知財求人 - 知財ポータルサイト「IP Force」
▶ ギーゼッケプラスデフリエント モバイル セキュリティ ジャーマニー ゲーエムベーハーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-18
(54)【発明の名称】セキュアエレメントにおける方法
(51)【国際特許分類】
H04W 12/037 20210101AFI20240910BHJP
H04L 9/08 20060101ALI20240910BHJP
H04L 9/32 20060101ALI20240910BHJP
H04W 12/40 20210101ALI20240910BHJP
H04W 12/72 20210101ALI20240910BHJP
H04W 92/08 20090101ALI20240910BHJP
【FI】
H04W12/037
H04L9/08 C
H04L9/32 200A
H04W12/40
H04W12/72
H04W92/08
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024507950
(86)(22)【出願日】2022-08-09
(85)【翻訳文提出日】2024-03-06
(86)【国際出願番号】 EP2022025368
(87)【国際公開番号】W WO2023016669
(87)【国際公開日】2023-02-16
(31)【優先権主張番号】102021004115.1
(32)【優先日】2021-08-10
(33)【優先権主張国・地域又は機関】DE
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
(71)【出願人】
【識別番号】523479709
【氏名又は名称】ギーゼッケプラスデフリエント モバイル セキュリティ ジャーマニー ゲーエムベーハー
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(72)【発明者】
【氏名】ディルンベルガー,ヴォルフガング
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067DD17
5K067EE02
5K067EE16
5K067HH36
(57)【要約】
本発明は、セキュアエレメント(SE)における方法であって、SEにおいて、ネットワークによって送信されたアイデンティティクエリ、特にGET IDENTITYコマンドを取得する方法ステップと、SEにより、SEに記憶されたアイデンティティデータを暗号化して、取得ステップ前にSEで生成された対称鍵を使用して暗号化アイデンティティデータを生成する方法ステップと、SEにより、メッセージ認証コード(MAC)アルゴリズムを、生成された暗号化アイデンティティデータに適用して、MACを取得する方法ステップと、アイデンティティクエリへの応答を作成し、及びSEからネットワークに送信する方法ステップであって、メッセージは、暗号化アイデンティティデータ及びMACを含む、方法ステップとを含む方法に関する。本発明は、SE、コンピュータプログラム製品並びにSE及びネットワークを含むシステムにも関する。
【特許請求の範囲】
【請求項1】
セキュアエレメントSEにおける方法(100)であって、- 前記SEにおいて、ネットワークによって送信されたアイデンティティクエリ、特にGET IDENTITYコマンドを取得する方法ステップ(103)と、
- 前記SEにより、前記SEに記憶されたアイデンティティデータを暗号化して、前記取得ステップ(103)前に前記SEで生成された対称鍵(SharedKSE-HN)を使用して暗号化アイデンティティデータ(アイデンティティデータencrypted)を生成する方法ステップ(106)と、
- 前記SEにより、メッセージ認証コードMACアルゴリズムを、前記生成された暗号化アイデンティティデータ(アイデンティティデータencrypted)に適用して、MAC(MAC)を取得する方法ステップ(105)と、
- 前記アイデンティティクエリへの応答を作成し、及び前記SEから前記ネットワークに送信する方法ステップ(108)であって、前記応答は、前記暗号化アイデンティティデータ(アイデンティティデータencrypted)及び前記MAC(MAC)を含む、方法ステップ(108)と
を含む方法(100)。
【請求項2】
前記対称鍵(SharedKSE-HN)は、前記ネットワークの暗号鍵対の公開鍵部(PubKHN)を使用して生成された(102)ものである、請求項1に記載の方法(100)。
【請求項3】
前記対称鍵(SharedKSE-HN)は、SE固有の暗号鍵対の秘密鍵部(PrivKSE)を使用して生成された(102)ものである、請求項1又は2に記載の方法(100)。
【請求項4】
前記SE固有の暗号鍵対(PubKSE,PrivKSE)は、前記アイデンティティクエリを取得する(103)前に前記SEによって生成されたものであり、好ましくは、前記SE固有の暗号鍵対(PubKSE,PrivKSE)は、ECCアルゴリズムに基づいて生成されたものである、請求項3に記載の方法(100)。
【請求項5】
前記対称鍵(SharedKSE-HN)及び/又は前記SE固有の暗号鍵対(PubKSE,PrivKSE)は、前記SEの登録要求を前記ネットワークに送信する前又は後に既に生成されていたものである、請求項1~4のいずれか一項に記載の方法(100)。
【請求項6】
前記暗号化ステップ(106)前に、前記SEによるチェックステップ(104)でチェックが行われて、前記対称鍵(SharedKSE-HN)の生成(102)に使用された前記ネットワークの前記暗号鍵対の前記公開鍵部(PubKHN)がその間に変更されたか否かを確立し、前記暗号化ステップ(106)は、前記ネットワークの前記暗号鍵対の前記公開鍵部(PubKHN)が変更されなかった場合にのみ実行されている、請求項1~5のいずれか一項に記載の方法(100)。
【請求項7】
前記SEは、暗号コプロセッサも乗算アクセラレータも有さない、請求項1~6のいずれか一項に記載の方法(100)。
【請求項8】
前記アイデンティティデータは、前記SEの少なくとも1つのファイル(EFIMSI,EFNSI)に記憶され、前記少なくとも1つのファイル(EFIMSI)は、好ましくは、国際モバイル加入者識別子IMSI/NSIを含む前記ファイルEFIMSIであり、好ましくは、前記アイデンティティクエリへの前記応答は、加入秘匿化識別子SUCIを含む、請求項1~7のいずれか一項に記載の方法(100)。
【請求項9】
セキュアエレメントにおける方法(100)であって、- ECCアルゴリズムに基づいて、前記SEでSE固有の暗号鍵対(PubKSE,PrivKSE)を生成する方法ステップ(101)、
- 前記SE固有の暗号鍵対(PubKSE,PrivKSE)の秘密鍵部(PrivKSE)及び前記SEにおけるネットワーク鍵対の公開鍵部(PubKHN)を使用して、対称鍵(SharedKSE-HN)を生成する方法ステップ(102)、
- 前記SE固有の暗号鍵対(PubKSE,PrivKSE)を生成する前記生成ステップ(101)後又は前記対称鍵(SharedKSE-HN)を生成する前記生成ステップ(102)後にのみ、ネットワークによって前記SEに送信されたアイデンティティクエリ、特にGET IDENTITYコマンドを取得する方法ステップ(103)、
- 前記SEにより、前記SEに記憶されたアイデンティティデータを暗号化して、前記生成された対称鍵(SharedKSE-HN)を使用して暗号化アイデンティティデータ(アイデンティティデータencrypted)を生成する方法ステップ(106)、
- 前記SEにより、メッセージ認証コードMACアルゴリズムを、前記生成された暗号化アイデンティティデータ(アイデンティティデータencrypted)に適用して、MAC(MAC)を取得する方法ステップ(107)、
- 前記アイデンティティクエリへの応答を前記SEから前記ネットワークに送信する方法ステップ(108)であって、前記メッセージは、前記暗号化アイデンティティデータ(アイデンティティデータencrypted)及び前記MAC(MAC)を含む、方法ステップ(108)
を含む方法(100)。
【請求項10】
前記SEで前記SE固有の暗号鍵対(PubKSE,PrivKSE)を生成すること(101)及び/又は前記対称鍵(SharedKSE-HN)を生成すること(102)は、前記SEでSTATUSコマンド又はSELECTコマンドを取得した後に行われる、請求項9に記載の方法(100)。
【請求項11】
前記SEで前記SE固有の暗号鍵対(PubKSE,PrivKSE)を生成すること(101)及び/又は前記対称鍵(SharedKSE-HN)を生成すること(102)は、登録要求を前記ネットワークに送信する前に行われる、請求項8又は9に記載の方法(100)。
【請求項12】
セキュアエレメントSE、好ましくは第5世代加入者識別モジュールであって、- ネットワークによって送信されたアイデンティティクエリ、特にGET IDENTITYコマンドを取得する(103)ように構成されたインタフェース(31)と、
- アイデンティティデータを好ましくは少なくとも1つのファイル(EFIMSI)に記憶するように構成された不揮発性メモリ(17)と、
- 制御ユニット(19)であって、
〇前記記憶されたアイデンティティデータを暗号化して、前記アイデンティティクエリを取得する(103)前に生成された対称鍵(SharedKSE-HN)を使用して暗号化アイデンティティデータ(アイデンティティデータencrypted)を生成すること(106)と、
〇メッセージ認証コードMACアルゴリズムを、前記生成された暗号化アイデンティティデータ(アイデンティティデータencrypted)に適用して、MAC(MAC)を取得すること(107)と、
〇前記アイデンティティクエリへの応答を作成し、及び前記SEから前記ネットワークに送信すること(108)であって、前記メッセージは、前記暗号化アイデンティティデータ(アイデンティティデータencrypted)及び前記MAC(MAC)を含む、作成及び送信すること(108)と
を行うように構成された制御ユニット(19)と
を有するセキュアエレメントSE、好ましくは第5世代加入者識別モジュール。
【請求項13】
- 前記不揮発性メモリ(17)に実行可能に記憶されたオペレーティングシステム(15)であって、それが前記制御ユニット(19)で実行されると、請求項1~11のいずれか一項に記載の方法(100)の前記ステップを実施するように構成されたオペレーティングシステム(15)を更に含む、請求項12に記載のSE。
【請求項14】
SE、好ましくは第5世代加入者識別モジュールに実行可能にインストールされたコンピュータプログラム製品であって、請求項1~11のいずれか一項に記載の方法(100)の前記方法ステップを実行するための手段を有するコンピュータプログラム製品。
【請求項15】
SE、好ましくは第5世代加入者識別モジュールと、ネットワークとを含むシステムであって、請求項1~11のいずれか一項に記載の方法(100)の前記方法ステップを実行するように構成されるシステム。
【発明の詳細な説明】
【技術分野】
【0001】
発明の技術分野
本発明は、セキュアエレメントSE、好ましくは第5世代加入者識別モジュールにおける方法、対応するSE、コンピュータプログラム製品並びにSE及びネットワークを含む対応するシステムに関する。
本発明は、セキュアエレメントSE、好ましくは第5世代加入者識別モジュールにおける方法、対応するSE、コンピュータプログラム製品並びにSE及びネットワークを含む対応するシステムに関する。
【背景技術】
【0002】
サービスを使用するために、端末、例えば携帯電話若しくはマシンツーマシンデバイス、略してM2Mデバイス又はモノのインターネット技術、略してIoTを使用するためのデバイスは、SEを含む。SEは、通信ネットワークのサービス又は通信ネットワーク上のサービスを使用するために加入者(人又はデバイス)を一意に識別及び/又は認証するため、アイデンティティデータ(加入者識別データ、加入者識別子、サブスクリプション)を記憶する。これにより、サービス又は通信ネットワークのオペレータは、提供されるサービスの使用を各加入者に明確に割り当てることができる。更に、加入者が認証されると直ちに、通信ネットワークのオペレータがネットワークアクセスを有効化する、即ち通信ネットワークにログインできるようにすることが可能である。更に、加入者を認証することが可能でない場合、ネットワークアクセスを拒絶し得る。
【0003】
技術背景
世界は、モバイルであり、モバイルネットワークが増大し続けている。モバイル通信対応端末は、モバイルネットワークを経由して通信する。
世界は、モバイルであり、モバイルネットワークが増大し続けている。モバイル通信対応端末は、モバイルネットワークを経由して通信する。
【0004】
ネットワークオペレータのモバイルネットワークでスマートフォン又は携帯電話等のモバイル通信対応端末を使用するために、端末は、少なくとも1つのサブスクリプションを含むSEを含む。例として、サブスクリプションは、暗号認証鍵Kiと、国際モバイル加入者識別情報IMSI又はネットワーク固有ID、NSI等の一意のアイデンティティデータとを含む。USIMアプリケーションは、アイデンティティデータを使用してモバイルネットワークで端末の接続をセットアップ、操作及び切断する。
【0005】
第2世代~第4世代通信ネットワークの規格では、端末を通信ネットワークにログインするためのIMSIは、ネットワークによってインテロゲートされた。それに応答して、端末又はSEは、NASメッセージにおいて、暗号化されていない形態、即ち平文でIMSIを送信する。IMSIキャッチャとして知られているものがこのIMSIを傍受して、端末の位置を特定するか又はその挙動を分析することが可能であるため、この暗号化されていないIMSIは、セキュリティ問題を生じさせる。
【0006】
IMSIキャッチャ攻撃を回避するために、第五世代通信ネットワークでは、ネットワークにログインするための全てのアイデンティティデータは、暗号化された形態で伝送されなければならないと規定されている。例えば、ETSI TS 102 221バージョン15又は3GPP TS 31.102バージョン15若しくは3GPP TS 33.501バージョン15を参照されたい。これらの5Gネットワークでは、アイデンティティデータ(特にIMSI、NSI)は、加入永久識別子SUPIと呼ばれ、5Gネットワークにおいて加入秘匿化識別子SUCIとして暗号化された形態で伝送される。3GPP TS 33.501バージョン15.2.0におけるポイント2.5.5及び6.12を参照されたい。
【0007】
ネットワークにおける識別及び認証のために、ネットワークは、アイデンティティクエリを作成し得る。このアイデンティティクエリには、短時間の枠内、例えば6秒以内に答えなければならない。アイデンティティクエリに応答して、この時間内で厄介なことにアイデンティティデータを暗号化し、ネットワークに送信する必要がある。
【0008】
SUPIを暗号化してSUCIを作成することは、複雑な暗号化アルゴリズムが提供されるため、計算集約的であり、時間がかかる。例えば、3GPP TS 33.501、バージョン15.2.0の図C.3.2.1を参照されたい。この予め規定された時間枠が限られており、低リソースSE(特に暗号コプロセッサのない及び/又は乗算アクセラレータのないチップを有する)の側で特に準拠が略不可能であることがわかっている。時間枠に準拠しない場合(「時間切れ」)、アイデンティティクエリは、答えられたと見なされず、ネットワークログインを行うことができない。更に、SUCIの暗号化に使用されるPKI鍵対は、1回のみ使用されるべきであり、したがって新しい各クエリに対して再生成されるべきであると指定されている。
【0009】
1つの解決手法では、例えば、暗号コプロセッサ又は乗算アクセラレータを有するより高リソースのSEが使用される。これらのSEは、比較的高価である。
【0010】
この規定の時間枠に準拠するために、国際公開第2019/068731A1号は、SUCIを全て事前に計算し、SEに記憶することを提案している。ネットワークアイデンティティクエリ - 計算後に取得される - に応答して、この予め計算されたSUCIがSEのメモリからロードされ、アイデンティティクエリに応答して使用される。
【発明の概要】
【発明が解決しようとする課題】
【0011】
発明の概要
本発明は、アイデンティティクエリへの応答を作成及び送信するのにかかる計算時間を短縮させることが可能であり、このために必要となる暗号化アイデンティティデータが事前に永久的に記憶されることがない、SEにおける方法を提供するという目的に基づく。より高リソースのSE(対応する暗号プロセッサ算術又は乗算アクセラレータを有する)は、費用を理由に省かれることが意図される。
本発明は、アイデンティティクエリへの応答を作成及び送信するのにかかる計算時間を短縮させることが可能であり、このために必要となる暗号化アイデンティティデータが事前に永久的に記憶されることがない、SEにおける方法を提供するという目的に基づく。より高リソースのSE(対応する暗号プロセッサ算術又は乗算アクセラレータを有する)は、費用を理由に省かれることが意図される。
【課題を解決するための手段】
【0012】
課題は、独立特許請求項に記載の特徴によって解決される。本発明の有利な実施形態は、従属請求項で指定される。
【0013】
本発明によれば、セキュアエレメントSEにおける方法であって、SEにおいて、ネットワークによって送信されたアイデンティティクエリ、特にGET IDENTITYコマンドを取得する方法ステップと、SEにより、SEに記憶されたアイデンティティデータを暗号化して、取得ステップ前にSEで生成された対称鍵を使用して暗号化アイデンティティデータを生成する方法ステップと、SEにより、メッセージ認証コードMACアルゴリズムを、生成された暗号化アイデンティティデータに適用して、MACを取得する方法ステップと、アイデンティティクエリへの応答を作成し、及びSEからネットワークに送信する方法ステップであって、応答は、前記暗号化アイデンティティデータ及びMACを含む、方法ステップとを含む方法が使用される。
【0014】
この方法は、アイデンティティクエリを取得する前にネットワークアイデンティティクエリへの応答を事前に取得する部分計算ステップを含み、応答は、任意選択的に、SEに記憶される(永続的又は非永続的に)。ネットワークアイデンティティクエリがSEで取得された場合、記憶された部分計算結果に基づいて、応答を計算する最後の計算ステップのみが計算される。
【0015】
したがって、これは、計算複雑性を低減し、したがってアイデンティティクエリが取得されたとき、暗号化アイデンティティデータを含む応答を作成及び送信するために必要な時間も短縮する。
【0016】
その結果、アイデンティティクエリに応答するためにかかる最長時間に準拠するためにSUCIを計算するためのコプロセッサは、ここで、もはや必要ないため、はるかに簡便であり、したがってより費用効率的なSEを5Gネットワークで動作させることが可能である。鍵を予め計算することにより、3GPP及びETSI仕様に準拠することが可能であり、アイデンティティクエリへの応答/処理に関する性能が大きく増大し得る。
【0017】
任意選択的に、アイデンティティデータ及びMACに加えて、応答メッセージは、SEの公開鍵も含み、これは、3GPP TS 33.501により、対称鍵、特にSEの一時的なECC公開鍵を導出するために使用されたものである。しかしながら、公開鍵SEは、異なる方法でネットワークに提供され得る。
【0018】
暗号ステップは、TS 33.501 V15.2.0の図C.3.2-1によるステップ「4.対称暗号化」に対応し得るが、この対称鍵は、アイデンティティクエリが取得される前に既に生成されていることが異なる。暗号化ステップの結果は、例えば、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1による「暗号文」である。
【0019】
この暗号ステップの入力パラメータとして、アイデンティティデータは、SEのメモリからロードされ得る。これらのアイデンティティデータは、暗号化されない。例として、5Gネットワークでは、アイデンティティデータは、SUPIと呼ばれる。SUPIは、IMSI又はNSIを含み、IMSI又はNSIは、5Gネットワークで識別に使用される。(暗号化されない)アイデンティティデータは、暗号化されるデータを構成し、IMSIの少なくとも一部からなる。(暗号化されない)アイデンティティデータは、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1による「平文ブロック」に対応し得る。
【0020】
暗号化されないアイデンティティデータは、SEの少なくとも1つのファイルに記憶され得、少なくとも1つのファイルは、好ましくは、国際モバイル加入者識別子IMSI/NSIを含むファイルEFIMSI又はEFNSIであり、アイデンティティクエリへの応答は、好ましくは、加入秘匿化識別子SUCIを含む。
【0021】
適用ステップは、TS 33.501 V15.2.0の図C.3.2-1によるステップ「5.MAC機能」に対応し得る。メッセージ認証コード、略してMACは、アイデンティティデータの発信元についての保証を取得し、その完全性をチェックするために使用される。MACアルゴリズムは、入力パラメータとして暗号化ステップの結果及び秘密鍵、例えばTS 33.501 V15.2.0の図C.3.2-1による「Eph.MAC鍵」を必要とし、それらの両方からチェックサム、即ち受信MAC、例えばTS 33.501 V15.2.0の図C.3.2-1による「MACタグ値」を計算する。
【0022】
対称鍵は、対称暗号システムの鍵であり、対称暗号システムでは、非対称暗号システムと異なり、両方の加入者、ここではSE及びネットワークの両方がメッセージ/データの暗号化/復号化に同じ鍵を使用する。
【0023】
対称鍵は、暗号化ステップで使用される前でも分割することができ、例えば暗号化アイデンティティデータを生成するために暗号化ステップで使用される第1の部分鍵及びMACを生成するために適用ステップで使用される第2の部分鍵に分割することができる。この分割は、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1によるステップ「3.鍵導出」に対応し得る。第1の部分鍵は、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1による「Eph.暗号鍵、ICB」であり得る。第2の部分鍵は、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1による「Eph.MAC鍵」であり得る。鍵の長さは、この分割中に調整することができる。
【0024】
アイデンティティクエリが取得される前に生成された対称鍵は、暗号化ステップを実行するためにSEのメモリエリアから取られる。
【0025】
生成は、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1によるステップ「2.鍵合意」に対応し得、違いは、アイデンティティクエリが取得される前にこの鍵が既に生成されることである。生成は、例えば、「楕円曲線統合型暗号方式ECIES」、例えばRFC7748によるCurve25519アルゴリズム又はSEC-2規格によるsecp256r1アルゴリズムに従い、楕円曲線鍵に基づいて行うことができる。
【0026】
対称鍵は、ネットワークの暗号鍵対の公開鍵部を使用して生成され得る。この公開鍵部は、事前にSEに提供され、ネットワークプロバイダの公開鍵部であり得る。この公開鍵部は、SEの個人化中にSEに提供され得る。
【0027】
対称鍵は、SE固有の暗号鍵対の秘密鍵部を使用して生成され得る。
【0028】
対称鍵のみの生成は、SEで特定の時間量、例えば1秒超、2秒超又は3秒超を取り得る。アイデンティティクエリをネットワークから取得する前にこの対称鍵を生成することにより、対称鍵の作成にかかるこの時間だけ、応答を作成してネットワークに送信するのにかかる時間を短縮することができ、アイデンティティクエリに適時答えることが可能であることを意味する。
【0029】
好ましくは、SE固有の暗号鍵対は、アイデンティティクエリが取得される前にSEによって生成される。SE固有の暗号鍵対は、秘密鍵部(対称鍵を生成するため)及び公開鍵部を含む。公開鍵部は、好ましくは、アイデンティティクエリへの応答の一部であり、作成及び送信ステップで応答に統合される。公開鍵部は、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1による「Eph.公開鍵」であり得る。
【0030】
この生成は、3GPP TS 33.501、バージョン15.2.0の図C.3.2-1によるステップ「1.Eph.鍵対生成」に対応し得、違いは、アイデンティティクエリが取得される前にこの鍵対が既に生成されていることである。生成は、例えば、「楕円曲線統合型暗号方式ECIES」、例えばRFC7748によるCurve25519アルゴリズム又はSEC-2規格によるsecp256r1アルゴリズムに従い、楕円曲線鍵に基づいて行うことができる。例として、ECIESパラメータは、3GPP TS 33.501、バージョン15.2.0の付録C3.4に見出すことができる。
【0031】
SE固有の暗号鍵対のみの生成は、SEで特定の時間量、例えば1秒超、2秒超又は3秒超を取り得る。ネットワークからアイデンティティクエリを取得する前にこのSE固有の暗号鍵対を生成することにより、SE固有の暗号鍵対の作成にかかるこの時間だけ、応答を作成してネットワークに送信するのにかかる時間を短縮することができ、アイデンティティクエリに適時答えることが可能であることを意味する。
【0032】
対称鍵の生成若しくはSE固有の暗号鍵対の生成又は対称鍵の生成及びSE固有の暗号鍵対の生成のいずれかは、アイデンティティクエリがネットワークからSEによって取得される前にそれぞれSEで既に行われていることが提供される。
【0033】
生成された対称鍵及び/又は生成されたSE固有の暗号鍵対は、SEのメモリエリアに記憶され、方法が実行されるとき、SEのメモリエリアからロードされる。SEのメモリエリアへの記憶は、任意選択的に、永続的(不揮発)記憶であり得るか、又は揮発的記憶であり得、メモリエリアは、それに従い、不揮発性メモリNVMであり得るか、又は揮発性メモリ、例えばRAMであり得る。
【0034】
対称鍵の生成及び/又は生成されたSE固有の暗号鍵対の時点は、ネットワークアイデンティティクエリを取得する直前であり得る。
【0035】
対称鍵を生成する時点及び/又はSE固有の暗号鍵対を生成する時点は、ネットワークアイデンティティクエリを取得する前で、ネットワークへの登録要求を送信する直前又は直後であり得る。
【0036】
対称鍵を生成する時点及び/又はSE固有の暗号鍵対を生成する時点は、ネットワークアイデンティティクエリを取得するかなり前であり得る。
【0037】
対称鍵及び/又はSE固有の暗号鍵対は、STATUSコマンド又はSELECTコマンドに応答してSEで生成され得る。
【0038】
暗号化ステップ前に、SEによるチェックステップでチェックが行われて、対称鍵に使用されたネットワークの暗号鍵対の公開鍵部がその間に変更されたか否かを確立し得、ネットワークの暗号鍵対の公開鍵部が変更されなかった場合にのみ、暗号化ステップが実行される。このチェックステップは、生成された対称鍵が依然として最新であるか否かをチェックするために使用される。ネットワークの暗号鍵対の公開鍵部は、この対称鍵の生成に使用される。この公開鍵部は、SEの寿命中に更新又は変更され得る。前に生成された対称鍵は、ネットワークの暗号鍵対の公開鍵部が変更/更新される時点で無効である。したがって、この無効な鍵を用いて生成されたネットワークアイデンティティクエリへの応答も同様に無効になり、なぜなら、応答は、復号化することができず、ネットワークへのログインに失敗するためである。チェックステップは、このエラーを回避する。ネットワークの暗号鍵対の公開鍵部の変更が確認される場合、アイデンティティクエリへの応答を生成する従来の方法が実行される。制約、例えば土台をなす楕円曲線が維持されているか又は変更されたかに応じて、幾つかの(秘密)鍵が引き続き使用できることもあれば、全ての鍵が変更されなければならないこともある。特に、SE固有の暗号鍵対の秘密鍵部は、引き続き使用可能であり得る。
【0039】
この鍵部の変更は、対称鍵の生成と暗号ステップとの間の時間期間に関わる。
【0040】
SEは、その場合、もはや暗号コプロセッサ又は乗算アクセラレータを有する必要がない。このタイプのSEは、従来の方法に従って応答を作成及び送信するために、特に長い時間枠、例えば2秒超、3秒超、4秒超又は5秒超を必要とする。事前に対称鍵を生成すること及び/又は事前にSE固有の暗号鍵対を生成することにより、この時間枠を大幅に短縮することが可能になり、したがってアイデンティティクエリに対する応答を送信するために長すぎる時間がかかることに起因するネットワーク拒絶を回避することが可能になる。
【0041】
更なる態様では、本発明は、セキュアエレメントSEにおける方法を含み、本方法は、ECCアルゴリズムに基づいて、SEでSE固有の暗号鍵対を生成する方法ステップと、SE固有の暗号鍵対の秘密鍵部及びSEにおけるネットワーク鍵対の公開鍵部を使用して、対称鍵を生成する方法ステップと、SE固有の暗号鍵対を生成する生成ステップ後又は対称鍵を生成する生成ステップ後にのみ、ネットワークによってSEに送信されたアイデンティティクエリ、特にGET IDENTITYコマンドを取得する方法ステップと、SEにより、SEに記憶されたアイデンティティデータを暗号化して、生成された対称鍵を使用して暗号化アイデンティティデータを生成する方法ステップと、SEにより、メッセージ認証コードMACアルゴリズムを、生成された暗号化アイデンティティデータに適用して、MACを取得する方法ステップと、アイデンティティクエリへの応答をSEからネットワークに送信する方法ステップであって、メッセージは、暗号化アイデンティティデータ及びMACを含む、方法ステップとを含む。
【0042】
SEでSE固有の暗号鍵対を生成すること及び/又は対称鍵を生成することは、SEでSTATUSコマンド又はSELECTコマンドを取得した後に行われ得る。
【0043】
SEでSE固有の暗号鍵対を生成すること及び/又は対称鍵を生成することは、登録要求をネットワークに送信する前に行われ得る。
【0044】
本発明の更なる態様では、セキュアエレメント、好ましくは第5世代加入者識別モジュールが提供される。本SEは、ネットワークによって送信されたアイデンティティクエリ、特にGET IDENTITYコマンドを取得するように構成されたインタフェースと、アイデンティティデータを好ましくは少なくとも1つのファイルに記憶するように構成された不揮発性メモリと、制御ユニットであって、記憶されたアイデンティティデータを暗号化して、アイデンティティクエリを取得する前に生成された対称鍵を使用して暗号化アイデンティティデータを生成することと、メッセージ認証コードMACアルゴリズムを、生成された暗号化アイデンティティデータに適用して、MACを取得することと、アイデンティティクエリへの応答を作成し、及びSEからネットワークに送信することであって、メッセージは、暗号化アイデンティティデータ及びMACを含む、作成及び送信することとを行うように構成された制御ユニットとを有する。
【0045】
本SEは、不揮発性メモリに実行可能に記憶されたオペレーティングシステムであって、それが制御ユニットで実行されると、上記方法の方法ステップを実施するように構成されたオペレーティングシステムを更に含み得る。
【0046】
更なる態様では、コンピュータプログラム製品は、SE、好ましくは第5世代加入者識別モジュールに実行可能にインストールされ、及び上記方法の方法ステップを実行するための手段を有する。
【0047】
更なる態様では、SE、好ましくは第5世代加入者識別モジュールと、ネットワークとを含むシステムであって、上記方法の方法ステップを実行するように構成されるシステムが提供される。
【0048】
SEは、本発明の意味内では、サイズ及びリソース性能を低減し、制御ユニット(マイクロコントローラ)を有する電子モジュールである。
【0049】
「SE」という用語は、「UICC」、「eUICC」、「加入者識別モジュール」、「チップカード」、「iUICC」、「統合eUICC」、「統合セキュアエレメント」、「埋め込みセキュアエレメント」、「セキュアエレメント」又は「SIM」と同義である。SEは、例えば、チップカード、SIMカード又は加入者識別モジュールである。SEは、セキュア不揮発性メモリエリアに記憶された機械可読アイデンティティデータを使用して、通信ネットワークにおける加入者を識別し、サービスの使用について加入者を認証する。SEは、USIM、TSIM、ISIM、CSIM又はR-UIMも包含する。例として、SEは、したがって、ETSI TS 131 102でUSIMアプリケーションとして定義されている。例として、SEは、したがって、ETSI TS 151 011でSIMアプリケーションとして定義されている。例として、SEは、したがって、ETSI TS 100 812によってTSIMアプリケーションとして定義されている。例として、SEは、したがって、ETSI TS 131 103によってISIMアプリケーションとして定義されている。例として、SEは、したがって、3GPP2 C.S0065-BによってCSIMアプリケーションとして定義されている。例として、SEは、したがって、3GPP2 C.S0023-DによってR-UIMアプリケーションとして定義されている。
【0050】
SEは、端末内の一体構成要素、例えばハードワイヤード電子モジュールであり得る。そのようなSEは、eUICCとも呼ばれる。この設計では、これらのSEは、端末から取り外されることを意図されず、原理上、容易に交換することができない。そのようなSEは、埋め込みセキュアエレメントとして設計され得、デバイスにおけるセキュアハードウェア構成要素である。
【0051】
SEは、端末の高信頼性実行環境、略してTEEとして知られているものであるオペレーティングシステムの高信頼性部分におけるソフトウェア構成要素であり得る。例として、SEは、「トラストレット」又は「信頼されるアプリケーション」として知られるものである実行されるプログラムの形態でセキュア実行時環境内において形成される。
【0052】
SEは、より大きい集積回路、例えばモデム又はアプリケーションプロセッサの一体部分であり得る。そのようなSEは、「統合UICC」、「統合TRE」、「統合eUICC」又は「統合SE」と呼ばれる。そのようなSEは、集積プロセッサブロックとしてSoCに固定して集積され、チップ内部のバスを介して接続することが可能である。SEは、例えば、ネットワークでの識別及び/又は認証中、改竄及び/又は誤使用の試みを回避するために、アイデンティティデータがセキュアに挿入される内部又は外部セキュア不揮発性メモリエリアを有する。
【0053】
一実施形態では、SEは、端末によって動作可能であり得、SEは、この実施形態では、供給電圧、クロックサイクル、リセット等の供給信号を除いて自律的である。したがって、SEは、SEが挿入され、場合により動作可能な状態である端末と通信するためのインタフェース(データインタフェース)を有し得る。この通信は、好ましくは、接続プロトコル、特にETSI TS 102 221又はISO-7816規格によるプロトコルを介して行われる。
【0054】
「端末」という用語が好ましくは本明細書で使用され、なぜなら、端末は、主に通信技術にける端末であり得るためである。これは、別の技術において、「端末」が「デバイス」であることを除外しない。「端末」及び「デバイス」という用語は、本明細書では同義で使用される。
【0055】
SEは、機械、インストール及びシステム等のデバイスの遠隔監視、検査及びメンテナンスに使用され得る。それは、電気メーター、温水メーター等の計量ユニットに使用され得る。SEは、例えば、IoT技術の一部を形成する。
【0056】
端末は、本発明の意味内では、原理上、通信ネットワークのサービスを使用できるようにするか又は通信ネットワークのゲートウェイを介してサーバのサービスを使用できるようにするために、通信ネットワークと通信する手段を有するデバイス又はデバイス構成要素である。例として、この用語は、スマートフォン、タブレットPC、ノートブック又はPDA等のモバイルデバイスを包含し得る。例として、端末は、これらも同様に通信ネットワークとの通信手段を有するデジタルピクチャフレーム、オーディオデバイス、テレビジョン又は電子書籍リーダー等のマルチメディアデバイスを意味するものとしても理解され得る。
【0057】
特に、端末は、機械、オートマトン及び/又は車両にインストールされる。端末が自動車両にインストールされる場合、それは、例えば、統合されたSEを有する。SEは、端末、例えば端末のモデムを経由して通信ネットワークを介してサーバへのデータ接続を確立し得る。例として、端末は、端末の機能について、制御ユニット、例えばECU(ECU=電子制御ユニット)にアドレスするために、端末製造業者のサーバと交信するために使用され得る。UICCは、モバイルネットワークオペレータMNOのバックグラウンドシステムにおけるサーバ、例えば、SEのソフトウェア、ファームウェア及び/又はオペレーティングシステムの更新をSEにロードするためのサーバと交信するために使用され得る。
【0058】
スマートフォン及び携帯電話に加えて、モバイル通信対応端末は、商業圏又はプライベート圏における産業施設の規制デバイス(制御デバイス、測定デバイス又は制御/測定組合せデバイス)も含む。産業施設は、例えば、バックグラウンドシステムと又は/及び互いとモバイルネットワークを介して通信することが可能な1つ又は複数の規制デバイス(端末)を有する生産設備である。他の産業施設は、規制デバイスの形態の端末を有するヒータ又は電力消費物等のスマートホーム設備を含む。
【0059】
例として、コマンドは、デバイスによって送信される命令又は注文であり得る。コマンドは、好ましくは、ETSI TS 102 221又はISO/IEC7816規格によるコマンドである。好ましい一実施形態では、APDUコマンドの形態のコマンドがUICCで受信される。APDUは、UICとデバイスとの間の接続プロトコルの結合コマンド/データブロックである。APDUの構造は、ISO-7816-4規格によって規定されている。APDUは、アプリケーションレイヤ(OSIレイヤモデルのレイヤ7)上の情報要素を構成する。
【0060】
SEは、好ましくは、「5G USIM」とも呼ばれる第5世代USIMである。したがって、加入者は、5G規格によって識別され得る。
【0061】
更なる好ましい実施形態では、少なくとも1つのファイルは、EFIMSIであり、国際モバイル加入者識別情報IMSIを含む。このIMSIを保護することが重要であり、平文で端末に又はネットワーク内で伝送されるべきではない - 可能な場合には - 5Gネットワークでは、IMSIは、SEと通信ネットワークとの間で平文では交換されない。
【0062】
更なる好ましい実施形態では、少なくとも1つのファイルは、ファイルEFNSIであり、永久的な加入者識別子、即ち「加入永久識別子」、略してSUPIを含む。このSUPIを保護することが重要であり、平文で端末に又はネットワーク内で伝送されるべきではない - 可能な場合には - EFNSIにおけるこのSUPIは、好ましくは、IMSIではない。このSUPIは、3GPP TS 23.003規格で規定されるように、ネットワークアクセス識別子、略してNAIであり得る。
【0063】
更なる好ましい実施形態では、少なくとも1つのファイルは、EFRouting Identicatorであり、SUCIを計算するためのルーティングインジケータを含む。このパラメータを使用して、端末又はSEは、本発明による方法を実行することが可能であり、その結果、SUCIを作成し、ネットワークに送信することが可能である。このファイルEFRouting Identifierは、ルーティングインジケータを含み、ルーティングインジケータは、MCC及びMNCと一緒に、3GPP TS 23.003規格に規定されるように、加入者にサービング可能なAUSF及びUDMインスタンスに、SUCIを有するネットワークシグナリングを転送できるようにする。
【0064】
例として、加入永久識別子、略してSUPIは、5Gネットワークでアイデンティティデータとして使用される。SUPIは、3GPP仕様TS23.501で規定されている。この場合、有効なSUPIは、3GPP TS 23.003と併せてRFC4282で規定されるように、IMSI又はネットワークアクセス識別子、略してNAIであり得る。SUPIは、次いで、5G USIMを使用して加入秘匿化識別子、略してSUCIに変換することができる。SUCIは、内部で秘匿化されたSUPIを含むプライバシー保護ネットワーク識別子である。5G USIMは、本明細書に記載の方法を使用するとともに、前に生成された対称鍵と共に上述したこのECIESベースの保護方式を使用してSUCIを生成する。IMSI(SUPIの一部)は、次いで、ネットワークアイデンティティクエリに応答してSUCIから暗号化されて送信される。
【0065】
加えて、アイデンティティデータは、例えば、通信ネットワークで加入者を一意に認証するデータ、例えば、認証アルゴリズム、特定のアルゴリズムパラメータ、暗号認証鍵Ki及び/又は暗号オーバージエア鍵、略してOTA鍵である。加えて、アイデンティティデータは、例えば、サービスに対して加入者を一意に認証するデータ、例えば、一意の識別子又は署名である。サービスは、特に、通信ネットワークを経由して情報及び/又はデータを伝送するサーバの音声サービス又はデータサービスである。
【0066】
通信ネットワーク(ネットワーク)は、信号が伝送されて、加入者を識別及び/又は認証する技術設備である。通信ネットワークは、それ自体のサービス(それ自体の音声及びデータサービス)を提供し、及び/又は外部インスタンスからのサービスの使用を可能にする。通信ネットワークは、好ましくは、モバイルネットワークである。ここで、通信ネットワークの監督下のデバイス間通信が可能である。特に、第5世代「5G」モバイルネットワークは、ここでは通信ネットワークとして理解される。
【0067】
図の簡単な説明
本発明並びに本発明の更なる実施形態及び利点について図を参照してより詳細に説明し、図は、単に本発明の例示的な実施形態を説明する。図中の同じ構成要素は、同じ参照符号で提供される。図は、一定の縮尺であると見なされるべきではなく、図の個々の要素は、過度に大きく又は過度に簡略化されて示され得る。任意選択的な要素は、破線を使用して示される。
本発明並びに本発明の更なる実施形態及び利点について図を参照してより詳細に説明し、図は、単に本発明の例示的な実施形態を説明する。図中の同じ構成要素は、同じ参照符号で提供される。図は、一定の縮尺であると見なされるべきではなく、図の個々の要素は、過度に大きく又は過度に簡略化されて示され得る。任意選択的な要素は、破線を使用して示される。
【図面の簡単な説明】
【0068】
【図1】本発明によるSEにおける方法のフローチャートを示す。
【図2】本発明によるSEにおける方法のフローチャートを示す。
【図3】SE、デバイス及びネットワーク間の本発明による方法のフローチャートを示す。
【図4】SE及びネットワークを有するデバイスからなるシステムの例示的な一実施形態を示す。
【図5】SEの例示的な一実施形態を示す。
【発明を実施するための形態】
【0069】
例示的な実施形態の詳細な説明
図1及び図2は、図4及び図5からの本発明によるSEにおける方法100のフローチャートの例示的な一実施形態をそれぞれ示す。図1及び図2について一緒に以下説明する。図2は、バージョン15.2.0における3GPP TS 33.501の図C.3.2-1の簡易版に対応し、ポイントAで方法、即ち従来の方法(ステップ「PubKSE、PrivKSEを生成する」101で簡易化される)を実施する場合及びポイントBで方法、即ち本発明による方法の好ましい一変形(同様にステップ「導出」105で簡易化される)を実施する場合を示す。
図1及び図2は、図4及び図5からの本発明によるSEにおける方法100のフローチャートの例示的な一実施形態をそれぞれ示す。図1及び図2について一緒に以下説明する。図2は、バージョン15.2.0における3GPP TS 33.501の図C.3.2-1の簡易版に対応し、ポイントAで方法、即ち従来の方法(ステップ「PubKSE、PrivKSEを生成する」101で簡易化される)を実施する場合及びポイントBで方法、即ち本発明による方法の好ましい一変形(同様にステップ「導出」105で簡易化される)を実施する場合を示す。
【0070】
ステップ101では、SE固有の暗号鍵対PubKSE、PrivKSEは、ECCアルゴリズムにおいてSEで生成される。例として、Curve25519/X25519アルゴリズムが使用される。3GG TS 33.501規格の付録C3.4で使用されるECIESプロファイルパラメータが使用され得る。ステップ101の結果として、SE固有の暗号鍵対の秘密鍵部PrivKSEが生成された。このステップは、図C.3.2-1によるシーケンシャル方法のステップ「1.Eph鍵対生成」に対応し得る。
【0071】
SE固有の暗号鍵対PubKSE、PrivKSEは、使用されるべき暗号化のタイプのみに依存する。このタイプは、ネットワークの暗号鍵対の公開鍵部PubKHNによって予め規定される。この公開鍵部PubKHNは、ステップ101が実行される前にSEに既知である。
【0072】
暗号コプロセッサなし又は乗算アクセラレータなしのSEでは、このステップは、最長3秒かかり得る。表1~表6を参照されたい。
【0073】
図1は、後に使用するために、SE固有の暗号鍵対PubKSE、PrivKSEをSEのメモリエリアに記憶する記憶ステップを示していない。
【0074】
公開鍵PubKSEは、ネットワークアイデンティティクエリへの応答108の一部としてネットワークに送信される。
【0075】
続くステップ102では、対称鍵SharedSE-HNがSEで生成される。この対称鍵SharedSE-HNは、SE固有の暗号鍵対のうち、ステップ101で生成された公開鍵部PrivKSEと、ネットワークの暗号鍵対の公開鍵部PubKHNとを使用して生成される。公開鍵部PubKHNは、SEに存在し、SEが個人化されたとき、SEのメモリに既に記憶されていることができる。このステップは、図C.3.2-1によるシーケンシャル方法のステップ「2.鍵合意」に対応し得る。暗号コプロセッサのない又は乗算アクセラレータのないSEでは、このステップに最長で3秒かかり得る。表1~表6を参照されたい。
【0076】
図1は、後に使用するために、SEのメモリエリアに対称鍵SharedSE-HNを記憶する記憶ステップを示していない。
【0077】
続くステップ103(図1に示されているが、図2に示されていない)では、GET IDENTITYコマンドに関連するアイデンティティクエリがSEで受信される。ステップ102とステップ103との間に比較的長い時間期間「Time」があり得、ステップ101/102は、ステップ103と時間的に相関しなくてよい。本発明は、アイデンティティクエリへの応答を生成するための時間期間を短縮するために、アイデンティティクエリを取得するステップ103前に、2つのステップ101及び102(図1におけるステップ101、102の両方)の少なくとも一方を既に実行していることを提供する。
【0078】
任意選択的なステップ104(図1に示されているが、図2に示されていない)では、チェックが行われて、生成ステップ102で使用された公開鍵部PubKHNがその間に変更されたか否かを確立する。チェック104中、生成ステップ102で使用された公開鍵部PubKHNがその間に変更(更新、パラメータ適合、置換)されたことが確認される場合(はいの事例)、ステップ「SharedSE-HNを生成する102」が再び実行される。暗号化のタイプが変更された場合でも(Curve25519からsecp256r1へ又はこの逆への切り替え)、アイデンティティクエリへの応答を生成する従来の方法は、図2のポイント「A」から始まって示されるように実行される。
【0079】
チェック104中、生成ステップ102で使用された公開鍵部PubKHNがその間に変更(更新、パラメータ適合、置換)されていなかったことが確認される場合(いいえの事例)、アイデンティティクエリへの応答を生成する方法による方法は、図1及び図2におけるポイント「B」から始まって示されるように更に実行される。
【0080】
ステップ101及び102は、図1では破線を使用して示され、なぜなら、アイデンティティクエリと応答との間の最長時間期間Timemaxを超えないように、各事例において、2つのステップ101、102の一方のみが実行されるのみでよいためである。表1~表6における時間値が参照される。表1~表6は、鍵を予め計算した状態/計算しない情報で応答108(GET IDENTITYへの応答)を作成するために必要な時間を比較する。ステップ101、ステップ102及びステップ101+102の両方における事前計算の影響も表す。
【0081】
任意選択的なステップ105では、第1の部分鍵及び第2の部分鍵が対称鍵SharedKSE-HNから導出される。このステップ105は、3GPP TS 33.501、バージョン15.2.0の図C.3.2.1によるステップ「3.鍵導出」に対応し得る。第1の部分鍵は、3GPP TS 33.501バージョン15.2.0の図C.3.2.1による「Eph.暗号鍵、ICB」であり得る。第2の部分鍵は、3GPP TS 33.501バージョン15.2.0の図C.3.2.1による「Eph.MAC鍵」であり得る。この分割105中、鍵の長さを調整することもできる。
【0082】
ステップ106では、SEに記憶されたアイデンティティデータは、暗号化される。ファイルEFIMSIのファイル内容が、暗号化106の入力データとして使用される。この暗号化106は、3GPP TS 33.501バージョン15.2.0の図C.3.2.1によるステップ「4.対称暗号化」に対応し得る。このステップの結果として、暗号化アイデンティティデータが取得される。ステップ106からの暗号化アイデンティティデータは(も)、ネットワークからのアイデンティティクエリへの応答の一部としてネットワークに送信される。
【0083】
ステップ107では、MACアルゴリズムが適用される。ステップ106からの暗号化アイデンティティデータは、ここで、MACアルゴリズムの入力パラメータとして使用される。加えて、第2の部分鍵「Eph.MAC鍵」が、MACアルゴリズムの別の入力パラメータとして使用され得る。この適用107は、3GPP TS 33.501バージョン15.2.0の図C.3.2.1によるステップ「5.MAC機能」であり得る。このステップ107の結果として、MACが取得され、これは、3GPP TS 33.501バージョン15.2.0の図C.3.2.1によって「MACタグ値」と呼ばれることもある。ステップ107からのMACは(も)、ネットワークからのアイデンティティクエリへの応答の一部としてネットワークに送信される。
【0084】
ステップ108は、ネットワークアイデンティティクエリへの応答を作成及び送信することを含む。例として、この応答は、公開鍵PubKSE(ステップ101)、暗号化アイデンティティデータ(ステップ106)及びMAC(ステップ107)が連結されたものを含む。追加のパラメータも同様に応答に含まれ得る。
応答=PubKSE││アイデンティティデータencrypted││MAC││任意選択的なパラメータ
応答=PubKSE││アイデンティティデータencrypted││MAC││任意選択的なパラメータ
【0085】
この応答108は、好ましくは、GET IDENTITYコマンドの結果である。
【0086】
特に、ETSI TS 102 221規格のバージョン15以降及び3GPP TS 31.102規格のバージョン15以降は、GET IDENTITYコマンドを規定している。このコマンドは、SUCIを生成するために5Gネットワークで使用される。SUCIコンテキストは、5Gネットワークで加入者を識別するために使用されるアイデンティティデータとしてIMSI(国際モバイル加入者ID)又はNSI(ネットワーク固有ID)を含む。
【0087】
GET IDENTITYコマンドは、ネットワークによって送信され、送信時間も含めて6秒以内で答えられなければならない。これは、暗号コプロセッサ又は乗算アクセラレータのないSEにとって重大な問題である。
【0088】
種々のSEでのSUCIの計算の少数の比較を以下に示し、それから、ステップ101及び/又は102の前倒しの計算からの時間短縮効果が明らかになる。
【0089】
表1は、IMSI SUCI計算と共にプロファイルA(Curve25519)を計算する場合の暗号コプロセッサなし、乗算アクセラレータなし、ハードウェアAES(先進的暗号化標準)、SC000アーキテクチャありのSEを示す。ステップ101は、既に1100ミリ秒を必要としており、ステップ102は、1101ミリ秒を必要とする。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101及び102後に実行される場合、23ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101後に(のみ)実行される場合、1120ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵なしでステップ101又は102後に実行される場合、2217ミリ秒が必要とされる。換言すれば、提示された方法は、ステップ101及び102が事前に計算され、対応する鍵がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を略100倍高速で提供する。換言すれば、提示される方法は、ステップが事前に計算され、鍵対がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を約2倍高速で提供する。
【0090】
【表1】
【0091】
表2は、IMSI SUCI計算と共にプロファイルB(secp256r1)を計算する場合の「暗号コプロセッサなし、乗算アクセラレータなし、ハードウェアAES、SC000アーキテクチャあり」のSEを示す。ステップ101は、既に2934ミリ秒を必要としており、ステップ102は、2938ミリ秒を必要とする。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101及び102後に実行される場合、23ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101後に(のみ)実行される場合、2957ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵なしでステップ101又は102後に実行される場合、5884ミリ秒が必要とされる。換言すれば、提示された方法は、ステップ101及び102が事前に計算され、対応する鍵がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を略250倍高速で提供する。換言すれば、提示される方法は、ステップが事前に計算され、鍵対がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を約2倍高速で提供する。
【0092】
【表2】
【0093】
表3は、IMSI SUCI計算と共にプロファイルA(Curve25519)を計算する場合の「暗号コプロセッサなし、SC300アーキテクチャ(乗算アクセラレータを含む)」のSEを示す。ステップ101は、既に119ミリ秒を必要としており、ステップ102は、96ミリ秒を必要とする。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101及び102後に実行される場合、23ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101後に(のみ)実行される場合、117ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵なしでステップ101又は102後に実行される場合、234ミリ秒が必要とされる。換言すれば、提示された方法は、ステップ101及び102が事前に計算され、対応する鍵がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を略10倍高速で提供する。換言すれば、提示される方法は、ステップが事前に計算され、鍵対がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を約2倍高速で提供する。
【0094】
【表3】
【0095】
表4は、IMSI SUCI計算と共にプロファイルB(secp256r1)を計算する場合の「暗号コプロセッサなし、SC300アーキテクチャ(乗算アクセラレータを含む)」のSEを示す。ステップ101は、既に424ミリ秒を必要としており、ステップ102は、406ミリ秒を必要とする。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101及び102後に実行される場合、23ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101後に(のみ)実行される場合、427ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵なしでステップ101又は102後に実行される場合、848ミリ秒が必要とされる。換言すれば、提示された方法は、ステップ101及び102が事前に計算され、対応する鍵がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を略40倍高速で提供する。換言すれば、提示される方法は、ステップが事前に計算され、鍵対がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を約2倍高速で提供する。
【0096】
【表4】
【0097】
表5は、プロファイルAを計算する場合の暗号コプロセッサなし、乗算アクセラレータなし、ハードウェアAES、SC000アーキテクチャなしのSEを示す。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101及び102後に実行される場合、38ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101後に(のみ)実行される場合、1303ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵なしでステップ101又は102後に実行される場合、2606ミリ秒が必要とされる。換言すれば、提示された方法は、ステップ101及び102が事前に計算され、対応する鍵がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を略70倍高速で提供する。換言すれば、提示される方法は、ステップが事前に計算され、鍵対がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を約2倍高速で提供する。
【0098】
【表5】
【0099】
表6は、プロファイルAを計算する場合の暗号コプロセッサなし、乗算アクセラレータなし、ハードウェアAES、SC000アーキテクチャなしのSEを示す。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101及び102後に実行される場合、38ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵を用いてステップ101後に(のみ)実行される場合、3251ミリ秒のみが必要とされる。GET IDENTITYコマンドが、予め計算された鍵なしでステップ101又は102後に実行される場合、6464ミリ秒が必要とされる。換言すれば、提示された方法は、ステップ101及び102が事前に計算され、対応する鍵がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を略280倍高速で提供する。換言すれば、提示される方法は、ステップが事前に計算され、鍵対がSEのメモリからロードされる場合、GET IDENTITYコマンドへの応答作成を約2倍高速で提供する。
【0100】
【表6】
【0101】
測定された時間は、当然のことながら、例えば電圧階級、周波数及び各暗号機能の実装等の種々の要因に依存する例示的な値である。したがって、特定の事例での厳密な計算持続時間ではなく、互いに対する時間的挙動のみを導出することが可能である。
【0102】
ステップ101における事前計算又はステップ102における対称鍵の更なる予備的生成を用いて大きい速度増大を達成することが可能である。
【0103】
その結果として、最長時間timeMAXに準拠するようにSUCIを計算するためにコプロセッサは、もはや必要ないため、5Gネットワークではるかに簡便であり、したがってより費用効率的でもあるSEカードを動作させることが可能である。鍵を予め計算することにより、3GPP及びETSI仕様に準拠することが可能であり、GET IDENTITYコマンドへの応答/処理に関する性能は、有意に増大することができる。
【0104】
アイデンティティクエリは、例えば、SEが導入される図4における端末のAPDUコマンドであり、それにより、SEは、SUCIを作成する。アイデンティティクエリは、端末によって元々開始されている必要はなく、通信インタフェース41を介してネットワーク(図4)によって端末にもたらされた要求があり得る。例として、ネットワーク識別子が問い合わせられる。例として、SEに記憶された個人データが問い合わせられる。
【0105】
ETSI TS 102.221のバージョン15の時点及び3GPP TS 31.102のバージョン15の時点で規定されている5G USIM機能におけるSUCI計算は、SEによってサポートされるべきである。
【0106】
図3は、次いで、本発明による方法100を実行するための好ましい例示的な実施形態のフローチャートを説明する。方法ステップ101から108は、図1又は図2からの方法ステップ101から108に対応する。図3におけるSEは、5G USIMである。
【0107】
ステップ102後、端末は、登録要求をネットワークに送信する。この登録要求は、端末がネットワークのサービスを使用できるようにすることを意図する。このために、ネットワークは、端末のアイデンティティをチェックし、認証/識別について尋ねる。一連の登録要求及び認証/識別要求については、原則として3GPP TS 23.501に記載されている。識別中、ネットワークは、識別クエリを端末に送信する。これは、端末でGET IDENTITYコマンドに変換され、SEに転送される。5Gネットワークでは、SEは、次いで、時間期間timeMAX(例えば、6秒)以内で、SUPIと呼ばれ、例えば、IMSI、NSI、NAIを含むアイデンティティデータをSUCIに変換し、これをネットワークに返送するように強いられる。
【0108】
IMSIは、加入者識別子の一部であり、読まれるべきではない - 可能な場合には - UICC1は、5G USIMであり、したがって、IMSIに基づいてSUCIを生成するように構成される。SUCIを送信する際、IMSIのMSIN部分は、平文で端末又はネットワークに送信されないため、IMSIの代わりにSUCIを使用することが有利である。したがって、SUCIを送信することは、ネットワーク識別子としてIMSIの代わりにSUCIを送信するために、ファイルEFIMSIからのセキュリティ関連情報及び/又は個人情報を保護する。
【0109】
アイデンティティクエリへの応答としてIMSIの代わりにSUCIを送信するために、SUCIを計算する必要がある。このために、ステップ101から108を有する図1及び図2の方法が適用される。この計算は、3GPP 23.501による標準化手順に対応し得、ステップ103後の時間のかかる計算を回避するために、ステップ101及び102における前倒しの計算によって本発明に従って実質的に改良し得る。
【0110】
5Gネットワークによる加入者識別メカニズムは、生成されたSUCIを用いてオーバージエア無線インタフェース(図4のインタフェース41)で端末を識別できるようにする。端末が最初に登録しようとするとき、ステップ108において、SEは、GET IDENTITYコマンドに基づいてSUPIを暗号化してSUCIにし、このSUCIを端末に提供する。
【0111】
SUCIは、ここで、秘匿化されたSUPIを含むデータ保護フレンドリ識別子である。図1及び図2を参照する。SEは、ステップ101及び102において、USIM登録中又は個人化中にSEにセキュアに提供されたホームネットワークの公開鍵PubKHNを用いてECIESベースの保護方式を使用して生成する。
【0112】
SUPIのMSIN部分のみが暗号化される一方、ホームネットワーク識別子、即ちMCC/MNCは、引き続き平文で送信される。SUCIを構成するデータフィールドは、「SUPIタイプ」;「ホームネットワーク識別子」(IMSIの場合=MCC+MNC、NAIの場合=ドメイン名):「ルーティング識別子」;「保護方式の識別子:ヌル方式又はプロファイルA若しくはプロファイルB」;「ホームネットワーク公開鍵PubKHN識別子」;「使用される保護方式に応じて可変長又は16進数文字列」である。
【0113】
方法100は、ここで、SEのオペレーティングシステム15に統合され、したがって任意のネイティブSEで採用及び使用することができる。
【0114】
図4は、図1及び図2からの方法が行われる、端末及びSEからなるシステムの例示的な一実施形態を示す。例として、端末は、IoT環境におけるM2Mデバイスである。端末は、複数のECU21を有し得、2つのECU21a及び21bが代表としてここに示されている。これらのECU21は、端末の機能を制御する。
【0115】
SEは、動作準備のできた端末に挿入され、端末によって供給電圧Vcc及びクロックサイクルCLKが供給される。SEは、図5により詳細に示されている。図4は、SEがアプレット13を有することを示している。これらのアプレット13は、カードアプリケーションツールキットCAT12を介して異なるAPDUコマンド11を端末に送信することが可能である。
【0116】
端末は、モデム22も含む。例として、モデム22は、データをSEとネットワーク4との間で変換するための論理ユニットと見なすことができる。端末は、モデム22を介してSEへの通信接続3をセットアップし得る。端末とSEとの間の通信3は、例えば、国際ISO/IEC7816-3及びISO/IEC7816-4規格に規定されるプロトコルに従って行われ、それらへの参照がこれにより明確になされる。
【0117】
SEと端末との間のデータ交換全体は、好ましくは、ISO/IEC7816-4規格によるAPDU(アプリケーションプロトコルデータユニット)として知られるものを使用して行われる。APDUは、アプリケーションレイヤ上のデータユニット、即ちコマンド及び/又はデータをSEに送信するために使用される一種のコンテナを構成する。端末からSEに送信されるコマンドAPDUと、コマンドAPDUへの応答でSEから端末に送信される応答APDUとは、区別される。
【0118】
この場合、モデム22は、ネットワーク、例えばネットワークオペレータのサーバと通信インタフェース41を介して端末又はSEからのデータを交換するためにも、端末の通信ユニットである。SEとモデム22との間で交換されるデータは、モデム22でIPベースの接続プロトコルに変換され得る。
【0119】
図5は、本発明によるSE、好ましくはハードワイヤードeUICCのブロック図を示す。代替として、SEは、異なる設計を有するポータブルデータキャリアである。SEは、図1及び図2による方法100が行われるオペレーティングシステム15を有する。例として、オペレーティングシステム15は、ネイティブオペレーティングシステムである。オペレーティングシステム15が、Java Card実行時環境JCRE16を動作するように構成されることも考えられる。
【0120】
SEは、図4による端末とデータを交換するように設計される。SEと端末との間でのデータ伝送及び通信について、SE及び端末は、両方ともそれぞれ適した通信インタフェース31を有する。インタフェースは、例えば、それらの間又はSEと端末との間の通信がガルバニック的に接続、即ち接触して接続されるように設計し得る。接触割り当ては、ISO/IEC7816に規定されている。示されていない一実施形態では、通信インタフェースは、例えば、RFID、NFC又はWLAN規格に従ってコンタクトレスである。端末は、ネットワークアイデンティティクエリをSEに転送し得る(図1又は図2における方法100のステップ103)。
【0121】
SEは、中央プロセッサ又は制御ユニットCPU19を更に有し、CPU19は、インタフェース31への通信接続を有する。CPU19によって実行されるプログラムコードによって規定されるように、CPU19の主なタスクには、算術及び論理機能の実行及びSE内のファイルへのアクセスがある。ファイルは、例えば、ファイルディレクトリにおける基本ファイルEF、ルートディレクトリのディレクトリファイルDF又は不揮発性メモリ17のSEのプロファイルディレクトリである。CPU19は、揮発性ワーキングメモリラム18及び不揮発性書き換え可能メモリ17にも接続される。不揮発性メモリ17は、好ましくは、フラッシュメモリ(フラッシュEEPROM)である。例として、NAND又はNORアーキテクチャを有するフラッシュメモリであり得る。制御ユニット19は、対応するプログラムコードが実行される場合、図1及び図2からの方法のステップ101から108を実行するように更に構成される。
【0122】
図5に示される好ましい実施形態では、プログラムコードは、不揮発性メモリ17に記憶され、CPU19によって実行することが可能である。特に、不揮発性メモリ17は、Java Card実行時環境JCRE16(Java Card仮想マシンJCVM及びJava CardアプリケーションプログラミングインタフェースJCAPIからなる)のチップカードオペレーティングシステムOS15のプログラムコード、アプリケーション13を記憶し得る。アプリケーション13は、ここで、好ましくはJava Card(商標)アプレットの形態で存在する。加えて、図4に示されるCAT12は、ETSI TS 102 223によって組み込まれる。
【0123】
スマートフォン等の近代の端末は、チップセットを含み、チップセットは、複数のチップ又はプロセッサ、特にアプリケーションプロセッサ、ベースバンドプロセッサ及び任意選択的に特に安全が保証されたセキュア処理ユニットSPU(これらのいずれも図1及び図2に示されていない)を含み得る。現在開発中の将来の5Gモバイル通信規格では、統合UICCであるiUICCの概念が提案されており、この概念では、USIMカード又はUICCの機能は、端末のチップセット、即ち1つ又は複数のチップ又はプロセッサに分散されるように統合される。本方法によって可能になる、このチップセットが暗号プロセッサ又はハードウェアアクセラレータを有さない場合、コストの点でかなり有利である。
【0124】
本発明の範囲内において、説明、図示及び/又は請求項に記載される要素の全ては、必要に応じて互いに組み合わされ得る。
【符号の説明】
【0125】
SE、UICC、eUICC、加入者識別モジュールSIM
11 送信コマンドAPDU
12 カードアプリケーションツールキットCAT
13 アプレット
15 オペレーティングシステムOS
16 Java実行時環境JCRE
17 不揮発性メモリ
18 メモリエリア
19 制御ユニットCPU
20 UICC状態
デバイス
21a、b 制御ユニットECU
22 モデム
23 送信コマンドAPDU
3 デバイスとSEとの間の通信接続
31 SEのインタフェース
ネットワーク
41 デバイス-ネットワークインタフェース
101~108 本発明による方法ステップ
PubKHN ネットワーク鍵対の公開鍵部、HNの公開鍵
PrivKHN ネットワーク鍵対の秘密鍵部、HNの秘密鍵
PubKSE SE鍵対の公開鍵部、Eph.公開鍵
PrivKSE SE鍵対の秘密鍵部、Eph.秘密鍵
SharedKSE-HN SEとネットワークとの間の対称鍵、Eph.共有鍵
MAC-KSE SEのMAC鍵、Eph.MAC鍵
Time 鍵の事前計算と要求との間の時間期間
Timemax アイデンティティクエリと応答との間で許容された時間期間
11 送信コマンドAPDU
12 カードアプリケーションツールキットCAT
13 アプレット
15 オペレーティングシステムOS
16 Java実行時環境JCRE
17 不揮発性メモリ
18 メモリエリア
19 制御ユニットCPU
20 UICC状態
デバイス
21a、b 制御ユニットECU
22 モデム
23 送信コマンドAPDU
3 デバイスとSEとの間の通信接続
31 SEのインタフェース
ネットワーク
41 デバイス-ネットワークインタフェース
101~108 本発明による方法ステップ
PubKHN ネットワーク鍵対の公開鍵部、HNの公開鍵
PrivKHN ネットワーク鍵対の秘密鍵部、HNの秘密鍵
PubKSE SE鍵対の公開鍵部、Eph.公開鍵
PrivKSE SE鍵対の秘密鍵部、Eph.秘密鍵
SharedKSE-HN SEとネットワークとの間の対称鍵、Eph.共有鍵
MAC-KSE SEのMAC鍵、Eph.MAC鍵
Time 鍵の事前計算と要求との間の時間期間
Timemax アイデンティティクエリと応答との間で許容された時間期間
【図1】
【図2】
【図3】
【図4】
【図5】
【国際調査報告】