セキュリティ保護されたセッション鍵生成
無線通信におけるUICC(汎用ICカード)と端末との間のインタフェースをセキュリティ保護するための方法および装置が開示される。AKA(認証と鍵の合意)手続き、およびアプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続きのセキュリティが向上する。セキュリティ保護された共有セッション鍵を使用して、UICCと端末の間の通信が暗号化される。このセキュリティ保護された共有セッション鍵は、認証手続きまたは匿名手続きを使用して生成される。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、無線通信に関する。
【背景技術】
【0002】
AKA(Authentication and Key Agreemnt:認証と鍵の合意)手続き(プロシージャ)が、3GPP(第3世代パートナーシッププロジェクト:第3世代移動体通信システムの標準化団体)通信ネットワークにおいてWTRU(無線送信/受信ユニット)に関する認証、および共有秘密鍵を確立するために使用される。AKAは、2つの当事者間でセキュリティ保護された(安全な、セキュアな)相互認証をもたらす。さらに、AKA手続きに基づく、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))が、アプリケーションセキュリティを可能にする手段を提供する。しかし、AKA手続き、およびアプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続きは、UICC(汎用ICカード)とWTRUの端末(Terminal)を接続するインタフェースのセキュリティを保護しない。クリティカルキー(重要鍵)関連資料が、AKAプロセス中、およびGBA_Uプロセス中にUICCから端末に送られる。その結果、セッション鍵(例えば、CK/IKおよびKs_ext_NAF)が、販売間際の端末の導入準備作業中、ローカル鍵がまだ確立されていないときや、あるいは確立されたローカル鍵が期限切れになったときに開示される。
【0003】
UICCと端末の間の接続を保護するように設計された既存のプロトコルは、AKAプロセスおよびGBA_Uプロセスが完了するまで、開始され得ない。その結果、これらのプロトコルは、鍵を盗聴することを可能にする。AKAプロセスおよびGBA_Uプロセスの後、無線ネットワーク構成要素との対話、および無線ネットワーク構成要素による参加を介して他のアプリケーションレベルのプロセスに関して、端末とUICCの間のリンクをセキュリティ保護しようとする試みでは、これらの欠陥を解決しない。
【発明の概要】
【発明が解決しようとする課題】
【0004】
したがって、端末とUICCの間の通信をセキュリティ保護するための改良された方法および装置の必要性が存在している。
【課題を解決するための手段】
【0005】
無線通信におけるUICC(汎用ICカード)と端末との間のインタフェースをセキュリティ保護するための方法および装置が開示される。AKA手続き、およびアプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続きのセキュリティが向上する。セキュリティ保護された共有セッション鍵を使用して、UICCと端末の間の通信が暗号化される。このセキュリティ保護された共有セッション鍵は、認証手続きまたは匿名手続き(non−authenticating procedure)を使用して生成される。
【0006】
より詳細な理解は、添付の図面と併せて例示として与えられている、以下の説明から得ることができる。
【図面の簡単な説明】
【0007】
【図1】セキュリティ保護されたセッション鍵生成を実行するための無線送信/受信ユニットの例を示す図である。
【図2】無線通信を実行するためのハンドセット(携帯電話)として構成された端末の例を示す図である。
【図3】コネクテッド・デバイスと連携してセキュリティ保護されたセッション鍵の生成を実行するための無線送信/受信ユニットの例を示す図である。
【図4】無線通信を実行するためのネットワークの例を示す図である。
【図5】汎用ICカードと端末の間の通信をセキュリティ保護するためのセッション鍵の生成の例を示す図である。
【図6】AKA手続き(プロシージャ)を使用する明示的な相互認証の例を示す図である。
【図7】ワンタイム(一時的な、1回限りの)認証付暗号化機能を使用する明示的な相互認証の例を示す図である。
【図8】ワンタイム認証付暗号化機能および再生保護を使用する明示的な相互認証の例を示す図である。
【図9】暗黙の相互認証の例を示す図である。
【図10】再生保護を伴う暗黙の相互認証の例を示す図である。
【図11】認証なしの共有秘密鍵の例を示す図である。
【発明を実施するための形態】
【0008】
以降、言及する場合、「WTRU(無線送信/受信ユニット)」という用語には、UE(ユーザ機器)、移動局、固定加入者ユニットもしくは移動加入者ユニット、ポケットベル、セルラ電話機、PDA(携帯情報端末)、コンピュータ、または無線環境において動作することができる他の任意のタイプのユーザデバイスが含まれるが、以上には限定されない。以降、言及する場合、「基地局」という用語には、ノードB、サイトコントローラ、AP(アクセスポイント)、または無線環境において動作することができる他の任意のタイプのインタフェースデバイスが含まれるが、以上には限定されない。「WTRU」という用語と「基地局」という用語は、相互排除的ではない。
【0009】
図1は、セキュリティ保護されたセッション鍵生成を実行するためのWTRU(無線送信/受信ユニット)100の例示的なブロック図である。WTRU100は、UICC(汎用ICカード)110および端末120を含む。UICCは、インタフェース130を介して端末と通信する。WTRU100は、例示のためにUICC110および端末120を含むものとして示されている。UICC110または端末120は、本明細書で説明されるとおりに通信することができる限り、任意の仕方で構成されることが可能である。例えば、図3は、端末(Terminal)120が、コネクテッド・デバイス(連結デバイス)内に配置された例を示す。
【0010】
図2は、無線通信を実行するためのハンドセット(携帯電話)として構成された端末120の拡大図の例示的なブロック図である。端末120は、プロセッサ210、アンテナ220、ユーザインタフェース230、および表示部(ディスプレイ)240を含む。
【0011】
図3は、コネクテッド・デバイス(連結デバイス)300と連動してセキュリティ保護されたセッション鍵生成を実行するためのWTRU(無線送信/受信ユニット)100の例示的なブロック図である。WTRU100内のUICC10は、コネクテッド・デバイス300内の端末120とインタフェース130を介して通信する。コネクテッド・デバイス300は、PC(パーソナルコンピュータ)であることが可能であり、あるいは端末120として構成された他の任意のデバイスであることが可能である。インタフェース130は、有線インタフェースまたは無線インタフェースであることが可能である。本明細書で説明される方法および装置は、UICC110と端末120の他の任意の組合せまたは構成を含む。オプションとして、端末120は、内部UICC読み取り装置または外部UICC読み取り装置を含むことが可能である。
【0012】
例えば、コネクテッド・デバイス300は、ラップトップコンピュータであることが可能である。このラップトップは、イーサネット(登録商標)接続を介してインターネットに接続されることが可能である。また、このラップトップは、Bluetoothインタフェース130を介してWTRU100に接続されることも可能である。その場合、WTRU100内のUICC110は、セキュリティ保護された接続を要求する通信を実行するためにラップトップ内の端末120を使用することが可能である。代替として、ラップトップ内の端末120が、セキュリティ保護された接続を要求する通信を実行するためにWTRU100内のUICC110を使用してもよい。
【0013】
図4は、無線通信を実行するためのネットワーク400の例示的なブロック図である。ネットワーク400は、WTRU100、RAN(無線アクセスネットワーク)410、およびCN(コアネットワーク)420を含む。RAN410は、基地局430およびRNC(無線ネットワークコントローラ(制御装置))440を含む。CN420は、VLR(ビジタロケーションレジスタ(在圏網加入者管理レジスタ、あるいは訪問者位置登録装置とも称されている))450およびHLR(ホームロケーションレジスタ(現在所在地登録装置とも称されている))460を含む。また、ネットワーク400は、EVE(イーブズドロッパ:盗聴者)490も含む。基地局430は、RAN410に関するネットワークのエントリ(入り口)点の役割をする。RNC440は、無線リソース管理、移動性管理機能、および暗号化機能などの無線通信における様々な機能を実行する。VLR450が、無線通信のために使用される、ユーザサービスプロファイルのコピーや、デバイスロケーションエリアなどの、WTRU100についての情報を格納する。ユーザサービスプロファイルのマスタコピーを格納するHLR460が、スイッチング機能を実行し、WTRU100とネットワーク400の間の無線通信を管理する。
【0014】
図5は、UICC110と端末120の間のインタフェース130をセキュリティ保護するためのセッション鍵生成の例である。510で、端末120が、UICC110との通信を暗号化するのに使用され得る秘密(secret)を識別する。515で、同様に、UICCが、端末120との通信を暗号化するのに使用され得る秘密を識別する。オプションとして、これらの識別される秘密は、事前に準備された共有秘密である。520で、これらの秘密を使用してインタフェース130上でトンネル(tunnel:公衆回線網上のある2点間を結ぶ閉じられた仮想的な直結通信回線)が確立され、したがって、UICC110と端末120の間の通信路が、それぞれの秘密を使用してセキュリティ保護される。525で、このトンネルが、セキュリティ保護された共有セッション鍵(secure shared session key:セキュアな共有セッション鍵とも称されている)を導き出す際に使用するためのデータを共有するのに使用される。
【0015】
次に、530で、端末120が、端末120の秘密からセキュリティ保護された共有セッション鍵STを導き出す。同様に、535で、UICC110が、UICC110の秘密からセキュリティ保護された共有セッション鍵SUを導き出す。オプションとして、530、535で、UICC110と端末120は、相互認証も実行する。540で、セキュリティ保護された共有セッション鍵ST、SUが、UICC110と端末120の間で安全な通信路(secure channel)を確立するのに使用され、したがって、この安全な通信路を通過する情報の機密性および完全性が保護される。次に、550で、UICC110と端末120が、この安全な通信路を介してAKA300手続き(プロシージャ)およびGBA_U400手続き(プロシージャ)を実行する。
【0016】
一部の実施形態において、共有される秘密Kが、SHA−256 HMACセキュリティ関数、暗号化AES−128 CBC MACセキュリティ関数、またはAKAセキュリティ関数などの、任意の長さの入力に対応することができる鍵付きPRF(擬似乱数関数)を実行するのに使用される。共有される秘密Kおよび、および入力xを使用するPRFは、fK(x)と表されることが可能である。同様に、fK(x,y)という表記は、PRFが、示される引数の連結に対して実行されることを示す。PRFファミリは、可変ビット長の値が固定長(すなわち、128または256)のビット系列に変換される、関連する不可逆な一方向PRFのセットである。例えば、PRFファミリにおける第1のPRFが、fK(0,Y,Z)と表されることが可能であり、PRFファミリにおける第2のPRFが、fK(1,Y,Z)と表されることが可能であり、したがって、先頭の0を有するPRFは、先頭の1を有するPRFとは異なる結果をもたらす。
【0017】
一部の実施形態において、端末120は、RAND(ランダムチャレンジ)、AK(匿名鍵)、およびSQN(シーケンス番号)を生成するように構成される。また、端末120は、MAC(メッセージ認証コード)、XRES(想定される応答)、およびXSQN(想定されるシーケンス番号)、またはTag(認証値)を計算するようにも構成される。同様に、UICC110が、RES(応答)またはXTag(想定される認証値)を生成するように構成される。RAND、AK、SQN、MAC、およびXRESは、当技術分野で知られている、それぞれのいくつかの関数のいずれに従って生成されてもよいことが、当業者には認識されよう。オプションとして、これらの関数は、3GPP(第3世代パートナーシッププロジェクト)によって定義される鍵生成関数であってもよい。また、端末120は、計算された値をUICC110に送るようにも構成される。また、端末120は、UICC110から応答(RES)を受信し、さらにUICC110の認証のために、計算された値と受け取った値とを比較するようにも構成される。同様に、UICC110が、端末120にそれらの値を送り、さらにUICC110の認証のために、計算された値と受け取った値とを比較するように構成される。また、端末120とUICC110は、共有セッション鍵や匿名鍵などの共有値を単独で導き出すようにも構成される。簡明のため、UICC110において生成された値は、下付き文字Uで示されることが可能であり、端末120において生成された値は、下付き文字Tで示されることが可能である。例えば、UICC110におけるAKUは、端末120におけるAKTと同一の値を有する。
【0018】
図6は、明示的相互認証−セッション鍵生成方法600の例を示す。最初に、610で、端末120が、RANDおよびSQNTを生成する。620で、端末120が、MAC、XRES、AKT、およびXSQNを計算する。MACは、共有される秘密K、RAND,およびSQNTに基づいて計算される。XRESは、認証コードを表し、共有される秘密K、およびRANDを使用して計算される。AKTは、共有される秘密K、およびRANDを使用して生成される。オプションとして、AKTは、SQNTと同一のサイズである。XSQNは、SQNとAKTのビット単位の排他的論理和(XORまたは
【0019】
【数1】
【0020】
)を実行することによって計算される。
【0021】
次に、630で、端末120が、インタフェース130を介してUICC110にそのMAC、そのRAND、およびそのXSQNを送る。640で、UICC110が、AKU、SQNU、およびXMAC(想定されるMAC)を計算する。AKUは、共有される秘密K、および受け取られたRANDを使用して計算される。SQNUは、AKUとXSQNのビット単位の排他的論理和を実行することによって計算される。XMACは、共有される秘密K、RAND、およびSQNUを使用して計算される。オプションとして、UICC110においてAKUを計算するのに使用される関数は、端末120においてAKTを計算するのに使用される関数と同一である。
【0022】
次に、650で、UICC110が、XMACをMACと比較する。XMACとMACが等しくない場合、655で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔で再スタートされてもよい。XMACとMACが等しい場合、660で、端末120は、検証され、UICC110が、共有される秘密K、およびRANDを使用してRESを計算する。670で、UICC110が、このRESを端末120に送り、680で、共有セッション鍵SUを導き出す。例えば、共有セッション鍵は、RAND、および共有される秘密Kを使用して導き出される。
【0023】
最後に、690で、端末120が、RESをXRESと比較する。RESとXRESが等しくない場合、691で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔で再スタートされてもよい。RESとXRESが等しい場合、692で、UICC110は、検証され、端末120が、共有セッション鍵STを導き出す。次に、UICC110と端末120は、共有セッション鍵SU、STを使用して、GBA_U400手続きおよびAKA300手続きを実行する。
【0024】
図7は、ワンタイム認証付暗号化機能を使用する明示的相互認証およびセッション鍵生成方法700の例を示す。705で、端末120が、セッション鍵STおよびノンス(nonce:セッションをユニークにするためのランダムな値)Rを生成する。オプションとして、ノンスRは、カウンタを使用して選択され、このカウンタは、インクリメントされる。710で、端末120は、共有される秘密K、ノンスRを使用してセッション鍵STの暗号化されたセッション鍵eを計算し、さらにノンスRと暗号化されたセッション鍵eのタプル(taple:1件分のデータ)Eを計算する。タプルEは、以下のベクトル式による暗号化プロセスによって生成される。すなわち、
【0025】
【数2】
【0026】
次に、720で、端末120が、共有される秘密K、ノンスR、および暗号化されたセッション鍵eを使用して認証値Tagを、以下の式に従って計算する。すなわち、
Tag=fK(0,R,e) 式(2)
【0027】
次に、730で、端末120が、インタフェース130を介してUICC110にタプルEおよび認証値Tagを送る。740で、UICC110が、共有される秘密K、および受け取られたタプルEを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R,e) 式(3)
【0028】
受け取られた認証値Tagが妥当であると確認されなかった場合、745で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、750で、端末120は認証され、UICCが、セッション鍵SUを、以下の式に従って解読する。すなわち、
【0029】
【数3】
【0030】
次に、760で、UICC110が、XTag(想定される認証値)を計算する。この計算は、以下のとおり表されることが可能である。すなわち、
XTag=fK(1,R) 式(5)
【0031】
770で、UICC110が、インタフェース130を介して端末120に想定される認証値XTagを送る。780で、端末120が、共有される秘密K、およびノンスRを使用して、受け取られたXTagを検証(妥当性確認)する。この検証は、以下のとおり表されることが可能である。
XTag==fK(1,R) 式(6)
【0032】
XTagが妥当であると確認された場合、790で、UICC110は認証される。XTagが妥当であると確認されなかった場合、791で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。
【0033】
図8は、ワンタイム認証付暗号化機能および再生保護を使用する明示的相互認証およびセッション鍵生成方法800の例を示す。805で、UICC110が、ノンスNを生成する。ノンスが図8に示されるものの、任意の適切な事前鍵ネゴシエーションパラメータが使用されることが可能である。オプションとして、ノンスNは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、810で、UICC110が、インタフェース130を介してノンスNを端末120に送る。
【0034】
820で、端末120が、セッション鍵STおよびノンスRを生成する。オプションとして、ノンスRは、カウンタを使用して生成され、このカウンタは、インクリメントされる。830で、端末120が、式1に従って、共有される秘密K、およびノンスRを使用してセッション鍵STの暗号化されたセッション鍵eを計算する。次に、840で、端末120が、共有される秘密K、ノンスR、暗号化されたセッション鍵e、およびノンスNを使用して認証値Tagを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
Tag=fK(0,R,e,N) 式(7)
【0035】
次に、850で、端末120が、インタフェース130を介してUICC110に認証値Tag、およびノンスRと暗号化されたセッション鍵eのタプルEを送る。860で、UICC110が、共有される秘密K、受け取られたタプルE、およびノンスNを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R,e,N) 式(8)
【0036】
受け取られた認証値Tagが妥当であると確認されなかった場合、865で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、870で、UICCが、セッション鍵SUを、式4に従って解読する。次に、880で、UICC110が、式5に従って想定される認証値XTagを計算する。
【0037】
890で、UICC110が、インタフェース130を介して端末120にXTagを送信する。892で、端末120が、式6に従って、ノンスRを使用して受け取られたXTagを検証する。XTagが妥当であると確認された場合、894で、UICC110は認証される。XTagが妥当であると確認されなかった場合、896で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。
【0038】
図9は、暗黙の相互認証、およびセッション鍵生成の例を示す。900で、端末120が、ノンスRを生成する。オプションとして、ノンスRは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、910で、端末120は、共有される秘密K、およびノンスRを使用して認証値Tagを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
Tag=fK(0,R) 式(9)
【0039】
次に、920で、端末120が、インタフェース130を介してUICC110にノンスRおよび認証値Tagを送る。930で、UICC110が、共有される秘密K、およびノンスRを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R) 式(10)
【0040】
受け取られた認証値Tagが妥当であると確認されなかった場合、935で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、940で、端末120は認証され、UICC110が、共有される秘密K、およびノンスRを使用してセッション鍵SUを計算する。このセッション鍵計算は、以下のとおり表されることが可能である。すなわち、
SU=fK(2,R) 式(11)
【0041】
次に、950で、UICC110が、式5に従って想定される認証値XTagを計算する。960で、UICC110が、インタフェース130を介して端末120に想定される認証値XTagを送る。970で、端末120が、式6に従って、ノンスRを使用して、受け取られた想定される認証値XTagを検証する。受け取られた想定される認証値XTagが妥当であると確認されなかった場合、975で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた想定される認証値XTagが妥当であると確認された場合、980で、UICC110は認証され、端末120が、共有される秘密K、およびノンスRを使用してセッション鍵STを計算する。このセッション鍵計算は、以下のとおり表されることが可能である。すなわち、
ST=fK(2,R) 式(12)
【0042】
図10は、再生保護を伴う暗黙の相互認証、およびセッション鍵生成の例を示す。1005で、UICC110が、ノンスNを生成する。オプションとして、ノンスNは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、1010で、UICC110が、インタフェース130を介して端末120にノンスNを送る。
【0043】
1020で、端末120が、ノンスRを生成する。オプションとして、ノンスRは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、1030で、端末120が、ノンスRおよびノンスNを使用して認証値Tagを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
Tag=fK(0,R,N) 式(13)
【0044】
次に、1040で、端末120が、インタフェース130を介してUICC110にノンスRおよび認証値Tagを送る。1050で、UICC110が、共有される秘密K、ノンスR、およびノンスNを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R,N) 式(14)
【0045】
受け取られた認証値Tagが妥当であると確認されなかった場合、1055で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、1060で、端末120は認証され、UICC110が、式11に従って、共有される秘密K、およびノンスRを使用してセッション鍵SUを計算する。次に、1070で、UICC110が、式5に従って想定される認証値XTagを計算する。1080で、UICC110が、インタフェース130を介して端末120に想定される認証値XTagを送る。
【0046】
次に、1090で、端末120が、式6に従って、ノンスRを使用して、受け取られた想定される認証値XTagを検証する。受け取られた想定される認証値XTagが妥当であると確認されなかった場合、1091で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた想定される認証値XTagが妥当であると確認された場合、1092で、UICC110は認証され、端末120が、共有される秘密K、およびノンスRを使用してセッション鍵STを計算する。このセッション鍵計算は、以下のとおり表されることが可能である。すなわち、
ST=fK(2,R) 式(15)
【0047】
図11は、ディフィーヘルマン鍵交換プロトコルを使用する、認証なしの共有秘密鍵確立の例を示す。最初に、1100で、UICC110と端末120が、非常に大きい素数p、および生成作用素gについて合意する。使用される代数構造は、体Fpから導き出された乗法群
【0048】
【数4】
【0049】
である。
【0050】
【数5】
【0051】
は、巡回群であり、生成元gを含み、したがって、
【0052】
【数6】
【0053】
の任意の元のaに関して、a=gn mod pであるような整数nが見出されることが可能である。値pおよびgは、公に知られており、鍵ペアの公開鍵部分を表す。
【0054】
次に、1110で、端末120が、秘密鍵RANDiを、秘密鍵RANDiが非常に大きい素数pと比べて、少なくとも1(一)小さく、2(二)を超えて小さくはないようにランダムに選択する。1120で、端末120が、秘密鍵RANDiからgRANDiを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
gRANDi≡gRANDi mod p 式(16)
【0055】
1130で、同様に、UICC110が、秘密鍵FRESHを、秘密鍵FRESHが非常に大きい素数pと比べて、少なくとも1(一)小さく、2(二)を超えて小さくはないように選択する。次に、1140で、UICC110が、秘密鍵FRESHからgFRESHを計算する。この計算は、以下のとおり表されることが可能である。
gFRESH≡gFRESH mod p 式(17)
【0056】
次に、1150で、UICC110と端末120が、インタフェース130を介してgRANDiおよびgFRESHを交換する。
【0057】
次に、1160で、端末120が、秘密鍵RANDiおよび受け取られたgFRESHを使用して、共有される秘密Kを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
【0058】
【数7】
【0059】
1170で、同様に、UICC110が、秘密鍵FRESHおよび受け取られたgRANDiを使用して、共有される秘密K’を計算する。この計算は、以下のとおり表されることが可能である。すなわち、
【0060】
【数8】
【0061】
次に、1165、1175で、端末120およびUICC110が、セキュリティ保護された秘密セッション鍵Sを計算するのに次に使用される、共有される秘密K’=Kを処理する。1180で、セキュリティ保護された秘密セッション鍵Sが、GBA_U手続きおよびAKA手続きを実行するのに使用される。
【0062】
特徴および要素は、前段で、特定の組合せで説明されているものの、各特徴または各要素は、その他の特徴および要素なしに単独で、または他の特徴および要素を伴って、または伴わずに様々な組合せで使用されることが可能である。本明細書で与えられる方法またはフローチャートは、汎用コンピュータまたはプロセッサによって実行されるようにコンピュータ可読記憶媒体に組み込まれたコンピュータプログラム、ソフトウェア、またはファームウェアにおいて実施されることが可能である。コンピュータ可読記憶媒体の例には、ROM(読み取り専用メモリ)、RAM(ランダムアクセスメモリ)、レジスタ、キャッシュメモリ、半導体メモリデバイス、内部ハードディスクやリムーバブルディスクなどの磁気媒体、光磁気媒体、およびCD−ROMディスクやDVD(DVD)などの光媒体が含まれる。
【0063】
適切なプロセッサには、例として、汎用プロセッサ、専用プロセッサ、従来のプロセッサ、DSP(デジタルシグナルプロセッサ)、複数のマイクロプロセッサ、DSPコアに関連する1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラマブルゲートアレイ)回路、他の任意のタイプのIC(集積回路)、および/または状態マシンが含まれる。
【0064】
(実施形態)
1.UICC(汎用ICカード)と端末の間の通信をセキュリティ保護するための方法。
2.通信をセキュリティ保護することは、セキュリティ保護された共有セッション鍵を生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
3.通信をセキュリティ保護することは、UICCと端末の間の通信をセキュリティ保護された共有セッション鍵で暗号化することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
4.セキュリティ保護された共有セッション鍵を生成することは、共有される秘密からセキュリティ保護された共有セッション鍵を導き出すことを含む前述の実施形態のいずれか1つにおけるとおりの方法。
5.共有される秘密からセキュリティ保護された共有セッション鍵を導き出すことは、秘密から共有される秘密を生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
6.セキュリティ保護された共有セッション鍵を導き出すことは、共有される秘密を使用してPRF(擬似乱数関数)を実行することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
7.通信を暗号化することは、安全な通信路を確立することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
8.安全な通信路を使用して、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続きを実行することをさらに含む前述の実施形態のいずれか1つにおけるとおりの方法。
9.安全な通信路を使用して、AKA(認証と鍵の合意)手続きを実行することをさらに含む前述の実施形態のいずれか1つにおけるとおりの方法。
10.UICCと端末の間のインタフェース上でトンネルを作成することをさらに含む前述の実施形態のいずれか1つにおけるとおりの方法。
11.セキュリティ保護された共有セッション鍵を生成することは、UICCと端末の間にセキュリティ保護された共有セッション鍵が存在するかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
12.セキュリティ保護された共有セッション鍵を生成することは、セキュリティ保護された共有セッション鍵が存在しないという条件で、新たなセキュリティ保護された共有セッション鍵を生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
13.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
14.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータをUICCに報告することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
15.セキュリティ保護された共有セッション鍵を生成することは、受け取られる鍵ネゴシエーションパラメータを受け取ることを含む前述の実施形態のいずれか1つにおけるとおりの方法。
16.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータ、および受け取られる鍵ネゴシエーションパラメータを使用してセキュリティ保護された共有セッション鍵を作成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
17.作成することは、鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
18.作成することは、生成される鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すことを含む前述の実施形態のいずれか1つにおけるとおりの方法。
19.生成することは、RAND(ランダムチャレンジ)およびSQN(シーケンス番号)を選択することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
20.生成することは、AK(匿名鍵)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
21.生成することは、MAC(メッセージ認証コード)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
22.生成することは、XRES(想定される応答)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
23.生成することは、XSQN(想定されるシーケンス番号)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
24.生成することは、RAND、MAC、およびXSQNを組み合わせて、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
25.計算することは、共有される秘密およびRANDを使用してAKを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
26.計算することは、共有される秘密、RAND、およびSQNを使用してMACを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
27.計算することは、共有される秘密およびRANDを使用してXRESを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
28.計算することは、SQNおよびAKを使用してXSQNを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
29.生成することは、ノンスを選択することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
30.生成することは、Tag(認証値)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
31.生成することは、ノンスとTagを組み合わせて、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
32.生成することは、セッション鍵を選択することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
33.生成することは、暗号化されたセッション鍵を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
34.生成することは、暗号化されたセッション鍵を使用して、鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
35.セキュリティ保護された共有セッション鍵を生成することは、受け取られる鍵ネゴシエーションパラメータを受け取ることを含む前述の実施形態のいずれか1つにおけるとおりの方法。
36.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
37.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータを端末に報告することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
38.セキュリティ保護された共有セッション鍵を生成することは、受け取られる鍵ネゴシエーションパラメータ、および生成される鍵ネゴシエーションパラメータを使用してセキュリティ保護された共有セッション鍵を作成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
39.作成することは、生成される鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
40.作成することは、生成される鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すことを含む前述の実施形態のいずれか1つにおけるとおりの方法。
41.生成することは、受け取られる鍵ネゴシエーションパラメータからRAND(ランダムチャレンジ)を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
42.生成することは、受け取られる鍵ネゴシエーションパラメータからMAC(メッセージ認証コード)を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
43.生成することは、受け取られる鍵ネゴシエーションパラメータからXSQN(想定されるシーケンス)を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
44.生成することは、AK(匿名鍵)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
45.生成することは、XMAC(想定されるメッセージ認証コード)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
46.生成することは、SQN(シーケンス番号)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
47.生成することは、XMACがMACと同一であるかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
48.生成することは、XMACがMACと同一であるという条件で、共有される秘密およびRANDを使用してRES(応答)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
49.計算することは、共有される秘密およびRANDを使用してAKを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
50.計算することは、XSQNおよびAKを使用してSQNを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
51.計算することは、共有される秘密、RAND、およびSQNを使用してXMACを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
52.生成することは、受け取られる鍵ネゴシエーションパラメータからノンスおよびTagを抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
53.生成することは、Tagを検証することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
54.生成することは、Tagが妥当であるという条件で、セッション鍵を導き出し、XTag(想定される認証値)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
55.生成することは、XTagを使用して、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
56.生成することは、受け取られる鍵ネゴシエーションパラメータから暗号化されたセッション鍵を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
57.セッション鍵を導き出すことは、暗号化されたセッション鍵を解読することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
58.セキュリティ保護された共有セッション鍵を生成することは、事前鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
59.セキュリティ保護された共有セッション鍵を生成することは、事前鍵ネゴシエーションパラメータを端末に報告することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
60.セキュリティ保護された共有セッション鍵を生成することは、UICCから事前鍵ネゴシエーションパラメータを受け取ることを含む前述の実施形態のいずれか1つにおけるとおりの方法。
61.生成することは、ディフィーヘルマン鍵交換プロトコルを実行することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
62.前述の実施形態のいずれか1つの少なくとも一部を実行するように構成されたWTRU(無線送信/受信ユニット)。
63.前述の実施形態のいずれか1つの少なくとも一部を実行するように構成された基地局。
64.前述の実施形態のいずれか1つの少なくとも一部を実行するように構成された集積回路。
【0065】
ソフトウェアに関連するプロセッサが、WTRU(無線送信/受信ユニット)、UE(ユーザ機器)、端末、基地局、RNC(無線ネットワークコントローラ)、または任意のホストコンピュータにおいて使用するための無線周波数トランシーバを実施するのに使用されることが可能である。WTRUは、カメラ、ビデオカメラモジュール、テレビ電話機、スピーカフォン、振動デバイス、スピーカ、マイクロフォン、テレビトランシーバ、ハンズフリーハンドセット、キーボード、Bluetooth(登録商標)モジュール、FM(周波数変調)無線ユニット、LCD(液晶表示部)表示部ユニット、OLED(有機発光ダイオード)表示部ユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザ、および/またはWLAN(無線ローカルエリアネットワーク)モジュールもしくはUWB(ウルトラワイドバンド(超広帯域))モジュールなどの、ハードウェアおよび/またはソフトウェアで実施されるモジュールと連携して使用されることが可能である。
【技術分野】
【0001】
本出願は、無線通信に関する。
【背景技術】
【0002】
AKA(Authentication and Key Agreemnt:認証と鍵の合意)手続き(プロシージャ)が、3GPP(第3世代パートナーシッププロジェクト:第3世代移動体通信システムの標準化団体)通信ネットワークにおいてWTRU(無線送信/受信ユニット)に関する認証、および共有秘密鍵を確立するために使用される。AKAは、2つの当事者間でセキュリティ保護された(安全な、セキュアな)相互認証をもたらす。さらに、AKA手続きに基づく、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))が、アプリケーションセキュリティを可能にする手段を提供する。しかし、AKA手続き、およびアプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続きは、UICC(汎用ICカード)とWTRUの端末(Terminal)を接続するインタフェースのセキュリティを保護しない。クリティカルキー(重要鍵)関連資料が、AKAプロセス中、およびGBA_Uプロセス中にUICCから端末に送られる。その結果、セッション鍵(例えば、CK/IKおよびKs_ext_NAF)が、販売間際の端末の導入準備作業中、ローカル鍵がまだ確立されていないときや、あるいは確立されたローカル鍵が期限切れになったときに開示される。
【0003】
UICCと端末の間の接続を保護するように設計された既存のプロトコルは、AKAプロセスおよびGBA_Uプロセスが完了するまで、開始され得ない。その結果、これらのプロトコルは、鍵を盗聴することを可能にする。AKAプロセスおよびGBA_Uプロセスの後、無線ネットワーク構成要素との対話、および無線ネットワーク構成要素による参加を介して他のアプリケーションレベルのプロセスに関して、端末とUICCの間のリンクをセキュリティ保護しようとする試みでは、これらの欠陥を解決しない。
【発明の概要】
【発明が解決しようとする課題】
【0004】
したがって、端末とUICCの間の通信をセキュリティ保護するための改良された方法および装置の必要性が存在している。
【課題を解決するための手段】
【0005】
無線通信におけるUICC(汎用ICカード)と端末との間のインタフェースをセキュリティ保護するための方法および装置が開示される。AKA手続き、およびアプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続きのセキュリティが向上する。セキュリティ保護された共有セッション鍵を使用して、UICCと端末の間の通信が暗号化される。このセキュリティ保護された共有セッション鍵は、認証手続きまたは匿名手続き(non−authenticating procedure)を使用して生成される。
【0006】
より詳細な理解は、添付の図面と併せて例示として与えられている、以下の説明から得ることができる。
【図面の簡単な説明】
【0007】
【図1】セキュリティ保護されたセッション鍵生成を実行するための無線送信/受信ユニットの例を示す図である。
【図2】無線通信を実行するためのハンドセット(携帯電話)として構成された端末の例を示す図である。
【図3】コネクテッド・デバイスと連携してセキュリティ保護されたセッション鍵の生成を実行するための無線送信/受信ユニットの例を示す図である。
【図4】無線通信を実行するためのネットワークの例を示す図である。
【図5】汎用ICカードと端末の間の通信をセキュリティ保護するためのセッション鍵の生成の例を示す図である。
【図6】AKA手続き(プロシージャ)を使用する明示的な相互認証の例を示す図である。
【図7】ワンタイム(一時的な、1回限りの)認証付暗号化機能を使用する明示的な相互認証の例を示す図である。
【図8】ワンタイム認証付暗号化機能および再生保護を使用する明示的な相互認証の例を示す図である。
【図9】暗黙の相互認証の例を示す図である。
【図10】再生保護を伴う暗黙の相互認証の例を示す図である。
【図11】認証なしの共有秘密鍵の例を示す図である。
【発明を実施するための形態】
【0008】
以降、言及する場合、「WTRU(無線送信/受信ユニット)」という用語には、UE(ユーザ機器)、移動局、固定加入者ユニットもしくは移動加入者ユニット、ポケットベル、セルラ電話機、PDA(携帯情報端末)、コンピュータ、または無線環境において動作することができる他の任意のタイプのユーザデバイスが含まれるが、以上には限定されない。以降、言及する場合、「基地局」という用語には、ノードB、サイトコントローラ、AP(アクセスポイント)、または無線環境において動作することができる他の任意のタイプのインタフェースデバイスが含まれるが、以上には限定されない。「WTRU」という用語と「基地局」という用語は、相互排除的ではない。
【0009】
図1は、セキュリティ保護されたセッション鍵生成を実行するためのWTRU(無線送信/受信ユニット)100の例示的なブロック図である。WTRU100は、UICC(汎用ICカード)110および端末120を含む。UICCは、インタフェース130を介して端末と通信する。WTRU100は、例示のためにUICC110および端末120を含むものとして示されている。UICC110または端末120は、本明細書で説明されるとおりに通信することができる限り、任意の仕方で構成されることが可能である。例えば、図3は、端末(Terminal)120が、コネクテッド・デバイス(連結デバイス)内に配置された例を示す。
【0010】
図2は、無線通信を実行するためのハンドセット(携帯電話)として構成された端末120の拡大図の例示的なブロック図である。端末120は、プロセッサ210、アンテナ220、ユーザインタフェース230、および表示部(ディスプレイ)240を含む。
【0011】
図3は、コネクテッド・デバイス(連結デバイス)300と連動してセキュリティ保護されたセッション鍵生成を実行するためのWTRU(無線送信/受信ユニット)100の例示的なブロック図である。WTRU100内のUICC10は、コネクテッド・デバイス300内の端末120とインタフェース130を介して通信する。コネクテッド・デバイス300は、PC(パーソナルコンピュータ)であることが可能であり、あるいは端末120として構成された他の任意のデバイスであることが可能である。インタフェース130は、有線インタフェースまたは無線インタフェースであることが可能である。本明細書で説明される方法および装置は、UICC110と端末120の他の任意の組合せまたは構成を含む。オプションとして、端末120は、内部UICC読み取り装置または外部UICC読み取り装置を含むことが可能である。
【0012】
例えば、コネクテッド・デバイス300は、ラップトップコンピュータであることが可能である。このラップトップは、イーサネット(登録商標)接続を介してインターネットに接続されることが可能である。また、このラップトップは、Bluetoothインタフェース130を介してWTRU100に接続されることも可能である。その場合、WTRU100内のUICC110は、セキュリティ保護された接続を要求する通信を実行するためにラップトップ内の端末120を使用することが可能である。代替として、ラップトップ内の端末120が、セキュリティ保護された接続を要求する通信を実行するためにWTRU100内のUICC110を使用してもよい。
【0013】
図4は、無線通信を実行するためのネットワーク400の例示的なブロック図である。ネットワーク400は、WTRU100、RAN(無線アクセスネットワーク)410、およびCN(コアネットワーク)420を含む。RAN410は、基地局430およびRNC(無線ネットワークコントローラ(制御装置))440を含む。CN420は、VLR(ビジタロケーションレジスタ(在圏網加入者管理レジスタ、あるいは訪問者位置登録装置とも称されている))450およびHLR(ホームロケーションレジスタ(現在所在地登録装置とも称されている))460を含む。また、ネットワーク400は、EVE(イーブズドロッパ:盗聴者)490も含む。基地局430は、RAN410に関するネットワークのエントリ(入り口)点の役割をする。RNC440は、無線リソース管理、移動性管理機能、および暗号化機能などの無線通信における様々な機能を実行する。VLR450が、無線通信のために使用される、ユーザサービスプロファイルのコピーや、デバイスロケーションエリアなどの、WTRU100についての情報を格納する。ユーザサービスプロファイルのマスタコピーを格納するHLR460が、スイッチング機能を実行し、WTRU100とネットワーク400の間の無線通信を管理する。
【0014】
図5は、UICC110と端末120の間のインタフェース130をセキュリティ保護するためのセッション鍵生成の例である。510で、端末120が、UICC110との通信を暗号化するのに使用され得る秘密(secret)を識別する。515で、同様に、UICCが、端末120との通信を暗号化するのに使用され得る秘密を識別する。オプションとして、これらの識別される秘密は、事前に準備された共有秘密である。520で、これらの秘密を使用してインタフェース130上でトンネル(tunnel:公衆回線網上のある2点間を結ぶ閉じられた仮想的な直結通信回線)が確立され、したがって、UICC110と端末120の間の通信路が、それぞれの秘密を使用してセキュリティ保護される。525で、このトンネルが、セキュリティ保護された共有セッション鍵(secure shared session key:セキュアな共有セッション鍵とも称されている)を導き出す際に使用するためのデータを共有するのに使用される。
【0015】
次に、530で、端末120が、端末120の秘密からセキュリティ保護された共有セッション鍵STを導き出す。同様に、535で、UICC110が、UICC110の秘密からセキュリティ保護された共有セッション鍵SUを導き出す。オプションとして、530、535で、UICC110と端末120は、相互認証も実行する。540で、セキュリティ保護された共有セッション鍵ST、SUが、UICC110と端末120の間で安全な通信路(secure channel)を確立するのに使用され、したがって、この安全な通信路を通過する情報の機密性および完全性が保護される。次に、550で、UICC110と端末120が、この安全な通信路を介してAKA300手続き(プロシージャ)およびGBA_U400手続き(プロシージャ)を実行する。
【0016】
一部の実施形態において、共有される秘密Kが、SHA−256 HMACセキュリティ関数、暗号化AES−128 CBC MACセキュリティ関数、またはAKAセキュリティ関数などの、任意の長さの入力に対応することができる鍵付きPRF(擬似乱数関数)を実行するのに使用される。共有される秘密Kおよび、および入力xを使用するPRFは、fK(x)と表されることが可能である。同様に、fK(x,y)という表記は、PRFが、示される引数の連結に対して実行されることを示す。PRFファミリは、可変ビット長の値が固定長(すなわち、128または256)のビット系列に変換される、関連する不可逆な一方向PRFのセットである。例えば、PRFファミリにおける第1のPRFが、fK(0,Y,Z)と表されることが可能であり、PRFファミリにおける第2のPRFが、fK(1,Y,Z)と表されることが可能であり、したがって、先頭の0を有するPRFは、先頭の1を有するPRFとは異なる結果をもたらす。
【0017】
一部の実施形態において、端末120は、RAND(ランダムチャレンジ)、AK(匿名鍵)、およびSQN(シーケンス番号)を生成するように構成される。また、端末120は、MAC(メッセージ認証コード)、XRES(想定される応答)、およびXSQN(想定されるシーケンス番号)、またはTag(認証値)を計算するようにも構成される。同様に、UICC110が、RES(応答)またはXTag(想定される認証値)を生成するように構成される。RAND、AK、SQN、MAC、およびXRESは、当技術分野で知られている、それぞれのいくつかの関数のいずれに従って生成されてもよいことが、当業者には認識されよう。オプションとして、これらの関数は、3GPP(第3世代パートナーシッププロジェクト)によって定義される鍵生成関数であってもよい。また、端末120は、計算された値をUICC110に送るようにも構成される。また、端末120は、UICC110から応答(RES)を受信し、さらにUICC110の認証のために、計算された値と受け取った値とを比較するようにも構成される。同様に、UICC110が、端末120にそれらの値を送り、さらにUICC110の認証のために、計算された値と受け取った値とを比較するように構成される。また、端末120とUICC110は、共有セッション鍵や匿名鍵などの共有値を単独で導き出すようにも構成される。簡明のため、UICC110において生成された値は、下付き文字Uで示されることが可能であり、端末120において生成された値は、下付き文字Tで示されることが可能である。例えば、UICC110におけるAKUは、端末120におけるAKTと同一の値を有する。
【0018】
図6は、明示的相互認証−セッション鍵生成方法600の例を示す。最初に、610で、端末120が、RANDおよびSQNTを生成する。620で、端末120が、MAC、XRES、AKT、およびXSQNを計算する。MACは、共有される秘密K、RAND,およびSQNTに基づいて計算される。XRESは、認証コードを表し、共有される秘密K、およびRANDを使用して計算される。AKTは、共有される秘密K、およびRANDを使用して生成される。オプションとして、AKTは、SQNTと同一のサイズである。XSQNは、SQNとAKTのビット単位の排他的論理和(XORまたは
【0019】
【数1】
【0020】
)を実行することによって計算される。
【0021】
次に、630で、端末120が、インタフェース130を介してUICC110にそのMAC、そのRAND、およびそのXSQNを送る。640で、UICC110が、AKU、SQNU、およびXMAC(想定されるMAC)を計算する。AKUは、共有される秘密K、および受け取られたRANDを使用して計算される。SQNUは、AKUとXSQNのビット単位の排他的論理和を実行することによって計算される。XMACは、共有される秘密K、RAND、およびSQNUを使用して計算される。オプションとして、UICC110においてAKUを計算するのに使用される関数は、端末120においてAKTを計算するのに使用される関数と同一である。
【0022】
次に、650で、UICC110が、XMACをMACと比較する。XMACとMACが等しくない場合、655で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔で再スタートされてもよい。XMACとMACが等しい場合、660で、端末120は、検証され、UICC110が、共有される秘密K、およびRANDを使用してRESを計算する。670で、UICC110が、このRESを端末120に送り、680で、共有セッション鍵SUを導き出す。例えば、共有セッション鍵は、RAND、および共有される秘密Kを使用して導き出される。
【0023】
最後に、690で、端末120が、RESをXRESと比較する。RESとXRESが等しくない場合、691で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔で再スタートされてもよい。RESとXRESが等しい場合、692で、UICC110は、検証され、端末120が、共有セッション鍵STを導き出す。次に、UICC110と端末120は、共有セッション鍵SU、STを使用して、GBA_U400手続きおよびAKA300手続きを実行する。
【0024】
図7は、ワンタイム認証付暗号化機能を使用する明示的相互認証およびセッション鍵生成方法700の例を示す。705で、端末120が、セッション鍵STおよびノンス(nonce:セッションをユニークにするためのランダムな値)Rを生成する。オプションとして、ノンスRは、カウンタを使用して選択され、このカウンタは、インクリメントされる。710で、端末120は、共有される秘密K、ノンスRを使用してセッション鍵STの暗号化されたセッション鍵eを計算し、さらにノンスRと暗号化されたセッション鍵eのタプル(taple:1件分のデータ)Eを計算する。タプルEは、以下のベクトル式による暗号化プロセスによって生成される。すなわち、
【0025】
【数2】
【0026】
次に、720で、端末120が、共有される秘密K、ノンスR、および暗号化されたセッション鍵eを使用して認証値Tagを、以下の式に従って計算する。すなわち、
Tag=fK(0,R,e) 式(2)
【0027】
次に、730で、端末120が、インタフェース130を介してUICC110にタプルEおよび認証値Tagを送る。740で、UICC110が、共有される秘密K、および受け取られたタプルEを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R,e) 式(3)
【0028】
受け取られた認証値Tagが妥当であると確認されなかった場合、745で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、750で、端末120は認証され、UICCが、セッション鍵SUを、以下の式に従って解読する。すなわち、
【0029】
【数3】
【0030】
次に、760で、UICC110が、XTag(想定される認証値)を計算する。この計算は、以下のとおり表されることが可能である。すなわち、
XTag=fK(1,R) 式(5)
【0031】
770で、UICC110が、インタフェース130を介して端末120に想定される認証値XTagを送る。780で、端末120が、共有される秘密K、およびノンスRを使用して、受け取られたXTagを検証(妥当性確認)する。この検証は、以下のとおり表されることが可能である。
XTag==fK(1,R) 式(6)
【0032】
XTagが妥当であると確認された場合、790で、UICC110は認証される。XTagが妥当であると確認されなかった場合、791で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。
【0033】
図8は、ワンタイム認証付暗号化機能および再生保護を使用する明示的相互認証およびセッション鍵生成方法800の例を示す。805で、UICC110が、ノンスNを生成する。ノンスが図8に示されるものの、任意の適切な事前鍵ネゴシエーションパラメータが使用されることが可能である。オプションとして、ノンスNは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、810で、UICC110が、インタフェース130を介してノンスNを端末120に送る。
【0034】
820で、端末120が、セッション鍵STおよびノンスRを生成する。オプションとして、ノンスRは、カウンタを使用して生成され、このカウンタは、インクリメントされる。830で、端末120が、式1に従って、共有される秘密K、およびノンスRを使用してセッション鍵STの暗号化されたセッション鍵eを計算する。次に、840で、端末120が、共有される秘密K、ノンスR、暗号化されたセッション鍵e、およびノンスNを使用して認証値Tagを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
Tag=fK(0,R,e,N) 式(7)
【0035】
次に、850で、端末120が、インタフェース130を介してUICC110に認証値Tag、およびノンスRと暗号化されたセッション鍵eのタプルEを送る。860で、UICC110が、共有される秘密K、受け取られたタプルE、およびノンスNを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R,e,N) 式(8)
【0036】
受け取られた認証値Tagが妥当であると確認されなかった場合、865で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、870で、UICCが、セッション鍵SUを、式4に従って解読する。次に、880で、UICC110が、式5に従って想定される認証値XTagを計算する。
【0037】
890で、UICC110が、インタフェース130を介して端末120にXTagを送信する。892で、端末120が、式6に従って、ノンスRを使用して受け取られたXTagを検証する。XTagが妥当であると確認された場合、894で、UICC110は認証される。XTagが妥当であると確認されなかった場合、896で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。
【0038】
図9は、暗黙の相互認証、およびセッション鍵生成の例を示す。900で、端末120が、ノンスRを生成する。オプションとして、ノンスRは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、910で、端末120は、共有される秘密K、およびノンスRを使用して認証値Tagを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
Tag=fK(0,R) 式(9)
【0039】
次に、920で、端末120が、インタフェース130を介してUICC110にノンスRおよび認証値Tagを送る。930で、UICC110が、共有される秘密K、およびノンスRを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R) 式(10)
【0040】
受け取られた認証値Tagが妥当であると確認されなかった場合、935で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、940で、端末120は認証され、UICC110が、共有される秘密K、およびノンスRを使用してセッション鍵SUを計算する。このセッション鍵計算は、以下のとおり表されることが可能である。すなわち、
SU=fK(2,R) 式(11)
【0041】
次に、950で、UICC110が、式5に従って想定される認証値XTagを計算する。960で、UICC110が、インタフェース130を介して端末120に想定される認証値XTagを送る。970で、端末120が、式6に従って、ノンスRを使用して、受け取られた想定される認証値XTagを検証する。受け取られた想定される認証値XTagが妥当であると確認されなかった場合、975で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた想定される認証値XTagが妥当であると確認された場合、980で、UICC110は認証され、端末120が、共有される秘密K、およびノンスRを使用してセッション鍵STを計算する。このセッション鍵計算は、以下のとおり表されることが可能である。すなわち、
ST=fK(2,R) 式(12)
【0042】
図10は、再生保護を伴う暗黙の相互認証、およびセッション鍵生成の例を示す。1005で、UICC110が、ノンスNを生成する。オプションとして、ノンスNは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、1010で、UICC110が、インタフェース130を介して端末120にノンスNを送る。
【0043】
1020で、端末120が、ノンスRを生成する。オプションとして、ノンスRは、カウンタを使用して生成され、このカウンタは、インクリメントされる。次に、1030で、端末120が、ノンスRおよびノンスNを使用して認証値Tagを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
Tag=fK(0,R,N) 式(13)
【0044】
次に、1040で、端末120が、インタフェース130を介してUICC110にノンスRおよび認証値Tagを送る。1050で、UICC110が、共有される秘密K、ノンスR、およびノンスNを使用して、受け取られた認証値Tagを検証する。この検証は、以下のとおり表されることが可能である。すなわち、
Tag==fK(0,R,N) 式(14)
【0045】
受け取られた認証値Tagが妥当であると確認されなかった場合、1055で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた認証値Tagが妥当であると確認された場合、1060で、端末120は認証され、UICC110が、式11に従って、共有される秘密K、およびノンスRを使用してセッション鍵SUを計算する。次に、1070で、UICC110が、式5に従って想定される認証値XTagを計算する。1080で、UICC110が、インタフェース130を介して端末120に想定される認証値XTagを送る。
【0046】
次に、1090で、端末120が、式6に従って、ノンスRを使用して、受け取られた想定される認証値XTagを検証する。受け取られた想定される認証値XTagが妥当であると確認されなかった場合、1091で、認証プロセスは、失敗し、失敗状態で終了する。オプションとして、認証プロセスは、所定の間隔の後に再スタートされてもよい。受け取られた想定される認証値XTagが妥当であると確認された場合、1092で、UICC110は認証され、端末120が、共有される秘密K、およびノンスRを使用してセッション鍵STを計算する。このセッション鍵計算は、以下のとおり表されることが可能である。すなわち、
ST=fK(2,R) 式(15)
【0047】
図11は、ディフィーヘルマン鍵交換プロトコルを使用する、認証なしの共有秘密鍵確立の例を示す。最初に、1100で、UICC110と端末120が、非常に大きい素数p、および生成作用素gについて合意する。使用される代数構造は、体Fpから導き出された乗法群
【0048】
【数4】
【0049】
である。
【0050】
【数5】
【0051】
は、巡回群であり、生成元gを含み、したがって、
【0052】
【数6】
【0053】
の任意の元のaに関して、a=gn mod pであるような整数nが見出されることが可能である。値pおよびgは、公に知られており、鍵ペアの公開鍵部分を表す。
【0054】
次に、1110で、端末120が、秘密鍵RANDiを、秘密鍵RANDiが非常に大きい素数pと比べて、少なくとも1(一)小さく、2(二)を超えて小さくはないようにランダムに選択する。1120で、端末120が、秘密鍵RANDiからgRANDiを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
gRANDi≡gRANDi mod p 式(16)
【0055】
1130で、同様に、UICC110が、秘密鍵FRESHを、秘密鍵FRESHが非常に大きい素数pと比べて、少なくとも1(一)小さく、2(二)を超えて小さくはないように選択する。次に、1140で、UICC110が、秘密鍵FRESHからgFRESHを計算する。この計算は、以下のとおり表されることが可能である。
gFRESH≡gFRESH mod p 式(17)
【0056】
次に、1150で、UICC110と端末120が、インタフェース130を介してgRANDiおよびgFRESHを交換する。
【0057】
次に、1160で、端末120が、秘密鍵RANDiおよび受け取られたgFRESHを使用して、共有される秘密Kを計算する。この計算は、以下のとおり表されることが可能である。すなわち、
【0058】
【数7】
【0059】
1170で、同様に、UICC110が、秘密鍵FRESHおよび受け取られたgRANDiを使用して、共有される秘密K’を計算する。この計算は、以下のとおり表されることが可能である。すなわち、
【0060】
【数8】
【0061】
次に、1165、1175で、端末120およびUICC110が、セキュリティ保護された秘密セッション鍵Sを計算するのに次に使用される、共有される秘密K’=Kを処理する。1180で、セキュリティ保護された秘密セッション鍵Sが、GBA_U手続きおよびAKA手続きを実行するのに使用される。
【0062】
特徴および要素は、前段で、特定の組合せで説明されているものの、各特徴または各要素は、その他の特徴および要素なしに単独で、または他の特徴および要素を伴って、または伴わずに様々な組合せで使用されることが可能である。本明細書で与えられる方法またはフローチャートは、汎用コンピュータまたはプロセッサによって実行されるようにコンピュータ可読記憶媒体に組み込まれたコンピュータプログラム、ソフトウェア、またはファームウェアにおいて実施されることが可能である。コンピュータ可読記憶媒体の例には、ROM(読み取り専用メモリ)、RAM(ランダムアクセスメモリ)、レジスタ、キャッシュメモリ、半導体メモリデバイス、内部ハードディスクやリムーバブルディスクなどの磁気媒体、光磁気媒体、およびCD−ROMディスクやDVD(DVD)などの光媒体が含まれる。
【0063】
適切なプロセッサには、例として、汎用プロセッサ、専用プロセッサ、従来のプロセッサ、DSP(デジタルシグナルプロセッサ)、複数のマイクロプロセッサ、DSPコアに関連する1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラマブルゲートアレイ)回路、他の任意のタイプのIC(集積回路)、および/または状態マシンが含まれる。
【0064】
(実施形態)
1.UICC(汎用ICカード)と端末の間の通信をセキュリティ保護するための方法。
2.通信をセキュリティ保護することは、セキュリティ保護された共有セッション鍵を生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
3.通信をセキュリティ保護することは、UICCと端末の間の通信をセキュリティ保護された共有セッション鍵で暗号化することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
4.セキュリティ保護された共有セッション鍵を生成することは、共有される秘密からセキュリティ保護された共有セッション鍵を導き出すことを含む前述の実施形態のいずれか1つにおけるとおりの方法。
5.共有される秘密からセキュリティ保護された共有セッション鍵を導き出すことは、秘密から共有される秘密を生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
6.セキュリティ保護された共有セッション鍵を導き出すことは、共有される秘密を使用してPRF(擬似乱数関数)を実行することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
7.通信を暗号化することは、安全な通信路を確立することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
8.安全な通信路を使用して、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続きを実行することをさらに含む前述の実施形態のいずれか1つにおけるとおりの方法。
9.安全な通信路を使用して、AKA(認証と鍵の合意)手続きを実行することをさらに含む前述の実施形態のいずれか1つにおけるとおりの方法。
10.UICCと端末の間のインタフェース上でトンネルを作成することをさらに含む前述の実施形態のいずれか1つにおけるとおりの方法。
11.セキュリティ保護された共有セッション鍵を生成することは、UICCと端末の間にセキュリティ保護された共有セッション鍵が存在するかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
12.セキュリティ保護された共有セッション鍵を生成することは、セキュリティ保護された共有セッション鍵が存在しないという条件で、新たなセキュリティ保護された共有セッション鍵を生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
13.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
14.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータをUICCに報告することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
15.セキュリティ保護された共有セッション鍵を生成することは、受け取られる鍵ネゴシエーションパラメータを受け取ることを含む前述の実施形態のいずれか1つにおけるとおりの方法。
16.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータ、および受け取られる鍵ネゴシエーションパラメータを使用してセキュリティ保護された共有セッション鍵を作成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
17.作成することは、鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
18.作成することは、生成される鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すことを含む前述の実施形態のいずれか1つにおけるとおりの方法。
19.生成することは、RAND(ランダムチャレンジ)およびSQN(シーケンス番号)を選択することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
20.生成することは、AK(匿名鍵)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
21.生成することは、MAC(メッセージ認証コード)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
22.生成することは、XRES(想定される応答)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
23.生成することは、XSQN(想定されるシーケンス番号)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
24.生成することは、RAND、MAC、およびXSQNを組み合わせて、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
25.計算することは、共有される秘密およびRANDを使用してAKを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
26.計算することは、共有される秘密、RAND、およびSQNを使用してMACを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
27.計算することは、共有される秘密およびRANDを使用してXRESを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
28.計算することは、SQNおよびAKを使用してXSQNを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
29.生成することは、ノンスを選択することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
30.生成することは、Tag(認証値)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
31.生成することは、ノンスとTagを組み合わせて、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
32.生成することは、セッション鍵を選択することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
33.生成することは、暗号化されたセッション鍵を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
34.生成することは、暗号化されたセッション鍵を使用して、鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
35.セキュリティ保護された共有セッション鍵を生成することは、受け取られる鍵ネゴシエーションパラメータを受け取ることを含む前述の実施形態のいずれか1つにおけるとおりの方法。
36.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
37.セキュリティ保護された共有セッション鍵を生成することは、生成される鍵ネゴシエーションパラメータを端末に報告することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
38.セキュリティ保護された共有セッション鍵を生成することは、受け取られる鍵ネゴシエーションパラメータ、および生成される鍵ネゴシエーションパラメータを使用してセキュリティ保護された共有セッション鍵を作成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
39.作成することは、生成される鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
40.作成することは、生成される鍵ネゴシエーションパラメータが、受け取られる鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すことを含む前述の実施形態のいずれか1つにおけるとおりの方法。
41.生成することは、受け取られる鍵ネゴシエーションパラメータからRAND(ランダムチャレンジ)を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
42.生成することは、受け取られる鍵ネゴシエーションパラメータからMAC(メッセージ認証コード)を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
43.生成することは、受け取られる鍵ネゴシエーションパラメータからXSQN(想定されるシーケンス)を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
44.生成することは、AK(匿名鍵)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
45.生成することは、XMAC(想定されるメッセージ認証コード)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
46.生成することは、SQN(シーケンス番号)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
47.生成することは、XMACがMACと同一であるかどうかを判定することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
48.生成することは、XMACがMACと同一であるという条件で、共有される秘密およびRANDを使用してRES(応答)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
49.計算することは、共有される秘密およびRANDを使用してAKを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
50.計算することは、XSQNおよびAKを使用してSQNを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
51.計算することは、共有される秘密、RAND、およびSQNを使用してXMACを計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
52.生成することは、受け取られる鍵ネゴシエーションパラメータからノンスおよびTagを抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
53.生成することは、Tagを検証することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
54.生成することは、Tagが妥当であるという条件で、セッション鍵を導き出し、XTag(想定される認証値)を計算することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
55.生成することは、XTagを使用して、生成される鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
56.生成することは、受け取られる鍵ネゴシエーションパラメータから暗号化されたセッション鍵を抽出することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
57.セッション鍵を導き出すことは、暗号化されたセッション鍵を解読することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
58.セキュリティ保護された共有セッション鍵を生成することは、事前鍵ネゴシエーションパラメータを生成することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
59.セキュリティ保護された共有セッション鍵を生成することは、事前鍵ネゴシエーションパラメータを端末に報告することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
60.セキュリティ保護された共有セッション鍵を生成することは、UICCから事前鍵ネゴシエーションパラメータを受け取ることを含む前述の実施形態のいずれか1つにおけるとおりの方法。
61.生成することは、ディフィーヘルマン鍵交換プロトコルを実行することを含む前述の実施形態のいずれか1つにおけるとおりの方法。
62.前述の実施形態のいずれか1つの少なくとも一部を実行するように構成されたWTRU(無線送信/受信ユニット)。
63.前述の実施形態のいずれか1つの少なくとも一部を実行するように構成された基地局。
64.前述の実施形態のいずれか1つの少なくとも一部を実行するように構成された集積回路。
【0065】
ソフトウェアに関連するプロセッサが、WTRU(無線送信/受信ユニット)、UE(ユーザ機器)、端末、基地局、RNC(無線ネットワークコントローラ)、または任意のホストコンピュータにおいて使用するための無線周波数トランシーバを実施するのに使用されることが可能である。WTRUは、カメラ、ビデオカメラモジュール、テレビ電話機、スピーカフォン、振動デバイス、スピーカ、マイクロフォン、テレビトランシーバ、ハンズフリーハンドセット、キーボード、Bluetooth(登録商標)モジュール、FM(周波数変調)無線ユニット、LCD(液晶表示部)表示部ユニット、OLED(有機発光ダイオード)表示部ユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザ、および/またはWLAN(無線ローカルエリアネットワーク)モジュールもしくはUWB(ウルトラワイドバンド(超広帯域))モジュールなどの、ハードウェアおよび/またはソフトウェアで実施されるモジュールと連携して使用されることが可能である。
【特許請求の範囲】
【請求項1】
UICC(汎用ICカード)と端末の間の通信をセキュリティ保護するための方法であって、
セキュリティ保護された共有セッション鍵を生成すること、および
前記UICCと前記端末の間の通信を前記セキュリティ保護された共有セッション鍵で暗号化すること
を含むことを特徴とする方法。
【請求項2】
前記セキュリティ保護された共有セッション鍵を生成することは、共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことを含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことは、秘密から共有される秘密を生成することを含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記セキュリティ保護された共有セッション鍵を導き出すことは、前記共有される秘密を使用してPRF(擬似乱数関数)を実行することを含むことを特徴とする請求項2に記載の方法。
【請求項5】
前記通信を暗号化することは、安全な通信路を確立することを含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記安全な通信路を使用して、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続き、またはAKA(認証と鍵の合意)手続きの少なくともいずれかを実行することをさらに含むことを特徴とする請求項5に記載の方法。
【請求項7】
前記UICCと前記端末の間のインタフェース上でトンネルを作成することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項8】
前記セキュリティ保護された共有セッション鍵を生成することは、
前記UICCと前記端末の間にセキュリティ保護された共有セッション鍵が存在するかどうかを判定すること、および
前記セキュリティ保護された共有セッション鍵が存在していないという条件で、新たなセキュリティ保護された共有セッション鍵を生成することを含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記セキュリティ保護された共有セッション鍵を生成することは、
生成されるべき鍵ネゴシエーションパラメータを生成し、該生成された鍵ネゴシエーションパラメータを前記UICCに報告すること、
受け取られるべき鍵ネゴシエーションパラメータを受け取ること、
前記生成された鍵ネゴシエーションパラメータ、および前記受け取られた鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を作成することを含むことを特徴とする請求項1に記載の方法。
【請求項10】
前記作成することは、
前記生成された鍵ネゴシエーションパラメータが、前記受信された鍵ネゴシエーションパラメータと同一であるかどうかを判定すること、および
前記生成された鍵ネゴシエーションパラメータが、前記受信された鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すことを含むことを特徴とする請求項9に記載の方法。
【請求項11】
前記生成することは、
RAND(ランダムチャレンジ)およびSQN(シーケンス番号)を選択すること、
AK(匿名鍵)、MAC(メッセージ認証コード)、XRES(想定される応答)、およびXSQN(想定されるシーケンス)を計算すること、および
前記RAND、前記MAC、および前記XSQNを組み合わせて、前記生成されるべき鍵ネゴシエーションパラメータを生成することを含むことを特徴とする請求項9に記載の方法。
【請求項12】
前記計算することは、
共有される秘密および前記RANDを使用して前記AKを計算すること、
前記共有される秘密、前記RAND、および前記SQNを使用して前記MACを計算すること、
前記共有される秘密および前記RANDを使用して前記XRESを計算すること、および
前記SQNおよび前記AKを使用して前記XSQNを計算することを含むことを特徴とする請求項11に記載の方法。
【請求項13】
前記生成することは、
ノンスを選択すること、
Tag(認証値)を計算すること、および
前記ノンスと前記Tagを組み合わせて、前記生成されるべき鍵ネゴシエーションパラメータを生成することを含むことを特徴とする請求項9に記載の方法。
【請求項14】
前記生成することは、
セッション鍵を選択すること、
暗号化されたセッション鍵を計算すること、および
前記暗号化されたセッション鍵を使用して、前記鍵ネゴシエーションパラメータを生成することを含むことを特徴とする請求項9に記載の方法。
【請求項15】
前記セキュリティ保護された共有セッション鍵を生成することは、
受け取られるべき鍵ネゴシエーションパラメータを受け取ること、
生成されるべき鍵ネゴシエーションパラメータを生成すること、
前記生成された鍵ネゴシエーションパラメータを前記端末に報告すること、および
前記受け取られた鍵ネゴシエーションパラメータ、および前記生成された鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を作成すること
を含むことを特徴とする請求項1に記載の方法。
【請求項16】
前記作成することは、
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるかどうかを判定すること、および
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すこと
を含むことを特徴とする請求項15に記載の方法。
【請求項17】
前記生成することは、
前記受け取られた鍵ネゴシエーションパラメータからRAND(ランダムチャレンジ)、MAC(メッセージ認証コード)、およびXSQN(想定されるシーケンス)を抽出すること、
AK(匿名鍵)、XMAC(想定されるメッセージ認証コード)、およびSQN(シーケンス番号)を計算すること、
前記XMACが前記MACと同一であるかどうかを判定すること、および
前記XMACが前記MACと同一であるという条件で、共有される秘密および前記RANDを使用してRES(応答)を計算すること
を含むことを特徴とする請求項15に記載の方法。
【請求項18】
前記計算することは、
前記共有される秘密および前記RANDを使用して前記AKを計算すること、
前記XSQNおよび前記AKを使用して前記SQNを計算すること、および
前記共有される秘密、前記RAND、および前記SQNを使用して前記XMACを計算すること
を含むことを特徴とする請求項17に記載の方法。
【請求項19】
前記生成することは、
前記受け取られた鍵ネゴシエーションパラメータからノンスおよびTagを抽出すること、
前記Tagを検証すること、
前記Tagが妥当であるという条件で、セッション鍵を導き出し、XTag(想定される認証値)を計算すること、および
前記XTagを使用して、前記生成されるべき鍵ネゴシエーションパラメータを生成すること
を含むことを特徴とする請求項15に記載の方法。
【請求項20】
前記生成することは、前記受け取られる鍵ネゴシエーションパラメータから前記暗号化されたセッション鍵を抽出することを含み、さらに該セッション鍵を導き出すことは、前記暗号化されたセッション鍵を解読することを含むことを特徴とする請求項19に記載の方法。
【請求項21】
前記セキュリティ保護された共有セッション鍵を生成することは、
事前鍵ネゴシエーションパラメータを生成すること、および
前記事前鍵ネゴシエーションパラメータを前記端末に報告すること
を含むことを特徴とする請求項1に記載の方法。
【請求項22】
前記セキュリティ保護された共有セッション鍵を生成することは、
前記UICCから事前鍵ネゴシエーションパラメータを受け取ることを含むことを特徴とする請求項1に記載の方法。
【請求項23】
前記生成することは、ディフィーヘルマン鍵交換プロトコルを実行することを含むことを特徴とする請求項1に記載の方法。
【請求項24】
セキュリティ保護された共有セッション鍵を生成し、
前記セキュリティ保護された共有セッション鍵で通信を暗号化し、
前記暗号化された通信を送信し、さらに
前記セキュリティ保護された共有セッション鍵を使用して、受信される暗号化された通信を解読するように構成されたUICC(汎用ICカード)と、
前記セキュリティ保護された共有セッション鍵を生成し、
前記セキュリティ保護された共有セッション鍵で通信を暗号化し、
前記暗号化された通信を送信し、さらに
前記セキュリティ保護された共有セッション鍵を使用して、受信される暗号化された通信を解読するように構成された端末と
を備えることを特徴とするWTRU(無線送信/受信ユニット)。
【請求項25】
前記UICCは、共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことによって、前記セキュリティ保護された共有セッション鍵を生成するように構成され、さらに
前記端末は、前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことによって、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項26】
前記UICCは、第1の秘密から前記共有される秘密を生成することによって、前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すように構成され、さらに
前記端末は、第2の秘密から前記共有される秘密を生成することによって、前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すように構成されることを特徴とする請求項25に記載のWTRU。
【請求項27】
前記UICCは、前記共有される秘密を使用してPRF(擬似乱数関数)を実行することによって、前記セキュリティ保護された共有セッション鍵を導き出すように構成され、さらに
前記端末は、前記共有される秘密を使用してPRF(擬似乱数関数)を実行することによって、前記セキュリティ保護された共有セッション鍵を導き出すように構成されることを特徴とする請求項25に記載のWTRU。
【請求項28】
前記UICCは、前記端末と安全な通信路を確立するように構成され、さらに前記端末は、前記UICCと安全な通信路を確立するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項29】
前記安全な通信路を介して手続きを実行することは、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続き、またはAKA(認証と鍵の合意)手続きの少なくともいずれかを実行することを含むことを特徴とする請求項28に記載のWTRU。
【請求項30】
前記端末は、
生成されるべき鍵ネゴシエーションパラメータを生成し、
前記生成された鍵ネゴシエーションパラメータを前記UICCに報告し、
前記UICCから、受け取られるべき鍵ネゴシエーションパラメータを受け取り、さらに
前記生成された鍵ネゴシエーションパラメータ、および前記受け取られた鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項31】
前記端末は、
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるかどうかを判定し、さらに
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるという条件で、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項30に記載のWTRU。
【請求項32】
前記端末は、
RAND(ランダムチャレンジ)およびSQN(シーケンス番号)を選択し、
AK(匿名鍵)、MAC(メッセージ認証コード)、XRES(想定される応答)、およびXSQN(想定されるシーケンス)を計算し、さらに
前記RAND、前記MAC、および前記XSQNを使用して、前記生成される鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項30に記載のWTRU。
【請求項33】
前記端末は、
共有される秘密と前記RANDを使用して前記AKを計算し、
前記共有される秘密、前記RAND、および前記SQNを使用して前記MACを計算し、
前記共有される秘密および前記RANDを使用して前記XRESを計算し、さらに
前記SQNおよび前記AKを使用して前記XSQNを計算するように構成されることを特徴とする請求項32に記載のWTRU。
【請求項34】
前記端末は、
ノンスを選択し、
Tag(認証値)を計算し、さらに
前記ノンスと前記Tagを使用して、前記生成されるべき鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項10に記載のWTRU。
【請求項35】
前記端末は、
セッション鍵を選択し、
暗号化されたセッション鍵を計算し、さらに
前記暗号化されたセッション鍵を使用して、前記生成されるべき鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項30に記載のWTRU。
【請求項36】
前記UICCは、
前記端末から、受け取られる鍵ネゴシエーションパラメータを受け取り、
生成されるべき鍵ネゴシエーションパラメータを生成し、
前記生成された鍵ネゴシエーションパラメータを前記端末に報告し、さらに
前記受け取られた鍵ネゴシエーションパラメータ、および前記生成された鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項37】
前記UICCは、
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるかどうかを判定し、さらに
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるという条件で、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項36に記載のWTRU。
【請求項38】
前記UICCは、
前記受け取られた鍵ネゴシエーションパラメータからRAND(ランダムチャレンジ)、MAC(メッセージ認証コード)、およびXSQN(想定されるシーケンス)を抽出し、
AK(匿名鍵)、XMAC(想定されるメッセージ認証コード)、およびSQN(シーケンス番号)を計算し、
前記XMACが前記MACと同一であるかどうかを判定し、
前記XMACが前記MACと同一であるという条件で、共有される秘密および前記RANDとを使用してRES(応答)を計算し、さらに
前記RESを使用して、前記生成される鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項36に記載のWTRU。
【請求項39】
前記UICCは、
前記共有される秘密および前記RANDを使用して前記AKを計算し、
前記XSQNおよび前記AKを使用して前記SQNを計算し、さらに
前記共有される秘密、前記RAND、および前記SQNを使用して前記XMACを計算するように構成されることを特徴とする請求項38に記載のWTRU。
【請求項40】
前記UICCは、
前記受け取られる鍵ネゴシエーションパラメータからノンスおよびTagを抽出し、
前記Tagを検証し、
XTag(想定される認証値)を計算し、さらに
前記XTagを使用して、前記生成される鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項36に記載のWTRU。
【請求項41】
前記UICCは、
前記受け取られた鍵ネゴシエーションパラメータから暗号化されたセッション鍵を抽出し、
前記暗号化されたセッション鍵を解読し、さらに
前記解読されたセッション鍵を使用して、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項40に記載のWTRU。
【請求項42】
前記UICCは、
事前鍵ネゴシエーションパラメータを生成し、さらに
前記事前鍵ネゴシエーションパラメータを前記端末に報告するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項43】
前記端末は、
事前鍵ネゴシエーションパラメータを前記UICCから受け取るように構成されることを特徴とする請求項24に記載のWTRU。
【請求項44】
前記UICCは、ディフィーヘルマン鍵交換プロトコルを実行するように構成され、さらに前記端末は、ディフィーヘルマン鍵交換プロトコルを実行するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項1】
UICC(汎用ICカード)と端末の間の通信をセキュリティ保護するための方法であって、
セキュリティ保護された共有セッション鍵を生成すること、および
前記UICCと前記端末の間の通信を前記セキュリティ保護された共有セッション鍵で暗号化すること
を含むことを特徴とする方法。
【請求項2】
前記セキュリティ保護された共有セッション鍵を生成することは、共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことを含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことは、秘密から共有される秘密を生成することを含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記セキュリティ保護された共有セッション鍵を導き出すことは、前記共有される秘密を使用してPRF(擬似乱数関数)を実行することを含むことを特徴とする請求項2に記載の方法。
【請求項5】
前記通信を暗号化することは、安全な通信路を確立することを含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記安全な通信路を使用して、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続き、またはAKA(認証と鍵の合意)手続きの少なくともいずれかを実行することをさらに含むことを特徴とする請求項5に記載の方法。
【請求項7】
前記UICCと前記端末の間のインタフェース上でトンネルを作成することをさらに含むことを特徴とする請求項1に記載の方法。
【請求項8】
前記セキュリティ保護された共有セッション鍵を生成することは、
前記UICCと前記端末の間にセキュリティ保護された共有セッション鍵が存在するかどうかを判定すること、および
前記セキュリティ保護された共有セッション鍵が存在していないという条件で、新たなセキュリティ保護された共有セッション鍵を生成することを含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記セキュリティ保護された共有セッション鍵を生成することは、
生成されるべき鍵ネゴシエーションパラメータを生成し、該生成された鍵ネゴシエーションパラメータを前記UICCに報告すること、
受け取られるべき鍵ネゴシエーションパラメータを受け取ること、
前記生成された鍵ネゴシエーションパラメータ、および前記受け取られた鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を作成することを含むことを特徴とする請求項1に記載の方法。
【請求項10】
前記作成することは、
前記生成された鍵ネゴシエーションパラメータが、前記受信された鍵ネゴシエーションパラメータと同一であるかどうかを判定すること、および
前記生成された鍵ネゴシエーションパラメータが、前記受信された鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すことを含むことを特徴とする請求項9に記載の方法。
【請求項11】
前記生成することは、
RAND(ランダムチャレンジ)およびSQN(シーケンス番号)を選択すること、
AK(匿名鍵)、MAC(メッセージ認証コード)、XRES(想定される応答)、およびXSQN(想定されるシーケンス)を計算すること、および
前記RAND、前記MAC、および前記XSQNを組み合わせて、前記生成されるべき鍵ネゴシエーションパラメータを生成することを含むことを特徴とする請求項9に記載の方法。
【請求項12】
前記計算することは、
共有される秘密および前記RANDを使用して前記AKを計算すること、
前記共有される秘密、前記RAND、および前記SQNを使用して前記MACを計算すること、
前記共有される秘密および前記RANDを使用して前記XRESを計算すること、および
前記SQNおよび前記AKを使用して前記XSQNを計算することを含むことを特徴とする請求項11に記載の方法。
【請求項13】
前記生成することは、
ノンスを選択すること、
Tag(認証値)を計算すること、および
前記ノンスと前記Tagを組み合わせて、前記生成されるべき鍵ネゴシエーションパラメータを生成することを含むことを特徴とする請求項9に記載の方法。
【請求項14】
前記生成することは、
セッション鍵を選択すること、
暗号化されたセッション鍵を計算すること、および
前記暗号化されたセッション鍵を使用して、前記鍵ネゴシエーションパラメータを生成することを含むことを特徴とする請求項9に記載の方法。
【請求項15】
前記セキュリティ保護された共有セッション鍵を生成することは、
受け取られるべき鍵ネゴシエーションパラメータを受け取ること、
生成されるべき鍵ネゴシエーションパラメータを生成すること、
前記生成された鍵ネゴシエーションパラメータを前記端末に報告すること、および
前記受け取られた鍵ネゴシエーションパラメータ、および前記生成された鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を作成すること
を含むことを特徴とする請求項1に記載の方法。
【請求項16】
前記作成することは、
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるかどうかを判定すること、および
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるという条件で、セキュリティ保護された共有セッション鍵を導き出すこと
を含むことを特徴とする請求項15に記載の方法。
【請求項17】
前記生成することは、
前記受け取られた鍵ネゴシエーションパラメータからRAND(ランダムチャレンジ)、MAC(メッセージ認証コード)、およびXSQN(想定されるシーケンス)を抽出すること、
AK(匿名鍵)、XMAC(想定されるメッセージ認証コード)、およびSQN(シーケンス番号)を計算すること、
前記XMACが前記MACと同一であるかどうかを判定すること、および
前記XMACが前記MACと同一であるという条件で、共有される秘密および前記RANDを使用してRES(応答)を計算すること
を含むことを特徴とする請求項15に記載の方法。
【請求項18】
前記計算することは、
前記共有される秘密および前記RANDを使用して前記AKを計算すること、
前記XSQNおよび前記AKを使用して前記SQNを計算すること、および
前記共有される秘密、前記RAND、および前記SQNを使用して前記XMACを計算すること
を含むことを特徴とする請求項17に記載の方法。
【請求項19】
前記生成することは、
前記受け取られた鍵ネゴシエーションパラメータからノンスおよびTagを抽出すること、
前記Tagを検証すること、
前記Tagが妥当であるという条件で、セッション鍵を導き出し、XTag(想定される認証値)を計算すること、および
前記XTagを使用して、前記生成されるべき鍵ネゴシエーションパラメータを生成すること
を含むことを特徴とする請求項15に記載の方法。
【請求項20】
前記生成することは、前記受け取られる鍵ネゴシエーションパラメータから前記暗号化されたセッション鍵を抽出することを含み、さらに該セッション鍵を導き出すことは、前記暗号化されたセッション鍵を解読することを含むことを特徴とする請求項19に記載の方法。
【請求項21】
前記セキュリティ保護された共有セッション鍵を生成することは、
事前鍵ネゴシエーションパラメータを生成すること、および
前記事前鍵ネゴシエーションパラメータを前記端末に報告すること
を含むことを特徴とする請求項1に記載の方法。
【請求項22】
前記セキュリティ保護された共有セッション鍵を生成することは、
前記UICCから事前鍵ネゴシエーションパラメータを受け取ることを含むことを特徴とする請求項1に記載の方法。
【請求項23】
前記生成することは、ディフィーヘルマン鍵交換プロトコルを実行することを含むことを特徴とする請求項1に記載の方法。
【請求項24】
セキュリティ保護された共有セッション鍵を生成し、
前記セキュリティ保護された共有セッション鍵で通信を暗号化し、
前記暗号化された通信を送信し、さらに
前記セキュリティ保護された共有セッション鍵を使用して、受信される暗号化された通信を解読するように構成されたUICC(汎用ICカード)と、
前記セキュリティ保護された共有セッション鍵を生成し、
前記セキュリティ保護された共有セッション鍵で通信を暗号化し、
前記暗号化された通信を送信し、さらに
前記セキュリティ保護された共有セッション鍵を使用して、受信される暗号化された通信を解読するように構成された端末と
を備えることを特徴とするWTRU(無線送信/受信ユニット)。
【請求項25】
前記UICCは、共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことによって、前記セキュリティ保護された共有セッション鍵を生成するように構成され、さらに
前記端末は、前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すことによって、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項26】
前記UICCは、第1の秘密から前記共有される秘密を生成することによって、前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すように構成され、さらに
前記端末は、第2の秘密から前記共有される秘密を生成することによって、前記共有される秘密から前記セキュリティ保護された共有セッション鍵を導き出すように構成されることを特徴とする請求項25に記載のWTRU。
【請求項27】
前記UICCは、前記共有される秘密を使用してPRF(擬似乱数関数)を実行することによって、前記セキュリティ保護された共有セッション鍵を導き出すように構成され、さらに
前記端末は、前記共有される秘密を使用してPRF(擬似乱数関数)を実行することによって、前記セキュリティ保護された共有セッション鍵を導き出すように構成されることを特徴とする請求項25に記載のWTRU。
【請求項28】
前記UICCは、前記端末と安全な通信路を確立するように構成され、さらに前記端末は、前記UICCと安全な通信路を確立するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項29】
前記安全な通信路を介して手続きを実行することは、アプリケーションレベルのGBA_U(UICCベースの拡張を伴うGBA(汎用ブートストラッピングアーキテクチャ))手続き、またはAKA(認証と鍵の合意)手続きの少なくともいずれかを実行することを含むことを特徴とする請求項28に記載のWTRU。
【請求項30】
前記端末は、
生成されるべき鍵ネゴシエーションパラメータを生成し、
前記生成された鍵ネゴシエーションパラメータを前記UICCに報告し、
前記UICCから、受け取られるべき鍵ネゴシエーションパラメータを受け取り、さらに
前記生成された鍵ネゴシエーションパラメータ、および前記受け取られた鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項31】
前記端末は、
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるかどうかを判定し、さらに
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるという条件で、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項30に記載のWTRU。
【請求項32】
前記端末は、
RAND(ランダムチャレンジ)およびSQN(シーケンス番号)を選択し、
AK(匿名鍵)、MAC(メッセージ認証コード)、XRES(想定される応答)、およびXSQN(想定されるシーケンス)を計算し、さらに
前記RAND、前記MAC、および前記XSQNを使用して、前記生成される鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項30に記載のWTRU。
【請求項33】
前記端末は、
共有される秘密と前記RANDを使用して前記AKを計算し、
前記共有される秘密、前記RAND、および前記SQNを使用して前記MACを計算し、
前記共有される秘密および前記RANDを使用して前記XRESを計算し、さらに
前記SQNおよび前記AKを使用して前記XSQNを計算するように構成されることを特徴とする請求項32に記載のWTRU。
【請求項34】
前記端末は、
ノンスを選択し、
Tag(認証値)を計算し、さらに
前記ノンスと前記Tagを使用して、前記生成されるべき鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項10に記載のWTRU。
【請求項35】
前記端末は、
セッション鍵を選択し、
暗号化されたセッション鍵を計算し、さらに
前記暗号化されたセッション鍵を使用して、前記生成されるべき鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項30に記載のWTRU。
【請求項36】
前記UICCは、
前記端末から、受け取られる鍵ネゴシエーションパラメータを受け取り、
生成されるべき鍵ネゴシエーションパラメータを生成し、
前記生成された鍵ネゴシエーションパラメータを前記端末に報告し、さらに
前記受け取られた鍵ネゴシエーションパラメータ、および前記生成された鍵ネゴシエーションパラメータを使用して、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項37】
前記UICCは、
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるかどうかを判定し、さらに
前記生成された鍵ネゴシエーションパラメータが、前記受け取られた鍵ネゴシエーションパラメータと同一であるという条件で、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項36に記載のWTRU。
【請求項38】
前記UICCは、
前記受け取られた鍵ネゴシエーションパラメータからRAND(ランダムチャレンジ)、MAC(メッセージ認証コード)、およびXSQN(想定されるシーケンス)を抽出し、
AK(匿名鍵)、XMAC(想定されるメッセージ認証コード)、およびSQN(シーケンス番号)を計算し、
前記XMACが前記MACと同一であるかどうかを判定し、
前記XMACが前記MACと同一であるという条件で、共有される秘密および前記RANDとを使用してRES(応答)を計算し、さらに
前記RESを使用して、前記生成される鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項36に記載のWTRU。
【請求項39】
前記UICCは、
前記共有される秘密および前記RANDを使用して前記AKを計算し、
前記XSQNおよび前記AKを使用して前記SQNを計算し、さらに
前記共有される秘密、前記RAND、および前記SQNを使用して前記XMACを計算するように構成されることを特徴とする請求項38に記載のWTRU。
【請求項40】
前記UICCは、
前記受け取られる鍵ネゴシエーションパラメータからノンスおよびTagを抽出し、
前記Tagを検証し、
XTag(想定される認証値)を計算し、さらに
前記XTagを使用して、前記生成される鍵ネゴシエーションパラメータを生成するように構成されることを特徴とする請求項36に記載のWTRU。
【請求項41】
前記UICCは、
前記受け取られた鍵ネゴシエーションパラメータから暗号化されたセッション鍵を抽出し、
前記暗号化されたセッション鍵を解読し、さらに
前記解読されたセッション鍵を使用して、前記セキュリティ保護された共有セッション鍵を生成するように構成されることを特徴とする請求項40に記載のWTRU。
【請求項42】
前記UICCは、
事前鍵ネゴシエーションパラメータを生成し、さらに
前記事前鍵ネゴシエーションパラメータを前記端末に報告するように構成されることを特徴とする請求項24に記載のWTRU。
【請求項43】
前記端末は、
事前鍵ネゴシエーションパラメータを前記UICCから受け取るように構成されることを特徴とする請求項24に記載のWTRU。
【請求項44】
前記UICCは、ディフィーヘルマン鍵交換プロトコルを実行するように構成され、さらに前記端末は、ディフィーヘルマン鍵交換プロトコルを実行するように構成されることを特徴とする請求項24に記載のWTRU。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2011−524099(P2011−524099A)
【公表日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願番号】特願2011−504132(P2011−504132)
【出願日】平成21年4月7日(2009.4.7)
【国際出願番号】PCT/US2009/039805
【国際公開番号】WO2009/126647
【国際公開日】平成21年10月15日(2009.10.15)
【出願人】(510030995)インターデイジタル パテント ホールディングス インコーポレイテッド (229)
【Fターム(参考)】
【公表日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願日】平成21年4月7日(2009.4.7)
【国際出願番号】PCT/US2009/039805
【国際公開番号】WO2009/126647
【国際公開日】平成21年10月15日(2009.10.15)
【出願人】(510030995)インターデイジタル パテント ホールディングス インコーポレイテッド (229)
【Fターム(参考)】
[ Back to top ]