメッセージにピギーバックされるデータペイロードのデータプライバシー、完全性、信頼性、及び機密性を確保することができる。
【0016】
この解決策は、グループ鍵を使用して保護されたセッションを開始した後、セッションクライアントが特定されるとすぐに個別鍵に切り替えて保護されたセッションを継続する。
【0017】
実際、本発明は、対称暗号を使用してモバイルUICC(又はeUICC又はiUICC)の暗号化リソースを節約し、ペイロードサイズに対する強い制限に対処するのに適している。対称暗号は、モバイル及びサーバが本発明で規定される2種類の秘密鍵を共有していることを要求する。
【0018】
付加的特徴によれば、サーバによる個別鍵の取得は、同様に初期設定段階の間にモバイルデバイスからサーバへのメッセージの限られたペイロードで送信されたモバイルデバイスの識別子を用いて行われる。
【0019】
このような取得によって、モバイルデバイス及びモバイルデバイスのクレデンシャルコンテナを二重チェックできる可能性がある。
【0020】
有利な実施形態によれば、本発明は、モバイルデバイス側で、
-エフェメラルIMSI範囲をクレデンシャルコンテナにおいて受信及び格納するステップと、
-クレデンシャルコンテナ及びサーバにより共有され、同じエフェメラルIMSI範囲を有するクレデンシャルコンテナ毎に同じグループマスタ鍵と、モバイルデバイスのクレデンシャルコンテナの識別子及びサーバが保有する個別化マスタ鍵を使用して導出された、個別暗号鍵及び個別完全性鍵と呼ばれる2つの個別鍵とを、クレデンシャルコンテナにおいて受信及び格納するステップと、
を含むプロビジョニング段階を含む。
-エフェメラルIMSI範囲をクレデンシャルコンテナにおいて受信及び格納するステップと、
-クレデンシャルコンテナ及びサーバにより共有され、同じエフェメラルIMSI範囲を有するクレデンシャルコンテナ毎に同じグループマスタ鍵と、モバイルデバイスのクレデンシャルコンテナの識別子及びサーバが保有する個別化マスタ鍵を使用して導出された、個別暗号鍵及び個別完全性鍵と呼ばれる2つの個別鍵とを、クレデンシャルコンテナにおいて受信及び格納するステップと、
を含むプロビジョニング段階を含む。
【0021】
このプロビジョニング段階は、典型的にはモバイルデバイスのクレデンシャルコンテナのパーソナライゼーション時に実行される。この段階は、モバイルデバイスのクレデンシャルコンテナに本発明を実施するのに必要な全てのデータを提供する。
【0022】
有利な実装形態によれば、初期設定段階は、アタッチメントが必要な場合に、モバイルデバイス側で、
-あらかじめ格納されているエフェメラルIMSI範囲からランダムに取り出されたIMSI値を運ぶ少なくともアタッチメント要求をサーバに、プロトコルに従う第1のメッセージで送信するステップと、
-ランダムに選ばれたIMSI値及びサーバランダム値を使用して固有のセッションの確立を可能にするパラメータを含む、サーバからの認証要求を、グループマスタ鍵及び受信したランダムに選ばれたIMSI値を使用してサーバ側で取得した、導出された完全性鍵を使用して署名されたプロトコルに従う第2のメッセージで受信するステップと、
-サーバランダム値と、ランダムに選ばれたIMSI値と、グループマスタ鍵及びランダムに選ばれたIMSI値を使用して導出された暗号鍵とを使用して暗号化されたモバイルクレデンシャルコンテナ識別子を、グループマスタ鍵及びランダムに選ばれたIMSI値を使用してクレデンシャルコンテナで導出された完全性鍵を使用して署名されたプロトコルに従う第3のメッセージで送信するステップと、
-個別暗号鍵を使用して暗号化された一時的なサブスクリプションを有効にするためにパーソナライズされるコマンド及びパラメータを、個別完全性鍵を使用して署名されたプロトコルに従う第4のメッセージで受信するステップと、
保護された通信段階におけるプロトコルの後続のメッセージが、個別暗号鍵で暗号化され、個別完全性鍵で署名されるステップと、を含む。
-あらかじめ格納されているエフェメラルIMSI範囲からランダムに取り出されたIMSI値を運ぶ少なくともアタッチメント要求をサーバに、プロトコルに従う第1のメッセージで送信するステップと、
-ランダムに選ばれたIMSI値及びサーバランダム値を使用して固有のセッションの確立を可能にするパラメータを含む、サーバからの認証要求を、グループマスタ鍵及び受信したランダムに選ばれたIMSI値を使用してサーバ側で取得した、導出された完全性鍵を使用して署名されたプロトコルに従う第2のメッセージで受信するステップと、
-サーバランダム値と、ランダムに選ばれたIMSI値と、グループマスタ鍵及びランダムに選ばれたIMSI値を使用して導出された暗号鍵とを使用して暗号化されたモバイルクレデンシャルコンテナ識別子を、グループマスタ鍵及びランダムに選ばれたIMSI値を使用してクレデンシャルコンテナで導出された完全性鍵を使用して署名されたプロトコルに従う第3のメッセージで送信するステップと、
-個別暗号鍵を使用して暗号化された一時的なサブスクリプションを有効にするためにパーソナライズされるコマンド及びパラメータを、個別完全性鍵を使用して署名されたプロトコルに従う第4のメッセージで受信するステップと、
保護された通信段階におけるプロトコルの後続のメッセージが、個別暗号鍵で暗号化され、個別完全性鍵で署名されるステップと、を含む。
【0023】
典型的には、モバイルクレデンシャルコンテナ識別子を暗号化するのにAES CTRが使用される。AES CTRは、ランダムに選ばれたIMSI rIMSIのMSIN部分及びサーバランダムRNDをノンスとして使用してデータを暗号化する。AES‐CTRの適用については、同じ鍵及び同じノンスが使用され、AES‐CTRの定義によって、カウンタCTRが増分される。実際、同じ暗号化動作は、カウンタが増分されることのみで行われ、結果はメッセージとのXORが取られる。
【0024】
それらのステップは、認証要求メッセージ、認証失敗メッセージのフォーマットの下で、プロトコル自体で容易に実行することができる。第1のステップは、本発明がモバイルデバイスをサーバにアタッチさせる必要があるような状況を目指すときのモバイルデバイス自体からのアタッチメント要求である。
【0025】
本発明はまた、クレデンシャルコンテナを有し、伝統的な暗号化の使用を防ぐデータサイズ符号化制限があるプロトコルの使用中に、サーバにアタッチされるように適合されたモバイルデバイスであって、制限が、少なくとも
‐特にモバイルデバイスからサーバ方向の各交換におけるデータペイロードの数に関する制限、
‐サーバからモバイルデバイス方向及びモバイルデバイスからサーバ方向におけるデータペイロードのサイズの非対称性に関する制限、及び
‐データペイロード中の一部のデータを暗号化できないことに関する制限、を含み、
上記クレデンシャルコンテナが、
‐一群のモバイルデバイスと共有されたエフェメラルIMSI範囲と、
‐サーバと、同じエフェメラルIMSI範囲を有する一群のモバイルデバイスとに共有された関連グループマスタ鍵と、
‐2つの個別鍵、すなわち個別完全性鍵及び個別暗号鍵と、を格納し、
エフェメラルIMSI範囲及び関連グループマスタ鍵を使用して、サーバとの保護されたセッションを開始し、上記初期設定段階が、モバイルデバイスからサーバへの第1のメッセージ中の限られたペイロードを使用して、サーバが保護された通信段階を開始するための鍵を生成できるようにするためにIMSI範囲からランダムに選ばれたIMSIを送信し、
サーバが、モバイルデバイスからサーバへのメッセージ中の限られたペイロードを使用して送信されたモバイルデバイスのクレデンシャルコンテナの識別子と、サーバが保有する個別化マスタ鍵とを使用して個別鍵を取得する、保護された通信段階の間に2つの個別鍵が機能を果たす、ことを特徴とするモバイルデバイスに関する。
‐特にモバイルデバイスからサーバ方向の各交換におけるデータペイロードの数に関する制限、
‐サーバからモバイルデバイス方向及びモバイルデバイスからサーバ方向におけるデータペイロードのサイズの非対称性に関する制限、及び
‐データペイロード中の一部のデータを暗号化できないことに関する制限、を含み、
上記クレデンシャルコンテナが、
‐一群のモバイルデバイスと共有されたエフェメラルIMSI範囲と、
‐サーバと、同じエフェメラルIMSI範囲を有する一群のモバイルデバイスとに共有された関連グループマスタ鍵と、
‐2つの個別鍵、すなわち個別完全性鍵及び個別暗号鍵と、を格納し、
エフェメラルIMSI範囲及び関連グループマスタ鍵を使用して、サーバとの保護されたセッションを開始し、上記初期設定段階が、モバイルデバイスからサーバへの第1のメッセージ中の限られたペイロードを使用して、サーバが保護された通信段階を開始するための鍵を生成できるようにするためにIMSI範囲からランダムに選ばれたIMSIを送信し、
サーバが、モバイルデバイスからサーバへのメッセージ中の限られたペイロードを使用して送信されたモバイルデバイスのクレデンシャルコンテナの識別子と、サーバが保有する個別化マスタ鍵とを使用して個別鍵を取得する、保護された通信段階の間に2つの個別鍵が機能を果たす、ことを特徴とするモバイルデバイスに関する。
【0026】
有利には、上記モバイルデバイスは、
‐あらかじめ格納されているエフェメラルIMSI範囲からランダムに取り出されたIMSI値を運ぶ少なくともアタッチメント要求をサーバに、プロトコルに従う第1のメッセージで送信するステップと、
‐ランダムに選ばれたIMSI値及びサーバランダム値を使用して固有のセッションを確立することを可能にするパラメータを含む、サーバからの認証要求を、グループマスタ鍵及び受信したランダムに選ばれたIMSI値を使用してサーバ側で取得した、導出された完全性鍵を使用して署名されたプロトコルに従う第2のメッセージで受信するステップと、
‐グループマスタ鍵及びランダムに選ばれたIMSI値を使用して導出された暗号鍵を使用して暗号化されたモバイルクレデンシャルコンテナ識別子を、グループマスタ鍵及びランダムに選ばれたIMSI値を使用してクレデンシャルコンテナで導出された完全性鍵を使用して署名されたプロトコルに従う第3のメッセージで送信するステップと、
‐個別暗号鍵を使用して暗号化された一時的なサブスクリプションを有効にするためにパーソナライズされるコマンド及びパラメータを、個別完全性鍵を使用して署名されたプロトコルに従う第4のメッセージで受信するステップと、
‐保護された通信段階におけるプロトコルの後続のメッセージが、個別暗号鍵で暗号化され、個別完全性鍵で署名されるステップと、を実行するように適合される。
‐あらかじめ格納されているエフェメラルIMSI範囲からランダムに取り出されたIMSI値を運ぶ少なくともアタッチメント要求をサーバに、プロトコルに従う第1のメッセージで送信するステップと、
‐ランダムに選ばれたIMSI値及びサーバランダム値を使用して固有のセッションを確立することを可能にするパラメータを含む、サーバからの認証要求を、グループマスタ鍵及び受信したランダムに選ばれたIMSI値を使用してサーバ側で取得した、導出された完全性鍵を使用して署名されたプロトコルに従う第2のメッセージで受信するステップと、
‐グループマスタ鍵及びランダムに選ばれたIMSI値を使用して導出された暗号鍵を使用して暗号化されたモバイルクレデンシャルコンテナ識別子を、グループマスタ鍵及びランダムに選ばれたIMSI値を使用してクレデンシャルコンテナで導出された完全性鍵を使用して署名されたプロトコルに従う第3のメッセージで送信するステップと、
‐個別暗号鍵を使用して暗号化された一時的なサブスクリプションを有効にするためにパーソナライズされるコマンド及びパラメータを、個別完全性鍵を使用して署名されたプロトコルに従う第4のメッセージで受信するステップと、
‐保護された通信段階におけるプロトコルの後続のメッセージが、個別暗号鍵で暗号化され、個別完全性鍵で署名されるステップと、を実行するように適合される。
【0027】
最後に、本発明は、伝統的な暗号化の使用を防ぐデータサイズ符号化制限があるプロトコルの使用中に、クレデンシャルコンテナを有するモバイルデバイスをアタッチするように適合されたサーバであって、制限が、少なくとも
‐特にモバイルデバイスからサーバ方向の各交換におけるデータペイロードの数に関する制限、
‐サーバからモバイルデバイス方向及びモバイルデバイスからサーバ方向におけるデータペイロードのサイズの非対称性に関する制限、及び
‐データペイロード中の一部のデータを暗号化できないことに関する制限、を含み、
上記サーバが、少なくとも
‐同じエフェメラルIMSI範囲を共有し、サーバにアタッチされるように意図された所定数のモバイルデバイスのクレデンシャルコンテナ群に対する所定数のグループマスタ鍵であって、サーバ及び対応する群の全てのモバイルデバイスのクレデンシャルコンテナに共有されるグループマスタ鍵と、
‐同じエフェメラルIMSI範囲を共有し、サーバにアタッチされるように意図された所定数のモバイルデバイスのクレデンシャルコンテナ群に対する同じ所定数の個別化マスタ鍵であって、対応する群の個別化マスタ鍵とモバイルデバイスのクレデンシャルコンテナの識別子とから導出された2つの個別鍵、すなわち完全性個別鍵及び暗号個別鍵で各モバイルデバイスのクレデンシャルコンテナをパーソナライズするのに使用される個別化マスタ鍵と、を格納し、
グループ決定モジュールが、一群のモバイルデバイスにより共有された1つのエフェメラルIMSI範囲からランダムに選ばれた受信したIMSIでグループを決定するように適合され、
導出モジュールが、第1のグループマスタ鍵、及び対応する群のモバイルデバイスのクレデンシャルコンテナから受信したランダムに選ばれたIMSIから完全性鍵及び暗号鍵を計算し、第2のグループマスタ鍵及びモバイルデバイスのクレデンシャルコンテナの識別子から個別完全性鍵及び個別暗号鍵を計算するように適合され、
エフェメラルIMSI範囲及び関連グループマスタ鍵を使用して、モバイルデバイスからサーバへの第1のメッセージ中の限られたペイロードを使用する初期設定段階において、モバイルデバイスのクレデンシャルコンテナとの保護されたセッションを開始して、サーバが、2つの個別鍵を使用して保護された通信段階を開始するための鍵を生成できるようにIMSI範囲からランダムに選ばれたIMSIを送信する、ことを特徴とするサーバに関する。「後続のメッセージ」モードについてAES‐CTRカウンタも格納されている。
‐特にモバイルデバイスからサーバ方向の各交換におけるデータペイロードの数に関する制限、
‐サーバからモバイルデバイス方向及びモバイルデバイスからサーバ方向におけるデータペイロードのサイズの非対称性に関する制限、及び
‐データペイロード中の一部のデータを暗号化できないことに関する制限、を含み、
上記サーバが、少なくとも
‐同じエフェメラルIMSI範囲を共有し、サーバにアタッチされるように意図された所定数のモバイルデバイスのクレデンシャルコンテナ群に対する所定数のグループマスタ鍵であって、サーバ及び対応する群の全てのモバイルデバイスのクレデンシャルコンテナに共有されるグループマスタ鍵と、
‐同じエフェメラルIMSI範囲を共有し、サーバにアタッチされるように意図された所定数のモバイルデバイスのクレデンシャルコンテナ群に対する同じ所定数の個別化マスタ鍵であって、対応する群の個別化マスタ鍵とモバイルデバイスのクレデンシャルコンテナの識別子とから導出された2つの個別鍵、すなわち完全性個別鍵及び暗号個別鍵で各モバイルデバイスのクレデンシャルコンテナをパーソナライズするのに使用される個別化マスタ鍵と、を格納し、
グループ決定モジュールが、一群のモバイルデバイスにより共有された1つのエフェメラルIMSI範囲からランダムに選ばれた受信したIMSIでグループを決定するように適合され、
導出モジュールが、第1のグループマスタ鍵、及び対応する群のモバイルデバイスのクレデンシャルコンテナから受信したランダムに選ばれたIMSIから完全性鍵及び暗号鍵を計算し、第2のグループマスタ鍵及びモバイルデバイスのクレデンシャルコンテナの識別子から個別完全性鍵及び個別暗号鍵を計算するように適合され、
エフェメラルIMSI範囲及び関連グループマスタ鍵を使用して、モバイルデバイスからサーバへの第1のメッセージ中の限られたペイロードを使用する初期設定段階において、モバイルデバイスのクレデンシャルコンテナとの保護されたセッションを開始して、サーバが、2つの個別鍵を使用して保護された通信段階を開始するための鍵を生成できるようにIMSI範囲からランダムに選ばれたIMSIを送信する、ことを特徴とするサーバに関する。「後続のメッセージ」モードについてAES‐CTRカウンタも格納されている。
【0028】
本発明は、とりわけ、公開済みの特許出願WO2018141895、WO2018141896、WO2018141897、未公開の特許出願EP18306134.0、EP17306942.8、EP18305159.8、EP18305191.1に記載するプロトコルに適用される。
【0029】
以上の関連する目的を達成するために、1つ以上の実施形態が、以下で十分に説明され、請求項で特に指摘される特徴を含む。
【図面の簡単な説明】
【0030】
以下の説明及び添付の図面は、特定の例示的な態様について詳細に述べたものであり、実施形態の原理が採用され得る様々な方式のうちの幾つかを示すものである。その他の利点及び新規の特徴は、以下の詳細な説明を図面と併せて検討することで明らかになり、開示される実施形態は、これらの態様及びその同等物を全て含むよう意図されたものである。
【0031】
【発明を実施するための形態】
【0032】
本発明のより完全な理解のために、本発明はこれより添付の図面を参照して詳細に説明される。詳細な説明において、本発明の好適な実施形態であると考えられるものを例示して説明する。当然ながら、本発明の精神から逸脱することなく、形態や内容の様々な修正及び変更を容易に行えることが理解されるべきである。したがって、本発明は、本明細書において図示及び記述される通りの形態及び内容、並びに本明細書に開示され、後で特許請求される発明の全貌に満たないものに限定されるものでなくてもよい。異なる図面において、同一の要素には同一の参照番号が付されている。明確性のために、本発明の理解に役立つ要素及びステップのみが図面に示されており、また説明される。
【0033】
図1は、本発明の方法の実施において使用される、モバイルデバイスMDのクレデンシャルコンテナCCとサーバSVとの間のネットワークNW上での交換のフローチャートを模式的に示している。以下のセクションでは、CCは、用いられている技術が何であれ、モバイルクレデンシャルコンテナ、すなわちUICC、eUICC、iUICC、又はsoftSimを指す。
【0034】
これらの交換は、モバイルからサーバの方向かサーバからモバイルの方向かによって限られたペイロード及び非対称なペイロードを有する種類のものである。一般に、ペイロードはモバイルからサーバへのメッセージの場合により小さくなる。
【0035】
典型的には、Easy Connectダイアログは、IMSIを運ぶ初期アタッチメントメッセージATTR(IMSI)_1を含み、その後に3つのデータペイロード交換、すなわち、サーバSVからモバイルCCへの認証要求AUTR(RND,AUTN)_2、モバイルCCからサーバSVへの認証失敗メッセージAUTF(AUTS)_3、そして最後にもう1つの認証要求メッセージAUTR(RND,AUTN)_4が続く。
【0036】
第1のメッセージは、他の目的のために許可されるペイロードがない又はほとんどないEasy Connectプロトコルに既に使用されている14バイトの限られたペイロードを有する。サーバからモバイルへのメッセージは、例えばEasy Connectプロトコルでは、一部のビット/バイトを使用又は暗号化できない32バイトペイロードを有する。
【0037】
図3は、本発明を実施するモバイルデバイスMD及びサーバSVを模式的に示している。
【0038】
モバイルデバイスMDは、エフェメラルIMSI範囲RGj(IMSI)を格納するクレデンシャルコンテナCCを含む。このrIMSI範囲RGj(IMSI)は、同じ第1のグループマスタ鍵、ここではMK1jを共有するモバイルデバイスのUICC/クレデンシャルコンテナCCのグループに結びついている。したがって、第1のグループマスタ鍵MK1jは、同じエフェメラルIMSI範囲RGj(IMSI)を使用するどのモバイルUICCでも同じである。図1ではj=1である。
【0039】
図1に示すクレデンシャルコンテナCCはまた、2つの個別鍵と、暗号鍵SK12cと完全性鍵SK12iとを格納する。グループjに属するモバイルUICCのパーソナライゼーションプロセスは計算し、そして各カード、すなわちMKj1、SKj2c及びSKj2iへ格納する。
【0040】
サーバSVは、接続が意図されるモバイルデバイスMDのグループと同数の第1のグループのマスタ鍵MKj1を格納するメモリMEMを含む、又はこれに接続される。
【0041】
サーバSVはまた、実際にはサーバSVにより管理される第2のグループマスタ鍵である個別化マスタ鍵MKj2のテーブルを格納する。各MKj2、及びモバイルUICC識別番号、典型的にはEID又はICCIDから、サーバSVは、各モバイルUICCに固有の、SKj2c、すなわち個別暗号鍵と、SKj2i、すなわち個別完全性鍵とを導出することができる。
【0042】
図2は、本発明の実施をさらに詳しく示している。
【0043】
図2Aは、データプライバシー、完全性、信頼性、機密性及びアンチリプレイを含む合理的なセキュリティレベルでの暗号化されたセッション、又はダイアログを設定することを可能にする本発明の2つの第1の交換を示している。
【0044】
モバイルMDからサーバSVへのプロトコルのアタッチメントメッセージATTR(IMSI)_1は、0バイトペイロードを有し、モバイルIMSI値のみを運ぶ。本発明では、このIMSIは、ステップPR0においてモバイルCCにあらかじめ組み込まれたエフェメラルIMSI範囲RGj(IMSI)から取り出されたランダムIMSI値rIMSIである。
【0045】
次に、32バイトペイロードの認証要求メッセージAUTR(rIMSI)_1がサーバSVによってモバイルデバイスのCC(MD)に送信される。32バイトペイロードのうち、一部のバイト、例えばバイト0及び21が空きではない。Easy Connect技術では、バイト0はEasy ConnectコマンドCを特定し、バイト21は3GPP TS 33.102に準拠したAMF(認証管理フィールド)エンコーディングに従うものとする。
【0046】
ステップPR1において、アタッチメント要求ATTR(rIMSI)_1に答えて認証要求メッセージAUTR(RND,AUTN)_2を構築する処理がサーバSVによって実行される。
【0047】
認証要求メッセージAUTR(RND,AUTN)_2は、ランダム部RNDと認証部AUTNの2つの部分からなる。
【0048】
処理ステップPR1の間、サーバSVは、ランダムに選ばれたrIMSIからIMSI範囲RG1(IMSI)を得る。次に、CC(MD)にHSS‐MSINを割り当てることができる。これは後で行うことができる、又はHSS‐MSINは「後続のメッセージ」にのみ使用されるため、必要となるまさに直前に割り当てられる。したがって、エフェメラルIMSI範囲によって、まずサーバSVがグループマスタ鍵MK11を識別することが可能になる。
【0049】
次に、サーバSVは、HSSランダム値Rndを生成し、認証要求メッセージAUTR(RND,AUTN)_2の署名CMAC用の8バイトランダム値を生成する。
【0050】
サーバSVは、受信したランダムに選ばれたrIMSIを使用して、CMAC署名を計算するためにマスタ鍵MK11から暗号鍵SK11cを導出する。
【0051】
典型的には、導出は次のようになる。SK11c/SK11i=SP800-108(MK11,context=rIMSI,label=label1,PRF=AES‐CMAC)、label1は定義済みの定数である。この導出は、Lily Chenによる2009年10月のNIST特別刊行物800-108(Recommendation for Key Derivation Using Pseudorandom Functions)で定義された定義に対応する。
【0052】
次に、サーバSVは、完全性鍵SK11iを使用して署名CMAC、すなわちCMAC(SK11i)(01||...||padding)を計算する。
【0053】
次に、認証要求メッセージAUTR(RND,AUTN)_2は、第1部分RND及び第2部分AUTNにフォーマットされる。このメッセージは、プロトコルが要求する場合を除き暗号化されない。このことは、現在は当てはまらないが、5G規格では当てはまる可能性がある。
【0054】
示されている例では、第1部分RNDは、Easy ConnectコマンドC、パラメータIX(1バイト)及びHSSランダム値Rndの一部分(2つの部分RND及びAUTN上で共有された5及び3バイト)を含む。第2部分AUTNは、サーバランダム値Rndのもう1つの部分と、AMFと、4バイトのCMAC署名とからなる。ペイロードPLが、ランダムrIMSI及びサーバランダム値Rndを用いて固有のセッションを確立することを可能にするパラメータからなる。ペイロードPLは、図2AのEasy Connectの例では、部分RNDの9バイト、部分AUTNの3及び5バイトの3つの部分に分割される。ペイロードはCMACで署名される。CMACを使用してサーバを認証することが可能になる。
【0055】
モバイルUICCはまた、認証要求メッセージAUTR(RND,AUTN)_2を受信しながら、第1のグループマスタ鍵MK11から暗号鍵SK11c及び完全性鍵SK11iを導出する。すなわち、SK11c/SK11i=SP800‐108(MK11,context=rIMSI,label=label1,PRF=AES‐CMAC)、label1は固定された定数である。
【0056】
次に、モバイルUICCは、受信したCMACを、SK11iを使用して計算及びチェックし、ペイロードに受信したrIMSIがアタッチメント要求ATTR(rIMSI)_1から送信されたrIMSIであることを確認する。
【0057】
図2Bに示すように、次にモバイルCCは、限られたペイロード、ここでは14バイトを有するモバイルからサーバへの特定の認証失敗メッセージAUTF(rIMSI,AUTS)_3を作成する。ここでバイト0は、Easy Connectコマンドを定義するため暗号化されないものとする。このペイロードはモバイルUICCの識別子CCIdを含むものとする。データプライバシーを確保するために、モバイルUICC識別番号CCIdは、機密保持のために暗号化されるものとし、全コマンドは完全性及び信頼性のために署名されるものとする。この図は、データ完全性、及びAUTSペイロードを送信するモバイル/UICCの信頼性をチェックするためのCMACを含む第3のメッセージ暗号化の可能な実装形態を示す。
【0058】
これによって、モバイルUICCは、暗号鍵SK11cと、ランダムに選ばれたエフェメラルrIMSI MSINに対応するMSINとを使用してモバイルUICCの識別子CCIdの暗号化、すなわちCipher[CID_10]SK11c=AES‐CTR(SK11c,Nonce=MSIN||Random,CTR=0×000081)を進める。RANDOMは前の段階で送信されたサーバランダム値Rndである。
【0059】
次に、暗号化された識別子に基づいてCMAC署名が計算される。計算結果は、利用可能なペイロードに関して必要に応じて切り捨てられる。すなわち、CMAC=AES‐CMAC(SK11i)(0×81||[CID_10]SK11c||0×00)の最初の2バイト。
【0060】
これによって、モバイルUICCにより返された認証失敗メッセージAUTF(rIMSI,AUTS)_3は、応答コマンドRspを含む最初のバイトと、10バイトのUICCの暗号化された識別子CCIdと、将来の使用のために確保された0×00に設定された空きバイトと、2バイトのCMACとからなる。図には暗号化されたデータが太字で示されている。
【0061】
サーバSVは、この最後の認証失敗メッセージAUTF(rIMSI,AUTS)_3を受信した後、導出した完全性鍵SK11iをCMACをチェックするために、そして導出した暗号鍵SK11cをUICCが識別した10バイトのCIDを復号するために使用する。CCが受信及び復号したCCの識別子CCId及び内部業務ルールを用いることによって、サーバSVは、一時的なIMSI t‐IMSI及び雑多なサブスクリプションパラメータを割り当てることができる。
【0062】
次にサーバSVは、32バイトペイロードを有する新しい認証要求メッセージAUTR(RND,AUTN)_4を作成する。ここでもバイト0及び21は第2のメッセージで既に示したように空きではない。
【0063】
サーバSVは、第2のグループマスタ鍵MK2及びCCの復号された識別子CCIdを使用して、2つの個別鍵SK12c及びSK12iを導出する。すなわち、SK12c/SK12i=SP800‐108(MK2[IX0],context=CID_16,label=label2,PRF=AES‐CMAC)。ここでIX0は、使用するグループマスタ鍵MK2を選択するのに使用される。
【0064】
次に、サーバSVは、rIMSI MSIN及びサーバランダム値Rndから構成されるノンスを用いたAES‐CTRを使用して、メッセージPL1のRND部分の10バイト、並びにメッセージPL2及びPL3のAUTN部分の6及び9バイトの3つのペイロード部分に分割されたペイロードPL及びTimeout及びIndexを暗号化する。
【0065】
次に、サーバSVは、認証要求メッセージのRND部分の2つの最後のバイトに挿入されるCMAC署名を計算する。すなわち、CMAC=AES‐CMAC(SK12i)[Rnd||[Cmd]||[Data]SK12c]の2つの最上位バイト。
【0066】
ランダムRndは実際、いわゆるビーコンランダムである。すなわち、eIMSI||timeWindow||an-intenal-group-secretのSHA256。したがって、最終的にこれはサーバから見れば決定論的値であるが、他のエンティティにとっては完全なランダム値に見える。これは次の問題を解決するのに使用される。すなわち、クレデンシャルコンテナ、典型的にはカードと、サーバとが一緒に対話するときに、同じメッセージがいくつかのスイッチを介して繰り返す可能性がある。したがって、カードは同じPROVIDE EIDコマンドを何度も受信し、どれがうまくいくのかを知らずに何度も応答することになる。同じことはサーバ側でも起こる。サーバは、PROVIDE EID応答を何度も受信し、何度もIMSI SWITCHコマンドを指示することになる。したがって、使用されないIMSIの割り当てを回避するためにサーバ側でメッセージを相互に関連付けやすいことが望ましい。
【0067】
ランダム値RndをPROVIDE EID応答のCMACに付加するカードを使用することは、これを処理状態を把握せずに行う方法である。サーバは、CMACを有効化するために、現在の時間ウィンドウからのものから前のものなど、いくつかのランダム値を試すことになる。サーバがランダムを見つけた場合は、デバイスとサーバとがAES‐CTRノンスの主要部分について合意したことを意味する。ランダム値Rndはある種の会話相関子のような役割を果たし、サーバは状態を維持する必要がない。サーバは受信メッセージを解析するだけでよい。
【0068】
したがって、返されたメッセージは、データ完全性、及びRND/AUTNペイロードを送信するサーバの信頼性をチェックするCMACを含む。
【0069】
このペイロードは、一時的なサブスクリプションを有効にするためにパーソナライズされるコマンド及びパラメータを含む。パラメータは暗号化され、全コマンドは、この段階においてカード/モバイルがサーバによって特定されたときに署名される。
【0070】
これによって、個別鍵SK2ji及びSK2jcは、サブスクリプションクレデンシャルのような機密データを安全にモバイルUICCにダウンロードすることができる。
【0071】
第2の認証要求メッセージAUTR(RND,AUTN)_2がモバイルUICCで受信されると、CCは個別鍵SK12c及びSK12iを使用し、受信したメッセージの暗号化された部分から30バイトを抽出する。すなわち、RND[2‐13],AUTN[0...5],RND[1]及びAUTN[7...15]から[Data]SK12c。
【0072】
次に、モバイルUICCは、CMAC=AES‐CMAC(SK12i)[Rnd||[Cmd]||[Data]SK12c]の2つの最上位バイトを計算及びチェックする。モバイルUICCは、[Data]SK12cを復号し、MK13[IX1]から一時的な通信鍵t‐Ki鍵を導出する。すなわち、t‐Ki=SP800‐108(MK13[IX1],context=t‐IMSI‐Info,label=label3,PRF=AES‐CMAC)。コンテキストは一時的なt‐IMSI及び他の何らかのメタデータを含むことがある。ここで導出関数において、t‐IMSIと関連付けられた一時的なKiを計算するために第3のマスタ鍵MK13が使用される。実際にはいくつかのMK13値が存在する。すなわち一度に1つずつ使用される。IX1は、前のMK13が危殆化された場合に別のものを使用するように変更可能なインデックスである。
【0073】
次に、モバイルCCは、カードIMSIをt‐IMSIに、KIをt‐KIに変更し、関連サブスクリプションパラメータは、メッセージペイロードに送信された少なくともOPCを含む。
【0074】
本発明では、2つの秘密鍵SKj1c及びSKj1iは、定義済みの定数であるラベルと、アタッチメントメッセージを作成している間にカードにより選択されたランダムに選ばれたエフェメラルIMSIとを使用して、第1のグループマスタ鍵MKj1から導出される。これらの鍵は、モバイルUICC CC及びサーバSV間の相互認証を可能にし、モバイルUICC識別子CIDプライバシーを守る。例えば、標準的な導出アルゴリズム、すなわち、AES NIST SP800‐108(MKj1,nonce=rIMSI,label1)が使用される。ランダムに選ばれたrIMSIの使用によって、サーバSV及びカード/モバイルCCの両方が、このランダムに選ばれ送信されたrIMSIにより特定されたセッションに関連する同じ専用の秘密鍵SKj1c及びSKj1iを導出することが可能になる。その結果、導出されたSKj1鍵は、ランダムに選ばれた新しいrIMSIとともに毎回変化する。これによりSKj1鍵が危殆化されるリスクを低減することが可能になる。
【0075】
ラベルは、一群のクレデンシャルコンテナに対して本発明のシステムにおけるオンボード時に選ばれる。このようなラベルは、NIST仕様に記載された種類のもの、すなわち導出した鍵材料の目的を特定する文字列であって、2進列として符号化されたものである。ラベルの符号化方法は、より大きなコンテキスト、例えばKDFを使用するプロトコルで定義されている。ラベルは一般に、サイズが一般に制限されて(ここでは6バイト)ランダムに選ばれる。
【0076】
他の2つの秘密鍵SKj2c及びSKj2iが、これもまた定義済みの定数であるラベル2と、NIST特別刊行物800‐108、すなわち、サーバSVにより第2の認証要求メッセージのペイロードに転送された、疑似ランダム関数を用いた鍵導出の勧めで知られているEID又はICCIDである可能性があるカード識別子CIDとを使用して、サーバによって第2のグループマスタ鍵MKj2から導出される。モバイルUICCは、これらの導出された鍵でパーソナライズされる。例えば、標準的な導出アルゴリズム、すなわち、AES NIST SP800‐108(MKj2,context=EID(又はICCID),label=label2,PRF=AES‐CMAC)が使用される。可変ノンスの使用によって、サーバSV及びカード/モバイルCCの両方が、固有鍵SKj2c及びSKj2iを共有することが可能になる。SKj2i又はSKj2cが危殆化されたとしても、1つのカード/モバイルCCにしか影響を与えない。
【0077】
SKj1cを使用して、サーバSVから受信した第2の認証要求メッセージのペイロードを暗号化する。SKj2cを使用して、モバイルCCがサーバSVに答えた最後のメッセージのペイロードを暗号化する。暗号化されるペイロードは、ペイロードサイズが古典的な暗号ブロックサイズ(AESの場合は128ビット)より小さいか又はその倍数ではなく、パディングを付加するのに利用可能なバイトが十分でないため、正規の暗号ブロックではない。例えば、サーバSVにより送信された第1の認証要求メッセージは暗号化された10バイトを必要とし、サーバSVにより送信された第2の認証要求メッセージは暗号化された27~29バイトを必要とする。ペイロードサイズは、シグナリングネットワーク認証プロトコルにより定められるため変更することができない。
【0078】
本発明は、パディングなしに任意の数のバイトを暗号化できる任意の暗号化アルゴリズムを使用する。例えば、本発明は、UICCランダム(IMSI)及びサーバランダム値をノンスとして使用するAES‐CTRを使用してカウンタブロックを生成することができる。また、カウンタ値は、AES‐CTRの使用に起因する既知の攻撃を回避するために各メッセージ専用である。
【0079】
SKj1iは、サーバSVにより送信された第1の認証要求メッセージと、モバイルにより送信された認証失敗メッセージ、すなわち、図2Bに示す第1のメッセージとのペイロードの完全性をチェックするのに使用される。SKj2iは、サーバにより送信された第2の認証要求メッセージ、すなわち、図2A及び2Bに示すメカニズムの第4のメッセージのペイロードの完全性をチェックするのに使用される。完全性をチェックするために、本発明は、完全性鍵(それぞれSKj1i及びSKj2i)により暗号化されたペイロードのMAC(メッセージ認証コード)を計算する。例えば、本発明はAES‐CMACアルゴリズムを使用することができる。いくつかのダイアログが共通のIMSIによって連鎖されている場合、後続のダイアログの全てのメッセージは、SKj2cで暗号化され、SKj2iで署名されて最大限の保護を保証する。
【0080】
以下の表は、モバイルUICC CCとサーバSVとの間のダイアログの各メッセージの暗号化方法をまとめたものである。
【0081】
【表1】
【0082】
以上の詳細な説明では、本発明が実施され得る特定の実施形態を一例として示す添付の図面が参照される。これらの実施形態は、当業者が本発明を実施できるのに十分な程度に詳細に記載されている。したがって、以上の詳細な説明は限定的な意味で理解されるべきものではなく、本発明の範囲は添付の特許請求の範囲によってのみ定義され、特許請求の範囲の均等物の全範囲とともに、適切に解釈されるものである。本発明の範囲を逸脱することなく、当業者によって多くの変更及び修正がなされることがある。したがって、示された実施形態は例示目的でのみ記載されており、次の特許請求の範囲及びそれらの様々な実施形態により定義される本発明を制限するものと考えるべきではないことが理解されなければならない。
【図1】
【図2A】
【図2B】
【図3】
【国際調査報告】