セキュリティアソシエーションをセットアップするためのブートストラッピング方法
一実施形態では、本発明の方法は、(A)モバイルノード(MN)と認証、認可、アカウンティング(AAA)サーバとの間にアクセス層セキュリティアソシエーション(SA)を確立するステップと、(B)アクセス層SAに対応する拡張マスタセッションキー(EMSK)から2次キーを導出するステップと、(C)ホームエージェントに2次キーを提供するステップと、(D)2次キーに基づいて、ホームエージェントと選択されたネットワークノードとの間の通信をセキュリティ保護するために、アクセス層より上位の開放型システム間相互接続(OSI)層に対応するSAを確立するステップとを有する。さまざまな実施形態では、選択されたネットワークノードは(i)MN、(ii)MNの代わりに構成されたプロキシノード、または(iii)ホームエージェントの代わりに構成されたプロキシノードでよい。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はネットワークに関し、より詳細にはネットワークセキュリティに関する。
【背景技術】
【0002】
現代のデータネットワーキング標準は、実質的に開放型システム間相互接続(OSI)スタックのすべての層で、通信ネットワークノードのためのセキュリティ機能をサポートする。たとえば、OSIアプリケーション層はセキュアリアルタイムトランスポートプロトコル(SRTP)セキュリティメカニズムを使用でき、OSIトランスポート層はセキュアソケットレイヤ(SSL)および/またはトランスポートレイヤセキュリティ(TLS)メカニズムを使用でき、OSIネットワーク層はインターネットプロトコルセキュリティ(IPSec)メカニズムを使用できる。OSIリンク(またはアクセス)層セキュリティメカニズムは、使用されたリンク層標準に依存し、およびそれ特有であり、たとえばIEEE802セキュリティメカニズム、3GPP UMTSおよびGSMセキュリティメカニズム、3GPP2 Cdma2000およびUMBセキュリティメカニズムを含む。フレームフォーマット、プロトコル交換、およびセキュリティ方法(たとえば、暗号化および認証)は、関連する標準および刊行物において指定されるが、セキュリティアソシエーションを確立するための、および暗号化アルゴリズムをネゴシエーションするための特定のメカニズムは、しばしば著しい実装の変形形態の影響を受けやすい。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】IETF Network Working Group、Request for Comments No.3775(RFC 3775)
【非特許文献2】インターネット技術標準化委員会(IETF)RFC3344
【非特許文献3】IETF RFC2104
【非特許文献4】IETF RFC3748
【非特許文献5】RFC4187(EAP−AKA)
【非特許文献6】RFC2716(EAP−TLS)
【非特許文献7】RFC4306、セクション3.1
【非特許文献8】X.S0047「Mobile IPv6 Enhancement」、3GPP2 TSG−S WG−4寄稿「S40−20070514−007R1_QCOM−KDDI−Starent−NEC−Futjisu−Hitachi−CTC_WLAN_IW_for_2G_R−UIM.doc」
【発明の概要】
【発明が解決しようとする課題】
【0004】
IPアドレス指定が可能ないずれか2つのネットワークノード間の交換をセキュリティ保護するための、ある代表的なネットワーク層セキュリティメカニズムは、インターネットキー交換(IKE、バージョン1または2)手順に結合されたIPSec手順の使用に依存する。このネットワーク層セキュリティメカニズムは、たとえばIPv6(インターネットプロトコル、バージョン6)対応装置のための一般的な移動性管理プロトコルである、Mobile IPv6で使用され、これはIETF Network Working GroupのRequest for Comments No.3775(RFC 3775)で説明されており、その教示を参照により本明細書に組み込む。Mobile IPv6では、パケットをモバイルエンドポイントへ、およびそれからルーティングおよび転送できるようにするために、制御メッセージ(バインディングアップデート、およびバインディング確認と呼ばれる)がモバイルエンドポイントとホームエージェントとの間で交換される。制御メッセージをセキュリティ保護するためにIPSecを使用するオプションがMobile IPv6に明記されているが、セキュリティアソシエーションを確立するための、および関連するセッションキーを提供するための特定の手順は、開発および革新の余地がある。
【課題を解決するための手段】
【0005】
本発明の実施形態は、2つ以上のネットワークノード間に安全な通信を確立するための方法を提供する。一実施形態では、本発明の方法は:(A)モバイルノード(MN)と認証、認可、アカウンティング(AAA)サーバとの間にアクセス層セキュリティアソシエーション(SA)を確立するステップと、(B)アクセス層SAに対応する拡張マスタセッションキー(EMSK)から2次キーを導出するステップと、(C)ホームエージェントに2次キーを提供するステップと、(D)2次キーに基づいて、ホームエージェントと選択されたネットワークノードとの間の通信をセキュリティ保護するために、アクセス層より上位の開放型システム間相互接続(OSI)層に対応するSAを確立するステップとを有する。さまざまな実施形態では、選択されたネットワークノードは(i)MN、(ii)MNの代わりに構成されたプロキシノード、または(iii)ホームエージェントの代わりに構成されたプロキシノードでよい。
【0006】
一実施形態によれば、ネットワークの2つ以上のノード間に安全な通信を確立するための本発明の方法は:(A)クライアントとネットワークサーバとの間に第1セキュリティアソシエーション(SA)を確立するステップであって、第1SAがアクセス層SAであるステップと、(B)クライアントおよびネットワークサーバのそれぞれで、第1SAに対応するキーから2次キーを導出するステップと、(C)第1ネットワークノードで、ネットワークサーバから2次キーを取得するステップと、(D)2次キーを使用して第1ネットワークノードと第2ネットワークノードとの間に第2SAを確立するステップであって、第2ネットワークノードが2次キーを所有するステップとを含む。
【0007】
他の実施形態によれば、本発明は:(A)クライアントと、(B)ネットワークサーバとを含むネットワークのノードであって、(i)クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、(ii)クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークのノードがさらに、(C)ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、第2ネットワークノードが2次キーを所有するノード、ネットワークのノードを提供する。このノードは、クライアント、ネットワークサーバ、第1ネットワークノード、および第2ネットワークノードのうちの1つである。
【0008】
他の実施形態によれば、本発明のネットワークは:(A)クライアントと、(B)ネットワークサーバとを含み、(i)クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、(ii)クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークがさらに、(C)ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、第2ネットワークノードが2次キーを所有する。
【0009】
本発明の他の諸態様、諸特徴、および諸利益は、以下の詳細な説明、添付の特許請求の範囲、および添付の図面より十分に明らかになるだろう。
【図面の簡単な説明】
【0010】
【図1】本発明の方法が実行されうるネットワークを示すブロック図である。
【図2】本発明の一実施形態による、セキュリティアソシエーション(SA)をセットアップする方法を示す流れ図である。
【図3】本発明の一実施形態による、図2に示した方法において使用されうるブートストラッピング方法を示す流れ図である。
【図4】本発明の他の実施形態による、SAをセットアップするための方法を示す図である。
【発明を実施するための形態】
【0011】
図1は、本発明の方法が実行されうるネットワーク100のブロック図を示している。ネットワーク100は、無線リンクを有する代表的なネットワークである。当業者は、本発明の方法が、1つまたは複数の無線リンクを有する、異なるように構成されたネットワークにおいて、およびさまざまな有線ネットワークにおいても実行されうることが理解できるだろう。
【0012】
ネットワーク100は、モバイルノード(MN)110を有し、それはたとえばラップトップ型コンピュータ、携帯情報端末、またはセルラー式電話でよい。MN110は無線リンクを介して基地局(BTS)120に接続されており、BTS120は有線リンクを介してネットワーク100の他の諸要素にさらに接続されている。典型的には、BTS120は、MN110と類似する複数のモバイルノードを有する無線セルをサポートするように構成されている。無線ネットワークコントローラ(RNC)130は、BTS120、およびそのRNSに接続されたBTS120と類似する他の基地局の制御を担当する。RNC130は、無線リソース管理、およびある種の移動性管理機能を実行する。RNC130は、パケットデータサービングノード(PDSN)140に、およびローカルネットワークドメイン150を介して認証、認可、アカウンティング(AAA)サーバ160aに、さらに接続されている。
【0013】
PDSN140は、MN110にインターネット、イントラネット、およびアプリケーションサーバへのアクセスを提供して、アクセスゲートウェイの役割を果たす。たとえば、PDSN140は、通常のインターネットプロトコル(IP)アクセスおよび/またはモバイルIPアクセス、フォーリンエージェントのサポート、ならびに仮想プライベートネットワーキング(VPN)のためのパケットトランスポートを提供するように構成されうる。PDSN140は、PDSNがホームネットワークドメイン170を介して接続されているAAAサーバ160bなどの、AAAサーバにとってのクライアントの役割も果たす。PDSN140はホームエージェント(HA)180にさらに接続されている。
【0014】
それぞれのAAAサーバ160a〜bは、アクセス制御のために構成されたネットワークサーバである。AAAサーバ160の認証機能は、MN110などのユーザを識別する。AAAサーバ160の認可機能は、正規ユーザがどのリソースおよびサービスにアクセスできるかを決定するポリシーを実装する。AAAサーバ160のアカウンティング機能は、課金および分析のために、それぞれのユーザによる使用時間およびデータリソース利用の経過を追う。
【0015】
HA180は、たとえばMNの気付アドレス内で識別されたような、MN110の現在位置についての情報を維持するホームネットワークドメイン170上のルータである。HA180は、MN110への、およびそれからのトラフィックを誘導するためにトンネリングメカニズムを使用するように構成されている。HA180は、対応するフォーリンネットワークドメイン上のルータである、フォーリンエージェント(図1には明確に図示せず)と連動して動作してよい。フォーリンおよびホームエージェント、ならびにそれらの機能のさらなる説明は、たとえばインターネット技術標準化委員会(IETF)RFC3344に出ており、その教示を参照により本明細書に組み込む。
【0016】
ネットワーク100はファイアウォール190に接続されており、ファイアウォール190は、あらかじめ定められたセキュリティポリシーにしたがって、ネットワーク100と他の(たとえば民間企業の)ネットワーク(図1には明確に図示せず)との間のアクセスを制限するように構成されている。MN110は、たとえば適切なVPN手順を使用して、ファイアウォールされたネットワークのノードとの接続を確立できる。
【0017】
同様に本発明の方法が実行されうるUMB/CAN(Ultra Mobile Broadband/Converged Access Network)フラットネットワークアーキテクチャを示すブロック図は、PDSN140をアクセスゲートウェイ(AGW)サーバと置換することによって、図1に示されたブロック図から取得されうる。さらに、RNC130がシグナリングRNCになる。後者は、BTSまたはAGWサーバに統合されうる論理ネットワーク要素である。
【0018】
図2は、本発明の一実施形態による、セキュリティアソシエーション(SA)をセットアップする方法200の流れ図を示している。例示の目的のために、方法200はネットワーク100(図1)を参照して説明される。当業者は、方法200が他の適切なネットワーク、たとえばUMB/CANネットワークに同様に実装されうることが理解できるだろう。方法200は一般的な適用性を有し、標準でもプロトコル特有でもない。
【0019】
一般に、SAは2つのネットワーク要素間の単向接続であり、その単向接続によって搬送されたトラフィックにセキュリティサービスを与えるものと定義される。典型的な双方向通信をセキュリティ保護するためには、一般に2つのSA(それぞれの方向に1つ)が使用される。SAは、対応する標準またはプロトコルによって定義された、1組のSA属性によって識別される。このような1組の一例は、セキュリティパラメータインデックス(SPI)、IP宛先アドレス、およびセキュリティプロトコル識別子からなる3部構成である。SPIは、カーネルが異なるトラフィックストリームを見分けるのを助けるパケットヘッダに追加された識別タグである。一般的に言えば、SPIは、特定のセキュリティプロトコルに関するSAのための識別子であり、それぞれのセキュリティプロトコルはそれ自体のSPI領域を有する。IP宛先アドレスは、ユニキャストアドレス、IPブロードキャストアドレス、またはマルチキャストグループアドレスでもよい。ある種の既存のSA管理メカニズムはユニキャストSAのためだけに定義されているが、本発明のブートストラッピング方法のさまざまな実施形態は、一般にポイントツーポイントおよびポイントツーマルチポイントSAの両方に適用可能である。例示的なセキュリティプロトコルは、認証ヘッダ(AH)およびカプセル化セキュリティペイロード(ESP)プロトコルである。
【0020】
方法200のステップ202で、ネットワーク100がネットワークアクセス認証を実行する。より詳細には、たとえばオンライン状態になった後、MN110(クライアント)がネットワーク100との登録手順を実行する。登録手順は当分野で一般に知られており、典型的には乱数および共有秘密キーを使用する相互認証(または一方向認証)を含む。もっとも一般的な認証形式はユーザ名およびパスワードであるが、この形式が提供するセキュリティのレベルは比較的低い。比較的高いセキュリティレベルに達するために、通常VPNはデジタル証明書およびデジタル署名を使用する。ステップ202は、AAAサーバ160のうちの1つ、あるいはそれぞれのAAAサーバにとってプロキシの役割を果たすRNC130またはPDSN140によって実行されうる。
【0021】
ステップ204で、MN110およびAAAサーバ160はアクセスキーの合意に達する。より詳細には、MN110およびAAAサーバ160は、別々にマスタセッションキー(MSK)および拡張マスタセッションキー(EMSK)を計算する。この時点で、MN110とAAAサーバ160との間にアクセス層SAが作成されたことになる。MSKは、MN110にネットワークアクセスサービスを提供するネットワーク要素、たとえばPDSN140と共有される。一方、EMSKはMN110およびAAAサーバ160だけに知られ、他のどのようなネットワーク要素とも共有されない。
【0022】
ステップ206で、MN110およびAAAサーバ160はEMSKを使用して、そこから、以下では2次キーと呼ばれる追加のキーイング材料を導出する。2次キーは、互いに暗号で隔離されている点に留意されたい。このような2次キーのうちの1つまたは複数が導出されうる。MN110およびAAAサーバ160は、2次キーごとにそれぞれのSPIも導出する。それぞれのこのようなSPIは、実質的に、対応する2次キーへのポインタである。2次キーおよびSPIを導出する方法は当分野で知られており、1次キー材料および追加の知られているパラメータを、HMAC−SHA1などの暗号一方向疑似ランダム関数で処理することを含んでよい。このような関数は、たとえばIETF RFC2104で説明されており、その教示を参照により本明細書に組み込む。
【0023】
ステップ208で、ステップ206で導出した2次キーのうちの1つまたは複数、および対応するSPIのうちの1つまたは複数を使用して、ネットワーク100の2つのノードがそれらの間にSAを作成する。それらの2つのノードは、MN110、PDSN140、およびAAAサーバ160のうちの少なくとも1つを含んでも含まなくてもよい点に留意されたい。たとえばステップ208で、MN110は、たとえばHA180などの、ネットワーク100のどのような所望の装置または要素とのSAも作成できる。あるいは、MN110の代わりに機能する他のネットワークノード、たとえばプロキシサーバ(図1には明確に図示せず)が、ステップ208でHA180とのSAを作成できる。ステップ208で作成されたSAは、アクセス層より上位のどのようなOSI層にも対応できる。それらの上位層は、昇順でネットワーク層、トランスポート層、セッション層、プレゼンテーション層、およびアプリケーション層である。実際には、2つの適切に認証されたネットワークノードが、新しいSAを、ステップ204で確立されたMN110とAAAサーバ160との間のアクセス層SAにブートストラップする。
【0024】
本明細書では、「ブートストラップ」という用語は、一般に新しいセキュリティ構成を確立するためにネットワークエンティティが利用可能なセキュリティ構成を使用する処理を意味する。たとえば、ネットワークエンティティAとBとの間に確立されたSAがある場合、AともBとも異なるネットワークエンティティCがネットワークエンティティDとの新しいSAを確立するために、そのSAを使用できる。ネットワークエンティティDは、ネットワークエンティティAおよびBのうちの1つを含んでも含まなくてもよい。
【0025】
図3は、本発明の一実施形態による、方法200のステップ208を実装するために使用されうるブートストラッピング方法308の流れ図を示している。例示の目的のために、方法308は、MN110(クライアント)とHA180(関連ノード)との間にSAを作成することを参照して説明される。当業者は、SAが他の適切なネットワークエンティティ間に同様に作成されうることが理解できるだろう。方法308はどちら側からも開始されうる。以下の説明では、MN100およびHA180は、それぞれイニシエータおよびレスポンダと仮定される。その逆も可能である。
【0026】
方法308のステップ310で、MN110(クライアント、イニシエータ)は、適切に選択されたOSI層に対応する所望のセキュリティアソシエーションを確立する目的で、HA180(関連ノード、レスポンダ)とコンタクトをとる。このステップで暗に意味されるのは、MN110およびHA180は、そのOSI層内に有効なそれぞれのアイデンティティを所有するということである。ステップ310に対応するメッセージ交換の間、MN110およびHA180は、自身のアイデンティティを互いに示す。メッセージ交換をセキュリティ保護するために、当分野で知られているように、MN110およびHA180は、たとえば認証されていないDiffie−Hellman手順に基づいて、一時的なセキュリティアソシエーションを確立してよい。言い換えれば、このセキュリティアソシエーションは、互いの予備知識なしに、したがって互いのアイデンティティを確認できずに、2つの通信ノード間で確立されることになる。
【0027】
ステップ312で、MN110(クライアント)は、方法200のステップ206で生成された対応する2次キーを指すSPIを選択する。次いで、選択されたSPIがHA180(関連ノード)に伝えられる。さらに、MN110は自身のアクセス層アイデンティティをHA180に知らせる。AAAサーバ160はMN110のアクセス層アイデンティティを知っている点に留意されたい。典型的には、MN110のアクセス層アイデンティティは、適切なAAAサーバ160を識別する情報も含む。
【0028】
ステップ314で、HA180(関連ノード)が識別されたAAAサーバ160とコンタクトをとって、ステップ312でMN110によって選択されたSPIに対応する2次キーを要求する。ステップ314は、プロキシサーバとコンタクトをとるステップをさらに含んでよく、次いでプロキシサーバはその要求を適切なAAAサーバ160にルーティングする。
【0029】
ステップ316で、AAAサーバ160はその要求を処理して、要求された2次キーをHA180(関連ノード)に送信する。このステップは、2次キーを求める最初の要求をルーティングしたプロキシサーバを介して、要求された2次キーを戻すステップを含んでよい。AAAサーバ160およびプロキシサーバは、AAAサーバからプロキシサーバに2次キーを安全に転送するために、両者間に前から存在するSAを使用してもよく、新しいSAを作成してもよい。同様に、プロキシサーバおよびHA180は、プロキシサーバからHAに2次キーを安全に転送するために、前から存在するSAを使用してもよく、新しいSAを作成してもよい。HA180とAAAサーバ160/プロキシサーバとの間の交換のフォーマットは、標準フォーマットを含んでもよく、ベンダ独自の拡張を含んでもよい。
【0030】
ステップ318で、2次キー受信について、HA180(関連ノード)がMN110(クライアント)に確認を送信する。確認の後、MN110およびHA180のそれぞれは、適切なキー交換プロトコル(たとえばIKE)の残りの部分を完了して、MNとHAとの間の後続のトラフィックのためのキーを2次キーから導出する。この導出後、MN110およびHA180は適切な共有秘密キーを所有し、それによって所望のSAを確立したことになる。MN110とHA180との間のさらなるトラフィックは、このSAを使用して伝送される。
【0031】
図4は、本発明の他の実施形態による、SAをセットアップする方法400を示している。方法400は、Mobile IPv6(MIPv6)対応ネットワークのために設計されており、一般に適用可能な方法200の代表的なプロトコル独自の実施形態と考えられる。MIPv6のもとで、モバイルクライアント(たとえばMN110)は、訪問したネットワークのサブネットに基づいて、同じ場所に配置された気付アドレス(CoA)を計算する。次いで、モバイルクライアントは、ホームエージェント(たとえばHA180)からIPv6ホームアドレスを取得して、同時にホームエージェントでCoAとホームアドレスとをバインドする。このバインディング手順は、モバイルノードとホームエージェントとの間に事前に確立されたIPSecトンネルを使用してセキュリティ保護されてよい。方法400は、モバイルノードとホームエージェントとの間にIPSecセッションのための安全なセッションキーを確立するための、ブートストラッピング手順を提供する。
【0032】
例示の目的のために、方法400は、ネットワーク100内のMN110とHA180との間にSAを作成することを参照して説明される(図1参照)。当業者は、方法400は(i)2つの他の適切なネットワークエンティティ間のSAの作成、および/または(ii)他のネットワークアーキテクチャに同様に適用可能であることを理解するだろう。対応する従来技術の方法と比較して、方法400の諸利点および諸利益をよりよく説明するために、まずMN110とHA180との間にSAを作成する典型的な従来技術の方法の簡単な説明を行う。この説明に続いて、方法400の詳細な説明を行う。
【0033】
MN110とHA180との間にSAを作成する典型的な従来技術の方法には2つのフェーズがある。フェーズ1で、MN110およびHA180の相互認証を行う。このフェーズは、Internet Security Association Key Management Protocol(ISAKMP)として知られているSAを確立する。フェーズ2で、MN110とHA180との間に所望のIPSec SAをセットアップする。
【0034】
フェーズ1ネゴシエーションは、たとえば以下のように6つのメッセージで実行されうる。メッセージ1で、MN110は、クッキーおよびMNがサポートする暗号アルゴリズムのリストをHA180に送信する。メッセージ2で、HA180は、自身のクッキーおよびHAがサポートする暗号アルゴリズムのリストで応答する。メッセージ3および4はDiffie−Hellman交換である。メッセージ5で、MN110は自身のアイデンティティをHA180に示す。メッセージ6で、HA180が同様に自身のアイデンティティをMN110に示す。
【0035】
フェーズ2ネゴシエーションは、どちら側によっても開始されうる。例示の目的のために、MN110およびHA180は、それぞれイニシエータおよびレスポンダと仮定される。フェーズ2のメッセージ1で、MN110は、(i)フェーズ1の間に生成された1対のクッキー(以下ではXと表される)、(ii)フェーズ2とフェーズ1を区別する32ビット数(以下ではYと表される)、(iii)提案された暗号パラメータ(PCP)のリスト、(iv)ノンス、(v)Diffie−Hellman値、および(vi)送信されるべきトラフィックの任意の記述を、HA180に送信する。メッセージ2で、HA180は(i)X、(ii)Y、(iii)容認された暗号パラメータのリスト(ACP)、(iv)HAのSPIオーセンティケータ、(v)それぞれのノンス、(vi)それぞれのDiffie−Hellman値、および(vii)送信されるべきトラフィックの任意の記述を、MN110に送信する。メッセージ3で、MN110は、(i)X、(ii)Y、および(iii)確認をHA180に送信する。この時点で、MN110およびHA180は所望のSAを確立したことになり、さらなるトラフィックはこのSAを使用して継続する。
【0036】
次に図4を参照すると、MN110、HA180、およびAAAサーバ160のそれぞれから下方に延びるそれぞれの縦軸が、増加する時間を表している。2つのそれぞれの時間線をつなぐ水平方向の矢印のそれぞれは、対応するノード間で伝送されたそれぞれのメッセージを表している。水平方向のボックス402は、一般に方法200のステップ202に対応するアクセス層認証手順を表している。双方向矢印428は、所望のSAが確立された後の、MN110とHA180との間のバインディングアップデート(BU)およびバインディング確認(BA)を搬送するトラフィックを表している。楕円形のそれぞれは、それぞれの方法ステップを表している。
【0037】
手順402の間、AAAサーバ160はMN110に完全な拡張認証手順(EAP)を実行する。EAPは、たとえばIETF RFC3748で説明されており、その教示を参照により本明細書に組み込む。相互に認証されたセキュリティアソシエーションを生成する、すなわちMSKおよびEMSKを生成する特定のEAP方法は、RFC4187(EAP−AKA)およびRFC2716(EAP−TLS)で説明された方法を含むが、これに限定されない。次いで、AAAサーバ160が、MN110がネットワークサービスを使用するためにセキュリティアソシエーションに入ることが認可されるかどうかを検査する。アクセス認証および認可が成功した後、ステップ404a〜bで、MN110およびAAAサーバ160はMSKおよびEMSKを計算する。ステップ406a〜bで、MN110およびAAAサーバ160は、EMSKをソースキー材料として使用して、本明細書でMIP_IKEと表される追加キーを導出する。この追加キーは、MIPv6セキュリティのためのルートキーとして使用されることになる。さらに、MN110およびAAAサーバ160は、対応するSPI(本明細書ではSPImと表される)を導出する。SPImは、EMSKかEMSKの方向微分係数のうちのどちらか1つをソースマテリアルとして使用して計算される。その結果、MIP_IKEおよびSPImは、互いに暗号で隔離されながら、直接関連付けられる。ステップ404aおよび406aは、それぞれステップ404bおよび406bと並行して実行される点に留意されたい。ステップ404および406は一般に、それぞれ方法200のステップ204および206と対応する。
【0038】
メッセージ410、412、および416〜422、ならびにステップ408、414、424、および426は、IKEv2(IKEバージョン2)のための事前共有キーを取得することに向けられたブートストラッピング手順を表している。このブートストラッピング手順は、一般に方法200のステップ208に対応する。
【0039】
ステップ408で、MN110はAAAサーバ160からHA180のIPアドレスを取得し、また、訪問したネットワークゲートウェイからのアドバタイズメントに基づいて同じ場所に配置されたCoAも計算する。同じ場所に配置されたCoAは、MN110のネットワーク層アイデンティティである。HA180のIPアドレスは、HAのアイデンティティの役割を果たす。
【0040】
メッセージ410で、MN110はHA180に以下の属性を送信する:HDR、SAi1、Kei、およびNi。HDRは、(i)ステップ402のEAP手順の結果、導出されたSPI、(ii)バージョン番号、および(iii)適切なフラッグを含む。特に、HDRは2つのSPIフィールドを含む:(1)SPIiと表される、イニシエータ(MN110)のSPI、および(2)SPIrと表される、レスポンダ(HA180)のSPI。レスポンダでのSPIiの衝突を防ぐために、SPIiフィールドは4オクテットのSPImを含み、残りのフィールドはMNの同じ場所に配置されたCoAで満たされる。メッセージ410内のSPIrフィールドはゼロで満たされる。SAi1ペイロードは、イニシエータがIKESAのためにサポートする暗号アルゴリズムを提示する。KEiペイロードは、イニシエータのDiffie−Hellman値を含む。Niはイニシエータのノンスである。
【0041】
メッセージ412で、HA180(レスポンダ)は以下の属性をMN110(イニシエータ)に送り返す:HDR、SAr1、KEr、およびNr。HA180は、メッセージ410のSAi1ペイロードから暗号スイートを選択して、その選択をメッセージ412のSAr1ペイロード内で表す。メッセージ412のKErペイロードは、MN110とのDiffie−Hellman交換を完了する。Nrはレスポンダのノンスである。メッセージ412のHDR内のSPIrフィールドは乱数値で満たされ、したがって、連結されたSPIi|SPIrの組合せの一意性を確実にする。
【0042】
ステップ414a〜bで、MN110およびHA180は、IKE SAのためのすべてのキーがそこから導出されるキーである、SKEYSEEDを別々に生成する。ヘッダを除いて、メッセージ416および422のコンテンツは暗号化されて、完全性が保護される。暗号化および完全性保護のために使用されるキーはSKEYSEEDから導出されて、SK_e(暗号化)およびSK_a(完全性保護として知られる認証)として知られる。SK_eおよびSK_aの別個のペアが、それぞれの方向ごとに計算される。メッセージ416および422のコンテンツを指定するためにSK{ペイロード}が使用する表記法は、そのペイロードがその方向のSK_eおよびSK_aを使用して暗号化および完全性保護されていることを示す。ステップ414a−bで、SK_eおよびSK_aに加えて、他の量(SK_dと表される)が導出されて、その後、子SAのためのさらなるキーイング材料の導出に使用される。
【0043】
メッセージ416で、MN110がHA180に以下の属性を送信する:HDRおよびSK{IDi、AUTH、SAi2、TSi、TSr}。HDRパラメータは、たとえばRFC4306のセクション3.1で説明されており、その教示を参照により本明細書に組み込む。IDiペイロードは、登録されるべきMNのネットワークアクセス識別子(NAI)を含む。AUTHペイロードは、IDiに対応する秘密の知識を証明するために、およびメッセージ416のコンテンツの完全性保護のために使用される。AUTHペイロードは、ステップ406で生成されたキーMIP_IKEで署名される。SAi2ペイロードは、子SAのネゴシエーションを開始するために使用される。TSiおよびTSrは、それぞれイニシエータおよびレスポンダに対応するIPsecトラフィックのためのトラフィックセレクタである。
【0044】
MN110からメッセージ416を受信すると、HA180はまずそのデータベースをHDRフィールド内のCoAおよびSPIiで調べる。データベース内に対応するキーが見つからない場合、HA180は、SPImおよびMNのNAIを含むメッセージ418をAAAサーバ160に送信して、キーMIP_IKEを取得する。AAAサーバ160は、受信したSPImおよびNAIを使用して、ステップ406で生成されたMIP_IKEを見つける。次いで、AAAサーバ160は、メッセージ420内でMIP_IKEをHA180に返す。MIP_IKEを受信すると、HA180はAUTHを検証できる。CoAおよびSPIiに対応するキーがデータベース内で見つかると、メッセージ418および420は送信されず、HA180は直接AUTHを検証しようとすることに進む。
【0045】
AUTHの検証が成功した場合、次いでHA180は、以下の属性を有するメッセージ422をMN110に送信する:HDRおよびSK{IDr、AUTH、SAr2、TSi、TSr}。HDRパラメータは、たとえばRFC4306のセクション3.1で説明されている。IDrペイロードはHAのアイデンティティをアサートする。AUTHペイロードは、HAのアイデンティティを認証して、メッセージ422の完全性を保護するために使用される。AUTHペイロードは、ステップ406で生成されたキーMIP_IKEで署名される。TSiおよびTSrは、子SAのネゴシエーションを完了するために使用される。AUTHの検証に失敗した場合、子SAの作成ができず、その手順は終了する。ブートストラッピングの失敗は、ブートストラップされたリンク層SAの失敗を意味し、関連するエンティティのうちの少なくともの1つが、ブートストラップされた秘密の知識を偽造しており、他のエンティティとの安全な通信内にいるための正当な権限を有していないことを間接的に示すことがある。
【0046】
ステップ424で、MN110はメッセージ422のAUTHペイロードを検証して、IDrペイロード内の名前はAUTHペイロードの生成に使用されたキーに対応するとアサートする。次に、MN110とHA180の両方が、キーSK_d(ステップ414参照)からIPSecセッションキーを導出することができ、それは、それぞれステップ426a〜bで行う。SK_dを導出すると、MN110およびHA180は所望の子SAを確立したことになる。このSAはMN110とHA180との間の後続の通信、たとえばステップ428のBU/BAメッセージをセキュリティ保護するために使用される。
【0047】
いくつかの従来技術の3GPP2文書、たとえば、X.S0047「Mobile IPv6 Enhancement」、3GPP2 TSG−S WG−4寄稿「S40−20070514−007R1_QCOM−KDDI−Starent−NEC−Futjisu−Hitachi−CTC_WLAN_IW_for_2G_R−UIM.doc」は、フェーズ1とフェーズ2との間で、IKEv.2手順内でEAPプロトコルを実行することを要求する方法を説明している。この実行されたEAP(特にEAP−AKA)はMSKキーを生成し、子SAを作成するためのIKEv.2フェーズ2によって使用される。このような推奨された方法は、IKEv2フェーズ1が開始する前にすでに実行されたEAP手順を事実上繰り返して、余計な混乱および少なくとも6つの余分なメッセージを処理に追加する。従来技術より有利なことに、方法400の代表的な実施形態は、このような繰り返しをすることなくアクセス層SAからすでに入手可能なEMSKベースのキーイング材料を利用する。
【0048】
一実施形態では、Proxy Mobile IPv6の手順のために、アクセス層SAおよびIPSecSAをブートストラップするために方法400が使用されうる。たとえば、MN110のために、アクセスノード(たとえばBTS120またはPDSN140)でプロキシモバイルノード(P−MN)が確立されうる。次いで、有利なことにネットワーク内にあるP−MNが、MN110の代わりにMIPv6移動性管理手順を実行できる。この状況では、リンク認証およびアクセスノードへのMSKの分散に加えて、AAAサーバ160は、P−MNが方法400のブートストラッピング手順を実行できるようにするために、導出されたキー(MIP_IKE)をP−MNに配信もする。
【0049】
他の実施形態では、MN110は導出されたキー(MIP_IKE)および対応するセキュリティパラメータインデックス(SPIm)を使用して、ネットワーク層SA、またはトランスポート層SAと、非IMSアプリケーションのためのプロキシセッション開始プロトコル(SIP)登録サーバとのブートストラップを確立でき、ここではIMSは、3GPPの標準ファミリ(たとえば、3GPP2のためのマルチメディアドメインを参照)によって標準化された、IPマルチメディアサブシステムとして知られるサービスアーキテクチャを指す。IMSがさまざまなIPサービスに呼およびセッション制御を提供するための一般的なフレームワークである一方で、ネットワークオペレータは非IMSサービスを含めることにも関心を持ち続けている。
【0050】
例示的実施形態を参照して本発明を説明してきたが、この説明は限定的な意味で解釈されるべきものではない。以下の特許請求の範囲で表されるように、説明した実施形態のさまざまな変更形態、ならびに本発明に関連する分野の当業者に明らかな本発明の他の実施形態が、本発明の原理および範囲内にあると見なされる。
【0051】
本発明は、これらの方法を実行するための方法および装置の形で実施されうる。本発明は、フロッピー(登録商標)ディスク、CD−ROM、ハードドライブ、または他の何らかの機械可読の記憶メディアなどの、有形メディア内で実施されるプログラムコードの形でも実施することができ、それらの有形メディアでは、コンピュータまたはプロセッサなどの機械によってプログラムコードがロードされて実行されると、その機械は本発明を実行するための装置になる。本発明は、たとえば記憶メディア内に格納されたプログラムコード、機械によってロードおよび/または実行されたプログラムコード、あるいは電気配線またはケーブルを介して、光ファイバを通じて、または電磁放射を介してなど、何らかの伝送メディアまたはキャリアを介して伝送されたプログラムコードの形でも実施することができ、コンピュータなどの機械によってプログラムコードがロードされて実行されると、その機械は本発明を実行するための装置になる。汎用プロセッサに実装されると、プログラムコードセグメントはプロセッサを結合して、特定の論理回路を同様に作動する一意の装置を提供する。
【0052】
本明細書で説明した例示的方法の諸ステップは、必ずしも説明した順序で実行される必要はないことが理解されるべきであり、このような方法の諸ステップの順序は単なる例示であることが理解されるべきである。同様に、本発明のさまざまな実施形態に一致する方法にこのような方法に追加の諸ステップが含まれてよく、特定の諸ステップが省略または結合されてよい。
【0053】
以下の方法クレームにおける諸要素は、もしあれば、対応するラベリングとともに特定の順序で列挙されているが、クレームの列挙がそれらの諸要素のうちのいくつかまたはすべてを実装するための特定の順序を含意しない限り、それらの諸要素は必ずしもその特定の順序で実装されることに限定されることを意図しない。
【0054】
本明細書における、「一実施形態」または「ある実施形態」への言及は、実施形態に関連して説明された特定の特徴、構成、または特性が、本発明の少なくとも1つの実施形態に含まれうることを意味する。明細書のさまざまな場所に出現する「一実施形態では」という語句は、必ずしもすべてが同じ実施形態を参照するものではなく、必ずしも他の実施形態と相互排他的な別々のまたは代替の実施形態でもない。同じことが「実装」という用語にも適用される。
【0055】
また、この説明のために、「結合する」、「結合している」、「結合された」、「接続する」、「接続している」、または「接続された」という用語は、2つ以上の要素間でエネルギーが転送されうる、当技術分野で知られている、または後に開発されたどのような方法も指し、1つまたは複数の追加の諸要素の介在が、必要ではないが企図される。逆に、「直接結合された」、「直接接続された」などの用語は、このような追加の諸要素がないことを含意する。
【技術分野】
【0001】
本発明はネットワークに関し、より詳細にはネットワークセキュリティに関する。
【背景技術】
【0002】
現代のデータネットワーキング標準は、実質的に開放型システム間相互接続(OSI)スタックのすべての層で、通信ネットワークノードのためのセキュリティ機能をサポートする。たとえば、OSIアプリケーション層はセキュアリアルタイムトランスポートプロトコル(SRTP)セキュリティメカニズムを使用でき、OSIトランスポート層はセキュアソケットレイヤ(SSL)および/またはトランスポートレイヤセキュリティ(TLS)メカニズムを使用でき、OSIネットワーク層はインターネットプロトコルセキュリティ(IPSec)メカニズムを使用できる。OSIリンク(またはアクセス)層セキュリティメカニズムは、使用されたリンク層標準に依存し、およびそれ特有であり、たとえばIEEE802セキュリティメカニズム、3GPP UMTSおよびGSMセキュリティメカニズム、3GPP2 Cdma2000およびUMBセキュリティメカニズムを含む。フレームフォーマット、プロトコル交換、およびセキュリティ方法(たとえば、暗号化および認証)は、関連する標準および刊行物において指定されるが、セキュリティアソシエーションを確立するための、および暗号化アルゴリズムをネゴシエーションするための特定のメカニズムは、しばしば著しい実装の変形形態の影響を受けやすい。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】IETF Network Working Group、Request for Comments No.3775(RFC 3775)
【非特許文献2】インターネット技術標準化委員会(IETF)RFC3344
【非特許文献3】IETF RFC2104
【非特許文献4】IETF RFC3748
【非特許文献5】RFC4187(EAP−AKA)
【非特許文献6】RFC2716(EAP−TLS)
【非特許文献7】RFC4306、セクション3.1
【非特許文献8】X.S0047「Mobile IPv6 Enhancement」、3GPP2 TSG−S WG−4寄稿「S40−20070514−007R1_QCOM−KDDI−Starent−NEC−Futjisu−Hitachi−CTC_WLAN_IW_for_2G_R−UIM.doc」
【発明の概要】
【発明が解決しようとする課題】
【0004】
IPアドレス指定が可能ないずれか2つのネットワークノード間の交換をセキュリティ保護するための、ある代表的なネットワーク層セキュリティメカニズムは、インターネットキー交換(IKE、バージョン1または2)手順に結合されたIPSec手順の使用に依存する。このネットワーク層セキュリティメカニズムは、たとえばIPv6(インターネットプロトコル、バージョン6)対応装置のための一般的な移動性管理プロトコルである、Mobile IPv6で使用され、これはIETF Network Working GroupのRequest for Comments No.3775(RFC 3775)で説明されており、その教示を参照により本明細書に組み込む。Mobile IPv6では、パケットをモバイルエンドポイントへ、およびそれからルーティングおよび転送できるようにするために、制御メッセージ(バインディングアップデート、およびバインディング確認と呼ばれる)がモバイルエンドポイントとホームエージェントとの間で交換される。制御メッセージをセキュリティ保護するためにIPSecを使用するオプションがMobile IPv6に明記されているが、セキュリティアソシエーションを確立するための、および関連するセッションキーを提供するための特定の手順は、開発および革新の余地がある。
【課題を解決するための手段】
【0005】
本発明の実施形態は、2つ以上のネットワークノード間に安全な通信を確立するための方法を提供する。一実施形態では、本発明の方法は:(A)モバイルノード(MN)と認証、認可、アカウンティング(AAA)サーバとの間にアクセス層セキュリティアソシエーション(SA)を確立するステップと、(B)アクセス層SAに対応する拡張マスタセッションキー(EMSK)から2次キーを導出するステップと、(C)ホームエージェントに2次キーを提供するステップと、(D)2次キーに基づいて、ホームエージェントと選択されたネットワークノードとの間の通信をセキュリティ保護するために、アクセス層より上位の開放型システム間相互接続(OSI)層に対応するSAを確立するステップとを有する。さまざまな実施形態では、選択されたネットワークノードは(i)MN、(ii)MNの代わりに構成されたプロキシノード、または(iii)ホームエージェントの代わりに構成されたプロキシノードでよい。
【0006】
一実施形態によれば、ネットワークの2つ以上のノード間に安全な通信を確立するための本発明の方法は:(A)クライアントとネットワークサーバとの間に第1セキュリティアソシエーション(SA)を確立するステップであって、第1SAがアクセス層SAであるステップと、(B)クライアントおよびネットワークサーバのそれぞれで、第1SAに対応するキーから2次キーを導出するステップと、(C)第1ネットワークノードで、ネットワークサーバから2次キーを取得するステップと、(D)2次キーを使用して第1ネットワークノードと第2ネットワークノードとの間に第2SAを確立するステップであって、第2ネットワークノードが2次キーを所有するステップとを含む。
【0007】
他の実施形態によれば、本発明は:(A)クライアントと、(B)ネットワークサーバとを含むネットワークのノードであって、(i)クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、(ii)クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークのノードがさらに、(C)ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、第2ネットワークノードが2次キーを所有するノード、ネットワークのノードを提供する。このノードは、クライアント、ネットワークサーバ、第1ネットワークノード、および第2ネットワークノードのうちの1つである。
【0008】
他の実施形態によれば、本発明のネットワークは:(A)クライアントと、(B)ネットワークサーバとを含み、(i)クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、(ii)クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークがさらに、(C)ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、第2ネットワークノードが2次キーを所有する。
【0009】
本発明の他の諸態様、諸特徴、および諸利益は、以下の詳細な説明、添付の特許請求の範囲、および添付の図面より十分に明らかになるだろう。
【図面の簡単な説明】
【0010】
【図1】本発明の方法が実行されうるネットワークを示すブロック図である。
【図2】本発明の一実施形態による、セキュリティアソシエーション(SA)をセットアップする方法を示す流れ図である。
【図3】本発明の一実施形態による、図2に示した方法において使用されうるブートストラッピング方法を示す流れ図である。
【図4】本発明の他の実施形態による、SAをセットアップするための方法を示す図である。
【発明を実施するための形態】
【0011】
図1は、本発明の方法が実行されうるネットワーク100のブロック図を示している。ネットワーク100は、無線リンクを有する代表的なネットワークである。当業者は、本発明の方法が、1つまたは複数の無線リンクを有する、異なるように構成されたネットワークにおいて、およびさまざまな有線ネットワークにおいても実行されうることが理解できるだろう。
【0012】
ネットワーク100は、モバイルノード(MN)110を有し、それはたとえばラップトップ型コンピュータ、携帯情報端末、またはセルラー式電話でよい。MN110は無線リンクを介して基地局(BTS)120に接続されており、BTS120は有線リンクを介してネットワーク100の他の諸要素にさらに接続されている。典型的には、BTS120は、MN110と類似する複数のモバイルノードを有する無線セルをサポートするように構成されている。無線ネットワークコントローラ(RNC)130は、BTS120、およびそのRNSに接続されたBTS120と類似する他の基地局の制御を担当する。RNC130は、無線リソース管理、およびある種の移動性管理機能を実行する。RNC130は、パケットデータサービングノード(PDSN)140に、およびローカルネットワークドメイン150を介して認証、認可、アカウンティング(AAA)サーバ160aに、さらに接続されている。
【0013】
PDSN140は、MN110にインターネット、イントラネット、およびアプリケーションサーバへのアクセスを提供して、アクセスゲートウェイの役割を果たす。たとえば、PDSN140は、通常のインターネットプロトコル(IP)アクセスおよび/またはモバイルIPアクセス、フォーリンエージェントのサポート、ならびに仮想プライベートネットワーキング(VPN)のためのパケットトランスポートを提供するように構成されうる。PDSN140は、PDSNがホームネットワークドメイン170を介して接続されているAAAサーバ160bなどの、AAAサーバにとってのクライアントの役割も果たす。PDSN140はホームエージェント(HA)180にさらに接続されている。
【0014】
それぞれのAAAサーバ160a〜bは、アクセス制御のために構成されたネットワークサーバである。AAAサーバ160の認証機能は、MN110などのユーザを識別する。AAAサーバ160の認可機能は、正規ユーザがどのリソースおよびサービスにアクセスできるかを決定するポリシーを実装する。AAAサーバ160のアカウンティング機能は、課金および分析のために、それぞれのユーザによる使用時間およびデータリソース利用の経過を追う。
【0015】
HA180は、たとえばMNの気付アドレス内で識別されたような、MN110の現在位置についての情報を維持するホームネットワークドメイン170上のルータである。HA180は、MN110への、およびそれからのトラフィックを誘導するためにトンネリングメカニズムを使用するように構成されている。HA180は、対応するフォーリンネットワークドメイン上のルータである、フォーリンエージェント(図1には明確に図示せず)と連動して動作してよい。フォーリンおよびホームエージェント、ならびにそれらの機能のさらなる説明は、たとえばインターネット技術標準化委員会(IETF)RFC3344に出ており、その教示を参照により本明細書に組み込む。
【0016】
ネットワーク100はファイアウォール190に接続されており、ファイアウォール190は、あらかじめ定められたセキュリティポリシーにしたがって、ネットワーク100と他の(たとえば民間企業の)ネットワーク(図1には明確に図示せず)との間のアクセスを制限するように構成されている。MN110は、たとえば適切なVPN手順を使用して、ファイアウォールされたネットワークのノードとの接続を確立できる。
【0017】
同様に本発明の方法が実行されうるUMB/CAN(Ultra Mobile Broadband/Converged Access Network)フラットネットワークアーキテクチャを示すブロック図は、PDSN140をアクセスゲートウェイ(AGW)サーバと置換することによって、図1に示されたブロック図から取得されうる。さらに、RNC130がシグナリングRNCになる。後者は、BTSまたはAGWサーバに統合されうる論理ネットワーク要素である。
【0018】
図2は、本発明の一実施形態による、セキュリティアソシエーション(SA)をセットアップする方法200の流れ図を示している。例示の目的のために、方法200はネットワーク100(図1)を参照して説明される。当業者は、方法200が他の適切なネットワーク、たとえばUMB/CANネットワークに同様に実装されうることが理解できるだろう。方法200は一般的な適用性を有し、標準でもプロトコル特有でもない。
【0019】
一般に、SAは2つのネットワーク要素間の単向接続であり、その単向接続によって搬送されたトラフィックにセキュリティサービスを与えるものと定義される。典型的な双方向通信をセキュリティ保護するためには、一般に2つのSA(それぞれの方向に1つ)が使用される。SAは、対応する標準またはプロトコルによって定義された、1組のSA属性によって識別される。このような1組の一例は、セキュリティパラメータインデックス(SPI)、IP宛先アドレス、およびセキュリティプロトコル識別子からなる3部構成である。SPIは、カーネルが異なるトラフィックストリームを見分けるのを助けるパケットヘッダに追加された識別タグである。一般的に言えば、SPIは、特定のセキュリティプロトコルに関するSAのための識別子であり、それぞれのセキュリティプロトコルはそれ自体のSPI領域を有する。IP宛先アドレスは、ユニキャストアドレス、IPブロードキャストアドレス、またはマルチキャストグループアドレスでもよい。ある種の既存のSA管理メカニズムはユニキャストSAのためだけに定義されているが、本発明のブートストラッピング方法のさまざまな実施形態は、一般にポイントツーポイントおよびポイントツーマルチポイントSAの両方に適用可能である。例示的なセキュリティプロトコルは、認証ヘッダ(AH)およびカプセル化セキュリティペイロード(ESP)プロトコルである。
【0020】
方法200のステップ202で、ネットワーク100がネットワークアクセス認証を実行する。より詳細には、たとえばオンライン状態になった後、MN110(クライアント)がネットワーク100との登録手順を実行する。登録手順は当分野で一般に知られており、典型的には乱数および共有秘密キーを使用する相互認証(または一方向認証)を含む。もっとも一般的な認証形式はユーザ名およびパスワードであるが、この形式が提供するセキュリティのレベルは比較的低い。比較的高いセキュリティレベルに達するために、通常VPNはデジタル証明書およびデジタル署名を使用する。ステップ202は、AAAサーバ160のうちの1つ、あるいはそれぞれのAAAサーバにとってプロキシの役割を果たすRNC130またはPDSN140によって実行されうる。
【0021】
ステップ204で、MN110およびAAAサーバ160はアクセスキーの合意に達する。より詳細には、MN110およびAAAサーバ160は、別々にマスタセッションキー(MSK)および拡張マスタセッションキー(EMSK)を計算する。この時点で、MN110とAAAサーバ160との間にアクセス層SAが作成されたことになる。MSKは、MN110にネットワークアクセスサービスを提供するネットワーク要素、たとえばPDSN140と共有される。一方、EMSKはMN110およびAAAサーバ160だけに知られ、他のどのようなネットワーク要素とも共有されない。
【0022】
ステップ206で、MN110およびAAAサーバ160はEMSKを使用して、そこから、以下では2次キーと呼ばれる追加のキーイング材料を導出する。2次キーは、互いに暗号で隔離されている点に留意されたい。このような2次キーのうちの1つまたは複数が導出されうる。MN110およびAAAサーバ160は、2次キーごとにそれぞれのSPIも導出する。それぞれのこのようなSPIは、実質的に、対応する2次キーへのポインタである。2次キーおよびSPIを導出する方法は当分野で知られており、1次キー材料および追加の知られているパラメータを、HMAC−SHA1などの暗号一方向疑似ランダム関数で処理することを含んでよい。このような関数は、たとえばIETF RFC2104で説明されており、その教示を参照により本明細書に組み込む。
【0023】
ステップ208で、ステップ206で導出した2次キーのうちの1つまたは複数、および対応するSPIのうちの1つまたは複数を使用して、ネットワーク100の2つのノードがそれらの間にSAを作成する。それらの2つのノードは、MN110、PDSN140、およびAAAサーバ160のうちの少なくとも1つを含んでも含まなくてもよい点に留意されたい。たとえばステップ208で、MN110は、たとえばHA180などの、ネットワーク100のどのような所望の装置または要素とのSAも作成できる。あるいは、MN110の代わりに機能する他のネットワークノード、たとえばプロキシサーバ(図1には明確に図示せず)が、ステップ208でHA180とのSAを作成できる。ステップ208で作成されたSAは、アクセス層より上位のどのようなOSI層にも対応できる。それらの上位層は、昇順でネットワーク層、トランスポート層、セッション層、プレゼンテーション層、およびアプリケーション層である。実際には、2つの適切に認証されたネットワークノードが、新しいSAを、ステップ204で確立されたMN110とAAAサーバ160との間のアクセス層SAにブートストラップする。
【0024】
本明細書では、「ブートストラップ」という用語は、一般に新しいセキュリティ構成を確立するためにネットワークエンティティが利用可能なセキュリティ構成を使用する処理を意味する。たとえば、ネットワークエンティティAとBとの間に確立されたSAがある場合、AともBとも異なるネットワークエンティティCがネットワークエンティティDとの新しいSAを確立するために、そのSAを使用できる。ネットワークエンティティDは、ネットワークエンティティAおよびBのうちの1つを含んでも含まなくてもよい。
【0025】
図3は、本発明の一実施形態による、方法200のステップ208を実装するために使用されうるブートストラッピング方法308の流れ図を示している。例示の目的のために、方法308は、MN110(クライアント)とHA180(関連ノード)との間にSAを作成することを参照して説明される。当業者は、SAが他の適切なネットワークエンティティ間に同様に作成されうることが理解できるだろう。方法308はどちら側からも開始されうる。以下の説明では、MN100およびHA180は、それぞれイニシエータおよびレスポンダと仮定される。その逆も可能である。
【0026】
方法308のステップ310で、MN110(クライアント、イニシエータ)は、適切に選択されたOSI層に対応する所望のセキュリティアソシエーションを確立する目的で、HA180(関連ノード、レスポンダ)とコンタクトをとる。このステップで暗に意味されるのは、MN110およびHA180は、そのOSI層内に有効なそれぞれのアイデンティティを所有するということである。ステップ310に対応するメッセージ交換の間、MN110およびHA180は、自身のアイデンティティを互いに示す。メッセージ交換をセキュリティ保護するために、当分野で知られているように、MN110およびHA180は、たとえば認証されていないDiffie−Hellman手順に基づいて、一時的なセキュリティアソシエーションを確立してよい。言い換えれば、このセキュリティアソシエーションは、互いの予備知識なしに、したがって互いのアイデンティティを確認できずに、2つの通信ノード間で確立されることになる。
【0027】
ステップ312で、MN110(クライアント)は、方法200のステップ206で生成された対応する2次キーを指すSPIを選択する。次いで、選択されたSPIがHA180(関連ノード)に伝えられる。さらに、MN110は自身のアクセス層アイデンティティをHA180に知らせる。AAAサーバ160はMN110のアクセス層アイデンティティを知っている点に留意されたい。典型的には、MN110のアクセス層アイデンティティは、適切なAAAサーバ160を識別する情報も含む。
【0028】
ステップ314で、HA180(関連ノード)が識別されたAAAサーバ160とコンタクトをとって、ステップ312でMN110によって選択されたSPIに対応する2次キーを要求する。ステップ314は、プロキシサーバとコンタクトをとるステップをさらに含んでよく、次いでプロキシサーバはその要求を適切なAAAサーバ160にルーティングする。
【0029】
ステップ316で、AAAサーバ160はその要求を処理して、要求された2次キーをHA180(関連ノード)に送信する。このステップは、2次キーを求める最初の要求をルーティングしたプロキシサーバを介して、要求された2次キーを戻すステップを含んでよい。AAAサーバ160およびプロキシサーバは、AAAサーバからプロキシサーバに2次キーを安全に転送するために、両者間に前から存在するSAを使用してもよく、新しいSAを作成してもよい。同様に、プロキシサーバおよびHA180は、プロキシサーバからHAに2次キーを安全に転送するために、前から存在するSAを使用してもよく、新しいSAを作成してもよい。HA180とAAAサーバ160/プロキシサーバとの間の交換のフォーマットは、標準フォーマットを含んでもよく、ベンダ独自の拡張を含んでもよい。
【0030】
ステップ318で、2次キー受信について、HA180(関連ノード)がMN110(クライアント)に確認を送信する。確認の後、MN110およびHA180のそれぞれは、適切なキー交換プロトコル(たとえばIKE)の残りの部分を完了して、MNとHAとの間の後続のトラフィックのためのキーを2次キーから導出する。この導出後、MN110およびHA180は適切な共有秘密キーを所有し、それによって所望のSAを確立したことになる。MN110とHA180との間のさらなるトラフィックは、このSAを使用して伝送される。
【0031】
図4は、本発明の他の実施形態による、SAをセットアップする方法400を示している。方法400は、Mobile IPv6(MIPv6)対応ネットワークのために設計されており、一般に適用可能な方法200の代表的なプロトコル独自の実施形態と考えられる。MIPv6のもとで、モバイルクライアント(たとえばMN110)は、訪問したネットワークのサブネットに基づいて、同じ場所に配置された気付アドレス(CoA)を計算する。次いで、モバイルクライアントは、ホームエージェント(たとえばHA180)からIPv6ホームアドレスを取得して、同時にホームエージェントでCoAとホームアドレスとをバインドする。このバインディング手順は、モバイルノードとホームエージェントとの間に事前に確立されたIPSecトンネルを使用してセキュリティ保護されてよい。方法400は、モバイルノードとホームエージェントとの間にIPSecセッションのための安全なセッションキーを確立するための、ブートストラッピング手順を提供する。
【0032】
例示の目的のために、方法400は、ネットワーク100内のMN110とHA180との間にSAを作成することを参照して説明される(図1参照)。当業者は、方法400は(i)2つの他の適切なネットワークエンティティ間のSAの作成、および/または(ii)他のネットワークアーキテクチャに同様に適用可能であることを理解するだろう。対応する従来技術の方法と比較して、方法400の諸利点および諸利益をよりよく説明するために、まずMN110とHA180との間にSAを作成する典型的な従来技術の方法の簡単な説明を行う。この説明に続いて、方法400の詳細な説明を行う。
【0033】
MN110とHA180との間にSAを作成する典型的な従来技術の方法には2つのフェーズがある。フェーズ1で、MN110およびHA180の相互認証を行う。このフェーズは、Internet Security Association Key Management Protocol(ISAKMP)として知られているSAを確立する。フェーズ2で、MN110とHA180との間に所望のIPSec SAをセットアップする。
【0034】
フェーズ1ネゴシエーションは、たとえば以下のように6つのメッセージで実行されうる。メッセージ1で、MN110は、クッキーおよびMNがサポートする暗号アルゴリズムのリストをHA180に送信する。メッセージ2で、HA180は、自身のクッキーおよびHAがサポートする暗号アルゴリズムのリストで応答する。メッセージ3および4はDiffie−Hellman交換である。メッセージ5で、MN110は自身のアイデンティティをHA180に示す。メッセージ6で、HA180が同様に自身のアイデンティティをMN110に示す。
【0035】
フェーズ2ネゴシエーションは、どちら側によっても開始されうる。例示の目的のために、MN110およびHA180は、それぞれイニシエータおよびレスポンダと仮定される。フェーズ2のメッセージ1で、MN110は、(i)フェーズ1の間に生成された1対のクッキー(以下ではXと表される)、(ii)フェーズ2とフェーズ1を区別する32ビット数(以下ではYと表される)、(iii)提案された暗号パラメータ(PCP)のリスト、(iv)ノンス、(v)Diffie−Hellman値、および(vi)送信されるべきトラフィックの任意の記述を、HA180に送信する。メッセージ2で、HA180は(i)X、(ii)Y、(iii)容認された暗号パラメータのリスト(ACP)、(iv)HAのSPIオーセンティケータ、(v)それぞれのノンス、(vi)それぞれのDiffie−Hellman値、および(vii)送信されるべきトラフィックの任意の記述を、MN110に送信する。メッセージ3で、MN110は、(i)X、(ii)Y、および(iii)確認をHA180に送信する。この時点で、MN110およびHA180は所望のSAを確立したことになり、さらなるトラフィックはこのSAを使用して継続する。
【0036】
次に図4を参照すると、MN110、HA180、およびAAAサーバ160のそれぞれから下方に延びるそれぞれの縦軸が、増加する時間を表している。2つのそれぞれの時間線をつなぐ水平方向の矢印のそれぞれは、対応するノード間で伝送されたそれぞれのメッセージを表している。水平方向のボックス402は、一般に方法200のステップ202に対応するアクセス層認証手順を表している。双方向矢印428は、所望のSAが確立された後の、MN110とHA180との間のバインディングアップデート(BU)およびバインディング確認(BA)を搬送するトラフィックを表している。楕円形のそれぞれは、それぞれの方法ステップを表している。
【0037】
手順402の間、AAAサーバ160はMN110に完全な拡張認証手順(EAP)を実行する。EAPは、たとえばIETF RFC3748で説明されており、その教示を参照により本明細書に組み込む。相互に認証されたセキュリティアソシエーションを生成する、すなわちMSKおよびEMSKを生成する特定のEAP方法は、RFC4187(EAP−AKA)およびRFC2716(EAP−TLS)で説明された方法を含むが、これに限定されない。次いで、AAAサーバ160が、MN110がネットワークサービスを使用するためにセキュリティアソシエーションに入ることが認可されるかどうかを検査する。アクセス認証および認可が成功した後、ステップ404a〜bで、MN110およびAAAサーバ160はMSKおよびEMSKを計算する。ステップ406a〜bで、MN110およびAAAサーバ160は、EMSKをソースキー材料として使用して、本明細書でMIP_IKEと表される追加キーを導出する。この追加キーは、MIPv6セキュリティのためのルートキーとして使用されることになる。さらに、MN110およびAAAサーバ160は、対応するSPI(本明細書ではSPImと表される)を導出する。SPImは、EMSKかEMSKの方向微分係数のうちのどちらか1つをソースマテリアルとして使用して計算される。その結果、MIP_IKEおよびSPImは、互いに暗号で隔離されながら、直接関連付けられる。ステップ404aおよび406aは、それぞれステップ404bおよび406bと並行して実行される点に留意されたい。ステップ404および406は一般に、それぞれ方法200のステップ204および206と対応する。
【0038】
メッセージ410、412、および416〜422、ならびにステップ408、414、424、および426は、IKEv2(IKEバージョン2)のための事前共有キーを取得することに向けられたブートストラッピング手順を表している。このブートストラッピング手順は、一般に方法200のステップ208に対応する。
【0039】
ステップ408で、MN110はAAAサーバ160からHA180のIPアドレスを取得し、また、訪問したネットワークゲートウェイからのアドバタイズメントに基づいて同じ場所に配置されたCoAも計算する。同じ場所に配置されたCoAは、MN110のネットワーク層アイデンティティである。HA180のIPアドレスは、HAのアイデンティティの役割を果たす。
【0040】
メッセージ410で、MN110はHA180に以下の属性を送信する:HDR、SAi1、Kei、およびNi。HDRは、(i)ステップ402のEAP手順の結果、導出されたSPI、(ii)バージョン番号、および(iii)適切なフラッグを含む。特に、HDRは2つのSPIフィールドを含む:(1)SPIiと表される、イニシエータ(MN110)のSPI、および(2)SPIrと表される、レスポンダ(HA180)のSPI。レスポンダでのSPIiの衝突を防ぐために、SPIiフィールドは4オクテットのSPImを含み、残りのフィールドはMNの同じ場所に配置されたCoAで満たされる。メッセージ410内のSPIrフィールドはゼロで満たされる。SAi1ペイロードは、イニシエータがIKESAのためにサポートする暗号アルゴリズムを提示する。KEiペイロードは、イニシエータのDiffie−Hellman値を含む。Niはイニシエータのノンスである。
【0041】
メッセージ412で、HA180(レスポンダ)は以下の属性をMN110(イニシエータ)に送り返す:HDR、SAr1、KEr、およびNr。HA180は、メッセージ410のSAi1ペイロードから暗号スイートを選択して、その選択をメッセージ412のSAr1ペイロード内で表す。メッセージ412のKErペイロードは、MN110とのDiffie−Hellman交換を完了する。Nrはレスポンダのノンスである。メッセージ412のHDR内のSPIrフィールドは乱数値で満たされ、したがって、連結されたSPIi|SPIrの組合せの一意性を確実にする。
【0042】
ステップ414a〜bで、MN110およびHA180は、IKE SAのためのすべてのキーがそこから導出されるキーである、SKEYSEEDを別々に生成する。ヘッダを除いて、メッセージ416および422のコンテンツは暗号化されて、完全性が保護される。暗号化および完全性保護のために使用されるキーはSKEYSEEDから導出されて、SK_e(暗号化)およびSK_a(完全性保護として知られる認証)として知られる。SK_eおよびSK_aの別個のペアが、それぞれの方向ごとに計算される。メッセージ416および422のコンテンツを指定するためにSK{ペイロード}が使用する表記法は、そのペイロードがその方向のSK_eおよびSK_aを使用して暗号化および完全性保護されていることを示す。ステップ414a−bで、SK_eおよびSK_aに加えて、他の量(SK_dと表される)が導出されて、その後、子SAのためのさらなるキーイング材料の導出に使用される。
【0043】
メッセージ416で、MN110がHA180に以下の属性を送信する:HDRおよびSK{IDi、AUTH、SAi2、TSi、TSr}。HDRパラメータは、たとえばRFC4306のセクション3.1で説明されており、その教示を参照により本明細書に組み込む。IDiペイロードは、登録されるべきMNのネットワークアクセス識別子(NAI)を含む。AUTHペイロードは、IDiに対応する秘密の知識を証明するために、およびメッセージ416のコンテンツの完全性保護のために使用される。AUTHペイロードは、ステップ406で生成されたキーMIP_IKEで署名される。SAi2ペイロードは、子SAのネゴシエーションを開始するために使用される。TSiおよびTSrは、それぞれイニシエータおよびレスポンダに対応するIPsecトラフィックのためのトラフィックセレクタである。
【0044】
MN110からメッセージ416を受信すると、HA180はまずそのデータベースをHDRフィールド内のCoAおよびSPIiで調べる。データベース内に対応するキーが見つからない場合、HA180は、SPImおよびMNのNAIを含むメッセージ418をAAAサーバ160に送信して、キーMIP_IKEを取得する。AAAサーバ160は、受信したSPImおよびNAIを使用して、ステップ406で生成されたMIP_IKEを見つける。次いで、AAAサーバ160は、メッセージ420内でMIP_IKEをHA180に返す。MIP_IKEを受信すると、HA180はAUTHを検証できる。CoAおよびSPIiに対応するキーがデータベース内で見つかると、メッセージ418および420は送信されず、HA180は直接AUTHを検証しようとすることに進む。
【0045】
AUTHの検証が成功した場合、次いでHA180は、以下の属性を有するメッセージ422をMN110に送信する:HDRおよびSK{IDr、AUTH、SAr2、TSi、TSr}。HDRパラメータは、たとえばRFC4306のセクション3.1で説明されている。IDrペイロードはHAのアイデンティティをアサートする。AUTHペイロードは、HAのアイデンティティを認証して、メッセージ422の完全性を保護するために使用される。AUTHペイロードは、ステップ406で生成されたキーMIP_IKEで署名される。TSiおよびTSrは、子SAのネゴシエーションを完了するために使用される。AUTHの検証に失敗した場合、子SAの作成ができず、その手順は終了する。ブートストラッピングの失敗は、ブートストラップされたリンク層SAの失敗を意味し、関連するエンティティのうちの少なくともの1つが、ブートストラップされた秘密の知識を偽造しており、他のエンティティとの安全な通信内にいるための正当な権限を有していないことを間接的に示すことがある。
【0046】
ステップ424で、MN110はメッセージ422のAUTHペイロードを検証して、IDrペイロード内の名前はAUTHペイロードの生成に使用されたキーに対応するとアサートする。次に、MN110とHA180の両方が、キーSK_d(ステップ414参照)からIPSecセッションキーを導出することができ、それは、それぞれステップ426a〜bで行う。SK_dを導出すると、MN110およびHA180は所望の子SAを確立したことになる。このSAはMN110とHA180との間の後続の通信、たとえばステップ428のBU/BAメッセージをセキュリティ保護するために使用される。
【0047】
いくつかの従来技術の3GPP2文書、たとえば、X.S0047「Mobile IPv6 Enhancement」、3GPP2 TSG−S WG−4寄稿「S40−20070514−007R1_QCOM−KDDI−Starent−NEC−Futjisu−Hitachi−CTC_WLAN_IW_for_2G_R−UIM.doc」は、フェーズ1とフェーズ2との間で、IKEv.2手順内でEAPプロトコルを実行することを要求する方法を説明している。この実行されたEAP(特にEAP−AKA)はMSKキーを生成し、子SAを作成するためのIKEv.2フェーズ2によって使用される。このような推奨された方法は、IKEv2フェーズ1が開始する前にすでに実行されたEAP手順を事実上繰り返して、余計な混乱および少なくとも6つの余分なメッセージを処理に追加する。従来技術より有利なことに、方法400の代表的な実施形態は、このような繰り返しをすることなくアクセス層SAからすでに入手可能なEMSKベースのキーイング材料を利用する。
【0048】
一実施形態では、Proxy Mobile IPv6の手順のために、アクセス層SAおよびIPSecSAをブートストラップするために方法400が使用されうる。たとえば、MN110のために、アクセスノード(たとえばBTS120またはPDSN140)でプロキシモバイルノード(P−MN)が確立されうる。次いで、有利なことにネットワーク内にあるP−MNが、MN110の代わりにMIPv6移動性管理手順を実行できる。この状況では、リンク認証およびアクセスノードへのMSKの分散に加えて、AAAサーバ160は、P−MNが方法400のブートストラッピング手順を実行できるようにするために、導出されたキー(MIP_IKE)をP−MNに配信もする。
【0049】
他の実施形態では、MN110は導出されたキー(MIP_IKE)および対応するセキュリティパラメータインデックス(SPIm)を使用して、ネットワーク層SA、またはトランスポート層SAと、非IMSアプリケーションのためのプロキシセッション開始プロトコル(SIP)登録サーバとのブートストラップを確立でき、ここではIMSは、3GPPの標準ファミリ(たとえば、3GPP2のためのマルチメディアドメインを参照)によって標準化された、IPマルチメディアサブシステムとして知られるサービスアーキテクチャを指す。IMSがさまざまなIPサービスに呼およびセッション制御を提供するための一般的なフレームワークである一方で、ネットワークオペレータは非IMSサービスを含めることにも関心を持ち続けている。
【0050】
例示的実施形態を参照して本発明を説明してきたが、この説明は限定的な意味で解釈されるべきものではない。以下の特許請求の範囲で表されるように、説明した実施形態のさまざまな変更形態、ならびに本発明に関連する分野の当業者に明らかな本発明の他の実施形態が、本発明の原理および範囲内にあると見なされる。
【0051】
本発明は、これらの方法を実行するための方法および装置の形で実施されうる。本発明は、フロッピー(登録商標)ディスク、CD−ROM、ハードドライブ、または他の何らかの機械可読の記憶メディアなどの、有形メディア内で実施されるプログラムコードの形でも実施することができ、それらの有形メディアでは、コンピュータまたはプロセッサなどの機械によってプログラムコードがロードされて実行されると、その機械は本発明を実行するための装置になる。本発明は、たとえば記憶メディア内に格納されたプログラムコード、機械によってロードおよび/または実行されたプログラムコード、あるいは電気配線またはケーブルを介して、光ファイバを通じて、または電磁放射を介してなど、何らかの伝送メディアまたはキャリアを介して伝送されたプログラムコードの形でも実施することができ、コンピュータなどの機械によってプログラムコードがロードされて実行されると、その機械は本発明を実行するための装置になる。汎用プロセッサに実装されると、プログラムコードセグメントはプロセッサを結合して、特定の論理回路を同様に作動する一意の装置を提供する。
【0052】
本明細書で説明した例示的方法の諸ステップは、必ずしも説明した順序で実行される必要はないことが理解されるべきであり、このような方法の諸ステップの順序は単なる例示であることが理解されるべきである。同様に、本発明のさまざまな実施形態に一致する方法にこのような方法に追加の諸ステップが含まれてよく、特定の諸ステップが省略または結合されてよい。
【0053】
以下の方法クレームにおける諸要素は、もしあれば、対応するラベリングとともに特定の順序で列挙されているが、クレームの列挙がそれらの諸要素のうちのいくつかまたはすべてを実装するための特定の順序を含意しない限り、それらの諸要素は必ずしもその特定の順序で実装されることに限定されることを意図しない。
【0054】
本明細書における、「一実施形態」または「ある実施形態」への言及は、実施形態に関連して説明された特定の特徴、構成、または特性が、本発明の少なくとも1つの実施形態に含まれうることを意味する。明細書のさまざまな場所に出現する「一実施形態では」という語句は、必ずしもすべてが同じ実施形態を参照するものではなく、必ずしも他の実施形態と相互排他的な別々のまたは代替の実施形態でもない。同じことが「実装」という用語にも適用される。
【0055】
また、この説明のために、「結合する」、「結合している」、「結合された」、「接続する」、「接続している」、または「接続された」という用語は、2つ以上の要素間でエネルギーが転送されうる、当技術分野で知られている、または後に開発されたどのような方法も指し、1つまたは複数の追加の諸要素の介在が、必要ではないが企図される。逆に、「直接結合された」、「直接接続された」などの用語は、このような追加の諸要素がないことを含意する。
【特許請求の範囲】
【請求項1】
ネットワークの2つ以上のノード間に安全な通信を確立するための方法であって、
クライアントとネットワークサーバとの間に第1セキュリティアソシエーション(SA)を確立するステップであって、第1SAがアクセス層SAであるステップと、
クライアントおよびネットワークサーバのそれぞれで、第1SAに対応するキーから2次キーを導出するステップと、
第1ネットワークノードで、ネットワークサーバから2次キーを取得するステップと、
2次キーを使用して第1ネットワークノードと第2ネットワークノードとの間に第2SAを確立するステップであって、第2ネットワークノードが2次キーを所有するステップとを含む、方法。
【請求項2】
第2SAが、アクセス層より上位のスタック層に対応する、請求項1に記載の方法。
【請求項3】
第2ネットワークノードが、
クライアントの代わりに構成されたプロキシノードと、
第1ネットワークノードの代わりに構成されたプロキシノードと
クライアントとのうちの1つである、請求項1に記載の方法。
【請求項4】
2次キーを導出するステップが、
1次セッションキーを計算するステップであって、1次セッションキーが第1SAに対応するステップと、
1次セッションキーから2次キーを導出するステップと、
1次セッションキーから2次キーに対応するセキュリティパラメータインデックス(SPI)を導出するステップとを含み、
取得するステップが、第1ネットワークノードで、
クライアントから、クライアントのアイデンティティおよびSPIを含む第1メッセージを受信するステップと、
(i)クライアントのアイデンティティおよびSPIを含み、(ii)ネットワークサーバに2次キーを要求する、第2メッセージをネットワークサーバに送信するステップと、
2次キーを含む第3メッセージをネットワークサーバから受信するステップとを含み、
第2SAを確立するステップが、第2SAのための1つまたは複数のセッションキーを導出するために、クライアントと第1ネットワークノードとの間でキー交換プロトコルを実行するステップを含み、2次キーが前記1つまたは複数のセッションキーの導出のためのルートキーの役割を果たす、請求項1に記載の方法。
【請求項5】
第2SAを確立するステップが、
2次キーを使用して互いに認証する第1および第2ネットワークノードを含む、請求項1に記載の方法。
【請求項6】
第2SAを確立するステップが、
第2SAのための1つまたは複数のセッションキーを導出するために、第1ネットワークノードと第2ネットワークノードとの間でキー交換プロトコルを実行するステップをさらに含み、2次キーが前記1つまたは複数のセッションキーの導出のためのルートキーの役割を果たす、請求項5に記載の方法。
【請求項7】
モバイルインターネットプロトコルを実行するために第2SAが確立され、
第1SAを確立するステップが、ネットワークサーバで、クライアントと完全な拡張認証手順(EAP)を実行するステップを含み、
2次キーを導出するステップが、
第1SAに対応する拡張マスタセッションキー(EMSK)を計算するステップと、
EMSKから2次キーを導出するステップと、
EMSKから2次キーに対応するセキュリティパラメータインデックス(SPI)を導出するステップとを含み、
方法が、クライアントで、
第1ネットワークノードのIPアドレスをネットワークサーバから取得するステップであって、前記IPアドレスが第1ネットワークノードのためのネットワーク層アイデンティティの役割を果たすステップと、
クライアントのネットワーク層アイデンティティの役割を果たす同じ場所に配置された気付アドレス(CoA)を計算するステップとをさらに含み、
2次キーを取得するステップが、第1ネットワークノードで、
クライアントによって選択されたSPIポインタ、CoA、クライアントによってサポートされる暗号アルゴリズムを指定するペイロード、および第1ノンスを含む、第1メッセージをクライアントから受信するステップと、
暗号アルゴリズムおよびSPIポインタのサブセットを指定するペイロードを含む第2メッセージをクライアントに送信するステップであって、SPIがクライアントによって選択されたSPIポインタの連結と第1ネットワークノードによって選択された乱数とを含むステップと、
クライアントと第1ネットワークノードとの間のさらなるネゴシエーションメッセージの暗号化および完全性保護のために第1の複数のキーを生成するステップであって、前記ネゴシエーションが第2SAの確立を目的とするステップと、
前記ネゴシエーションメッセージのうちの1つであり、クライアントのネットワークアクセス識別子(NAI)、NAIに対応する秘密の知識の証明、および1つまたは複数のトラフィックセレクタを含む第3メッセージを、クライアントから受信するステップと、
(i)SPIおよびNAIを含み、(ii)ネットワークサーバに2次キーを要求する第4メッセージを、ネットワークサーバに送信するステップと、
2次キーを含む第5メッセージをネットワークサーバから受信するステップと、
ネットワークサーバからの2次キー受信確認を含む第6メッセージをクライアントに送信するステップと、
第2SAのための1つまたは複数のセッションキーを導出するステップであって、2次キーが前記1つまたは複数のセッションキーの導出のためのルートキーの役割を果たすステップとを含む、請求項1に記載の方法。
【請求項8】
第1ネットワークノードが第1SAに対応する前記キーを有さない、請求項1に記載の方法。
【請求項9】
ネットワークのノードであって、該ネットワークが
クライアントと、
ネットワークサーバとを含み、
クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、
クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークがさらに、
ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、
第2ネットワークノードが2次キーを所有し、
ノードが、クライアント、ネットワークサーバ、第1ネットワークノード、および第2ネットワークノードのうちの1つである、ネットワークのノード。
【請求項10】
クライアントと、
ネットワークサーバとを含むネットワークであって、
クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、
クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークがさらに、
ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、第2ネットワークノードが2次キーを所有する、ネットワーク。
【請求項1】
ネットワークの2つ以上のノード間に安全な通信を確立するための方法であって、
クライアントとネットワークサーバとの間に第1セキュリティアソシエーション(SA)を確立するステップであって、第1SAがアクセス層SAであるステップと、
クライアントおよびネットワークサーバのそれぞれで、第1SAに対応するキーから2次キーを導出するステップと、
第1ネットワークノードで、ネットワークサーバから2次キーを取得するステップと、
2次キーを使用して第1ネットワークノードと第2ネットワークノードとの間に第2SAを確立するステップであって、第2ネットワークノードが2次キーを所有するステップとを含む、方法。
【請求項2】
第2SAが、アクセス層より上位のスタック層に対応する、請求項1に記載の方法。
【請求項3】
第2ネットワークノードが、
クライアントの代わりに構成されたプロキシノードと、
第1ネットワークノードの代わりに構成されたプロキシノードと
クライアントとのうちの1つである、請求項1に記載の方法。
【請求項4】
2次キーを導出するステップが、
1次セッションキーを計算するステップであって、1次セッションキーが第1SAに対応するステップと、
1次セッションキーから2次キーを導出するステップと、
1次セッションキーから2次キーに対応するセキュリティパラメータインデックス(SPI)を導出するステップとを含み、
取得するステップが、第1ネットワークノードで、
クライアントから、クライアントのアイデンティティおよびSPIを含む第1メッセージを受信するステップと、
(i)クライアントのアイデンティティおよびSPIを含み、(ii)ネットワークサーバに2次キーを要求する、第2メッセージをネットワークサーバに送信するステップと、
2次キーを含む第3メッセージをネットワークサーバから受信するステップとを含み、
第2SAを確立するステップが、第2SAのための1つまたは複数のセッションキーを導出するために、クライアントと第1ネットワークノードとの間でキー交換プロトコルを実行するステップを含み、2次キーが前記1つまたは複数のセッションキーの導出のためのルートキーの役割を果たす、請求項1に記載の方法。
【請求項5】
第2SAを確立するステップが、
2次キーを使用して互いに認証する第1および第2ネットワークノードを含む、請求項1に記載の方法。
【請求項6】
第2SAを確立するステップが、
第2SAのための1つまたは複数のセッションキーを導出するために、第1ネットワークノードと第2ネットワークノードとの間でキー交換プロトコルを実行するステップをさらに含み、2次キーが前記1つまたは複数のセッションキーの導出のためのルートキーの役割を果たす、請求項5に記載の方法。
【請求項7】
モバイルインターネットプロトコルを実行するために第2SAが確立され、
第1SAを確立するステップが、ネットワークサーバで、クライアントと完全な拡張認証手順(EAP)を実行するステップを含み、
2次キーを導出するステップが、
第1SAに対応する拡張マスタセッションキー(EMSK)を計算するステップと、
EMSKから2次キーを導出するステップと、
EMSKから2次キーに対応するセキュリティパラメータインデックス(SPI)を導出するステップとを含み、
方法が、クライアントで、
第1ネットワークノードのIPアドレスをネットワークサーバから取得するステップであって、前記IPアドレスが第1ネットワークノードのためのネットワーク層アイデンティティの役割を果たすステップと、
クライアントのネットワーク層アイデンティティの役割を果たす同じ場所に配置された気付アドレス(CoA)を計算するステップとをさらに含み、
2次キーを取得するステップが、第1ネットワークノードで、
クライアントによって選択されたSPIポインタ、CoA、クライアントによってサポートされる暗号アルゴリズムを指定するペイロード、および第1ノンスを含む、第1メッセージをクライアントから受信するステップと、
暗号アルゴリズムおよびSPIポインタのサブセットを指定するペイロードを含む第2メッセージをクライアントに送信するステップであって、SPIがクライアントによって選択されたSPIポインタの連結と第1ネットワークノードによって選択された乱数とを含むステップと、
クライアントと第1ネットワークノードとの間のさらなるネゴシエーションメッセージの暗号化および完全性保護のために第1の複数のキーを生成するステップであって、前記ネゴシエーションが第2SAの確立を目的とするステップと、
前記ネゴシエーションメッセージのうちの1つであり、クライアントのネットワークアクセス識別子(NAI)、NAIに対応する秘密の知識の証明、および1つまたは複数のトラフィックセレクタを含む第3メッセージを、クライアントから受信するステップと、
(i)SPIおよびNAIを含み、(ii)ネットワークサーバに2次キーを要求する第4メッセージを、ネットワークサーバに送信するステップと、
2次キーを含む第5メッセージをネットワークサーバから受信するステップと、
ネットワークサーバからの2次キー受信確認を含む第6メッセージをクライアントに送信するステップと、
第2SAのための1つまたは複数のセッションキーを導出するステップであって、2次キーが前記1つまたは複数のセッションキーの導出のためのルートキーの役割を果たすステップとを含む、請求項1に記載の方法。
【請求項8】
第1ネットワークノードが第1SAに対応する前記キーを有さない、請求項1に記載の方法。
【請求項9】
ネットワークのノードであって、該ネットワークが
クライアントと、
ネットワークサーバとを含み、
クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、
クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークがさらに、
ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、
第2ネットワークノードが2次キーを所有し、
ノードが、クライアント、ネットワークサーバ、第1ネットワークノード、および第2ネットワークノードのうちの1つである、ネットワークのノード。
【請求項10】
クライアントと、
ネットワークサーバとを含むネットワークであって、
クライアントおよびネットワークサーバが、第1セキュリティアソシエーション(SA)を確立するように構成され、第1SAがアクセス層SAであり、
クライアントおよびネットワークサーバのそれぞれが、第1SAに対応するキーから2次キーを導出するように構成され、ネットワークがさらに、
ネットワークサーバから2次キーを取得するように構成された第1ネットワークノードを含み、第1ネットワークノードおよび第2ネットワークノードが2次キーを使用して第2SAを確立するように構成され、第2ネットワークノードが2次キーを所有する、ネットワーク。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2010−536241(P2010−536241A)
【公表日】平成22年11月25日(2010.11.25)
【国際特許分類】
【出願番号】特願2010−519917(P2010−519917)
【出願日】平成20年7月30日(2008.7.30)
【国際出願番号】PCT/US2008/009176
【国際公開番号】WO2009/023092
【国際公開日】平成21年2月19日(2009.2.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
【公表日】平成22年11月25日(2010.11.25)
【国際特許分類】
【出願日】平成20年7月30日(2008.7.30)
【国際出願番号】PCT/US2008/009176
【国際公開番号】WO2009/023092
【国際公開日】平成21年2月19日(2009.2.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
[ Back to top ]