会議システムにおけるセキュリティで保護された鍵管理
本発明の原理は、会議システムなどの通信環境において使用するための1つまたは複数のセキュリティで保護された鍵管理プロトコルを提供する。例えば、通信システムにおいて2名以上の関係者の間で会議を管理するための方法が、以下のステップを備える。IDベースの認証された鍵交換動作が、通信システムの会議管理要素と、会議に参加することを求めている2名以上の関係者の各関係者との間で実行され、その会議管理要素とその2名以上の関係者の間で交換されるメッセージは、それらのメッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素は、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信する。会議管理要素が、それらの関係者によって計算されたランダムな鍵構成要素を備えるセットを各関係者に送信する。会議管理要素が、各関係者から、ランダムなグループ鍵構成要素を受信し、このランダムなグループ鍵構成要素は、鍵認証動作中にその関係者によって使用された乱数と、会議に参加することを求めている2名以上の関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算される。会議管理要素が、各関係者に、それらの関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを送信して、各関係者が、会議管理要素を介して関係者相互に通信する際に使用するための同一のグループ鍵を計算することができるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、参照により開示が本明細書に組み込まれている、整理番号805714で識別され、「Secure Key Management in Multimedia Communication System」という名称の、本出願の譲受人に譲渡され、同時に出願された米国特許出願に関連する。
【0002】
本発明は、一般に、通信セキュリティに関し、より詳細には、マルチメディア通信システムおよび電話会議システムのメディアプレーンなどの通信環境において使用するためのセキュリティで保護された鍵管理プロトコルに関する。
【背景技術】
【0003】
マルチメディア通信システムにおいて提供される既存のマルチメディアアプリケーションは、メディアプレーンにおけるセキュリティをサポートしない。メディアプレーンセキュリティに関する懸念は、比較的新しい問題である。
【0004】
インターネットプロトコル(IP)マルチメディアサブシステム(IMS)などのマルチメディア通信システムにおける既存の提案は、鍵を作成して、配信する可能性がある鍵管理サーバを使用して管理される、何らかの種類のトークンベースの対称鍵方法に基づく。参照により開示が本明細書に組み込まれている3GPP(第3世代パートナーシッププロジェクト)TR(技術レポート)33.828が、IMSメディアプレーン暗号化に関する既存の提案を説明する。しかし、これらの既存のソリューションは、スケーラブルではなく(サーバが、高度に応対可能であるとともに、常時、オンラインでなければならないので)、エンティティの認証を提供せず、加えて、サーバにおける鍵供託も提供しない。
【0005】
逆に、SKYPE(ルクセンブルクのスカイプテクノロジーズ社の商標)や、その他のクライアントツークライアントマルチメディアアプリケーションなどの非IMSアプリケーションは、認証を用い、鍵供託は用いない終端間プライバシーを提供する。しかし、このソリューションは、管理するのに極めて高い費用がかかる、利用可能性が非常に高い公開鍵インフラストラクチャ(PKI)を要求する証明書の使用に依拠する。さらに、このソリューションは、グループ会議アプリケーションに合わせて十分にスケーリングされず、PKIが存在しない状況下で通信の合法な傍受を可能にすることもない。
【0006】
さらに、同様な鍵管理セキュリティ問題が、関係者が会議サーバ経由で呼セッションに参加する会議システムに存在する。
【0007】
このため、マルチメディア通信システムおよび電話会議システムのメディアプレーンなどの通信環境において使用するためのセキュリティで保護された鍵管理ソリューションの必要性が存在する。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】BonehおよびFranklin、scc Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」、Advances in Cryptography − Proceeding of CRYPTO 2001(2001年)
【非特許文献2】International Telecommunications Union Standardization Section(ITU−T)Recommendation H.323
【非特許文献3】Internet Engineering Task Force IETF RFC3261
【非特許文献4】3GPP技術仕様、TS23.218
【非特許文献5】3GPP技術仕様、TS23.228
【非特許文献6】3GPP技術仕様、TS24.228
【非特許文献7】3GPP技術仕様、TS24.229
【非特許文献8】3GPP技術仕様、TS24.230
【非特許文献9】IETF RFC2246
【非特許文献10】IETF RFC3711
【非特許文献11】IETF RFC2633
【非特許文献12】IETF RFC2406
【非特許文献13】IETF RFC2409
【非特許文献14】IETF RFC4306
【非特許文献15】IETF RFC4308
【非特許文献16】IETF RFC2246
【非特許文献17】3GPP技術仕様、TS33.220
【非特許文献18】W.Richard Stevens、TCP/IP Illustrated、Volume 1、The Protocols、ISBN 0−201−63346−9
【非特許文献19】W.Richard StevensおよびGary R.Wright、TCP/IP Illustrated、Volume 2、The Implementation、ISBN 0−201−63354−X
【非特許文献20】W.Richard Stevens、TCP/IP Illustrated、Volume 3、TCP for Transactions,HTTP,NNTP,and UNIX Domain Protocols、ISBN 0−201−63495−3
【非特許文献21】IETF RFC5091
【非特許文献22】IETF RFC5408
【非特許文献23】IETF RFC5409
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明の原理は、会議システムなどの通信環境において使用するための1つまたは複数のセキュリティで保護された鍵管理プロトコルを提供する。
【課題を解決するための手段】
【0010】
例えば、一態様において、通信システムにおいて2名以上の関係者の間で会議を管理するための方法が、以下のステップを備える。IDベースの認証された鍵交換動作が、通信システムの会議管理要素と、会議に参加することを求めている2名以上の関係者の各関係者との間で実行され、その会議管理要素とその2名以上の関係者の間で交換されるメッセージは、それらのメッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素は、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信する。
【0011】
会議管理要素が、それらの関係者によって計算されたランダムな鍵構成要素を備えるセットを各関係者に送信する。会議管理要素が、各関係者からランダムなグループ鍵構成要素を受信し、このランダムなグループ鍵構成要素は、鍵認証動作中にその関係者によって使用された乱数と、会議に参加することを求めている2名以上の関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算される。
【0012】
会議管理要素が、各関係者に、それらの関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを送信して、各関係者が、会議管理要素を介して関係者相互に通信する際に使用するための同一のグループ鍵を計算することができるようにする。
【0013】
一実施形態において、会議管理要素は、会議における参加する関係者ではなく、その結果、グループ鍵を計算することができない。別の実施形態において、会議管理要素は、会議呼における参加する関係者であり、その結果、グループ鍵を計算することができる。
【0014】
一実施形態において、各関係者によって計算されるグループ鍵は、Nai(Zi−1)+(N−1)Xi+(N−2)Xi+1+...+Xi−2として表現され、ただし、Nは、会議に参加することを求めている関係者の総数を表し、aiは、所与の関係者によって選択された乱数を表し、Ziは、所与の関係者によって計算されるランダムな鍵構成要素を表し、Xiは、所与の関係者によって計算されるランダムなグループ鍵構成要素を表し、さらにiは、N名の関係者の会議における所与の関係者に関する会議順序付けの番号を表し、i=1の場合、i−1=Nであり、i=Nである場合、i+1=1である。
【0015】
一実施形態において、所与の関係者に関するランダムな鍵構成要素は、aiPとして表現される計算によって計算され、ただし、aiは、所与の関係者によって選択された乱数であり、さらにPは、ID暗号化ベースの鍵認証動作に関連するグループから選択された点である。
【0016】
一実施形態において、所与の関係者に関するランダムなグループ鍵構成要素は、ai(ai+1P−ai−1P)として表現される計算によって計算され、ただし、aiは、その所与の関係者によって選択された乱数であり、ai+1Pは、会議順序付けにおいてその所与の関係者の直後に続く関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、ai−1Pは、会議順序付けにおけるその所与の関係者の直前の関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、さらにPは、暗号鍵交換プロトコルに関連するグループから選択された点である。
【0017】
本発明の原理は、インターネットプロトコル(IP)マルチメディアサブシステム(IMS)環境に特に適しているが、本発明は、そのように限定されることは意図していないことを認識されたい。つまり、本発明の原理は、セキュリティで保護された鍵管理フィーチャを提供することが望ましい任意の適切な通信システムに一般に適用可能である。
【0018】
本発明のこれら、およびその他の目的、特徴、および利点は、添付の図面と併せて読まれるべき、本発明の例示的な実施形態の以下の詳細な説明から明白となろう。
【図面の簡単な説明】
【0019】
【図1A】本発明の或る実施形態による秘密鍵獲得方法を示す図である。
【図1B】本発明の或る実施形態によるIDベースの認証された鍵交換方法を示す図である。
【図2】本発明の或る実施形態による鍵分岐方法を示す図である。
【図3】本発明の或る実施形態による呼リダイレクト方法を示す図である。
【図4A】本発明の或る実施形態による遅延配信方法を示す図である。
【図4B】本発明の別の実施形態による遅延配信方法を示す図である。
【図5】本発明の或る実施形態による合法な傍受方法を示す図である。
【図6A】本発明の或る実施形態による会議管理方法を示す図である。
【図6B】本発明の或る実施形態による会議管理方法における参加者の追加を示す図である。
【図6C】本発明の或る実施形態による会議管理方法における参加者の削除を示す図である。
【図7】本発明のIMSベースの実施形態によるセキュリティで保護された鍵管理プロトコルに関するネットワークアーキテクチャを示す図である。
【図8】本発明のIMSベースの実施形態による鍵分岐方法を示す図である。
【図9】本発明のIMSベースの実施形態によるリダイレクト方法を示す図である。
【図10】本発明のIMSベースの実施形態による3名の参加者を有する会議方法を示す図である。
【図11】本発明の実施形態によるプロトコルの1つまたは複数を実施するのに適したデータネットワークおよび通信(コンピューティング)デバイスの一般化されたハードウェアアーキテクチャを示す図である。
【発明を実施するための形態】
【0020】
本明細書で使用される「マルチメディア通信システム」という句は、一般に、テキストベースのデータ、グラフィックスベースのデータ、音声ベースのデータ、およびビデオベースのデータを含むが、以上には限定されない2つ以上のタイプのメディアをトランスポートすることができる任意の通信システムとして定義される。
【0021】
本明細書で使用される「メディアプレーン」という句は、一般に、呼セッションにおける2つ以上の関係者の間で1つまたは複数のタイプのメディアが交換されるのに準拠するマルチメディア通信システムの機能部分として定義される。このことは、呼セッションを確立するために呼ネゴシエーション/スケジューリングが実行されるのに準拠するマルチメディア通信システムの機能部分である「制御プレーン」と対比される。本発明の技術が使用され得るメディアプレーンアプリケーションの例には、ボイスオーバーIP(VoIP)、インスタントメッセージング(IM)、ボイス/オーディオIM、およびボイスシェアが含まれるが、以上には限定されない。メディアプレーンは、アプリケーション層トラフィックを含むものと理解される。
【0022】
本明細書で使用される「鍵」という用語は、一般に、エンティティ認証、プライバシー、メッセージ完全性などを目的とするが、以上の目的には限定されない、暗号プロトコルへの入力として定義される。
【0023】
参照を容易にするため、詳細な説明は、以下のとおり分けられる。段落Iが、IDベースの暗号化動作およびIDベースの認証された鍵交換動作の一般的な原理を説明する。段落IIが、一般的な通信環境コンテキストにおける本発明の例示的な原理によるセキュリティで保護された鍵管理ソリューションを説明する。段落IIIが、インターネットプロトコル(IP)マルチメディアサブシステム(IMS)環境コンテキストにおける本発明の例示的な原理によるセキュリティで保護された鍵管理ソリューションを説明する。段落IVが、本発明による1つまたは複数のセキュリティで保護された鍵管理プロトコルを実施するための例示的なコンピューティングシステムを説明する。
【0024】
I.IDベースの暗号化(IBE)およびIDベースの認証された鍵交換(IBAKE)
本発明のセキュリティで保護された鍵管理技術の例示的な実施形態の説明に先立って、IBEおよびIBAKEの一般的な原理が与えられる。
【0025】
A.IDベースの暗号化
IDベースの暗号化(IBE)プロトコルは、参照により開示が本明細書に組み込まれている、BonehおよびFranklinによって提示された(Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」、Advances in Cryptography − Proceeding of CRYPTO 2001(2001年)を参照)。この非対称暗号法の暗号化プロトコルは、参加者が、「ID」(例えば、電子メールID、またはドメイン名)を公開鍵として使用することを許し、RSA(リベスト、シャミール、およびアドルマン)などの公開鍵暗号化方法にしばしば関連する大規模な公開鍵インフラストラクチャの必要性を解消する。この問題に対するBonehおよびFranklinのアプローチは、有限体上の楕円曲線上の双線形写像を使用し、さらに双線形決定ディフィ−ヘルマン問題に依拠する。
【0026】
IBEには、以下の数学ツールおよびパラメータがかかわる:
Eを有限体F上の楕円曲線とし、Pを大きい素数位数の点とする。
【0027】
e:ExE−→GをE上の双線形写像とする。典型的な例が、ヴェイユペアリングであり、したがって、Gは、nがF上のE上の点の数の関数である1のn乗根の群である。
【0028】
sを0でない正の整数とし、鍵生成関数(KGF)の中に格納された秘密とする。これは、システム全体の秘密であり、KGFの外部には明かされない。
【0029】
Ppub=sPを、すべての参加者に知られているシステムの公開鍵とする。sPは、Eが群であるので、Eの中の点を表すことを想い起こされたい。
【0030】
H1を、或る文字列をとり、その文字列を、楕円曲線上の或る点に割り当てる、知られているハッシュ関数とし、すなわち、E上のH1(A)=QAであり、ただし、Aは、通常、IDであり、さらにAの公開鍵でもある。
【0031】
dA=sQAを、KGFによって計算され、Aだけに配信される秘密鍵であるものとする。
【0032】
H2を、Gの要素をとり、その要素を或る文字列に割り当てる、知られているハッシュ関数とする。
【0033】
mを、暗号化されて、Aに送信される必要があるメッセージとする。BonehおよびFranklinによって説明される暗号化関数は、以下のとおりである。
【0034】
gA=e(QA,Ppub)とし、さらにrを乱数とする。
【0035】
暗号化A(m)=(rP,m xor H2(gAI))であり、つまり、mの暗号化出力は、2つの座標uおよびvを有し、ただし、u=rPであり、v=m xor H2(gAI)である。「xor」とは、排他的論理和関数を指すことに留意されたい。
(u,v)を解読するために、Aは、以下の式を使用してmを回復する:
m=v xor H2(c(dA,u))
この式の証明は、双線形写像において単純明快な作業であり、事実Aは、秘密dA(Aだけには知られているが、その他の参加者には知られていない秘密鍵)を有する。また、そもそもdAを計算したKGFは、そのメッセージを解読することもできて、KGFが、事実上、鍵供託サーバであることになることにも注目されたい。
【0036】
B.IDベースの認証された鍵交換
IBAKE(IDベースの認証された鍵交換)は、参照により開示が本明細書に組み込まれている、2009年2月17日に出願したシリアル番号12/372,242によって識別される米国特許出願において説明される。IBAKEプロトコルは、デバイスが互いを相互に認証し、さらに完全な順方向の秘密および逆方向の秘密をもたらす鍵を導き出すことを可能とする。
【0037】
本明細書で説明されるIBAKE実施形態において、このプロトコルに関する基本的なセットアップには、サブ段落Aで前述した数学的構造およびパラメータがかかわる。このプロトコルは、非対称的であるが、PKIサポートを全く必要とせず、代わりに、このプロトコルは、鍵生成関数の役割をするオフラインサーバを使用することを思い起こされたい。このプロトコルの詳細を以下に概略で述べる。
【0038】
A、Bが、鍵を認証し、鍵について合意しようと試みている2つのエンティティ(または、Aが第1の関係者のコンピュータシステムを表し、Bが第2の関係者のコンピュータシステムを表す、関係者)であるものと想定されたい。
【0039】
AおよびBを使用して、定義により、AおよびBの公開鍵も表す、AおよびBに対応するIDを表す。
【0040】
H1(A)=QAおよびH1(B)=QBを、公開鍵に対応する楕円曲線上のそれぞれの点とする。実際、IDと、H1を適用することによって獲得される曲線上の点の間に1対1対応が存在するので、QAおよびQBを公開鍵と呼ぶことも可能である。
【0041】
xを、Aによって選択された乱数とし、さらにyをBによって選択された乱数とする。
【0042】
AとBの間のプロトコル交換は、以下のステップから成る:
第1のステップで、Aが、xP(すなわち、E上で加算則を使用して、E上の点としてx回、自らに加算されたP)を計算し、xPを、Bの公開鍵を使用して暗号化し、さらに暗号化されたxPをBに送信する。このステップにおいて、暗号化とは、前出のサブ段落Aで説明されるIDベースの暗号化を指す。
この暗号化されたメッセージを受信すると、Bは、このメッセージを解読し、xPを獲得する。その後、第2のステップで、Bは、yPを計算し、Aの公開鍵を使用してペア{xP,yP}を暗号化し、その後、暗号化されたペア{xP,yP}をAに送信する。
このメッセージを受信すると、Aは、このメッセージを解読し、yPを獲得する。その後、第3のステップで、Aは、Bの公開鍵を使用してyPを暗号化し、暗号化されたyPをBに送り返す。
以上の後に続いて、AとBがともに、xyPをセッション鍵として計算する。
Aはxをランダムに選択しており、さらにプロトコル交換の第2のステップでyPを受信していることに注目されたい。このことは、Aが、yPを自らにx回、加算することによってxyPを計算することを可能とする。逆に、Bは、yをランダムに選択しており、さらにプロトコル交換の第1のステップでxPを受信している。このことは、Bが、xPを自らにy回、加算することによってxyPを計算することを可能とする。このプロトコルのいずれの適用も、IDと一緒にヘッダデータを利用して、このプロトコルが適切に機能することを確実にすることが可能であることに留意されたい。このことは、比較的標準的であり、鍵合意のためのほとんどすべてのプロトコル交換に適用可能である。
また、xは、ランダムであるが、xPは、xについての情報を全く与えないことに留意されたい。したがって、xPは、Aによって選択されたランダムな秘密に基づく鍵の構成要素である。同様に、yは、ランダムであるが、yPは、yについての情報を全く供給しない。したがって、yPは、Bだけに知られているランダムな秘密に基づく鍵の構成要素である。
xyPは、セッション鍵の役割をすることが可能であることにさらに留意されたい。また、セッション鍵は、xyPの任意の知られている関数であることが可能である。つまり、セッション鍵は、f(xyP)と等しいことが可能であり、ただし、fは、両方の関係者に知られており、秘密であることを要求されない(すなわち、世界に知られている)。fに関する1つの実際的な要件は、fが、xまたはyの知識なしに計算するのが困難であることであり、さらに出力は、暗号法の見地から満足の行く長さ、例えば、約128ビット以上である。
【0043】
IBAKEプロトコルの特性のいくつかには、以下が含まれる:
− 鍵供託を免れていること。プロトコル交換におけるすべてのステップは、IBEを使用して暗号化されることに注目されたい。したがって、明らかに、KGFは、すべての交換を解読することができる。しかし、KGFは、セッション鍵を計算することができない。このことは、楕円曲線ディフィ−ヘルマン問題の難しさのためである。つまり、xPおよびyPを与えられて、xyPを計算することは計算的に困難である。
− 相互に認証された鍵合意。プロトコル交換におけるすべてのステップは、IBEを使用して暗号化されることに注目されたい。特に、Bだけが、第1のステップ、および第3のステップでAによって送信されたメッセージの内容を解読することができ、同様にAだけが、第2のステップでBによって送信されたメッセージの内容を解読することができる。さらに、第2のステップの終わりで、Aは、第1のステップでBによって内容が解読された後だけ、xPが第2のステップで送信されている可能性があるので、Bの真正性を検証することができる。同様に、第3のステップの終わりで、Bは、第2のステップの内容を正しく解読した後だけ、第yPが3のステップで送り返されている可能性があり、正しく解読することは、Aによってしか可能でないので、Aの真正性を検証することができる。最後に、AとBがともに、同一のセッション鍵について合意することが可能である。つまり、このプロトコルは、IBEに基づく、相互に認証された鍵合意プロトコルである。以上の説明は、プロトコルのセキュリティに関する動機を与えるが、セキュリティの暗号法上の証明が容易に与えられることが可能である。プロトコルの堅牢性は、楕円曲線の選択によって影響される、楕円曲線ディフィ−ヘルマン問題の難しさに依拠する。
− 完全な順方向の秘密および逆方向の秘密。xおよびyは、ランダムなので、xyPは、常に新規であり、AとBの間のいずれの過去のセッション、または将来のセッションとも無関係である。
− パスワードが存在しない。IBAKEプロトコルは、AとBの間でパスワードまたは秘密鍵のオフライン交換を全く要求しない。事実、この方法は、任意の通信ネットワークを介して初めて通信している任意の2名の関係者に明らかに適用可能である。唯一の要件は、AとBの両方が、例えば、ディレクトリサービスを介して、互いの公開鍵を認識していることを確実にすることだけである。
【0044】
II.セキュリティで保護された鍵管理、および例示的な拡張
インターネットが、ベストエフォートデータネットワークから、マルチメディアを含む様々なクラスのトラフィックに関するサポートを備えたマルチサービスIP(インターネットプロトコル)ネットワークに急速に進化したことが認識されている。このことが、モバイルワイヤレスネットワークの急速な成長と相俟って、技術的な課題を生じさせている。技術的見地から、それなりにうまく対処されてきた中心的な課題が、「メディアプレーン」としばしば呼ばれるアプリケーション層トラフィックからの、呼をセットアップするシグナリングから成る呼制御機能の分離である。H323(例えば、参照により開示が本明細書に組み込まれている、International Telecommunications Union Standardization Section(ITU−T)Recommendation H.323を参照)、セッション開始プロトコルまたはSIP(例えば、参照により開示が本明細書に組み込まれている、Internet Engineering Task Force IETF RFC3261を参照)、およびIMS(例えば、参照により開示が本明細書に組み込まれている、3GPP技術仕様、TS23.218、TS23.228、TS24.228、TS24.229、およびTS24.230を参照)などの呼制御プロトコルが、IETFや3GPPなどの様々な組織によって標準化されており、固定ネットワークおよびモバイルネットワークにわたって様々な採用段階にある。
【0045】
同時に、様々なレベルでシグナリングをセキュリティで保護する入念な機構が組み込まれてきた。しかし、メディアプレーンにおいて、トランスポート層セキュリティまたはTLS(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2246を参照)、セキュアリアルタイムトランスポートプロトコルまたはSRTP(例えば、参照により開示が本明細書に組み込まれている、IETF RFC3711を参照)などのプロトコル、およびセキュア多目的インターネットメール拡張またはSMIME(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2633を参照)が、様々なアプリケーションに関するコンテナフォーマットを提供するが、メディアプレーンにおけるセキュリティソリューションは、アプリケーション層において終端間のセキュリティで保護された鍵管理をサポートする一貫性のある、標準化された方法を欠いている。
【0046】
本発明の原理は、主に、この問題に対処する。特に、本発明の原理は、メディアプレーンに関してスケーラブルなアプリケーション、およびプロトコルにとらわれないセキュリティで保護された鍵管理の枠組みを提供する。例示的な枠組みにおいて、本発明のソリューションは、段落I.Bで前述した非対称(したがって、公開鍵)IBAKE(IDベースの認証された鍵交換)プロトコルを利用する。例示的な実施形態は、例えば、セキュリティで保護された2名の関係者のメディアプレーン通信アプリケーション、セキュリティで保護された複数関係者会議アプリケーション、セキュリティで保護された呼分岐アプリケーション、セキュリティで保護された呼リダイレクトアプリケーション、およびセキュリティで保護された遅延配信アプリケーションなどの、様々なフィーチャをサポートする鍵交換機構を説明する。セキュリティで保護された鍵管理のためのスケーラブルな枠組みを提供することに加えて、この設計および枠組みのいくつかの例示的な態様には、以下が含まれる:
− 要求されるネットワークサポートの複雑度を劇的に低減するオフラインKMS(鍵管理サーバ)の使用。公開鍵環境における非対称プロトコルは、取消しを含む証明書管理の入念な常時オンのPKI(公開鍵インフラストラクチャ)サポートを要求することを思い起こされたい。対称鍵ベースの鍵管理サーバは、定義により、絶え間なく同期し、更新している「常時オン」のサーバである。この「常時オン」の要件をなくすことにより、我々の枠組みは、費用を劇的に低減し、スケーラビリティを促進する。
− IDベースのプロトコルに特有の受動的な鍵供託の解消。鍵管理サーバを使用する対称鍵プロトコルは、この問題を解消することができないことを思い起こされたい。また、既存のIDベースの暗号化(段落I.Aで前述した)プロトコルは、IBAKE(段落I.Bで前述した)を使用して解決される問題である、鍵供託問題に悩まされることも思い起こされたい。
− このプロトコルの枠組みは、鍵交換に関与するエンティティの相互認証を、完全な秘密とともに本来的にサポートする。
− 本発明の例示的な実施形態は、既存のネットワーク要素アーキテクチャを再使用し、さらに、可能な限り、既存のプロトコルコンテナフォーマットを再使用する。例として、会議アプリケーションにおいて、例示的な実施形態は、会議サーバを再使用して、会議を可能にするが、会議サーバが、通信のために使用されるグループ鍵を知ることがない(後段で説明されるとおり、会議サーバも会議の関係者であるのではない限り)ことを確実にする。
− 本発明の原理は、受動的な鍵供託をなくすが、本発明のプロトコルは、呼を傍受する法の執行のための法的要件が存在する場合に、鍵を見出すことのシームレスなサポートも提供する。
【0047】
IDベースの非対称暗号法の枠組みに基づく例示的な実施形態において、各参加者は、公開鍵と、秘密鍵とを有する。その公開鍵は、IDに基づく。その秘密鍵は、その公開鍵に対応し、鍵管理サーバまたは鍵管理サービス(KMS)によって発行される。参加者は、KMSから秘密鍵をオフラインで獲得することができる。単に例として、参加者は、1カ月に(より一般的には、契約の全期間にわたって)一度、参加者のKMSと連絡をとり、秘密鍵を獲得する。また、秘密鍵は、使用の頻度に応じて獲得されることも可能である。KMSと参加者の間にセキュリティ関連付けが存在するものと想定される。鍵交換中のメッセージの暗号化および解読は、IBEに基づく。KMSの公開のパラメータは、公衆に入手可能である(例えば、ウェブサイト上でオンラインで)と想定されることに留意されたい。
【0048】
一般に、本発明の例示的な実施形態によるセキュリティで保護された鍵管理方法は、2つの主な段階を備える。第1の段階で、参加者(関係者)が、KMSなどの鍵サービスから秘密鍵を獲得する。第2の段階で、マルチメディアベースの呼セッションにおいて通信することを求める2名以上の関係者の間でIDベースの認証された鍵交換が、実行される。その2名以上の関係者の間で交換されるメッセージは、メッセージの受信者のそれぞれのIDに基づいて暗号化される。また、それらの関係者の間で交換される暗号化されたメッセージは、関係者に関連付けられたIDを含む。
【0049】
図1Aは、セキュリティで保護された鍵管理方法の第1の段階、すなわち、秘密鍵獲得を示す。図示されるとおり、2名の関係者の通信デバイス(より一般的には、コンピューティングデバイス)102がそれぞれ、それぞれのKMS104から秘密(またはシークレット)鍵を要求し、獲得する。秘密鍵交換106はセキュリティで保護された通信プロトコルによって行われる。セキュリティで保護された通信プロトコルの例には、インターネットプロトコルセキュリティまたはIPSec(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2406、IETF RFC2409、IETF RFC4306、およびIETF RFC4308を参照)、およびトランスポート層セキュリティまたはTLS(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2246を参照)が含まれるが、以上には限定されない。汎用ブートストラップアーキテクチャまたはGBA(例えば、参照により開示が本明細書に組み込まれている、3GPP技術仕様(TS)33.220を参照)が、各関係者とKMSの間のセキュリティで保護された通信プロトコルにおいて使用すべき鍵を決定するのに使用されることが可能である。一例において、KMSサーバに接続され、さらに事前共有される鍵としてGBA鍵、またはGBA鍵と一緒にネットワーク層におけるIPSecを使用する(トランスポート制御プロトコルまたはTCPより上位の)アプリケーション層(例えば、参照により開示が本明細書に組み込まれている、W.Richard Stevens、TCP/IP Illustrated、Volume 1、The Protocols、ISBN 0−201−63346−9、W.Richard StevensおよびGary R.Wright、TCP/IP Illustrated、Volume 2、The Implementation、ISBN 0−201−63354−X、W.Richard Stevens、TCP/IP Illustrated、Volume 3、TCP for Transactions,HTTP,NNTP,and UNIX Domain Protocols、ISBN 0−201−63495−3を参照)においてTLSを使用するクライアントデバイスにおいて実行されるアプリケーションが存在することが可能である。
【0050】
左側のデバイスが開始側(I)と考えられ、右側のデバイスが応答側(R)と考えられることに留意されたい。この名称は、左側のデバイスが、右側のデバイスを相手にマルチメディア呼セッションを開始することを求めることに由来する。
【0051】
図示されるとおり、各デバイスは、そのデバイスの要求と一緒に識別子をKMSに供給し、このことに対して、KMSは、秘密(シークレット)鍵で応答する。開始側デバイス102−Iの場合、1つの識別子がKMS104−Iに供給され、これに応答して、1つの秘密鍵I−SKがこのデバイスに供給される。応答側デバイス102−Rの場合、2つの別々の識別子、すなわち、RおよびR1が、KMS104−Rに供給される。これに応答して、KMSは、応答する関係者に、2つの秘密鍵、R_SKおよびR1_SKを供給する。もちろん、各関係者は、いくつかの秘密鍵獲得スケジュールに基づいて、より多くの、またはより少ない秘密鍵を要求して、獲得してもよい。このスケジュールは、時間ベースのスケジュール(例えば、1カ月周期)、呼セッション頻度ベースのスケジュール(例えば、呼を行う必要がある場合)、および契約ベースのスケジュール(例えば、関係者は、いくらかの長さの期間にわたって、または契約終了条件が生じたことに基づいて、KMSの鍵サービスに契約をする)であることが可能である。
【0052】
また、所与の関係者が複数の公開IDを有する可能性もあることも認識されたい。例えば、関係者B(「ボブ」)が、以下の2つのID、すなわち、bob@work.comおよびbob@home.comを有することが可能である。これら2つのIDに関して、異なる2つの公開鍵が存在することが可能であり、このため、異なる2つの秘密鍵が存在することが可能である。
【0053】
図1Bは、セキュリティで保護された鍵管理方法の第2の段階、すなわち、認証された鍵交換を示す。この実施形態において、認証された鍵交換は、IBAKE(段落I.Bで前述した)に基づく。第1の関係者と第2の関係者の間のメッセージ交換の好ましいフォーマットは、MIKEY(マルチメディアインターネットキーイング)に基づくので、したがって、図1Aおよび図1Bの全体的なセキュリティで保護された鍵交換プロトコルは、MIKEY−IBAKEプロトコルと本明細書では呼ばれる。
【0054】
この場合も、左側のデバイスが、開始する関係者、つまり、開始側102−Iであり、右側のデバイスが、応答する関係者、つまり、応答側102−Rであるものと想定される。認証された鍵交換のステップは、IBAKEプロトコルと同様のステップをたどる。
【0055】
開始側の公開鍵、I_PKは、段落Iで前述したハッシュ関数を使用することによって計算されるものと想定される。同様に、応答側の公開鍵、R_PKも同様に計算される。開始側および応答側の秘密鍵は、それぞれ、I_SKおよびR_SKであることを思い起こされたい。つまり、H1(Initiator_ID)=I_PK、およびH1(Responder_ID)=R_PKを、それらの公開鍵に対応する楕円曲線上のそれぞれの点であるものとする。
【0056】
aを、開始側102−Iによって選択された乱数とし、bを、応答側102−Rによって選択された乱数とする。
【0057】
102−Iと102−Rの間のプロトコル交換は、以下のステップを備える:
ステップ110で、開始側102−Iが、第1のランダムな鍵構成要素aP(すなわち、E上で加算則を使用して、E上の点としてa回、自らに加算されたP)を計算し、第1のランダムな鍵構成要素を、応答側の公開鍵(R_PK)を使用して暗号化し、さらに暗号化された第1のランダムな鍵構成要素を応答側102−Rに送信する。このステップで、暗号化とは、前段のサブ段落I.Aにおいて説明されるIDベースの暗号化を指す。ステップ110の暗号化されたメッセージにやはり含められるのが、開始側のID、および応答側のID(それぞれ、I_IDおよびR_ID)であることに留意されたい。
【0058】
この暗号化されたメッセージを受信すると、応答側は、応答側の秘密鍵(図1Aで獲得された)を使用して、このメッセージを解読し、aPを獲得する。その後、ステップ112で、応答側は、第2のランダムな鍵構成要素bPを計算し、開始側の公開鍵を使用してペア{aP,bP}を暗号化し、その後、暗号化されたペア{aP,bP}を開始側に送信する。この場合も、ステップ112の暗号化されたメッセージは、開始側のID、および応答側のID(それぞれ、I_IDおよびR_ID)を含む。
【0059】
ステップ112からのメッセージを受信すると、開始側は、このメッセージを、開始側の秘密鍵(図1Aで獲得された)を使用して解読し、bPを獲得する。その後、ステップ114で、開始側は、応答側の公開鍵を使用してbPを暗号化し、暗号化されたbPを応答側に送り返す。この場合も、ステップ114の暗号化されたメッセージは、開始側のID、および応答側のID(それぞれ、I_IDおよびR_ID)を含む。
【0060】
ステップ116で、応答側が、開始側の公開鍵を使用して暗号化された検証メッセージを開始側に送信する。
【0061】
これを行った後、開始側と応答側の両方が、マルチメディア通信システムのメディアプレーン(アプリケーション層)を介して呼セッション中に互いにセキュリティで保護された通信を行うために使用されるべきセキュリティで保護された呼セッション鍵としてabPを計算する。
【0062】
開始側102−Iは、aをランダムに選択しており、プロトコル交換の第2のステップでbPを受信していることに注目されたい。このことは、開始側が、bPを自らにa回、加算することによってabPを計算することを可能とする。逆に、応答側102−Rは、bをランダムに選択しており、プロトコル交換の第1のステップでaPを受信している。このことは、応答側が、aPを自らにb回、加算することによってabPを計算することを可能とする。また、aは、ランダムであるが、aPは、aについての情報を全く与えないことにも留意されたい。したがって、aPは、開始側によって選択されたランダムな秘密に基づく鍵の構成要素であると考えられる。同様に、bは、ランダムであるが、bPは、bについての情報を全く与えない。このため、bPは、応答側だけに知られているランダムな秘密に基づく鍵の構成要素であると考えられる。
【0063】
次に図2を参照すると、MIKEY−IBAKEプロトコルの拡張が示されている。この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。この特定の実施形態において、図2は、分岐を示す。分岐は、複数のロケーションへの要求の配信である。分岐は、例えば、応答側が、複数の通信(コンピューティング)デバイスを有して、それらのデバイス上で応答側がマルチメディア呼セッションに参加することができる場合に、行われる可能性がある。分岐の一例は、関係者が卓上電話機、パーソナルコンピュータ(PC)クライアント、移動ハンドセットを有し、全てがMIKEY−IBAKEプロトコルに参加している場合である。一般に、分岐は、着信する呼が、いくつかの内線を同時に鳴らして呼ぶことを可能にするマルチメディアセッション開始プロトコルのフィーチャである。最初に応答する電話機が、その呼を支配する。
【0064】
したがって、図2に示されるとおり、応答側には、2つのデバイス102−R1および102−R2が関連付けられている。したがって、図示されるとおり、デバイス102−R1は、公開鍵R1_PKと、秘密鍵R1_SKとを有する。また、デバイス102−R1は、応答側の公開鍵R_PK、および応答側の秘密鍵R_SKを知っている。同様に、デバイス102−R2は、公開鍵R2_PKと、秘密鍵R2_SKとを有する。また、デバイス102−R2は、応答側の公開鍵R_PK、および応答側の秘密鍵R_SKを知っている。
【0065】
分岐シナリオにおけるMIKEY−IBAKEプロトコルステップ210、212、214、および216は、以下を例外として、図1Bの一般的な関連におけるMIKEY−IBAKEプロトコルステップ110、112、114、および116と基本的に同一である。ステップ210でデバイス102−Iによって送信されるメッセージは、R_PKを使用して暗号化されるため、デバイスR1とR2はともに、このメッセージを解読することができる(デバイスR1とR2はともに、R_SKを有するので)ことに留意されたい。しかし、応答する関係者が、現在、デバイスR1ではなく、R2に関連しているものと想定すると、ステップ212における返信メッセージは、IBAKEによりR2によって計算されたランダムな鍵構成要素b2P(ただし、b2は、R2によって選択された乱数)を含む。また、ステップ212における暗号化されたメッセージは、開始側のID、応答側のID、およびデバイスR2のID(それぞれ、I_ID、R_ID、およびR2_ID)を含む。
【0066】
デバイス102−Iは、R2から受信されたメッセージを、デバイス102−Iの秘密鍵を使用して解読して、このメッセージに含まれるb2PおよびIDを獲得する。このため、開始側は、ステップ212におけるメッセージがR2から来たことを識別する。MIKEY−IBAKEプロトコルにより、次に、開始側は、ステップ214で、b2P、I_ID、およびR2_IDを含むメッセージを送信する。このメッセージは、R2の公開鍵を使用して暗号化される。このメッセージは、R1がR_SKおよびR1_SKだけを有し、R2_SKは有さないので、R1によって解読され得ないことに留意されたい。ステップ216は、図1Bのステップ116と同様の検証メッセージである。次に、呼セッション鍵が、ab2Pとしてデバイス102−Iおよび102−R2において計算されることが可能である。
【0067】
図3は、MIKEY−IBAKEプロトコルの、ターゲット変更フィーチャへの拡張を示す。この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。ターゲット変更またはリダイレクトは、通信システムにおける1つまたは複数の機能要素が、異なる宛先に呼をリダイレクトすることを決定するシナリオである。セッションをリダイレクトする、この決定は、いくつかの異なる機能要素によって、セッションの確立における様々な時点で、様々な理由で行われることが可能である。また、ターゲット変更は、着信転送としても知られている。
【0068】
図3の例は、リダイレクト決定を行うアプリケーションサーバ302を示す。分岐シナリオにおけるMIKEY−IBAKEプロトコルステップ310、312、314、および316は、以下を例外として、図1Bの一般的な関連におけるMIKEY−IBAKEプロトコルステップ110、112、114、および116と基本的に同一である。
【0069】
デバイス102−Iが、ステップ310で、プロトコルにおける最初のメッセージを、このメッセージがデバイス102−R1に向かうことを意図して、送信する(R1の公開鍵で暗号化されたメッセージ)。しかし、機能要素302が、310で、このメッセージがデバイスR2にリダイレクトされるべきであるという決定を行っている(ステップ310’参照)。このことに先立って、またはこのことに関連して、R2が、この機能要素を経由してステップ308で送信されたメッセージの中でR1の秘密鍵を受信しているものと想定される。R1からR2に送信されたメッセージは、R2の公開鍵を使用して暗号化されている。このため、機能要素302は、308で、このメッセージを解読することができないが、R2は、310’で、このメッセージを解読し、ステップ312で開始側に応答することができる。この時点から、ステップ312、314、および316は、図2の分岐シナリオにおけるステップ212、214、および216と同一である。
【0070】
図4Aは、MIKEY−IBAKEプロトコルの遅延配信拡張を示す。この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。遅延配信は、セッション内容が、送信されている時点で宛先に配信され得ない(例えば、宛先ユーザが、現在、オンラインではない)ようになっているタイプのサービスである。それでも、送信側は、受信側が応対可能になるとすぐに、ネットワークがそのメッセージを配信するものと予期する。遅延配信の一例が、ボイスメールである。
【0071】
図4Aで、Aが、デバイス102−Iであり、Bが、102−Rであり、デバイス402が、アプリケーションサーバなどの機能要素であり、さらにMBが、Bに関連するメールボックス102−MB(より一般的には、一時的な宛先)であるものと想定されたい。
【0072】
ステップ401で、Aが、暗号化された第1のランダムな鍵構成要素(xP)を備える第1のメッセージをBに送信する。第1のランダムな鍵構成要素は、Aにおいて計算されており、さらに第1のメッセージは、Bの公開鍵を使用して暗号化されている。ステップ402で、機能要素402が、Bが応対不能であると決定し、第1のメッセージをMBに転送する。
【0073】
ステップ403で、MBが、MBによって計算された、暗号化された第2のランダムな鍵構成要素(yP)を備える第2のメッセージをAに送信する。ステップ403のメッセージは、Aの公開鍵を使用してMBにおいて暗号化されている。ステップ404で、機能要素402が、このメッセージをAに転送する。
【0074】
Aが、MBからの、このメッセージを、Aによって鍵サービスから獲得された秘密鍵を使用して解読して、第2のランダムな鍵構成要素を獲得する。Aが、ステップ404で受信されたメッセージがMBから来たことを識別する(MBのIDが、このメッセージの中に含められていることにより)。
【0075】
ステップ405で、Aが、暗号化されたランダムな鍵構成要素ペアを含む第3のメッセージを(ステップ406で機能要素を介して)MBに送信し、このランダムな鍵構成要素ペアは、第1のランダムな鍵構成要素(xP)と、第2のランダムな鍵構成要素(yP)とから形成され、さらにMBの公開鍵を使用してAにおいて暗号化されている。また、この第3のメッセージは、Aにおいて計算され、Bの公開鍵を使用してAにおいて暗号化された、暗号化されたランダムな秘密鍵(sK)も含む。MBが、ステップ407および408を介してAに受信の確認応答を行う。MBは、メッセージの後半部分を解読することができず(その部分は、Bの公開鍵を使用して暗号化されており、MBは、Bの秘密鍵を有さないので)、このため、sKを知ることができない。
【0076】
MBは、BとMBの間の相互認証動作の後、Bによって要求されると、暗号化されたランダムな秘密鍵(sK)をBに供給する。このことが、ステップ409およびステップ410に示される。次に、この秘密鍵が、AによってBのメールボックスの中に残された内容(例えば、音声メッセージ)を獲得するようにBによって使用される。
【0077】
図4Bに示される、図4Aの遅延配信の変種において、認証された鍵合意プロトコルが実行されるのではなく、第1のメッセージの中で、Aが、Aにおいて計算され、さらにBの公開鍵を使用してAにおいて暗号化された、暗号化されたランダムな秘密鍵(sK)を送信するものと想定されたい(ステップ411)。機能要素402は、Bが応対不能であると決定しており、第1のメッセージをMBに転送し(ステップ412)、MBが、第1のメッセージを確認する(ステップ413および414)。後に、Bは、前述したのと同一の仕方で、MBから秘密鍵を取り出すことができる(ステップ415および416)。
【0078】
図5は、MIKEY−IBAKEプロトコルのさらに別の拡張を示す。この場合も、この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。図5の拡張は、マルチメディア通信システムにおいて交換されるメッセージの合法的な傍受の概念と関係する。合法的な傍受の概念は、法執行機関が、1名または複数名の関係者の通信を「盗聴する」ことができる必要がある状況に基づく。
【0079】
1つのアプローチにおいて、法執行機関は、単に、捜査令状を介して102−Iおよび102−Rの秘密鍵を獲得し、鍵合意プロトコル中に能動的な「中間者」の役割をして、トラフィックを盗聴することができる。
【0080】
図5に示される別のアプローチにおいて、法執行サーバ(LIサーバ)502が、開始側のKMS(KMSI)および応答側のKMS(KMSR)と一緒に機能して、デバイス102−Iとデバイス102−Rの間で送信するメッセージを合法的に傍受する。図5は、LIサーバ、KMSI、およびKMSRに関して別々のサーバを示すが、マルチメディア通信システムにおける1つの機能要素(例えば、傍受サーバ)が、KMS機能および傍受機能を実行するのに使用されてもよいことを認識されたい。
【0081】
したがって、図1Aおよび図1Bの関連で前述したMIKEY_IBAKEプロトコルが、実行される。しかし、LIサーバは、応答側に送信されるメッセージに関して開始側を模倣し、開始側に送信されるメッセージに関して応答側を模倣する。
【0082】
例えば、LIサーバが応答側を模倣する場合のメッセージフローを考慮されたい。102−Iが、102−Rによる受信が意図される、暗号化された第1のランダムな鍵構成要素を含む第1のメッセージを送信するものと想定されたい。第1のメッセージが、LIサーバによって傍受される。次に、LIサーバが、第2のランダムな鍵構成要素を計算し、暗号化されたランダムな鍵構成要素ペアを含む第2のメッセージを102−Iに送信する。ランダムな鍵構成要素ペアは、第1のランダムな鍵構成要素と、LIサーバにおいて計算された第2のランダムな鍵構成要素とから形成される。第2のメッセージは、102−Iの公開鍵を使用してLIサーバにおいて暗号化される。
【0083】
第2のメッセージは、102−Iによって鍵サービスから獲得された秘密鍵を使用して解読されて、第2のランダムな鍵構成要素が獲得される。次に、デバイス102−Iが、102−Rによる受信が意図されるが、LIサーバによって傍受される、第2のランダムな鍵構成要素を含む第3のメッセージを送信する。このため、LIサーバは、デバイス102−Iが計算するのと同一のセキュリティで保護された鍵を計算することができる。
【0084】
LIサーバは、応答側(102−R)が、LIサーバを相手に、開始側によって合意されていると応答側が信じるセキュリティで保護された鍵(しかし、実際には、LIサーバを相手に合意されている)を確立するように、認証された鍵合意動作中にメッセージを送受信する際に、やはり開始側(102−I)を模倣することを理解されたい。
【0085】
前述したMIKEY−IBAKEプロトコルフィーチャの1つまたは複数は、会議システムシナリオに拡張され得ることを認識されたい。そのような拡張が、図6Aから図6Cに示される。
【0086】
一般的な想定は、複数関係者の通信を中継する会議サーバ(より一般的には、会議管理要素)(例えば、会議ブリッジ)が、グループ鍵を知らない一方で、すべてのユーザは、同一のグループ鍵にアクセスを有することである。この想定には例外、すなわち、ピアツーピア会議において、会議ブリッジの役割をしているコンピューティングデバイスが、会議に実質的に参加している関係者でもある場合が存在する。
【0087】
図6Aに示されるとおり、複数関係者会議600が、会議サーバと、ユーザ(関係者)1からNとを含むものと想定され、ただし、このユーザ番号は、ユーザが会議に参加することを求める順序で、すなわち、1、2、3、...Nの順番に割り当てられる。
【0088】
ステップ602で、各ユーザが個々に、会議サーバを相手にIBAKEプロトコルを実行する。Zi=aiPを、会議サーバを相手にした認証中にユーザ「I」によってサーバに送信される値とする。aiPは、IBAKEにより関係者によって計算されたランダムな鍵構成要素であることを思い起こされたい。
【0089】
認証の成功の後、ステップ604で、会議サーバが、集合{aiP}をすべてのユーザに送信する(ブロードキャスト、または個別のユニキャスト)。このため、集合{aiP}は、それらの関係者のそれぞれによって計算されたランダムな鍵構成要素を含む集合である。
【0090】
ステップ606で、すべてのユーザが個々に、会議サーバにXi=ai{ai+1P−ai−1P}を送り返す。ai{ai+1P−ai−1P}は、ランダムなグループ鍵構成要素であり、このランダムなグループ鍵構成要素は、鍵認証動作中に関係者によって使用される乱数、および会議に参加することを求めている2名以上の関係者の他のサブセットによって計算されたランダムな鍵構成要素に基づく計算を介して、各関係者によって計算される。この実施形態において、所与の関係者に関するランダムなグループ鍵構成要素ai{ai+1P−ai−1P}は、aiが、所与の関係者によって選択された乱数であり、ai+1Pが、会議順序付けにおいてその所与の関係者の直後に続く関係者によってサーバに送信されたランダムな鍵構成要素であり、ai−1Pが、会議順序付けにおけるその所与の関係者の直前の関係者によってサーバに送信されたランダムな鍵構成要素であり、さらにPが、ID暗号化ベースの鍵認証動作に関連するグループから選択された点(例えば、前述した楕円曲線から選択された点)であるように計算される。
【0091】
ステップ608で、会議サーバが、次に、集合{Xi}を全員と共有する(ブロードキャスト、または個別のユニキャスト)。つまり、集合{Xi}は、それらの関係者によって計算されたランダムなグループ鍵構成要素を含む集合である。
【0092】
ステップ610で、各関係者は、会議サーバを介して関係者が互いに通信する際に使用するための同一のグループ鍵を計算することができる。このグループ鍵は、以下のとおり計算される。Nai(Zi−1)+(N−1)Xi+(N−2)Xi+1+...Xi−2、ただし、Nは、会議に参加することを求める関係者の総数を表し、aiは、所与の関係者によって選択された乱数を表し、Ziは、所与の関係者によって計算されるランダムな鍵構成要素を表し、Xiは、所与の関係者によって計算されるランダムなグループ鍵構成要素を表し、さらにiは、N名の関係者の会議における所与の関係者に関する会議順序付けの番号であり、i=1の場合、i−1=Nであり、i=Nである場合、i+1=1である。
【0093】
前述したとおり、会議サーバは、会議における参加する関係者ではなく、そのため、グループ鍵を計算することができない。しかし、ピアツーピアシナリオにおいて、会議サーバは、会議呼における参加する関係者であり、そのため、グループ鍵を計算することができる必要がある。
【0094】
会議サーバは、会議に参加することを求める各関係者を相手に相互認証動作を実行するものと理解される。また、会議サーバは、以下の少なくとも2つの条件:(i)所与の関係者が、会議管理要素によって認証される、および(ii)所与の関係者が、会議許可リストに属することが確認されるという条件が満たされた場合に限って、所与の関係者を会議に受け入れる。また、前述のMIKEY−IBAKEプロトコルによれば、会議に参加することを求める関係者、および会議サーバは、1つまたは複数のKMS(鍵管理サービス)からそれぞれの秘密鍵を獲得する。
【0095】
図6Bは、新たな会議参加者(ユーザN+1)がどのように、進行中の会議に追加されて、変更された会議600’をもたらすかを示す。
【0096】
ステップ612で、ユーザN+1が、会議サーバを相手にIBAKEを実行する。ZN+1=aN+1Pを、サーバを相手にした認証中にユーザ「N+1」によってサーバに送信される値とする。ユーザN+1の認証成功の後、ステップ614で、会議サーバが、新たなユーザN+1の受入れを告知し、ZN+1を含む集合{aiP}を、全員に送信する(ブロードキャスト、または個別のユニキャスト)。
【0097】
ステップ616で、ユーザ1、N、N+1が、サーバにXi=ai(aN+1P−aN−1P}を送り返し、代替として、ユーザのすべてが、このステップを実行することも可能である。次に、ステップ618で、会議サーバが、XN+1を含む集合{Xi}を、全員と共有する(ブロードキャスト、または個別のユニキャスト)。次に、ステップ620で、グループ鍵(N+1)ai(Zi−1)+(N)Xi+(N−1)Xi+1+...Xi−2が再計算される。グループ鍵は、その新たなユーザが受け入れられた後に変化することに注目されたい。
【0098】
図6Cは、会議参加者がどのように、進行中の会議を抜けて、変更された会議600”をもたらすかを示す。
【0099】
ユーザ3が、その呼を抜けるものと想定されたい(ユーザ3の選択は、単に例に過ぎないことを理解されたい)。ステップ622で、会議サーバが、いずれのユーザが呼を抜けたかを告知する(ブロードキャスト、または個別のユニキャスト)。ステップ624で、ユーザ順序付けが変化する。ユーザ1および2は、そのままである。ユーザiは、4以上のすべてのiに関して、ユーザi−1になる。ステップ626で、ユーザ4(現時点で、ユーザ3である)が、Xiを再計算し、この寄与を会議サーバと共有する。ステップ628で、会議が、集合{Xi}をすべての参加者と共有する。ステップ630で、それらの参加者が、グループ鍵(N−1)ai(Zi−1)+(N−2)Xi+(N−3)Xi+1+...Xi−2を再計算する。この場合も、グループ鍵は、参加者が呼を抜けた後に変化することに注目されたい。
【0100】
本発明の原理は、前述した会議管理技術の拡張も提供する。この拡張には、会議メッセージの合法的な傍受がかかわる。
【0101】
会議システムにN名の参加者が存在するものと想定されたい。参加者Nが、「嫌疑がかけられ」ており、法執行機間が、参加者Nへの呼、および参加者Nからの呼を盗聴する令状を獲得している。参加者Nを嫌疑がかけられていると宣言することの選択は、例示に過ぎず、説明を追うことをより容易にし、このソリューションは、第N番のユーザを嫌疑がかけられたユーザと宣言することに全く限定するものではない。
【0102】
会議呼に先立って、LIサーバ(図5で思い起こされたい)が、参加者Nに対応するKMSにアプローチし、参加者Nの秘密鍵を獲得する。このことは、LIサーバが、グループ鍵交換プロセス中に参加者Nのふりをして、図6Aのすべてのステップを実行するが、ただし、参加者Nの寄与は、LIサーバからの寄与で置き換えられていることを可能とする。詳細には、LIサーバは、ZNおよびXNの代わりにZLIおよびXLIを代用する。残りの参加者は、この違いを知らず、グループ鍵を計算して、その鍵をGK’と呼ぶ。
【0103】
次に、LIサーバが、会議サーバと協働し、参加者Nとのすべての通信においてZ1およびX1をZLIおよびXLIで置き換える。このことは、参加者Nが、GK’とは異なるグループ鍵を計算することを暗示する。この新たな鍵をGK”と呼ぶ。
【0104】
前述のステップで、LIサーバは、任意の参加者に関してZiおよびXiをZLIおよびXLIで置き換えることが可能であったこと、およびi=1の選択は例示に過ぎないことに留意されたい。
【0105】
呼がセットアップされた後、参加者1ないしN−1からのいずれの通信も、GK’を使用して暗号化される。LIサーバは、GK’を知っているので、LIサーバは、次に、その通信を傍受し、その通信を解読し、その後、その通信を、GK”を使用して再暗号化して、参加者Nに送信することができる。逆に、LIサーバによって傍受される、参加者Nからのいずれの通信も、GK”を使用して暗号化され、その後、GK”を使用して解読され、GK’を使用して再暗号化され、さらに参加者1ないしN−1に送信する。
【0106】
III.IMS実施形態
以下の段落において、MIKEY_IBAKEの前述した一般的な原理、およびそれらの原理の拡張が、IMS(IPマルチメディアサブシステム)環境に適用される。つまり、この段落におけるマルチメディア通信システムは、IMSネットワークであると考えられる。IMS標準は、参照により開示が本明細書に組み込まれている、3GPP技術仕様、TS23.218、TS23.228、TS24.228、TS24.229、およびTS24.930において説明されている。
【0107】
IMSメディアプレーンセキュリティに関する、特に、鍵管理に関するアーキテクチャの枠組みをまず説明することとし、この枠組みに基づいて、様々なフィーチャおよび使用事例が導き出されることが可能である。
【0108】
このソリューションの中核にあるのは、参照により開示が本明細書に組み込まれている、RFC5091、RFC5408、およびRFC5409と同様の、IBE(IDベースの暗号化)概念である。
【0109】
しかし、これらのRFCは、認証を提供せず、特有の鍵供託問題に悩まされている。我々は、相互認証を提供し、受動的な鍵供託を解消し、鍵の完全な秘密をもたらす(IDベースの認証された鍵交換(IBAKE)プロトコルを含むように基本的なIBEを拡張することによって、これらの問題に対処する。IBAKEが基本的なプロトコル構造であるが、我々は、鍵配信のためのプロトコルコンテナとしてMIKEYを使用する。
【0110】
本発明のIMSソリューションの枠組みについての1つの基本的な考え方は、我々は、KMSを含む、提案されるアーキテクチャを再使用するが、とりわけ、我々は、これらのKMSサーバが常にオンラインであることを必要としないことである。つまり、提案される枠組みにおいて、KMSは、定期的に(例えば、1カ月に1回)エンドユーザクライアントと通信して、セキュリティで保護されたIDベースの暗号化の枠組みを作成するオフラインサーバである一方で、エンドユーザクライアント間のオンライントランザクションは(メディアプレーンセキュリティのために)、参加するクライアントが、非対称IDベースの暗号化の枠組みにおいて鍵構成要素を交換することを可能とするIBAKEの枠組みに基づく。この枠組みは、受動的な供託を解消することに加えて、エンドユーザクライアントが、(IMSメディアプレーン層において)互いを相互に認証することを可能とし、完全な順方向の秘密および逆方向の秘密をもたらす。
【0111】
KMS−クライアント間の交換は、控えめに(例えば、1カ月に1回)使用され、このため、KMSはもはや、高度に応対可能であるサーバであることを要求されず、特に、異なるKMSが(事業者境界をまたいで)互いに通信しなくてもよい。さらに、非対称IDベースの暗号化の枠組みが使用されることから、高価な公開鍵インフラストラクチャ(PKI)、ならびに証明書管理および取消しのすべての運用上の費用が解消される。さらに、様々なIMSメディアプレーンフィーチャが、セキュリティで保護されてサポートされ、このことには、セキュリティで保護された分岐、ターゲット変更、遅延配信、事前符号化された内容、メディアクリッピング、および匿名性が含まれる。
【0112】
このソリューションの拡張は、IMS会議アプリケーションサーバがユーザを認証して、呼に受け入れるが、その呼のすべての参加者が、グループ鍵を決定する(全員からの寄与を使用して)一方で、会議サーバ自体は、そのグループ鍵を知ることがない、セキュリティで保護された会議アプリケーションを可能にする。さらに、そのグループ鍵は、新たな参加者、および呼を抜ける参加者を考慮に入れるように変更され得る。IMSベースの鍵管理の枠組みのさらなるフィーチャは、受動的な鍵供託の解消にもかかわらず、この枠組みが、能動的な供託の概念を使用して、法執行とセキュリティ資格証明を合法的に共有することをサポートする。
【0113】
図7は、このアーキテクチャの概略を、IMSメディアプレーンにおける例示的な終端間鍵交換プロトコルに関与するエンティティと一緒に提示する。IMSアーキテクチャは、よく知られているので、図7に示される機能上の構成要素は、詳細には説明されないものと理解される。それらの構成要素の機能の詳細な説明については、IMS標準を参照することが可能である。知られているとおり、CSCFとは、呼セッション制御機能であり、ただし、P−CSCFは、プロキシCSCFであり、S−CSCFは、サービングCSCFであることに留意されたい。NAFとは、ネットワークアプリケーション機能を指す。
【0114】
例示されるシナリオにおいて、2つのIMS対応のエンドユーザ電話機が、アプリケーション層において通信をセキュリティで保護するようにe2e(終端間)鍵交換を行っている。この例示は、UE(ユーザ機器)とKMSの間のオフライントランザクション、ならびにIMSを介するUE間のオンライントランザクションを含むことに留意されたい。
【0115】
UEとKMSは、ユーザが、鍵管理サーバを相手にセキュリティで保護された接続を確立することができ、さらに相互認証が提供される、事前構成されたセキュリティ関連付けを共有することに注目されたい。3GPPシステムにおける1つの自然な例が、汎用化されたブートストラップアーキテクチャの使用である(例えば、参照により開示が本明細書に組み込まれている、3GPP TS33.220を参照)。図7で、KMSとUEの間のトランザクションは、BSF(ブートストラップサーバ機能)を介して可能にされ、さらに、このトランザクションは、控えめに(例えば、1カ月に1回)実行されることを思い起こされたい。GBAが応対不能である場合、事前共有される鍵または証明書を有するIKEv2(例えば、参照により開示が本明細書に組み込まれている、IETF RFC4306を参照)などの他のタイプの資格証明が、ユーザとKMSの間で、この相互認証を確立するために使用されることが可能であることに留意されたい。
【0116】
このトランザクション中、UEは、UEの契約資格証明を提示し、この後に、KMSが、秘密鍵のセットを生成する(IBAKEにおいて使用される)。このトランザクションは、1カ月に1回、実行され、次に、KMSが、1日毎に1つの鍵を生成することを選択することが可能である。鍵の数、およびこの交換の頻度は、ポリシーの問題であり、契約に結び付けられることが可能である。この柔軟性は、前払いの顧客に関して特に有用である。
【0117】
単一のKMSではなく、ユーザAに関して1つ、すなわち、KMS_A、およびユーザBに関して1つ、すなわち、KMS_Bという異なる2つのKMSが関与することも可能である。しかし、KMS_AとKMS_Bは、互いに通信しなくてもよい。このシナリオは、事業者間のシナリオにおいて特に適用可能である。
【0118】
次に、IMSのコンテキストにおいてMIKEY−IBAKEにかかわる交換の簡単な要約を与える。
【0119】
A、Bが、鍵を認証し、鍵について合意しようと試みている2名のユーザであるものと想定されたい。同時に、AおよびBは、Aに対応するID、およびBに対応するIDも表し、これらのIDは、定義により、Aの公開鍵、およびBの公開鍵も表す。H1(A)=QAおよびH1(B)=QBを、それらの公開鍵に対応する楕円曲線上のそれぞれの点であるものとする。実際、それらのIDと、H1を適用することによって獲得される曲線上の点との間に1対1対応が存在するので、QAおよびQBを公開鍵と呼ぶことも可能である。xを、Aによって選択された乱数とし、yを、Bによって選択された乱数とする。以降、暗号化とは、段落Iで前述したとおり、IDベースの暗号化を指す。
【0120】
IMSベースのMIKEY−IBAKEプロトコル交換は、以下のステップを含む(図7に示される構成要素に関連する):
1.ユーザAに属するIMS UEが、NAFの役割をするKMSを相手にセキュリティで保護された接続を確立することができるようにBSFを使用してブートストラップを行う。このことは、BSFがユーザを認証することを可能とし、さらにユーザがKMSを間接的に認証することを可能とする。GBAが使用され得ない場合、IMS UEは、KMSに接続して、認証を行い、さらに事前確立されたセキュリティ関連付けに基づいて、共有される鍵を確立する。
【0121】
2.IMS UEが、KMSを相手にMIKEY交換に従事し、秘密鍵(または、例えば、1日につき1つの、複数の秘密鍵)を要求する。
【0122】
3.KMSが、ユーザAのIMS UEに関するメディア秘密鍵を生成し、このメディア秘密鍵をユーザAに送信する。
【0123】
4.ユーザAのIMS UEが、xP(すなわち、E上で加算則を使用して、E上の点としてx回、自らに加算されたP)を計算し、Bの公開鍵を使用してxPを暗号化し、暗号化されたxPをユーザBのIMS UEに送信する。
【0124】
5.IMSコアが、INVITEを検出し、ネットワーク機能が、許可される場合、セッション鍵にアクセスを得ることができるようにINVITEを扱う。このステップは、合法的な傍受要件を満たすのに必要とされる能動的な供託フィーチャをサポートするようにだけ適用可能である。
【0125】
6.ユーザBのIMS UEが、暗号化されたxPを含むINVITEを受信する。ユーザBのIMS UEが、そのメッセージを解読し、xPを獲得する。その後、Bが、yPを計算し、ユーザAのIMS UEの公開鍵を使用してペア{xP,yP}を暗号化し、次に、暗号化されたペア{xP,yP}を応答メッセージの中でAに送信する。
【0126】
7.このメッセージを受信すると、ユーザAのIMS UEが、このメッセージを解読し、yPを獲得する。その後、ユーザAのIMS UEが、Bの公開鍵を使用してyPを暗号化し、暗号化されたyPを、応答確認メッセージの中でBに送り返す。以上の後に、AとBがともに、セッション鍵としてxyPを計算する。
【0127】
8.この時点で、ユーザBのIMS UEが、メディアセキュリティの招待および使用を受け入れる。
【0128】
Aは、xをランダムに選択しており、プロトコル交換の第2のステップでyPを受信していることに注目されたい。このことは、Aが、yP自らをx回、加算することによってxyPを計算することを可能とする。逆に、Bは、yをランダムに選択しており、プロトコル交換の第1のステップでxPを受信している。このことは、Bが、xP自らをy回、加算することによってxyPを計算することを可能とする。
【0129】
MIKEY−IBAKEプロトコルから生じるいくつかの有利な特性は、以下のとおりである。
【0130】
相互認証。ステップ4および7のペイロードの内容は、Bの公開鍵を使用して暗号化されていることに注目されたい。このため、Bだけが、これらのメッセージを解読することができる。同様に、ステップ6のメッセージの内容は、Aによってしか解読され得ない。また、ステップ6および7は、BとAが互いを認証する(メッセージが正しく解読されたことを証明することによって)ことを可能とすることにも注目されたい。この新奇な特徴は、AおよびBが、オンラインサーバまたは証明機関の助けを借りることなしに、互いを相互に認証することを可能にする。
【0131】
完全な秘密。xおよびyは、ランダムであることに注目されたい。このため、セッション鍵xyPは、新規であり、過去または将来のトランザクションと全く関係を有さない。
【0132】
受動的な供託の解消。KMS(またはKMSのペア)は、交換におけるメッセージを解読することができるが、xPおよびyPを所与として、xyPを算出するのは困難であることに注目されたい。困難さの想定は、楕円曲線上のディフィ−ヘルマン問題に依拠する。また、IBEのために使用される曲線は、KMS特有であり、さらに、セッション鍵を生成するのに使用される曲線と同一でなくてもよいことに留意されたい。この柔軟性は、多数の選択肢を提供し、さらにKMSの間で必要とされる調整も解消する。
【0133】
ID管理。前述したとおり、メッセージを暗号化するのに、送信者は、受信者のID(または複数のIDのうち1つ)を使用して生成された、受信者の公開鍵を使用する。受信者のIDは、特定のユーザ、グループのユーザ、または任意のユーザを特定するフォーマットになっていることが可能である。ユーザおよびユーザグループの命名は、通常のIMS慣行に従うことが可能であり、ワイルドカードを使用して拡張されることが可能である。グループアプリケーションがかかわるいくつかのシナリオにおいて、グループ内のすべての受信者が、その特定のユーザグループのIDに対応する秘密鍵を使用することを可能とするポリシーを有することが自然であり得る。例えば、企業ユーザに関して、デフォルトとして、企業のIDに対応する秘密鍵がすべての企業ユーザに配信されることが自然であり得る。IDベースの暗号化のこれらの特性のため、或るグループに属するすべてのユーザが、場合により、そのグループの秘密鍵を有するものの、それでも、すべてのユーザは、送信者と、その同一のグループに属する他の何らかのユーザの間で確立されたセッション鍵を獲得することができないことに留意されたい。また、ポリシーが執行されることを確実にするのに、公開ユーザIDが、IMS UEにセキュリティで保護されて結び付けられることが可能であることも必要である。つまり、KMSに対して認証するのにユーザによって使用されるIDが、公開ID(のセット)であることが重要である。
【0134】
次に、MIKEY−IBAKEプロトコルの、様々なIMSベースの使用事例シナリオへの拡張を説明する。これらの拡張は、概ね、段落IIで説明されていることに留意されたい。以下の説明は、IMS環境の関連において行われる。
【0135】
A.能動的な供託を介する合法的な傍受(LI)
傍受された通信の明瞭なコピーを供給することができるのに、以下の条件が満たされなければならない:
1.トラフィック(シグナリングとメディアの両方)を傍受することが可能でなければならない。
2.実際のトラフィック保護のために使用されるセッション鍵が、利用可能でなければならない。セッション鍵を利用可能にするのに、KMS機能/サービスが要求される。
【0136】
前述したとおり、トラフィック保護のためにしようされる実際のセッション鍵は、送信者と受信者の間で生成され、このため、KMSによって知られていない。したがって、能動的な供託ソリューションが必要とされる。このシナリオにおいて、KMSが、ユーザAとユーザBの間のセッション鍵を獲得するのに、KMSは、KMSとユーザAの間でアクティブセッション鍵を確立する必要があり、さらにKMSとユーザBの間で別の同時の、アクティブセッションを確立する必要がある。KMSは、Aに向けてBのふりをし、Bに向けてAのふりをする。KMSによって果たされる、この「中間者」の役割は、能動的な供託と呼ばれ、証明機関が「偽の証明書」を生成し、交換の中間に座るPKI環境において使用される方法に類似する。従来のCAにおいて使用される技術と、能動的な供託の我々のアプローチの違いは、KMSが、偽の鍵を生成しなくてもよいことである。
【0137】
シグナリングトラフィックは、ホームネットワーク経由でルーティングされており、ホームネットワークにおけるシグナリングトラフィックの傍受は、SIP(セッション開始プロトコル)サーバにおいて行われることが可能である。次に、このシグナリングトラフィックが、適切なKMSに向けて、このKMSが、対応するユーザを相手に必要とされるセッション鍵を確立するようにルーティングされる必要がある。ローミング状況において、SIPシグナリングトラフィックは、通常、IMS UEとP−CSCFの間で機密性が保護されているので、さらに現行の展開において、P−CSCFがホームネットワーク内に配置されることを考慮すると、SIPシグナリングは、移動先ネットワークにおけるベアラレベルで、暗号化されたフォーマットでしか利用可能でない。
【0138】
ローミングシナリオの場合、暗号化されたSIPシグナリングおよび内容は、常に利用可能であるが、SIPシグナリングを傍受し、通信の内容を解読するために、移動先ネットワークと、KMSを扱うエンティティとの間で相互運用性合意が存在しなければならない。通常、KMSは、ホームネットワーク内に存在し、したがって、移動先ネットワークによって実行されるLIのために、ホームネットワークとの協力が必要とされる。
【0139】
LI標準に沿って、VPLMN(移動先公衆陸上モバイルネットワーク)が暗号化に関与していない場合、暗号化された内容だけしか、VPLMNにおけるLIのために利用可能でない。
【0140】
B.異なるKMSドメインにおけるユーザ
異なるKMSドメインにおけるユーザは、異なるKMSによって生成されたユーザの秘密鍵を有する。その結果、異なるセットの公開パラメータ(例えば、暗号法上の材料)が、異なるKMSドメインにおけるユーザに関する公開鍵および秘密鍵を生成するのに使用され得る。適切な暗号化/解読を確実にするのに、送信者と受信者は、それぞれの側によって使用される正確な公開パラメータを知る必要がある。それでも、1つのKMSドメインにおけるユーザが、別のKMSドメインにおけるユーザに対してセキュリティで保護された呼を確立する必要がある場合、関与するKMSは、協力しなくてもよい。いずれのIDベースの暗号プロトコルの場合とも同様に、さらに言えば、いずれの公開鍵プロトコルの場合とも同様に、我々は、交換のために必要とされる公開パラメータが、公開で利用可能である、または交換されるものと想定して支障ない。
【0141】
C.終端−中間間シナリオ
終端−中間間シナリオにおいて、メディア保護は、IMS UEとネットワークエンティティの間で行われる。IMS UEから呼が開始されるシナリオにおいて、呼のセットアップは、終端間保護された呼の場合と同一の原理に従う。開始するIMS UEは、ネットワークエンティティ(例えば、MGWC、つまり、メディアゲートウェイコントロール)のIDを使用して、前述したとおりxPを暗号化し、暗号化されたxPをINVITEと一緒に送信する。MGWCが、メッセージを傍受し、受信するIMS UEが行うのと同じ仕方でyPを生成する。次に、MGWCは、IMS UEに向けてメディアセキュリティを有するようにMGWをセットアップする。メディアトラフィックは、PSTN(公衆交換電話網)において平文で転送される。
【0142】
IMS UEに対する着信する呼の場合、MGWCは、意図される受信者のために登録された少なくとも1つの端末装置が、メディアセキュリティ能力および選好を登録していることを確認する。メディア保護対応の端末装置が存在しない場合、その呼は、平文で転送される。存在する場合、MGWCは、yを選択し、yPを生成する。次に、MGWCは、(IMS UEのIDを使用して)暗号化されたyPをINVITEの中に挿入し、MGWにおけるメディアセキュリティの使用を、MGWとIMS端末装置の間のメディアトラフィック上で開始する。
【0143】
D.鍵分岐
この段落では、IMSベースのMIKEY−IBAKEの事例に関して分岐が説明される。分岐は、概ね、図2の関連において前段で説明されていることを思い起こされたい。分岐は、複数のロケーションへの要求(例えば、INVITEメッセージ)の配信である。このことは、単一のIMSユーザが複数回、登録されている場合に生じる。分岐の例が、ユーザが、ディスク電話機、PCクライアント、およびモバイルハンドセットをすべて、同一の公開IDで登録している場合である。
【0144】
後段で説明され、図8のステップ1から8の関連において示される例において、ユーザBのIMS UEが、単一の公開ユーザID Bで複数の連絡先アドレスを登録しているものと想定されたい。つまり、B1とB2がともに、公開ID Bに対応する秘密鍵を獲得する。この事例において、ユーザAのIMS UEが、ユーザBのIMS UEと連絡をとることを所望する場合、要求は、B1とB2の両方に配信される。B2が呼に応答するものと想定すると、B2はまず、ID Bに関連する秘密鍵を使用して受信されたメッセージを解読する。次に、B2は、yをランダムに選択し、Aの公開IDを使用して暗号化された、yPと、B2のID B2とを含むメッセージをAに送信する。このメッセージを受信すると、ユーザAは、このメッセージを解読し、ユーザB2を相手に通信していることを認識し、さらにB2の公開IDを使用して暗号化された、受信されたyPを含む応答確認メッセージを送信する。
【0145】
B1は、Bの公開IDを使用して暗号化された、ユーザAから受信されたメッセージを解読することができ、したがって、xPを獲得することができることに注目されたい。しかし、B1は、B2から送信されたメッセージを解読することは、そのメッセージが、AのIDを使用して暗号化されているので、できない。このため、ユーザB1は、yPを獲得することができない。また、B1がyPを獲得することができる場合でさえ、B1は、それでも、xyPを計算することができないことにも留意されたい。図7で、(M)_Xは、メッセージMが、XのIDを使用して暗号化されていることを表すことに留意されたい。
【0146】
E.リダイレクト
この段落では、IMSベースのMIKEY−IBAKEの事例に関してセッションリダイレクト(ターゲット変更)が説明される。リダイレクトは、概ね、図3の関連において前段で説明されていることを思い起こされたい。セッションリダイレクトは、機能要素が、呼を異なる宛先にリダイレクトすることを決定するシナリオである。セッションリダイレクトは、「無条件セッション転送」、「話中セッション転送」、「可変セッション転送」、「選択的セッション転送」、および「応答なしセッション転送」という通常のサービスを可能にする。
【0147】
セッションリダイレクトの2つの基本的なシナリオが存在する。シナリオ1では、基本要素(例えば、S−CSCF)が、SIP REDIRECT方法を使用してセッションをリダイレクトすることを決定する。つまり、機能要素は、新たな宛先情報を発信元に送信する。その結果、発信元は、機能要素によって与えられた、リダイレクトされる宛先に対して新たなセッションを開始する。MIKEY−IBAKEの事例の場合、このことは、発信元が、リダイレクトされる宛先のIDを使用して新たなセッションを開始することを意味する。
【0148】
第2のシナリオでは、機能要素は、発信元に知らせることなしに、セッションをリダイレクトすることを決定する。一般的なシナリオは、宛先ユーザのS−CSCFが、セッションがリダイレクトされるべきことを決定するシナリオである。登録中に「Cxプル」によってHSS(ホーム契約者サーバ)から獲得されるユーザプロファイル情報は、セッションリダイレクトをもたらす複雑なロジックおよびトリガを含むことが可能である。
【0149】
図9のステップ1から8に示される例において、一般性を失うことなしに、ユーザBは、ユーザCに対するセッション転送をセットアップするものと想定される。この事例において、ユーザBは、ユーザBのユーザプロファイルの中に、CのIDを使用して暗号化されたユーザBの秘密鍵SK_Bを含める。したがって、S−CSCFが、ユーザAからメッセージを受信し、そのメッセージがリダイレクトされる必要があると決定すると、S−CSCFは、ユーザCにリダイレクトされるメッセージの中にBの暗号化された鍵を含める。このメッセージを受信すると、ユーザCは、その秘密鍵を暗号化し、次に、Aからのメッセージを暗号化する。次に、ユーザCは、ランダムなyを選択し、Aの公開IDを使用して暗号化された、yPと、CのID Cとを含むメッセージをAに送信する。このメッセージを受信すると、ユーザAは、このメッセージを解読し、ユーザCを相手に通信していることを認識し、さらにCの公開IDを使用して暗号化された、受信されたyPを含む応答確認メッセージを送信する。図9で、(M)_Xは、メッセージMが、XのIDを使用して暗号化されていることを表す。
【0150】
F.遅延配信
この段落では、IMSベースのMIKEY−IBAKEの事例に関して遅延配信が説明される。段落IIから、遅延配信は、セッション内容が、送信された時点で宛先に配信され得ない(例えば、宛先ユーザが、現在、オンラインでない、またはその呼に応答しないことを決定する)ようなタイプのサービスであることを思い起こされたい。それでも、送信者は、受信者が応対可能になるとすぐに、ネットワークがそのメッセージを配信するものと予期する。遅延配信の典型的な例が、ボイスメールである。
【0151】
以下に、IMSベースのMIKEY−IBAKEの事例に関する遅延配信の2つの基本的なシナリオが提示される。第1のシナリオに関して図4Aが参照されることが可能であり、第2のシナリオに関して図4Bが参照されることが可能である。
【0152】
第1のシナリオでは、ユーザAのメールボックスとBのメールボックスが、遅延配信が意図されるメッセージの内容を解読するために使用されるべき鍵について合意するのに先立って、相互認証を実行するのに対して、第2のシナリオでは、相互認証は、実行されない。
【0153】
第1のシナリオ(やはり、機能要素402がIMSサーバである図4Aを再び参照することが可能である)では、ユーザAが、現在、応対可能でないユーザBと連絡をとろうと試みており、したがって、その呼は、Bの「ボイスメール」(より一般的には、遅延配信サーバ)に転送されるものと想定される。MIKEY−IBAKEプロトコルに従って、Bのメールボックスによって受信されたメッセージは、BのIDを使用して暗号化されており、したがって、Bのメールボックスは、そのメッセージを解読することができない。Bのメールボックスは、ランダムなyを選択し、yPを計算し、さらに、IBE暗号化された、BのメールボックスのIDおよびyPをユーザAに送信する。ユーザAは、Bがそのメッセージを受信しなかったこと、および実際の受信者が、その受信者のID、およびxPを欠いているために、第1のステップで送信されたメッセージを解読することができなかったことを認識する。したがって、ユーザは、BのメールボックスIDを使用してすべてIBE暗号化された、AのID、BのメールボックスのID、xP、およびyPを含む新たなメッセージを送信する。このメッセージを受信すると、Bのメールボックスは、Bに向けられたメッセージのためのセッション鍵として「sK」を受け入れ、AのID、およびxPをユーザAに戻して認証を完了させる。
【0154】
sKは、Bの公開鍵を使用して暗号化され、このため、メールボックスBは、このメッセージを解読し、「sK」を獲得することができないことに注目されたい。その後、Bが、オンラインになり、「ボイスメール」を確認する(遅延配信サーバに対して確認を行う)と、Bは、メールボックスサーバからsKの暗号化された値を獲得することができる。Bは、その鍵を獲得するのにメールボックスを相手に認証を行わなければならない可能性があり、このことは、既に設定されている既存の認証機構に基づくことが可能であることに留意されたい。
【0155】
第2のシナリオ(やはり、機能要素402がIMSサーバである図4Bを再び参照することが可能である)では、同一の想定が成立し、すなわち、ユーザAが、現在、応対可能でないユーザBと連絡をとろうと試みており、したがって、その呼は、Bのボイスメールに転送される。しかし、この事例において、BのメールボックスとユーザAは、認証を実行しない。代わりに、Bのメールボックスは、単にsKをセッション鍵として受け入れ、ユーザAにOKメッセージを戻してsKを確認する。
【0156】
G.グループ呼および会議呼
この段落では、MIKEY−IBAKEの鍵管理プロトコルが、グループ呼および会議呼に拡張される。したがって、MIKEY−IBAKEプロトコルから生じる有利な特性は、会議環境において実現されることに留意されたい。会議は、概ね、図6Aから図6Cの関連において説明されていることを思い起こされたい。図10のIMS例は、N=3の場合であることに留意されたい。
【0157】
図10のステップ1から18に示されるIMSベースのシナリオにおいて、ユーザを会議呼に招待する会議サーバ(AS/MRFC、つまり、アプリケーションサーバ/マルチメディアリソース機能コントローラ)が存在するものと想定される。このことは、例えば、別のユーザから以前に受信されたREFER要求の結果であることも可能である。代替のアプローチは、この機能をユーザの1名(例えば、会議長)に委託することである。この代替は、図10に示されないものの、このアプローチは、同様であり、グループ鍵の計算は、同一である。
【0158】
以下の説明において、すべてのメッセージは、適切なIDを使用してIBE暗号化される(例えば、ユーザYが、ユーザXにメッセージMを送信している場合、メッセージMは、XのIDを使用して暗号化される)ものと想定される。図10で、このことは、(M)_Xとして表され、つまり、メッセージMは、XのIDを使用してIBE暗号化されることを意味する。
【0159】
会議サーバを相手にした交換の第1のセットにおいて、ユーザA1、A2、およびA3が、それぞれ、ランダムなa1、a2、およびa3を選択し、さらに各ユーザAiが、wi=aiPを会議サーバに送信する。交換の第2のセットにおいて、会議サーバは、すべてのaiPをすべてのユーザに送信する一方で、各ユーザは、zi=ai(ai+1P−ai−1Pを)を送信する。最後の交換において、会議サーバは、すべてのziを各ユーザに送信する。以上が行われた後、すべての会議参加者は、以下のとおりグループ鍵を計算することができる。すなわち、Ki=3aiwi−1+2zi+zi+1
K1=K2=K3であることに留意されたい。また、A1、A2、およびA3は、グループ鍵を生成することができるが、会議サーバは、ziおよびwiを知っているが、個々のユーザだけしか、ユーザによってランダムに選択されたaiを知らないので、グループ鍵を生成することができないことにも留意されたい。
【0160】
簡明のため、前述の説明は、3名の会議呼参加者に絞る。しかし、前述の手順は、n名の参加者に一般化され得る。n名の参加者の場合、グループ鍵は、Ki=naiwi−1+(n−1)zi+(n−2)zi+1...zi−1として生成され、ただし、wiおよびziは、前段で定義されるとおりである。
【0161】
このプロトコルの重要な特徴の1つは、新たなユーザが受け入れられるたびに、または既存のユーザが呼を抜けるたびに、グループ鍵が変わることである。このことは、新たなユーザが、呼に追加されるまで、グループ鍵を知ることがないことを確実にし、さらに呼を尚早に離れるユーザは、呼の後、会話へのアクセスを得ることがない。
【0162】
新たなユーザが追加され、さらにシステムにN名のユーザが既に存在する場合、合計でN+1名のユーザがシステムに存在することに注目されたい。これらのユーザが輪にされると、第N番のユーザの次のユーザは、現時点で、第(N+1)番のユーザである(第N+1番のユーザを受け入れる前にそうであったように、第1番のユーザではなく)。新たなユーザを受け入れるプロトコルは、以下のとおり機能する:
新規のユーザは、すべてのユーザと同様に、IBAKEを使用して会議サーバに対して認証を行う。このことは、そのユーザが受け入れられる(さらに呼を許可される)ことを可能とし、さらにその新規のユーザは、正しい会議に参加することを保証される(会議サーバの認証を介して)。
【0163】
zN+1=aN+1Pを、認証中に新たなユーザによって選択された値とする。
【0164】
次に、会議サーバが、i=1からi=N+1までのすべてに関する集合{zi}を、ブロードキャストであれ、ユニキャストであれ、すべてのユーザに送信する。このことは、すべてのユーザが、その新規のユーザについて知るとともに、ユーザの隣人を特定することを可能とする。隣人リストは、ユーザ1、N、およびN+1に関してだけ変化することに注目されたい。
【0165】
次に、ユーザ1、N、およびN+1が、wのユーザ1、N、およびN+1に対応する値を計算し、その値を会議サーバに送り返す(個々に)。
【0166】
次に、サーバが、{wi}の更新されたリストをすべてのユーザに送信する。
【0167】
次に、すべての参加者が、前述したのと同一の式を使用してグループ鍵を再計算し、ただし、Nは、N+1で置き換えられ、ziおよびwiの新たな値が使用される。
【0168】
ユーザが会議呼を抜けると、新たな認証手順は、全く実行される必要はないが、グループ鍵が変化する。この手順は、以下のとおり機能する:
会議サーバが、ユーザが会議呼を抜けることについて知る。
【0169】
その後、会議サーバが、このイベント、ならびにいずれのユーザが呼を抜けたかに関係する情報(単にIDだけでなく、順序も含む)を全員に知らせる。事情を簡単にするため、会議サーバは、新規のリスト{zi}を再送信してもよい。
【0170】
このことは、すべてのユーザが、ユーザの隣人を再発見し、さらに必要な場合、wiを再計算することを可能とする。
【0171】
wiが変化した、呼に留まっているすべての参加者は、これらの参加者の新たな値を会議サーバに知らせる。
【0172】
次に、会議サーバが、更新されたリスト{wi}を送信する。
【0173】
次に、すべての参加者が、前述したのと同一の式を使用してグループ鍵を再計算し、ただし、Nは、N−1で置き換えられ、wiの新たな値が使用される。
【0174】
IV.例示的なコンピューティングシステム
図11は、ネットワーク環境、ならびに本発明の実施形態による2つのエンティティ間でセキュリティで保護された鍵管理プロトコルを実施するのに適したコンピューティングデバイスの形態の通信デバイスの一般化されたハードウェアアーキテクチャ1100を示す。図11は、2つだけのエンティティしか示さないが、他のエンティティも同一の構成を有することが可能であることを理解されたい。このため、前述した、セキュリティで保護された鍵管理プロトコルに関連して、この2つのエンティティは、開始側102−I(第1の関係者、またはA)および応答側102−R(第2の関係者、またはB)であることが可能である。しかし、KMS、会議サーバ、LIサーバ、機能要素、さらなるクライアントデバイス(関係者)、およびさらなるサーバが、図11のコンピューティングデバイスに示されるのと同一のアーキテクチャを使用して実施されることが可能である。したがって、簡明のため、本発明のプロトコルに参加する可能性があるすべてのコンピューティングデバイス(通信デバイス)を図11に示すことはしない。
【0175】
図示されるとおり、1102として示されるAのコンピューティングデバイスと、1104として示されるBのコンピューティングデバイスが、ネットワーク1106を介して結合される。このネットワークは、例えば、前述した実施形態の場合と同様に、デバイスが通信することができる任意のネットワークであることが可能であり、ネットワーク1106は、ネットワーク事業者(例えば、ベライゾン社、AT&T社、スプリント社)によって運営されるセルラ通信ネットワークなどの公衆アクセス可能な広域通信ネットワークを含むことが可能である。しかし、本発明は、特定のタイプのネットワークに限定されない。通常、これらのデバイスは、クライアントマシンであることが可能である。本明細書で説明されるプロトコルに参加するのに関係者によって使用されることが可能なクライアントデバイスの例には、セルラ電話機、スマートフォン、デスクトップ電話機、携帯情報端末、ラップトップコンピュータ、パーソナルコンピュータなどが含まれることが可能であるが、以上には限定されない。しかし、デバイスの1つまたは複数は、サーバであることも可能である。このため、本発明の通信プロトコルは、コンピューティングシステムが、それぞれ、クライアントとサーバである事例に限定されず、2つのネットワーク要素を備える任意のコンピューティングデバイスに適用可能であることを理解されたい。
【0176】
当業者には直ちに明白であるとおり、これらのサーバおよびクライアントは、コンピュータプログラムコードの制御下で動作する、プログラミングされたコンピュータとして実施されることが可能である。コンピュータプログラムコードは、コンピュータ可読記憶媒体(例えば、メモリ)の中に格納され、さらにこのコードは、コンピュータのプロセッサによって実行される。本発明の本開示を与えられて、当業者は、本明細書で説明されるプロトコルを実施するために適切なコンピュータプログラムコードを容易に作ることができる。
【0177】
それでも、図11は、ネットワークを介して通信する各コンピュータシステムに関する例示的なアーキテクチャを一般的に示す。図示されるとおり、デバイス1102は、入出力デバイス1108−Aと、プロセッサ1110−Aと、メモリ1112−Aとを備える。デバイス1104は、入出力デバイス1108−Bと、プロセッサ1110−Bと、メモリ1112−Bとを備える。本明細書で使用される「プロセッサ」という用語は、中央処理装置(CPU)、あるいは1つまたは複数のシグナルプロセッサ、1つまたは複数の集積回路などを含むが、以上には限定されない他の処理回路を含め、1つまたは複数の処理デバイスを含むことを意図していることを理解されたい。また、本明細書で使用される「メモリ」という用語は、RAM、ROM、固定メモリデバイス(例えば、ハードドライブ)、またはリムーバブルメモリデバイス(例えば、ディスケットもしくはCD−ROM)などの、プロセッサまたはCPUに関連するメモリを含むことを意図している。さらに、本明細書で使用される「入出力デバイス」という用語は、処理装置にデータを入力するための1つまたは複数の入力デバイス(例えば、キーボード、マウス)、ならびに処理装置に関連する結果をもたらすための1つまたは複数の出力デバイス(例えば、CRTディスプレイ)を含むことを意図している。
【0178】
したがって、本明細書で説明される、本発明の方法を実行するためのソフトウェア命令またはソフトウェアコードは、関連するメモリデバイス、例えば、ROM、固定メモリ、またはリムーバブルメモリの1つまたは複数の中に格納されることが可能であり、さらに、利用される用意ができると、RAMにロードされ、CPUによって実行される。
【0179】
本発明の例示的な実施形態は、添付の図面を参照して本明細書で説明されてきたが、本発明は、それらの実施形態そのものに限定されないこと、および本発明の範囲または趣旨を逸脱することなく、他の様々な変更および変形が当業者によって行われ得ることを理解されたい。
【技術分野】
【0001】
本出願は、参照により開示が本明細書に組み込まれている、整理番号805714で識別され、「Secure Key Management in Multimedia Communication System」という名称の、本出願の譲受人に譲渡され、同時に出願された米国特許出願に関連する。
【0002】
本発明は、一般に、通信セキュリティに関し、より詳細には、マルチメディア通信システムおよび電話会議システムのメディアプレーンなどの通信環境において使用するためのセキュリティで保護された鍵管理プロトコルに関する。
【背景技術】
【0003】
マルチメディア通信システムにおいて提供される既存のマルチメディアアプリケーションは、メディアプレーンにおけるセキュリティをサポートしない。メディアプレーンセキュリティに関する懸念は、比較的新しい問題である。
【0004】
インターネットプロトコル(IP)マルチメディアサブシステム(IMS)などのマルチメディア通信システムにおける既存の提案は、鍵を作成して、配信する可能性がある鍵管理サーバを使用して管理される、何らかの種類のトークンベースの対称鍵方法に基づく。参照により開示が本明細書に組み込まれている3GPP(第3世代パートナーシッププロジェクト)TR(技術レポート)33.828が、IMSメディアプレーン暗号化に関する既存の提案を説明する。しかし、これらの既存のソリューションは、スケーラブルではなく(サーバが、高度に応対可能であるとともに、常時、オンラインでなければならないので)、エンティティの認証を提供せず、加えて、サーバにおける鍵供託も提供しない。
【0005】
逆に、SKYPE(ルクセンブルクのスカイプテクノロジーズ社の商標)や、その他のクライアントツークライアントマルチメディアアプリケーションなどの非IMSアプリケーションは、認証を用い、鍵供託は用いない終端間プライバシーを提供する。しかし、このソリューションは、管理するのに極めて高い費用がかかる、利用可能性が非常に高い公開鍵インフラストラクチャ(PKI)を要求する証明書の使用に依拠する。さらに、このソリューションは、グループ会議アプリケーションに合わせて十分にスケーリングされず、PKIが存在しない状況下で通信の合法な傍受を可能にすることもない。
【0006】
さらに、同様な鍵管理セキュリティ問題が、関係者が会議サーバ経由で呼セッションに参加する会議システムに存在する。
【0007】
このため、マルチメディア通信システムおよび電話会議システムのメディアプレーンなどの通信環境において使用するためのセキュリティで保護された鍵管理ソリューションの必要性が存在する。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】BonehおよびFranklin、scc Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」、Advances in Cryptography − Proceeding of CRYPTO 2001(2001年)
【非特許文献2】International Telecommunications Union Standardization Section(ITU−T)Recommendation H.323
【非特許文献3】Internet Engineering Task Force IETF RFC3261
【非特許文献4】3GPP技術仕様、TS23.218
【非特許文献5】3GPP技術仕様、TS23.228
【非特許文献6】3GPP技術仕様、TS24.228
【非特許文献7】3GPP技術仕様、TS24.229
【非特許文献8】3GPP技術仕様、TS24.230
【非特許文献9】IETF RFC2246
【非特許文献10】IETF RFC3711
【非特許文献11】IETF RFC2633
【非特許文献12】IETF RFC2406
【非特許文献13】IETF RFC2409
【非特許文献14】IETF RFC4306
【非特許文献15】IETF RFC4308
【非特許文献16】IETF RFC2246
【非特許文献17】3GPP技術仕様、TS33.220
【非特許文献18】W.Richard Stevens、TCP/IP Illustrated、Volume 1、The Protocols、ISBN 0−201−63346−9
【非特許文献19】W.Richard StevensおよびGary R.Wright、TCP/IP Illustrated、Volume 2、The Implementation、ISBN 0−201−63354−X
【非特許文献20】W.Richard Stevens、TCP/IP Illustrated、Volume 3、TCP for Transactions,HTTP,NNTP,and UNIX Domain Protocols、ISBN 0−201−63495−3
【非特許文献21】IETF RFC5091
【非特許文献22】IETF RFC5408
【非特許文献23】IETF RFC5409
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明の原理は、会議システムなどの通信環境において使用するための1つまたは複数のセキュリティで保護された鍵管理プロトコルを提供する。
【課題を解決するための手段】
【0010】
例えば、一態様において、通信システムにおいて2名以上の関係者の間で会議を管理するための方法が、以下のステップを備える。IDベースの認証された鍵交換動作が、通信システムの会議管理要素と、会議に参加することを求めている2名以上の関係者の各関係者との間で実行され、その会議管理要素とその2名以上の関係者の間で交換されるメッセージは、それらのメッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素は、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信する。
【0011】
会議管理要素が、それらの関係者によって計算されたランダムな鍵構成要素を備えるセットを各関係者に送信する。会議管理要素が、各関係者からランダムなグループ鍵構成要素を受信し、このランダムなグループ鍵構成要素は、鍵認証動作中にその関係者によって使用された乱数と、会議に参加することを求めている2名以上の関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算される。
【0012】
会議管理要素が、各関係者に、それらの関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを送信して、各関係者が、会議管理要素を介して関係者相互に通信する際に使用するための同一のグループ鍵を計算することができるようにする。
【0013】
一実施形態において、会議管理要素は、会議における参加する関係者ではなく、その結果、グループ鍵を計算することができない。別の実施形態において、会議管理要素は、会議呼における参加する関係者であり、その結果、グループ鍵を計算することができる。
【0014】
一実施形態において、各関係者によって計算されるグループ鍵は、Nai(Zi−1)+(N−1)Xi+(N−2)Xi+1+...+Xi−2として表現され、ただし、Nは、会議に参加することを求めている関係者の総数を表し、aiは、所与の関係者によって選択された乱数を表し、Ziは、所与の関係者によって計算されるランダムな鍵構成要素を表し、Xiは、所与の関係者によって計算されるランダムなグループ鍵構成要素を表し、さらにiは、N名の関係者の会議における所与の関係者に関する会議順序付けの番号を表し、i=1の場合、i−1=Nであり、i=Nである場合、i+1=1である。
【0015】
一実施形態において、所与の関係者に関するランダムな鍵構成要素は、aiPとして表現される計算によって計算され、ただし、aiは、所与の関係者によって選択された乱数であり、さらにPは、ID暗号化ベースの鍵認証動作に関連するグループから選択された点である。
【0016】
一実施形態において、所与の関係者に関するランダムなグループ鍵構成要素は、ai(ai+1P−ai−1P)として表現される計算によって計算され、ただし、aiは、その所与の関係者によって選択された乱数であり、ai+1Pは、会議順序付けにおいてその所与の関係者の直後に続く関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、ai−1Pは、会議順序付けにおけるその所与の関係者の直前の関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、さらにPは、暗号鍵交換プロトコルに関連するグループから選択された点である。
【0017】
本発明の原理は、インターネットプロトコル(IP)マルチメディアサブシステム(IMS)環境に特に適しているが、本発明は、そのように限定されることは意図していないことを認識されたい。つまり、本発明の原理は、セキュリティで保護された鍵管理フィーチャを提供することが望ましい任意の適切な通信システムに一般に適用可能である。
【0018】
本発明のこれら、およびその他の目的、特徴、および利点は、添付の図面と併せて読まれるべき、本発明の例示的な実施形態の以下の詳細な説明から明白となろう。
【図面の簡単な説明】
【0019】
【図1A】本発明の或る実施形態による秘密鍵獲得方法を示す図である。
【図1B】本発明の或る実施形態によるIDベースの認証された鍵交換方法を示す図である。
【図2】本発明の或る実施形態による鍵分岐方法を示す図である。
【図3】本発明の或る実施形態による呼リダイレクト方法を示す図である。
【図4A】本発明の或る実施形態による遅延配信方法を示す図である。
【図4B】本発明の別の実施形態による遅延配信方法を示す図である。
【図5】本発明の或る実施形態による合法な傍受方法を示す図である。
【図6A】本発明の或る実施形態による会議管理方法を示す図である。
【図6B】本発明の或る実施形態による会議管理方法における参加者の追加を示す図である。
【図6C】本発明の或る実施形態による会議管理方法における参加者の削除を示す図である。
【図7】本発明のIMSベースの実施形態によるセキュリティで保護された鍵管理プロトコルに関するネットワークアーキテクチャを示す図である。
【図8】本発明のIMSベースの実施形態による鍵分岐方法を示す図である。
【図9】本発明のIMSベースの実施形態によるリダイレクト方法を示す図である。
【図10】本発明のIMSベースの実施形態による3名の参加者を有する会議方法を示す図である。
【図11】本発明の実施形態によるプロトコルの1つまたは複数を実施するのに適したデータネットワークおよび通信(コンピューティング)デバイスの一般化されたハードウェアアーキテクチャを示す図である。
【発明を実施するための形態】
【0020】
本明細書で使用される「マルチメディア通信システム」という句は、一般に、テキストベースのデータ、グラフィックスベースのデータ、音声ベースのデータ、およびビデオベースのデータを含むが、以上には限定されない2つ以上のタイプのメディアをトランスポートすることができる任意の通信システムとして定義される。
【0021】
本明細書で使用される「メディアプレーン」という句は、一般に、呼セッションにおける2つ以上の関係者の間で1つまたは複数のタイプのメディアが交換されるのに準拠するマルチメディア通信システムの機能部分として定義される。このことは、呼セッションを確立するために呼ネゴシエーション/スケジューリングが実行されるのに準拠するマルチメディア通信システムの機能部分である「制御プレーン」と対比される。本発明の技術が使用され得るメディアプレーンアプリケーションの例には、ボイスオーバーIP(VoIP)、インスタントメッセージング(IM)、ボイス/オーディオIM、およびボイスシェアが含まれるが、以上には限定されない。メディアプレーンは、アプリケーション層トラフィックを含むものと理解される。
【0022】
本明細書で使用される「鍵」という用語は、一般に、エンティティ認証、プライバシー、メッセージ完全性などを目的とするが、以上の目的には限定されない、暗号プロトコルへの入力として定義される。
【0023】
参照を容易にするため、詳細な説明は、以下のとおり分けられる。段落Iが、IDベースの暗号化動作およびIDベースの認証された鍵交換動作の一般的な原理を説明する。段落IIが、一般的な通信環境コンテキストにおける本発明の例示的な原理によるセキュリティで保護された鍵管理ソリューションを説明する。段落IIIが、インターネットプロトコル(IP)マルチメディアサブシステム(IMS)環境コンテキストにおける本発明の例示的な原理によるセキュリティで保護された鍵管理ソリューションを説明する。段落IVが、本発明による1つまたは複数のセキュリティで保護された鍵管理プロトコルを実施するための例示的なコンピューティングシステムを説明する。
【0024】
I.IDベースの暗号化(IBE)およびIDベースの認証された鍵交換(IBAKE)
本発明のセキュリティで保護された鍵管理技術の例示的な実施形態の説明に先立って、IBEおよびIBAKEの一般的な原理が与えられる。
【0025】
A.IDベースの暗号化
IDベースの暗号化(IBE)プロトコルは、参照により開示が本明細書に組み込まれている、BonehおよびFranklinによって提示された(Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」、Advances in Cryptography − Proceeding of CRYPTO 2001(2001年)を参照)。この非対称暗号法の暗号化プロトコルは、参加者が、「ID」(例えば、電子メールID、またはドメイン名)を公開鍵として使用することを許し、RSA(リベスト、シャミール、およびアドルマン)などの公開鍵暗号化方法にしばしば関連する大規模な公開鍵インフラストラクチャの必要性を解消する。この問題に対するBonehおよびFranklinのアプローチは、有限体上の楕円曲線上の双線形写像を使用し、さらに双線形決定ディフィ−ヘルマン問題に依拠する。
【0026】
IBEには、以下の数学ツールおよびパラメータがかかわる:
Eを有限体F上の楕円曲線とし、Pを大きい素数位数の点とする。
【0027】
e:ExE−→GをE上の双線形写像とする。典型的な例が、ヴェイユペアリングであり、したがって、Gは、nがF上のE上の点の数の関数である1のn乗根の群である。
【0028】
sを0でない正の整数とし、鍵生成関数(KGF)の中に格納された秘密とする。これは、システム全体の秘密であり、KGFの外部には明かされない。
【0029】
Ppub=sPを、すべての参加者に知られているシステムの公開鍵とする。sPは、Eが群であるので、Eの中の点を表すことを想い起こされたい。
【0030】
H1を、或る文字列をとり、その文字列を、楕円曲線上の或る点に割り当てる、知られているハッシュ関数とし、すなわち、E上のH1(A)=QAであり、ただし、Aは、通常、IDであり、さらにAの公開鍵でもある。
【0031】
dA=sQAを、KGFによって計算され、Aだけに配信される秘密鍵であるものとする。
【0032】
H2を、Gの要素をとり、その要素を或る文字列に割り当てる、知られているハッシュ関数とする。
【0033】
mを、暗号化されて、Aに送信される必要があるメッセージとする。BonehおよびFranklinによって説明される暗号化関数は、以下のとおりである。
【0034】
gA=e(QA,Ppub)とし、さらにrを乱数とする。
【0035】
暗号化A(m)=(rP,m xor H2(gAI))であり、つまり、mの暗号化出力は、2つの座標uおよびvを有し、ただし、u=rPであり、v=m xor H2(gAI)である。「xor」とは、排他的論理和関数を指すことに留意されたい。
(u,v)を解読するために、Aは、以下の式を使用してmを回復する:
m=v xor H2(c(dA,u))
この式の証明は、双線形写像において単純明快な作業であり、事実Aは、秘密dA(Aだけには知られているが、その他の参加者には知られていない秘密鍵)を有する。また、そもそもdAを計算したKGFは、そのメッセージを解読することもできて、KGFが、事実上、鍵供託サーバであることになることにも注目されたい。
【0036】
B.IDベースの認証された鍵交換
IBAKE(IDベースの認証された鍵交換)は、参照により開示が本明細書に組み込まれている、2009年2月17日に出願したシリアル番号12/372,242によって識別される米国特許出願において説明される。IBAKEプロトコルは、デバイスが互いを相互に認証し、さらに完全な順方向の秘密および逆方向の秘密をもたらす鍵を導き出すことを可能とする。
【0037】
本明細書で説明されるIBAKE実施形態において、このプロトコルに関する基本的なセットアップには、サブ段落Aで前述した数学的構造およびパラメータがかかわる。このプロトコルは、非対称的であるが、PKIサポートを全く必要とせず、代わりに、このプロトコルは、鍵生成関数の役割をするオフラインサーバを使用することを思い起こされたい。このプロトコルの詳細を以下に概略で述べる。
【0038】
A、Bが、鍵を認証し、鍵について合意しようと試みている2つのエンティティ(または、Aが第1の関係者のコンピュータシステムを表し、Bが第2の関係者のコンピュータシステムを表す、関係者)であるものと想定されたい。
【0039】
AおよびBを使用して、定義により、AおよびBの公開鍵も表す、AおよびBに対応するIDを表す。
【0040】
H1(A)=QAおよびH1(B)=QBを、公開鍵に対応する楕円曲線上のそれぞれの点とする。実際、IDと、H1を適用することによって獲得される曲線上の点の間に1対1対応が存在するので、QAおよびQBを公開鍵と呼ぶことも可能である。
【0041】
xを、Aによって選択された乱数とし、さらにyをBによって選択された乱数とする。
【0042】
AとBの間のプロトコル交換は、以下のステップから成る:
第1のステップで、Aが、xP(すなわち、E上で加算則を使用して、E上の点としてx回、自らに加算されたP)を計算し、xPを、Bの公開鍵を使用して暗号化し、さらに暗号化されたxPをBに送信する。このステップにおいて、暗号化とは、前出のサブ段落Aで説明されるIDベースの暗号化を指す。
この暗号化されたメッセージを受信すると、Bは、このメッセージを解読し、xPを獲得する。その後、第2のステップで、Bは、yPを計算し、Aの公開鍵を使用してペア{xP,yP}を暗号化し、その後、暗号化されたペア{xP,yP}をAに送信する。
このメッセージを受信すると、Aは、このメッセージを解読し、yPを獲得する。その後、第3のステップで、Aは、Bの公開鍵を使用してyPを暗号化し、暗号化されたyPをBに送り返す。
以上の後に続いて、AとBがともに、xyPをセッション鍵として計算する。
Aはxをランダムに選択しており、さらにプロトコル交換の第2のステップでyPを受信していることに注目されたい。このことは、Aが、yPを自らにx回、加算することによってxyPを計算することを可能とする。逆に、Bは、yをランダムに選択しており、さらにプロトコル交換の第1のステップでxPを受信している。このことは、Bが、xPを自らにy回、加算することによってxyPを計算することを可能とする。このプロトコルのいずれの適用も、IDと一緒にヘッダデータを利用して、このプロトコルが適切に機能することを確実にすることが可能であることに留意されたい。このことは、比較的標準的であり、鍵合意のためのほとんどすべてのプロトコル交換に適用可能である。
また、xは、ランダムであるが、xPは、xについての情報を全く与えないことに留意されたい。したがって、xPは、Aによって選択されたランダムな秘密に基づく鍵の構成要素である。同様に、yは、ランダムであるが、yPは、yについての情報を全く供給しない。したがって、yPは、Bだけに知られているランダムな秘密に基づく鍵の構成要素である。
xyPは、セッション鍵の役割をすることが可能であることにさらに留意されたい。また、セッション鍵は、xyPの任意の知られている関数であることが可能である。つまり、セッション鍵は、f(xyP)と等しいことが可能であり、ただし、fは、両方の関係者に知られており、秘密であることを要求されない(すなわち、世界に知られている)。fに関する1つの実際的な要件は、fが、xまたはyの知識なしに計算するのが困難であることであり、さらに出力は、暗号法の見地から満足の行く長さ、例えば、約128ビット以上である。
【0043】
IBAKEプロトコルの特性のいくつかには、以下が含まれる:
− 鍵供託を免れていること。プロトコル交換におけるすべてのステップは、IBEを使用して暗号化されることに注目されたい。したがって、明らかに、KGFは、すべての交換を解読することができる。しかし、KGFは、セッション鍵を計算することができない。このことは、楕円曲線ディフィ−ヘルマン問題の難しさのためである。つまり、xPおよびyPを与えられて、xyPを計算することは計算的に困難である。
− 相互に認証された鍵合意。プロトコル交換におけるすべてのステップは、IBEを使用して暗号化されることに注目されたい。特に、Bだけが、第1のステップ、および第3のステップでAによって送信されたメッセージの内容を解読することができ、同様にAだけが、第2のステップでBによって送信されたメッセージの内容を解読することができる。さらに、第2のステップの終わりで、Aは、第1のステップでBによって内容が解読された後だけ、xPが第2のステップで送信されている可能性があるので、Bの真正性を検証することができる。同様に、第3のステップの終わりで、Bは、第2のステップの内容を正しく解読した後だけ、第yPが3のステップで送り返されている可能性があり、正しく解読することは、Aによってしか可能でないので、Aの真正性を検証することができる。最後に、AとBがともに、同一のセッション鍵について合意することが可能である。つまり、このプロトコルは、IBEに基づく、相互に認証された鍵合意プロトコルである。以上の説明は、プロトコルのセキュリティに関する動機を与えるが、セキュリティの暗号法上の証明が容易に与えられることが可能である。プロトコルの堅牢性は、楕円曲線の選択によって影響される、楕円曲線ディフィ−ヘルマン問題の難しさに依拠する。
− 完全な順方向の秘密および逆方向の秘密。xおよびyは、ランダムなので、xyPは、常に新規であり、AとBの間のいずれの過去のセッション、または将来のセッションとも無関係である。
− パスワードが存在しない。IBAKEプロトコルは、AとBの間でパスワードまたは秘密鍵のオフライン交換を全く要求しない。事実、この方法は、任意の通信ネットワークを介して初めて通信している任意の2名の関係者に明らかに適用可能である。唯一の要件は、AとBの両方が、例えば、ディレクトリサービスを介して、互いの公開鍵を認識していることを確実にすることだけである。
【0044】
II.セキュリティで保護された鍵管理、および例示的な拡張
インターネットが、ベストエフォートデータネットワークから、マルチメディアを含む様々なクラスのトラフィックに関するサポートを備えたマルチサービスIP(インターネットプロトコル)ネットワークに急速に進化したことが認識されている。このことが、モバイルワイヤレスネットワークの急速な成長と相俟って、技術的な課題を生じさせている。技術的見地から、それなりにうまく対処されてきた中心的な課題が、「メディアプレーン」としばしば呼ばれるアプリケーション層トラフィックからの、呼をセットアップするシグナリングから成る呼制御機能の分離である。H323(例えば、参照により開示が本明細書に組み込まれている、International Telecommunications Union Standardization Section(ITU−T)Recommendation H.323を参照)、セッション開始プロトコルまたはSIP(例えば、参照により開示が本明細書に組み込まれている、Internet Engineering Task Force IETF RFC3261を参照)、およびIMS(例えば、参照により開示が本明細書に組み込まれている、3GPP技術仕様、TS23.218、TS23.228、TS24.228、TS24.229、およびTS24.230を参照)などの呼制御プロトコルが、IETFや3GPPなどの様々な組織によって標準化されており、固定ネットワークおよびモバイルネットワークにわたって様々な採用段階にある。
【0045】
同時に、様々なレベルでシグナリングをセキュリティで保護する入念な機構が組み込まれてきた。しかし、メディアプレーンにおいて、トランスポート層セキュリティまたはTLS(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2246を参照)、セキュアリアルタイムトランスポートプロトコルまたはSRTP(例えば、参照により開示が本明細書に組み込まれている、IETF RFC3711を参照)などのプロトコル、およびセキュア多目的インターネットメール拡張またはSMIME(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2633を参照)が、様々なアプリケーションに関するコンテナフォーマットを提供するが、メディアプレーンにおけるセキュリティソリューションは、アプリケーション層において終端間のセキュリティで保護された鍵管理をサポートする一貫性のある、標準化された方法を欠いている。
【0046】
本発明の原理は、主に、この問題に対処する。特に、本発明の原理は、メディアプレーンに関してスケーラブルなアプリケーション、およびプロトコルにとらわれないセキュリティで保護された鍵管理の枠組みを提供する。例示的な枠組みにおいて、本発明のソリューションは、段落I.Bで前述した非対称(したがって、公開鍵)IBAKE(IDベースの認証された鍵交換)プロトコルを利用する。例示的な実施形態は、例えば、セキュリティで保護された2名の関係者のメディアプレーン通信アプリケーション、セキュリティで保護された複数関係者会議アプリケーション、セキュリティで保護された呼分岐アプリケーション、セキュリティで保護された呼リダイレクトアプリケーション、およびセキュリティで保護された遅延配信アプリケーションなどの、様々なフィーチャをサポートする鍵交換機構を説明する。セキュリティで保護された鍵管理のためのスケーラブルな枠組みを提供することに加えて、この設計および枠組みのいくつかの例示的な態様には、以下が含まれる:
− 要求されるネットワークサポートの複雑度を劇的に低減するオフラインKMS(鍵管理サーバ)の使用。公開鍵環境における非対称プロトコルは、取消しを含む証明書管理の入念な常時オンのPKI(公開鍵インフラストラクチャ)サポートを要求することを思い起こされたい。対称鍵ベースの鍵管理サーバは、定義により、絶え間なく同期し、更新している「常時オン」のサーバである。この「常時オン」の要件をなくすことにより、我々の枠組みは、費用を劇的に低減し、スケーラビリティを促進する。
− IDベースのプロトコルに特有の受動的な鍵供託の解消。鍵管理サーバを使用する対称鍵プロトコルは、この問題を解消することができないことを思い起こされたい。また、既存のIDベースの暗号化(段落I.Aで前述した)プロトコルは、IBAKE(段落I.Bで前述した)を使用して解決される問題である、鍵供託問題に悩まされることも思い起こされたい。
− このプロトコルの枠組みは、鍵交換に関与するエンティティの相互認証を、完全な秘密とともに本来的にサポートする。
− 本発明の例示的な実施形態は、既存のネットワーク要素アーキテクチャを再使用し、さらに、可能な限り、既存のプロトコルコンテナフォーマットを再使用する。例として、会議アプリケーションにおいて、例示的な実施形態は、会議サーバを再使用して、会議を可能にするが、会議サーバが、通信のために使用されるグループ鍵を知ることがない(後段で説明されるとおり、会議サーバも会議の関係者であるのではない限り)ことを確実にする。
− 本発明の原理は、受動的な鍵供託をなくすが、本発明のプロトコルは、呼を傍受する法の執行のための法的要件が存在する場合に、鍵を見出すことのシームレスなサポートも提供する。
【0047】
IDベースの非対称暗号法の枠組みに基づく例示的な実施形態において、各参加者は、公開鍵と、秘密鍵とを有する。その公開鍵は、IDに基づく。その秘密鍵は、その公開鍵に対応し、鍵管理サーバまたは鍵管理サービス(KMS)によって発行される。参加者は、KMSから秘密鍵をオフラインで獲得することができる。単に例として、参加者は、1カ月に(より一般的には、契約の全期間にわたって)一度、参加者のKMSと連絡をとり、秘密鍵を獲得する。また、秘密鍵は、使用の頻度に応じて獲得されることも可能である。KMSと参加者の間にセキュリティ関連付けが存在するものと想定される。鍵交換中のメッセージの暗号化および解読は、IBEに基づく。KMSの公開のパラメータは、公衆に入手可能である(例えば、ウェブサイト上でオンラインで)と想定されることに留意されたい。
【0048】
一般に、本発明の例示的な実施形態によるセキュリティで保護された鍵管理方法は、2つの主な段階を備える。第1の段階で、参加者(関係者)が、KMSなどの鍵サービスから秘密鍵を獲得する。第2の段階で、マルチメディアベースの呼セッションにおいて通信することを求める2名以上の関係者の間でIDベースの認証された鍵交換が、実行される。その2名以上の関係者の間で交換されるメッセージは、メッセージの受信者のそれぞれのIDに基づいて暗号化される。また、それらの関係者の間で交換される暗号化されたメッセージは、関係者に関連付けられたIDを含む。
【0049】
図1Aは、セキュリティで保護された鍵管理方法の第1の段階、すなわち、秘密鍵獲得を示す。図示されるとおり、2名の関係者の通信デバイス(より一般的には、コンピューティングデバイス)102がそれぞれ、それぞれのKMS104から秘密(またはシークレット)鍵を要求し、獲得する。秘密鍵交換106はセキュリティで保護された通信プロトコルによって行われる。セキュリティで保護された通信プロトコルの例には、インターネットプロトコルセキュリティまたはIPSec(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2406、IETF RFC2409、IETF RFC4306、およびIETF RFC4308を参照)、およびトランスポート層セキュリティまたはTLS(例えば、参照により開示が本明細書に組み込まれている、IETF RFC2246を参照)が含まれるが、以上には限定されない。汎用ブートストラップアーキテクチャまたはGBA(例えば、参照により開示が本明細書に組み込まれている、3GPP技術仕様(TS)33.220を参照)が、各関係者とKMSの間のセキュリティで保護された通信プロトコルにおいて使用すべき鍵を決定するのに使用されることが可能である。一例において、KMSサーバに接続され、さらに事前共有される鍵としてGBA鍵、またはGBA鍵と一緒にネットワーク層におけるIPSecを使用する(トランスポート制御プロトコルまたはTCPより上位の)アプリケーション層(例えば、参照により開示が本明細書に組み込まれている、W.Richard Stevens、TCP/IP Illustrated、Volume 1、The Protocols、ISBN 0−201−63346−9、W.Richard StevensおよびGary R.Wright、TCP/IP Illustrated、Volume 2、The Implementation、ISBN 0−201−63354−X、W.Richard Stevens、TCP/IP Illustrated、Volume 3、TCP for Transactions,HTTP,NNTP,and UNIX Domain Protocols、ISBN 0−201−63495−3を参照)においてTLSを使用するクライアントデバイスにおいて実行されるアプリケーションが存在することが可能である。
【0050】
左側のデバイスが開始側(I)と考えられ、右側のデバイスが応答側(R)と考えられることに留意されたい。この名称は、左側のデバイスが、右側のデバイスを相手にマルチメディア呼セッションを開始することを求めることに由来する。
【0051】
図示されるとおり、各デバイスは、そのデバイスの要求と一緒に識別子をKMSに供給し、このことに対して、KMSは、秘密(シークレット)鍵で応答する。開始側デバイス102−Iの場合、1つの識別子がKMS104−Iに供給され、これに応答して、1つの秘密鍵I−SKがこのデバイスに供給される。応答側デバイス102−Rの場合、2つの別々の識別子、すなわち、RおよびR1が、KMS104−Rに供給される。これに応答して、KMSは、応答する関係者に、2つの秘密鍵、R_SKおよびR1_SKを供給する。もちろん、各関係者は、いくつかの秘密鍵獲得スケジュールに基づいて、より多くの、またはより少ない秘密鍵を要求して、獲得してもよい。このスケジュールは、時間ベースのスケジュール(例えば、1カ月周期)、呼セッション頻度ベースのスケジュール(例えば、呼を行う必要がある場合)、および契約ベースのスケジュール(例えば、関係者は、いくらかの長さの期間にわたって、または契約終了条件が生じたことに基づいて、KMSの鍵サービスに契約をする)であることが可能である。
【0052】
また、所与の関係者が複数の公開IDを有する可能性もあることも認識されたい。例えば、関係者B(「ボブ」)が、以下の2つのID、すなわち、bob@work.comおよびbob@home.comを有することが可能である。これら2つのIDに関して、異なる2つの公開鍵が存在することが可能であり、このため、異なる2つの秘密鍵が存在することが可能である。
【0053】
図1Bは、セキュリティで保護された鍵管理方法の第2の段階、すなわち、認証された鍵交換を示す。この実施形態において、認証された鍵交換は、IBAKE(段落I.Bで前述した)に基づく。第1の関係者と第2の関係者の間のメッセージ交換の好ましいフォーマットは、MIKEY(マルチメディアインターネットキーイング)に基づくので、したがって、図1Aおよび図1Bの全体的なセキュリティで保護された鍵交換プロトコルは、MIKEY−IBAKEプロトコルと本明細書では呼ばれる。
【0054】
この場合も、左側のデバイスが、開始する関係者、つまり、開始側102−Iであり、右側のデバイスが、応答する関係者、つまり、応答側102−Rであるものと想定される。認証された鍵交換のステップは、IBAKEプロトコルと同様のステップをたどる。
【0055】
開始側の公開鍵、I_PKは、段落Iで前述したハッシュ関数を使用することによって計算されるものと想定される。同様に、応答側の公開鍵、R_PKも同様に計算される。開始側および応答側の秘密鍵は、それぞれ、I_SKおよびR_SKであることを思い起こされたい。つまり、H1(Initiator_ID)=I_PK、およびH1(Responder_ID)=R_PKを、それらの公開鍵に対応する楕円曲線上のそれぞれの点であるものとする。
【0056】
aを、開始側102−Iによって選択された乱数とし、bを、応答側102−Rによって選択された乱数とする。
【0057】
102−Iと102−Rの間のプロトコル交換は、以下のステップを備える:
ステップ110で、開始側102−Iが、第1のランダムな鍵構成要素aP(すなわち、E上で加算則を使用して、E上の点としてa回、自らに加算されたP)を計算し、第1のランダムな鍵構成要素を、応答側の公開鍵(R_PK)を使用して暗号化し、さらに暗号化された第1のランダムな鍵構成要素を応答側102−Rに送信する。このステップで、暗号化とは、前段のサブ段落I.Aにおいて説明されるIDベースの暗号化を指す。ステップ110の暗号化されたメッセージにやはり含められるのが、開始側のID、および応答側のID(それぞれ、I_IDおよびR_ID)であることに留意されたい。
【0058】
この暗号化されたメッセージを受信すると、応答側は、応答側の秘密鍵(図1Aで獲得された)を使用して、このメッセージを解読し、aPを獲得する。その後、ステップ112で、応答側は、第2のランダムな鍵構成要素bPを計算し、開始側の公開鍵を使用してペア{aP,bP}を暗号化し、その後、暗号化されたペア{aP,bP}を開始側に送信する。この場合も、ステップ112の暗号化されたメッセージは、開始側のID、および応答側のID(それぞれ、I_IDおよびR_ID)を含む。
【0059】
ステップ112からのメッセージを受信すると、開始側は、このメッセージを、開始側の秘密鍵(図1Aで獲得された)を使用して解読し、bPを獲得する。その後、ステップ114で、開始側は、応答側の公開鍵を使用してbPを暗号化し、暗号化されたbPを応答側に送り返す。この場合も、ステップ114の暗号化されたメッセージは、開始側のID、および応答側のID(それぞれ、I_IDおよびR_ID)を含む。
【0060】
ステップ116で、応答側が、開始側の公開鍵を使用して暗号化された検証メッセージを開始側に送信する。
【0061】
これを行った後、開始側と応答側の両方が、マルチメディア通信システムのメディアプレーン(アプリケーション層)を介して呼セッション中に互いにセキュリティで保護された通信を行うために使用されるべきセキュリティで保護された呼セッション鍵としてabPを計算する。
【0062】
開始側102−Iは、aをランダムに選択しており、プロトコル交換の第2のステップでbPを受信していることに注目されたい。このことは、開始側が、bPを自らにa回、加算することによってabPを計算することを可能とする。逆に、応答側102−Rは、bをランダムに選択しており、プロトコル交換の第1のステップでaPを受信している。このことは、応答側が、aPを自らにb回、加算することによってabPを計算することを可能とする。また、aは、ランダムであるが、aPは、aについての情報を全く与えないことにも留意されたい。したがって、aPは、開始側によって選択されたランダムな秘密に基づく鍵の構成要素であると考えられる。同様に、bは、ランダムであるが、bPは、bについての情報を全く与えない。このため、bPは、応答側だけに知られているランダムな秘密に基づく鍵の構成要素であると考えられる。
【0063】
次に図2を参照すると、MIKEY−IBAKEプロトコルの拡張が示されている。この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。この特定の実施形態において、図2は、分岐を示す。分岐は、複数のロケーションへの要求の配信である。分岐は、例えば、応答側が、複数の通信(コンピューティング)デバイスを有して、それらのデバイス上で応答側がマルチメディア呼セッションに参加することができる場合に、行われる可能性がある。分岐の一例は、関係者が卓上電話機、パーソナルコンピュータ(PC)クライアント、移動ハンドセットを有し、全てがMIKEY−IBAKEプロトコルに参加している場合である。一般に、分岐は、着信する呼が、いくつかの内線を同時に鳴らして呼ぶことを可能にするマルチメディアセッション開始プロトコルのフィーチャである。最初に応答する電話機が、その呼を支配する。
【0064】
したがって、図2に示されるとおり、応答側には、2つのデバイス102−R1および102−R2が関連付けられている。したがって、図示されるとおり、デバイス102−R1は、公開鍵R1_PKと、秘密鍵R1_SKとを有する。また、デバイス102−R1は、応答側の公開鍵R_PK、および応答側の秘密鍵R_SKを知っている。同様に、デバイス102−R2は、公開鍵R2_PKと、秘密鍵R2_SKとを有する。また、デバイス102−R2は、応答側の公開鍵R_PK、および応答側の秘密鍵R_SKを知っている。
【0065】
分岐シナリオにおけるMIKEY−IBAKEプロトコルステップ210、212、214、および216は、以下を例外として、図1Bの一般的な関連におけるMIKEY−IBAKEプロトコルステップ110、112、114、および116と基本的に同一である。ステップ210でデバイス102−Iによって送信されるメッセージは、R_PKを使用して暗号化されるため、デバイスR1とR2はともに、このメッセージを解読することができる(デバイスR1とR2はともに、R_SKを有するので)ことに留意されたい。しかし、応答する関係者が、現在、デバイスR1ではなく、R2に関連しているものと想定すると、ステップ212における返信メッセージは、IBAKEによりR2によって計算されたランダムな鍵構成要素b2P(ただし、b2は、R2によって選択された乱数)を含む。また、ステップ212における暗号化されたメッセージは、開始側のID、応答側のID、およびデバイスR2のID(それぞれ、I_ID、R_ID、およびR2_ID)を含む。
【0066】
デバイス102−Iは、R2から受信されたメッセージを、デバイス102−Iの秘密鍵を使用して解読して、このメッセージに含まれるb2PおよびIDを獲得する。このため、開始側は、ステップ212におけるメッセージがR2から来たことを識別する。MIKEY−IBAKEプロトコルにより、次に、開始側は、ステップ214で、b2P、I_ID、およびR2_IDを含むメッセージを送信する。このメッセージは、R2の公開鍵を使用して暗号化される。このメッセージは、R1がR_SKおよびR1_SKだけを有し、R2_SKは有さないので、R1によって解読され得ないことに留意されたい。ステップ216は、図1Bのステップ116と同様の検証メッセージである。次に、呼セッション鍵が、ab2Pとしてデバイス102−Iおよび102−R2において計算されることが可能である。
【0067】
図3は、MIKEY−IBAKEプロトコルの、ターゲット変更フィーチャへの拡張を示す。この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。ターゲット変更またはリダイレクトは、通信システムにおける1つまたは複数の機能要素が、異なる宛先に呼をリダイレクトすることを決定するシナリオである。セッションをリダイレクトする、この決定は、いくつかの異なる機能要素によって、セッションの確立における様々な時点で、様々な理由で行われることが可能である。また、ターゲット変更は、着信転送としても知られている。
【0068】
図3の例は、リダイレクト決定を行うアプリケーションサーバ302を示す。分岐シナリオにおけるMIKEY−IBAKEプロトコルステップ310、312、314、および316は、以下を例外として、図1Bの一般的な関連におけるMIKEY−IBAKEプロトコルステップ110、112、114、および116と基本的に同一である。
【0069】
デバイス102−Iが、ステップ310で、プロトコルにおける最初のメッセージを、このメッセージがデバイス102−R1に向かうことを意図して、送信する(R1の公開鍵で暗号化されたメッセージ)。しかし、機能要素302が、310で、このメッセージがデバイスR2にリダイレクトされるべきであるという決定を行っている(ステップ310’参照)。このことに先立って、またはこのことに関連して、R2が、この機能要素を経由してステップ308で送信されたメッセージの中でR1の秘密鍵を受信しているものと想定される。R1からR2に送信されたメッセージは、R2の公開鍵を使用して暗号化されている。このため、機能要素302は、308で、このメッセージを解読することができないが、R2は、310’で、このメッセージを解読し、ステップ312で開始側に応答することができる。この時点から、ステップ312、314、および316は、図2の分岐シナリオにおけるステップ212、214、および216と同一である。
【0070】
図4Aは、MIKEY−IBAKEプロトコルの遅延配信拡張を示す。この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。遅延配信は、セッション内容が、送信されている時点で宛先に配信され得ない(例えば、宛先ユーザが、現在、オンラインではない)ようになっているタイプのサービスである。それでも、送信側は、受信側が応対可能になるとすぐに、ネットワークがそのメッセージを配信するものと予期する。遅延配信の一例が、ボイスメールである。
【0071】
図4Aで、Aが、デバイス102−Iであり、Bが、102−Rであり、デバイス402が、アプリケーションサーバなどの機能要素であり、さらにMBが、Bに関連するメールボックス102−MB(より一般的には、一時的な宛先)であるものと想定されたい。
【0072】
ステップ401で、Aが、暗号化された第1のランダムな鍵構成要素(xP)を備える第1のメッセージをBに送信する。第1のランダムな鍵構成要素は、Aにおいて計算されており、さらに第1のメッセージは、Bの公開鍵を使用して暗号化されている。ステップ402で、機能要素402が、Bが応対不能であると決定し、第1のメッセージをMBに転送する。
【0073】
ステップ403で、MBが、MBによって計算された、暗号化された第2のランダムな鍵構成要素(yP)を備える第2のメッセージをAに送信する。ステップ403のメッセージは、Aの公開鍵を使用してMBにおいて暗号化されている。ステップ404で、機能要素402が、このメッセージをAに転送する。
【0074】
Aが、MBからの、このメッセージを、Aによって鍵サービスから獲得された秘密鍵を使用して解読して、第2のランダムな鍵構成要素を獲得する。Aが、ステップ404で受信されたメッセージがMBから来たことを識別する(MBのIDが、このメッセージの中に含められていることにより)。
【0075】
ステップ405で、Aが、暗号化されたランダムな鍵構成要素ペアを含む第3のメッセージを(ステップ406で機能要素を介して)MBに送信し、このランダムな鍵構成要素ペアは、第1のランダムな鍵構成要素(xP)と、第2のランダムな鍵構成要素(yP)とから形成され、さらにMBの公開鍵を使用してAにおいて暗号化されている。また、この第3のメッセージは、Aにおいて計算され、Bの公開鍵を使用してAにおいて暗号化された、暗号化されたランダムな秘密鍵(sK)も含む。MBが、ステップ407および408を介してAに受信の確認応答を行う。MBは、メッセージの後半部分を解読することができず(その部分は、Bの公開鍵を使用して暗号化されており、MBは、Bの秘密鍵を有さないので)、このため、sKを知ることができない。
【0076】
MBは、BとMBの間の相互認証動作の後、Bによって要求されると、暗号化されたランダムな秘密鍵(sK)をBに供給する。このことが、ステップ409およびステップ410に示される。次に、この秘密鍵が、AによってBのメールボックスの中に残された内容(例えば、音声メッセージ)を獲得するようにBによって使用される。
【0077】
図4Bに示される、図4Aの遅延配信の変種において、認証された鍵合意プロトコルが実行されるのではなく、第1のメッセージの中で、Aが、Aにおいて計算され、さらにBの公開鍵を使用してAにおいて暗号化された、暗号化されたランダムな秘密鍵(sK)を送信するものと想定されたい(ステップ411)。機能要素402は、Bが応対不能であると決定しており、第1のメッセージをMBに転送し(ステップ412)、MBが、第1のメッセージを確認する(ステップ413および414)。後に、Bは、前述したのと同一の仕方で、MBから秘密鍵を取り出すことができる(ステップ415および416)。
【0078】
図5は、MIKEY−IBAKEプロトコルのさらに別の拡張を示す。この場合も、この拡張は、前述したMIKEY−IBAKEプロトコルの拡張であるので、簡明のため、MIKEY−IBAKEプロトコルのすべてのフィーチャを繰り返すことはしないことを理解されたい。図5の拡張は、マルチメディア通信システムにおいて交換されるメッセージの合法的な傍受の概念と関係する。合法的な傍受の概念は、法執行機関が、1名または複数名の関係者の通信を「盗聴する」ことができる必要がある状況に基づく。
【0079】
1つのアプローチにおいて、法執行機関は、単に、捜査令状を介して102−Iおよび102−Rの秘密鍵を獲得し、鍵合意プロトコル中に能動的な「中間者」の役割をして、トラフィックを盗聴することができる。
【0080】
図5に示される別のアプローチにおいて、法執行サーバ(LIサーバ)502が、開始側のKMS(KMSI)および応答側のKMS(KMSR)と一緒に機能して、デバイス102−Iとデバイス102−Rの間で送信するメッセージを合法的に傍受する。図5は、LIサーバ、KMSI、およびKMSRに関して別々のサーバを示すが、マルチメディア通信システムにおける1つの機能要素(例えば、傍受サーバ)が、KMS機能および傍受機能を実行するのに使用されてもよいことを認識されたい。
【0081】
したがって、図1Aおよび図1Bの関連で前述したMIKEY_IBAKEプロトコルが、実行される。しかし、LIサーバは、応答側に送信されるメッセージに関して開始側を模倣し、開始側に送信されるメッセージに関して応答側を模倣する。
【0082】
例えば、LIサーバが応答側を模倣する場合のメッセージフローを考慮されたい。102−Iが、102−Rによる受信が意図される、暗号化された第1のランダムな鍵構成要素を含む第1のメッセージを送信するものと想定されたい。第1のメッセージが、LIサーバによって傍受される。次に、LIサーバが、第2のランダムな鍵構成要素を計算し、暗号化されたランダムな鍵構成要素ペアを含む第2のメッセージを102−Iに送信する。ランダムな鍵構成要素ペアは、第1のランダムな鍵構成要素と、LIサーバにおいて計算された第2のランダムな鍵構成要素とから形成される。第2のメッセージは、102−Iの公開鍵を使用してLIサーバにおいて暗号化される。
【0083】
第2のメッセージは、102−Iによって鍵サービスから獲得された秘密鍵を使用して解読されて、第2のランダムな鍵構成要素が獲得される。次に、デバイス102−Iが、102−Rによる受信が意図されるが、LIサーバによって傍受される、第2のランダムな鍵構成要素を含む第3のメッセージを送信する。このため、LIサーバは、デバイス102−Iが計算するのと同一のセキュリティで保護された鍵を計算することができる。
【0084】
LIサーバは、応答側(102−R)が、LIサーバを相手に、開始側によって合意されていると応答側が信じるセキュリティで保護された鍵(しかし、実際には、LIサーバを相手に合意されている)を確立するように、認証された鍵合意動作中にメッセージを送受信する際に、やはり開始側(102−I)を模倣することを理解されたい。
【0085】
前述したMIKEY−IBAKEプロトコルフィーチャの1つまたは複数は、会議システムシナリオに拡張され得ることを認識されたい。そのような拡張が、図6Aから図6Cに示される。
【0086】
一般的な想定は、複数関係者の通信を中継する会議サーバ(より一般的には、会議管理要素)(例えば、会議ブリッジ)が、グループ鍵を知らない一方で、すべてのユーザは、同一のグループ鍵にアクセスを有することである。この想定には例外、すなわち、ピアツーピア会議において、会議ブリッジの役割をしているコンピューティングデバイスが、会議に実質的に参加している関係者でもある場合が存在する。
【0087】
図6Aに示されるとおり、複数関係者会議600が、会議サーバと、ユーザ(関係者)1からNとを含むものと想定され、ただし、このユーザ番号は、ユーザが会議に参加することを求める順序で、すなわち、1、2、3、...Nの順番に割り当てられる。
【0088】
ステップ602で、各ユーザが個々に、会議サーバを相手にIBAKEプロトコルを実行する。Zi=aiPを、会議サーバを相手にした認証中にユーザ「I」によってサーバに送信される値とする。aiPは、IBAKEにより関係者によって計算されたランダムな鍵構成要素であることを思い起こされたい。
【0089】
認証の成功の後、ステップ604で、会議サーバが、集合{aiP}をすべてのユーザに送信する(ブロードキャスト、または個別のユニキャスト)。このため、集合{aiP}は、それらの関係者のそれぞれによって計算されたランダムな鍵構成要素を含む集合である。
【0090】
ステップ606で、すべてのユーザが個々に、会議サーバにXi=ai{ai+1P−ai−1P}を送り返す。ai{ai+1P−ai−1P}は、ランダムなグループ鍵構成要素であり、このランダムなグループ鍵構成要素は、鍵認証動作中に関係者によって使用される乱数、および会議に参加することを求めている2名以上の関係者の他のサブセットによって計算されたランダムな鍵構成要素に基づく計算を介して、各関係者によって計算される。この実施形態において、所与の関係者に関するランダムなグループ鍵構成要素ai{ai+1P−ai−1P}は、aiが、所与の関係者によって選択された乱数であり、ai+1Pが、会議順序付けにおいてその所与の関係者の直後に続く関係者によってサーバに送信されたランダムな鍵構成要素であり、ai−1Pが、会議順序付けにおけるその所与の関係者の直前の関係者によってサーバに送信されたランダムな鍵構成要素であり、さらにPが、ID暗号化ベースの鍵認証動作に関連するグループから選択された点(例えば、前述した楕円曲線から選択された点)であるように計算される。
【0091】
ステップ608で、会議サーバが、次に、集合{Xi}を全員と共有する(ブロードキャスト、または個別のユニキャスト)。つまり、集合{Xi}は、それらの関係者によって計算されたランダムなグループ鍵構成要素を含む集合である。
【0092】
ステップ610で、各関係者は、会議サーバを介して関係者が互いに通信する際に使用するための同一のグループ鍵を計算することができる。このグループ鍵は、以下のとおり計算される。Nai(Zi−1)+(N−1)Xi+(N−2)Xi+1+...Xi−2、ただし、Nは、会議に参加することを求める関係者の総数を表し、aiは、所与の関係者によって選択された乱数を表し、Ziは、所与の関係者によって計算されるランダムな鍵構成要素を表し、Xiは、所与の関係者によって計算されるランダムなグループ鍵構成要素を表し、さらにiは、N名の関係者の会議における所与の関係者に関する会議順序付けの番号であり、i=1の場合、i−1=Nであり、i=Nである場合、i+1=1である。
【0093】
前述したとおり、会議サーバは、会議における参加する関係者ではなく、そのため、グループ鍵を計算することができない。しかし、ピアツーピアシナリオにおいて、会議サーバは、会議呼における参加する関係者であり、そのため、グループ鍵を計算することができる必要がある。
【0094】
会議サーバは、会議に参加することを求める各関係者を相手に相互認証動作を実行するものと理解される。また、会議サーバは、以下の少なくとも2つの条件:(i)所与の関係者が、会議管理要素によって認証される、および(ii)所与の関係者が、会議許可リストに属することが確認されるという条件が満たされた場合に限って、所与の関係者を会議に受け入れる。また、前述のMIKEY−IBAKEプロトコルによれば、会議に参加することを求める関係者、および会議サーバは、1つまたは複数のKMS(鍵管理サービス)からそれぞれの秘密鍵を獲得する。
【0095】
図6Bは、新たな会議参加者(ユーザN+1)がどのように、進行中の会議に追加されて、変更された会議600’をもたらすかを示す。
【0096】
ステップ612で、ユーザN+1が、会議サーバを相手にIBAKEを実行する。ZN+1=aN+1Pを、サーバを相手にした認証中にユーザ「N+1」によってサーバに送信される値とする。ユーザN+1の認証成功の後、ステップ614で、会議サーバが、新たなユーザN+1の受入れを告知し、ZN+1を含む集合{aiP}を、全員に送信する(ブロードキャスト、または個別のユニキャスト)。
【0097】
ステップ616で、ユーザ1、N、N+1が、サーバにXi=ai(aN+1P−aN−1P}を送り返し、代替として、ユーザのすべてが、このステップを実行することも可能である。次に、ステップ618で、会議サーバが、XN+1を含む集合{Xi}を、全員と共有する(ブロードキャスト、または個別のユニキャスト)。次に、ステップ620で、グループ鍵(N+1)ai(Zi−1)+(N)Xi+(N−1)Xi+1+...Xi−2が再計算される。グループ鍵は、その新たなユーザが受け入れられた後に変化することに注目されたい。
【0098】
図6Cは、会議参加者がどのように、進行中の会議を抜けて、変更された会議600”をもたらすかを示す。
【0099】
ユーザ3が、その呼を抜けるものと想定されたい(ユーザ3の選択は、単に例に過ぎないことを理解されたい)。ステップ622で、会議サーバが、いずれのユーザが呼を抜けたかを告知する(ブロードキャスト、または個別のユニキャスト)。ステップ624で、ユーザ順序付けが変化する。ユーザ1および2は、そのままである。ユーザiは、4以上のすべてのiに関して、ユーザi−1になる。ステップ626で、ユーザ4(現時点で、ユーザ3である)が、Xiを再計算し、この寄与を会議サーバと共有する。ステップ628で、会議が、集合{Xi}をすべての参加者と共有する。ステップ630で、それらの参加者が、グループ鍵(N−1)ai(Zi−1)+(N−2)Xi+(N−3)Xi+1+...Xi−2を再計算する。この場合も、グループ鍵は、参加者が呼を抜けた後に変化することに注目されたい。
【0100】
本発明の原理は、前述した会議管理技術の拡張も提供する。この拡張には、会議メッセージの合法的な傍受がかかわる。
【0101】
会議システムにN名の参加者が存在するものと想定されたい。参加者Nが、「嫌疑がかけられ」ており、法執行機間が、参加者Nへの呼、および参加者Nからの呼を盗聴する令状を獲得している。参加者Nを嫌疑がかけられていると宣言することの選択は、例示に過ぎず、説明を追うことをより容易にし、このソリューションは、第N番のユーザを嫌疑がかけられたユーザと宣言することに全く限定するものではない。
【0102】
会議呼に先立って、LIサーバ(図5で思い起こされたい)が、参加者Nに対応するKMSにアプローチし、参加者Nの秘密鍵を獲得する。このことは、LIサーバが、グループ鍵交換プロセス中に参加者Nのふりをして、図6Aのすべてのステップを実行するが、ただし、参加者Nの寄与は、LIサーバからの寄与で置き換えられていることを可能とする。詳細には、LIサーバは、ZNおよびXNの代わりにZLIおよびXLIを代用する。残りの参加者は、この違いを知らず、グループ鍵を計算して、その鍵をGK’と呼ぶ。
【0103】
次に、LIサーバが、会議サーバと協働し、参加者Nとのすべての通信においてZ1およびX1をZLIおよびXLIで置き換える。このことは、参加者Nが、GK’とは異なるグループ鍵を計算することを暗示する。この新たな鍵をGK”と呼ぶ。
【0104】
前述のステップで、LIサーバは、任意の参加者に関してZiおよびXiをZLIおよびXLIで置き換えることが可能であったこと、およびi=1の選択は例示に過ぎないことに留意されたい。
【0105】
呼がセットアップされた後、参加者1ないしN−1からのいずれの通信も、GK’を使用して暗号化される。LIサーバは、GK’を知っているので、LIサーバは、次に、その通信を傍受し、その通信を解読し、その後、その通信を、GK”を使用して再暗号化して、参加者Nに送信することができる。逆に、LIサーバによって傍受される、参加者Nからのいずれの通信も、GK”を使用して暗号化され、その後、GK”を使用して解読され、GK’を使用して再暗号化され、さらに参加者1ないしN−1に送信する。
【0106】
III.IMS実施形態
以下の段落において、MIKEY_IBAKEの前述した一般的な原理、およびそれらの原理の拡張が、IMS(IPマルチメディアサブシステム)環境に適用される。つまり、この段落におけるマルチメディア通信システムは、IMSネットワークであると考えられる。IMS標準は、参照により開示が本明細書に組み込まれている、3GPP技術仕様、TS23.218、TS23.228、TS24.228、TS24.229、およびTS24.930において説明されている。
【0107】
IMSメディアプレーンセキュリティに関する、特に、鍵管理に関するアーキテクチャの枠組みをまず説明することとし、この枠組みに基づいて、様々なフィーチャおよび使用事例が導き出されることが可能である。
【0108】
このソリューションの中核にあるのは、参照により開示が本明細書に組み込まれている、RFC5091、RFC5408、およびRFC5409と同様の、IBE(IDベースの暗号化)概念である。
【0109】
しかし、これらのRFCは、認証を提供せず、特有の鍵供託問題に悩まされている。我々は、相互認証を提供し、受動的な鍵供託を解消し、鍵の完全な秘密をもたらす(IDベースの認証された鍵交換(IBAKE)プロトコルを含むように基本的なIBEを拡張することによって、これらの問題に対処する。IBAKEが基本的なプロトコル構造であるが、我々は、鍵配信のためのプロトコルコンテナとしてMIKEYを使用する。
【0110】
本発明のIMSソリューションの枠組みについての1つの基本的な考え方は、我々は、KMSを含む、提案されるアーキテクチャを再使用するが、とりわけ、我々は、これらのKMSサーバが常にオンラインであることを必要としないことである。つまり、提案される枠組みにおいて、KMSは、定期的に(例えば、1カ月に1回)エンドユーザクライアントと通信して、セキュリティで保護されたIDベースの暗号化の枠組みを作成するオフラインサーバである一方で、エンドユーザクライアント間のオンライントランザクションは(メディアプレーンセキュリティのために)、参加するクライアントが、非対称IDベースの暗号化の枠組みにおいて鍵構成要素を交換することを可能とするIBAKEの枠組みに基づく。この枠組みは、受動的な供託を解消することに加えて、エンドユーザクライアントが、(IMSメディアプレーン層において)互いを相互に認証することを可能とし、完全な順方向の秘密および逆方向の秘密をもたらす。
【0111】
KMS−クライアント間の交換は、控えめに(例えば、1カ月に1回)使用され、このため、KMSはもはや、高度に応対可能であるサーバであることを要求されず、特に、異なるKMSが(事業者境界をまたいで)互いに通信しなくてもよい。さらに、非対称IDベースの暗号化の枠組みが使用されることから、高価な公開鍵インフラストラクチャ(PKI)、ならびに証明書管理および取消しのすべての運用上の費用が解消される。さらに、様々なIMSメディアプレーンフィーチャが、セキュリティで保護されてサポートされ、このことには、セキュリティで保護された分岐、ターゲット変更、遅延配信、事前符号化された内容、メディアクリッピング、および匿名性が含まれる。
【0112】
このソリューションの拡張は、IMS会議アプリケーションサーバがユーザを認証して、呼に受け入れるが、その呼のすべての参加者が、グループ鍵を決定する(全員からの寄与を使用して)一方で、会議サーバ自体は、そのグループ鍵を知ることがない、セキュリティで保護された会議アプリケーションを可能にする。さらに、そのグループ鍵は、新たな参加者、および呼を抜ける参加者を考慮に入れるように変更され得る。IMSベースの鍵管理の枠組みのさらなるフィーチャは、受動的な鍵供託の解消にもかかわらず、この枠組みが、能動的な供託の概念を使用して、法執行とセキュリティ資格証明を合法的に共有することをサポートする。
【0113】
図7は、このアーキテクチャの概略を、IMSメディアプレーンにおける例示的な終端間鍵交換プロトコルに関与するエンティティと一緒に提示する。IMSアーキテクチャは、よく知られているので、図7に示される機能上の構成要素は、詳細には説明されないものと理解される。それらの構成要素の機能の詳細な説明については、IMS標準を参照することが可能である。知られているとおり、CSCFとは、呼セッション制御機能であり、ただし、P−CSCFは、プロキシCSCFであり、S−CSCFは、サービングCSCFであることに留意されたい。NAFとは、ネットワークアプリケーション機能を指す。
【0114】
例示されるシナリオにおいて、2つのIMS対応のエンドユーザ電話機が、アプリケーション層において通信をセキュリティで保護するようにe2e(終端間)鍵交換を行っている。この例示は、UE(ユーザ機器)とKMSの間のオフライントランザクション、ならびにIMSを介するUE間のオンライントランザクションを含むことに留意されたい。
【0115】
UEとKMSは、ユーザが、鍵管理サーバを相手にセキュリティで保護された接続を確立することができ、さらに相互認証が提供される、事前構成されたセキュリティ関連付けを共有することに注目されたい。3GPPシステムにおける1つの自然な例が、汎用化されたブートストラップアーキテクチャの使用である(例えば、参照により開示が本明細書に組み込まれている、3GPP TS33.220を参照)。図7で、KMSとUEの間のトランザクションは、BSF(ブートストラップサーバ機能)を介して可能にされ、さらに、このトランザクションは、控えめに(例えば、1カ月に1回)実行されることを思い起こされたい。GBAが応対不能である場合、事前共有される鍵または証明書を有するIKEv2(例えば、参照により開示が本明細書に組み込まれている、IETF RFC4306を参照)などの他のタイプの資格証明が、ユーザとKMSの間で、この相互認証を確立するために使用されることが可能であることに留意されたい。
【0116】
このトランザクション中、UEは、UEの契約資格証明を提示し、この後に、KMSが、秘密鍵のセットを生成する(IBAKEにおいて使用される)。このトランザクションは、1カ月に1回、実行され、次に、KMSが、1日毎に1つの鍵を生成することを選択することが可能である。鍵の数、およびこの交換の頻度は、ポリシーの問題であり、契約に結び付けられることが可能である。この柔軟性は、前払いの顧客に関して特に有用である。
【0117】
単一のKMSではなく、ユーザAに関して1つ、すなわち、KMS_A、およびユーザBに関して1つ、すなわち、KMS_Bという異なる2つのKMSが関与することも可能である。しかし、KMS_AとKMS_Bは、互いに通信しなくてもよい。このシナリオは、事業者間のシナリオにおいて特に適用可能である。
【0118】
次に、IMSのコンテキストにおいてMIKEY−IBAKEにかかわる交換の簡単な要約を与える。
【0119】
A、Bが、鍵を認証し、鍵について合意しようと試みている2名のユーザであるものと想定されたい。同時に、AおよびBは、Aに対応するID、およびBに対応するIDも表し、これらのIDは、定義により、Aの公開鍵、およびBの公開鍵も表す。H1(A)=QAおよびH1(B)=QBを、それらの公開鍵に対応する楕円曲線上のそれぞれの点であるものとする。実際、それらのIDと、H1を適用することによって獲得される曲線上の点との間に1対1対応が存在するので、QAおよびQBを公開鍵と呼ぶことも可能である。xを、Aによって選択された乱数とし、yを、Bによって選択された乱数とする。以降、暗号化とは、段落Iで前述したとおり、IDベースの暗号化を指す。
【0120】
IMSベースのMIKEY−IBAKEプロトコル交換は、以下のステップを含む(図7に示される構成要素に関連する):
1.ユーザAに属するIMS UEが、NAFの役割をするKMSを相手にセキュリティで保護された接続を確立することができるようにBSFを使用してブートストラップを行う。このことは、BSFがユーザを認証することを可能とし、さらにユーザがKMSを間接的に認証することを可能とする。GBAが使用され得ない場合、IMS UEは、KMSに接続して、認証を行い、さらに事前確立されたセキュリティ関連付けに基づいて、共有される鍵を確立する。
【0121】
2.IMS UEが、KMSを相手にMIKEY交換に従事し、秘密鍵(または、例えば、1日につき1つの、複数の秘密鍵)を要求する。
【0122】
3.KMSが、ユーザAのIMS UEに関するメディア秘密鍵を生成し、このメディア秘密鍵をユーザAに送信する。
【0123】
4.ユーザAのIMS UEが、xP(すなわち、E上で加算則を使用して、E上の点としてx回、自らに加算されたP)を計算し、Bの公開鍵を使用してxPを暗号化し、暗号化されたxPをユーザBのIMS UEに送信する。
【0124】
5.IMSコアが、INVITEを検出し、ネットワーク機能が、許可される場合、セッション鍵にアクセスを得ることができるようにINVITEを扱う。このステップは、合法的な傍受要件を満たすのに必要とされる能動的な供託フィーチャをサポートするようにだけ適用可能である。
【0125】
6.ユーザBのIMS UEが、暗号化されたxPを含むINVITEを受信する。ユーザBのIMS UEが、そのメッセージを解読し、xPを獲得する。その後、Bが、yPを計算し、ユーザAのIMS UEの公開鍵を使用してペア{xP,yP}を暗号化し、次に、暗号化されたペア{xP,yP}を応答メッセージの中でAに送信する。
【0126】
7.このメッセージを受信すると、ユーザAのIMS UEが、このメッセージを解読し、yPを獲得する。その後、ユーザAのIMS UEが、Bの公開鍵を使用してyPを暗号化し、暗号化されたyPを、応答確認メッセージの中でBに送り返す。以上の後に、AとBがともに、セッション鍵としてxyPを計算する。
【0127】
8.この時点で、ユーザBのIMS UEが、メディアセキュリティの招待および使用を受け入れる。
【0128】
Aは、xをランダムに選択しており、プロトコル交換の第2のステップでyPを受信していることに注目されたい。このことは、Aが、yP自らをx回、加算することによってxyPを計算することを可能とする。逆に、Bは、yをランダムに選択しており、プロトコル交換の第1のステップでxPを受信している。このことは、Bが、xP自らをy回、加算することによってxyPを計算することを可能とする。
【0129】
MIKEY−IBAKEプロトコルから生じるいくつかの有利な特性は、以下のとおりである。
【0130】
相互認証。ステップ4および7のペイロードの内容は、Bの公開鍵を使用して暗号化されていることに注目されたい。このため、Bだけが、これらのメッセージを解読することができる。同様に、ステップ6のメッセージの内容は、Aによってしか解読され得ない。また、ステップ6および7は、BとAが互いを認証する(メッセージが正しく解読されたことを証明することによって)ことを可能とすることにも注目されたい。この新奇な特徴は、AおよびBが、オンラインサーバまたは証明機関の助けを借りることなしに、互いを相互に認証することを可能にする。
【0131】
完全な秘密。xおよびyは、ランダムであることに注目されたい。このため、セッション鍵xyPは、新規であり、過去または将来のトランザクションと全く関係を有さない。
【0132】
受動的な供託の解消。KMS(またはKMSのペア)は、交換におけるメッセージを解読することができるが、xPおよびyPを所与として、xyPを算出するのは困難であることに注目されたい。困難さの想定は、楕円曲線上のディフィ−ヘルマン問題に依拠する。また、IBEのために使用される曲線は、KMS特有であり、さらに、セッション鍵を生成するのに使用される曲線と同一でなくてもよいことに留意されたい。この柔軟性は、多数の選択肢を提供し、さらにKMSの間で必要とされる調整も解消する。
【0133】
ID管理。前述したとおり、メッセージを暗号化するのに、送信者は、受信者のID(または複数のIDのうち1つ)を使用して生成された、受信者の公開鍵を使用する。受信者のIDは、特定のユーザ、グループのユーザ、または任意のユーザを特定するフォーマットになっていることが可能である。ユーザおよびユーザグループの命名は、通常のIMS慣行に従うことが可能であり、ワイルドカードを使用して拡張されることが可能である。グループアプリケーションがかかわるいくつかのシナリオにおいて、グループ内のすべての受信者が、その特定のユーザグループのIDに対応する秘密鍵を使用することを可能とするポリシーを有することが自然であり得る。例えば、企業ユーザに関して、デフォルトとして、企業のIDに対応する秘密鍵がすべての企業ユーザに配信されることが自然であり得る。IDベースの暗号化のこれらの特性のため、或るグループに属するすべてのユーザが、場合により、そのグループの秘密鍵を有するものの、それでも、すべてのユーザは、送信者と、その同一のグループに属する他の何らかのユーザの間で確立されたセッション鍵を獲得することができないことに留意されたい。また、ポリシーが執行されることを確実にするのに、公開ユーザIDが、IMS UEにセキュリティで保護されて結び付けられることが可能であることも必要である。つまり、KMSに対して認証するのにユーザによって使用されるIDが、公開ID(のセット)であることが重要である。
【0134】
次に、MIKEY−IBAKEプロトコルの、様々なIMSベースの使用事例シナリオへの拡張を説明する。これらの拡張は、概ね、段落IIで説明されていることに留意されたい。以下の説明は、IMS環境の関連において行われる。
【0135】
A.能動的な供託を介する合法的な傍受(LI)
傍受された通信の明瞭なコピーを供給することができるのに、以下の条件が満たされなければならない:
1.トラフィック(シグナリングとメディアの両方)を傍受することが可能でなければならない。
2.実際のトラフィック保護のために使用されるセッション鍵が、利用可能でなければならない。セッション鍵を利用可能にするのに、KMS機能/サービスが要求される。
【0136】
前述したとおり、トラフィック保護のためにしようされる実際のセッション鍵は、送信者と受信者の間で生成され、このため、KMSによって知られていない。したがって、能動的な供託ソリューションが必要とされる。このシナリオにおいて、KMSが、ユーザAとユーザBの間のセッション鍵を獲得するのに、KMSは、KMSとユーザAの間でアクティブセッション鍵を確立する必要があり、さらにKMSとユーザBの間で別の同時の、アクティブセッションを確立する必要がある。KMSは、Aに向けてBのふりをし、Bに向けてAのふりをする。KMSによって果たされる、この「中間者」の役割は、能動的な供託と呼ばれ、証明機関が「偽の証明書」を生成し、交換の中間に座るPKI環境において使用される方法に類似する。従来のCAにおいて使用される技術と、能動的な供託の我々のアプローチの違いは、KMSが、偽の鍵を生成しなくてもよいことである。
【0137】
シグナリングトラフィックは、ホームネットワーク経由でルーティングされており、ホームネットワークにおけるシグナリングトラフィックの傍受は、SIP(セッション開始プロトコル)サーバにおいて行われることが可能である。次に、このシグナリングトラフィックが、適切なKMSに向けて、このKMSが、対応するユーザを相手に必要とされるセッション鍵を確立するようにルーティングされる必要がある。ローミング状況において、SIPシグナリングトラフィックは、通常、IMS UEとP−CSCFの間で機密性が保護されているので、さらに現行の展開において、P−CSCFがホームネットワーク内に配置されることを考慮すると、SIPシグナリングは、移動先ネットワークにおけるベアラレベルで、暗号化されたフォーマットでしか利用可能でない。
【0138】
ローミングシナリオの場合、暗号化されたSIPシグナリングおよび内容は、常に利用可能であるが、SIPシグナリングを傍受し、通信の内容を解読するために、移動先ネットワークと、KMSを扱うエンティティとの間で相互運用性合意が存在しなければならない。通常、KMSは、ホームネットワーク内に存在し、したがって、移動先ネットワークによって実行されるLIのために、ホームネットワークとの協力が必要とされる。
【0139】
LI標準に沿って、VPLMN(移動先公衆陸上モバイルネットワーク)が暗号化に関与していない場合、暗号化された内容だけしか、VPLMNにおけるLIのために利用可能でない。
【0140】
B.異なるKMSドメインにおけるユーザ
異なるKMSドメインにおけるユーザは、異なるKMSによって生成されたユーザの秘密鍵を有する。その結果、異なるセットの公開パラメータ(例えば、暗号法上の材料)が、異なるKMSドメインにおけるユーザに関する公開鍵および秘密鍵を生成するのに使用され得る。適切な暗号化/解読を確実にするのに、送信者と受信者は、それぞれの側によって使用される正確な公開パラメータを知る必要がある。それでも、1つのKMSドメインにおけるユーザが、別のKMSドメインにおけるユーザに対してセキュリティで保護された呼を確立する必要がある場合、関与するKMSは、協力しなくてもよい。いずれのIDベースの暗号プロトコルの場合とも同様に、さらに言えば、いずれの公開鍵プロトコルの場合とも同様に、我々は、交換のために必要とされる公開パラメータが、公開で利用可能である、または交換されるものと想定して支障ない。
【0141】
C.終端−中間間シナリオ
終端−中間間シナリオにおいて、メディア保護は、IMS UEとネットワークエンティティの間で行われる。IMS UEから呼が開始されるシナリオにおいて、呼のセットアップは、終端間保護された呼の場合と同一の原理に従う。開始するIMS UEは、ネットワークエンティティ(例えば、MGWC、つまり、メディアゲートウェイコントロール)のIDを使用して、前述したとおりxPを暗号化し、暗号化されたxPをINVITEと一緒に送信する。MGWCが、メッセージを傍受し、受信するIMS UEが行うのと同じ仕方でyPを生成する。次に、MGWCは、IMS UEに向けてメディアセキュリティを有するようにMGWをセットアップする。メディアトラフィックは、PSTN(公衆交換電話網)において平文で転送される。
【0142】
IMS UEに対する着信する呼の場合、MGWCは、意図される受信者のために登録された少なくとも1つの端末装置が、メディアセキュリティ能力および選好を登録していることを確認する。メディア保護対応の端末装置が存在しない場合、その呼は、平文で転送される。存在する場合、MGWCは、yを選択し、yPを生成する。次に、MGWCは、(IMS UEのIDを使用して)暗号化されたyPをINVITEの中に挿入し、MGWにおけるメディアセキュリティの使用を、MGWとIMS端末装置の間のメディアトラフィック上で開始する。
【0143】
D.鍵分岐
この段落では、IMSベースのMIKEY−IBAKEの事例に関して分岐が説明される。分岐は、概ね、図2の関連において前段で説明されていることを思い起こされたい。分岐は、複数のロケーションへの要求(例えば、INVITEメッセージ)の配信である。このことは、単一のIMSユーザが複数回、登録されている場合に生じる。分岐の例が、ユーザが、ディスク電話機、PCクライアント、およびモバイルハンドセットをすべて、同一の公開IDで登録している場合である。
【0144】
後段で説明され、図8のステップ1から8の関連において示される例において、ユーザBのIMS UEが、単一の公開ユーザID Bで複数の連絡先アドレスを登録しているものと想定されたい。つまり、B1とB2がともに、公開ID Bに対応する秘密鍵を獲得する。この事例において、ユーザAのIMS UEが、ユーザBのIMS UEと連絡をとることを所望する場合、要求は、B1とB2の両方に配信される。B2が呼に応答するものと想定すると、B2はまず、ID Bに関連する秘密鍵を使用して受信されたメッセージを解読する。次に、B2は、yをランダムに選択し、Aの公開IDを使用して暗号化された、yPと、B2のID B2とを含むメッセージをAに送信する。このメッセージを受信すると、ユーザAは、このメッセージを解読し、ユーザB2を相手に通信していることを認識し、さらにB2の公開IDを使用して暗号化された、受信されたyPを含む応答確認メッセージを送信する。
【0145】
B1は、Bの公開IDを使用して暗号化された、ユーザAから受信されたメッセージを解読することができ、したがって、xPを獲得することができることに注目されたい。しかし、B1は、B2から送信されたメッセージを解読することは、そのメッセージが、AのIDを使用して暗号化されているので、できない。このため、ユーザB1は、yPを獲得することができない。また、B1がyPを獲得することができる場合でさえ、B1は、それでも、xyPを計算することができないことにも留意されたい。図7で、(M)_Xは、メッセージMが、XのIDを使用して暗号化されていることを表すことに留意されたい。
【0146】
E.リダイレクト
この段落では、IMSベースのMIKEY−IBAKEの事例に関してセッションリダイレクト(ターゲット変更)が説明される。リダイレクトは、概ね、図3の関連において前段で説明されていることを思い起こされたい。セッションリダイレクトは、機能要素が、呼を異なる宛先にリダイレクトすることを決定するシナリオである。セッションリダイレクトは、「無条件セッション転送」、「話中セッション転送」、「可変セッション転送」、「選択的セッション転送」、および「応答なしセッション転送」という通常のサービスを可能にする。
【0147】
セッションリダイレクトの2つの基本的なシナリオが存在する。シナリオ1では、基本要素(例えば、S−CSCF)が、SIP REDIRECT方法を使用してセッションをリダイレクトすることを決定する。つまり、機能要素は、新たな宛先情報を発信元に送信する。その結果、発信元は、機能要素によって与えられた、リダイレクトされる宛先に対して新たなセッションを開始する。MIKEY−IBAKEの事例の場合、このことは、発信元が、リダイレクトされる宛先のIDを使用して新たなセッションを開始することを意味する。
【0148】
第2のシナリオでは、機能要素は、発信元に知らせることなしに、セッションをリダイレクトすることを決定する。一般的なシナリオは、宛先ユーザのS−CSCFが、セッションがリダイレクトされるべきことを決定するシナリオである。登録中に「Cxプル」によってHSS(ホーム契約者サーバ)から獲得されるユーザプロファイル情報は、セッションリダイレクトをもたらす複雑なロジックおよびトリガを含むことが可能である。
【0149】
図9のステップ1から8に示される例において、一般性を失うことなしに、ユーザBは、ユーザCに対するセッション転送をセットアップするものと想定される。この事例において、ユーザBは、ユーザBのユーザプロファイルの中に、CのIDを使用して暗号化されたユーザBの秘密鍵SK_Bを含める。したがって、S−CSCFが、ユーザAからメッセージを受信し、そのメッセージがリダイレクトされる必要があると決定すると、S−CSCFは、ユーザCにリダイレクトされるメッセージの中にBの暗号化された鍵を含める。このメッセージを受信すると、ユーザCは、その秘密鍵を暗号化し、次に、Aからのメッセージを暗号化する。次に、ユーザCは、ランダムなyを選択し、Aの公開IDを使用して暗号化された、yPと、CのID Cとを含むメッセージをAに送信する。このメッセージを受信すると、ユーザAは、このメッセージを解読し、ユーザCを相手に通信していることを認識し、さらにCの公開IDを使用して暗号化された、受信されたyPを含む応答確認メッセージを送信する。図9で、(M)_Xは、メッセージMが、XのIDを使用して暗号化されていることを表す。
【0150】
F.遅延配信
この段落では、IMSベースのMIKEY−IBAKEの事例に関して遅延配信が説明される。段落IIから、遅延配信は、セッション内容が、送信された時点で宛先に配信され得ない(例えば、宛先ユーザが、現在、オンラインでない、またはその呼に応答しないことを決定する)ようなタイプのサービスであることを思い起こされたい。それでも、送信者は、受信者が応対可能になるとすぐに、ネットワークがそのメッセージを配信するものと予期する。遅延配信の典型的な例が、ボイスメールである。
【0151】
以下に、IMSベースのMIKEY−IBAKEの事例に関する遅延配信の2つの基本的なシナリオが提示される。第1のシナリオに関して図4Aが参照されることが可能であり、第2のシナリオに関して図4Bが参照されることが可能である。
【0152】
第1のシナリオでは、ユーザAのメールボックスとBのメールボックスが、遅延配信が意図されるメッセージの内容を解読するために使用されるべき鍵について合意するのに先立って、相互認証を実行するのに対して、第2のシナリオでは、相互認証は、実行されない。
【0153】
第1のシナリオ(やはり、機能要素402がIMSサーバである図4Aを再び参照することが可能である)では、ユーザAが、現在、応対可能でないユーザBと連絡をとろうと試みており、したがって、その呼は、Bの「ボイスメール」(より一般的には、遅延配信サーバ)に転送されるものと想定される。MIKEY−IBAKEプロトコルに従って、Bのメールボックスによって受信されたメッセージは、BのIDを使用して暗号化されており、したがって、Bのメールボックスは、そのメッセージを解読することができない。Bのメールボックスは、ランダムなyを選択し、yPを計算し、さらに、IBE暗号化された、BのメールボックスのIDおよびyPをユーザAに送信する。ユーザAは、Bがそのメッセージを受信しなかったこと、および実際の受信者が、その受信者のID、およびxPを欠いているために、第1のステップで送信されたメッセージを解読することができなかったことを認識する。したがって、ユーザは、BのメールボックスIDを使用してすべてIBE暗号化された、AのID、BのメールボックスのID、xP、およびyPを含む新たなメッセージを送信する。このメッセージを受信すると、Bのメールボックスは、Bに向けられたメッセージのためのセッション鍵として「sK」を受け入れ、AのID、およびxPをユーザAに戻して認証を完了させる。
【0154】
sKは、Bの公開鍵を使用して暗号化され、このため、メールボックスBは、このメッセージを解読し、「sK」を獲得することができないことに注目されたい。その後、Bが、オンラインになり、「ボイスメール」を確認する(遅延配信サーバに対して確認を行う)と、Bは、メールボックスサーバからsKの暗号化された値を獲得することができる。Bは、その鍵を獲得するのにメールボックスを相手に認証を行わなければならない可能性があり、このことは、既に設定されている既存の認証機構に基づくことが可能であることに留意されたい。
【0155】
第2のシナリオ(やはり、機能要素402がIMSサーバである図4Bを再び参照することが可能である)では、同一の想定が成立し、すなわち、ユーザAが、現在、応対可能でないユーザBと連絡をとろうと試みており、したがって、その呼は、Bのボイスメールに転送される。しかし、この事例において、BのメールボックスとユーザAは、認証を実行しない。代わりに、Bのメールボックスは、単にsKをセッション鍵として受け入れ、ユーザAにOKメッセージを戻してsKを確認する。
【0156】
G.グループ呼および会議呼
この段落では、MIKEY−IBAKEの鍵管理プロトコルが、グループ呼および会議呼に拡張される。したがって、MIKEY−IBAKEプロトコルから生じる有利な特性は、会議環境において実現されることに留意されたい。会議は、概ね、図6Aから図6Cの関連において説明されていることを思い起こされたい。図10のIMS例は、N=3の場合であることに留意されたい。
【0157】
図10のステップ1から18に示されるIMSベースのシナリオにおいて、ユーザを会議呼に招待する会議サーバ(AS/MRFC、つまり、アプリケーションサーバ/マルチメディアリソース機能コントローラ)が存在するものと想定される。このことは、例えば、別のユーザから以前に受信されたREFER要求の結果であることも可能である。代替のアプローチは、この機能をユーザの1名(例えば、会議長)に委託することである。この代替は、図10に示されないものの、このアプローチは、同様であり、グループ鍵の計算は、同一である。
【0158】
以下の説明において、すべてのメッセージは、適切なIDを使用してIBE暗号化される(例えば、ユーザYが、ユーザXにメッセージMを送信している場合、メッセージMは、XのIDを使用して暗号化される)ものと想定される。図10で、このことは、(M)_Xとして表され、つまり、メッセージMは、XのIDを使用してIBE暗号化されることを意味する。
【0159】
会議サーバを相手にした交換の第1のセットにおいて、ユーザA1、A2、およびA3が、それぞれ、ランダムなa1、a2、およびa3を選択し、さらに各ユーザAiが、wi=aiPを会議サーバに送信する。交換の第2のセットにおいて、会議サーバは、すべてのaiPをすべてのユーザに送信する一方で、各ユーザは、zi=ai(ai+1P−ai−1Pを)を送信する。最後の交換において、会議サーバは、すべてのziを各ユーザに送信する。以上が行われた後、すべての会議参加者は、以下のとおりグループ鍵を計算することができる。すなわち、Ki=3aiwi−1+2zi+zi+1
K1=K2=K3であることに留意されたい。また、A1、A2、およびA3は、グループ鍵を生成することができるが、会議サーバは、ziおよびwiを知っているが、個々のユーザだけしか、ユーザによってランダムに選択されたaiを知らないので、グループ鍵を生成することができないことにも留意されたい。
【0160】
簡明のため、前述の説明は、3名の会議呼参加者に絞る。しかし、前述の手順は、n名の参加者に一般化され得る。n名の参加者の場合、グループ鍵は、Ki=naiwi−1+(n−1)zi+(n−2)zi+1...zi−1として生成され、ただし、wiおよびziは、前段で定義されるとおりである。
【0161】
このプロトコルの重要な特徴の1つは、新たなユーザが受け入れられるたびに、または既存のユーザが呼を抜けるたびに、グループ鍵が変わることである。このことは、新たなユーザが、呼に追加されるまで、グループ鍵を知ることがないことを確実にし、さらに呼を尚早に離れるユーザは、呼の後、会話へのアクセスを得ることがない。
【0162】
新たなユーザが追加され、さらにシステムにN名のユーザが既に存在する場合、合計でN+1名のユーザがシステムに存在することに注目されたい。これらのユーザが輪にされると、第N番のユーザの次のユーザは、現時点で、第(N+1)番のユーザである(第N+1番のユーザを受け入れる前にそうであったように、第1番のユーザではなく)。新たなユーザを受け入れるプロトコルは、以下のとおり機能する:
新規のユーザは、すべてのユーザと同様に、IBAKEを使用して会議サーバに対して認証を行う。このことは、そのユーザが受け入れられる(さらに呼を許可される)ことを可能とし、さらにその新規のユーザは、正しい会議に参加することを保証される(会議サーバの認証を介して)。
【0163】
zN+1=aN+1Pを、認証中に新たなユーザによって選択された値とする。
【0164】
次に、会議サーバが、i=1からi=N+1までのすべてに関する集合{zi}を、ブロードキャストであれ、ユニキャストであれ、すべてのユーザに送信する。このことは、すべてのユーザが、その新規のユーザについて知るとともに、ユーザの隣人を特定することを可能とする。隣人リストは、ユーザ1、N、およびN+1に関してだけ変化することに注目されたい。
【0165】
次に、ユーザ1、N、およびN+1が、wのユーザ1、N、およびN+1に対応する値を計算し、その値を会議サーバに送り返す(個々に)。
【0166】
次に、サーバが、{wi}の更新されたリストをすべてのユーザに送信する。
【0167】
次に、すべての参加者が、前述したのと同一の式を使用してグループ鍵を再計算し、ただし、Nは、N+1で置き換えられ、ziおよびwiの新たな値が使用される。
【0168】
ユーザが会議呼を抜けると、新たな認証手順は、全く実行される必要はないが、グループ鍵が変化する。この手順は、以下のとおり機能する:
会議サーバが、ユーザが会議呼を抜けることについて知る。
【0169】
その後、会議サーバが、このイベント、ならびにいずれのユーザが呼を抜けたかに関係する情報(単にIDだけでなく、順序も含む)を全員に知らせる。事情を簡単にするため、会議サーバは、新規のリスト{zi}を再送信してもよい。
【0170】
このことは、すべてのユーザが、ユーザの隣人を再発見し、さらに必要な場合、wiを再計算することを可能とする。
【0171】
wiが変化した、呼に留まっているすべての参加者は、これらの参加者の新たな値を会議サーバに知らせる。
【0172】
次に、会議サーバが、更新されたリスト{wi}を送信する。
【0173】
次に、すべての参加者が、前述したのと同一の式を使用してグループ鍵を再計算し、ただし、Nは、N−1で置き換えられ、wiの新たな値が使用される。
【0174】
IV.例示的なコンピューティングシステム
図11は、ネットワーク環境、ならびに本発明の実施形態による2つのエンティティ間でセキュリティで保護された鍵管理プロトコルを実施するのに適したコンピューティングデバイスの形態の通信デバイスの一般化されたハードウェアアーキテクチャ1100を示す。図11は、2つだけのエンティティしか示さないが、他のエンティティも同一の構成を有することが可能であることを理解されたい。このため、前述した、セキュリティで保護された鍵管理プロトコルに関連して、この2つのエンティティは、開始側102−I(第1の関係者、またはA)および応答側102−R(第2の関係者、またはB)であることが可能である。しかし、KMS、会議サーバ、LIサーバ、機能要素、さらなるクライアントデバイス(関係者)、およびさらなるサーバが、図11のコンピューティングデバイスに示されるのと同一のアーキテクチャを使用して実施されることが可能である。したがって、簡明のため、本発明のプロトコルに参加する可能性があるすべてのコンピューティングデバイス(通信デバイス)を図11に示すことはしない。
【0175】
図示されるとおり、1102として示されるAのコンピューティングデバイスと、1104として示されるBのコンピューティングデバイスが、ネットワーク1106を介して結合される。このネットワークは、例えば、前述した実施形態の場合と同様に、デバイスが通信することができる任意のネットワークであることが可能であり、ネットワーク1106は、ネットワーク事業者(例えば、ベライゾン社、AT&T社、スプリント社)によって運営されるセルラ通信ネットワークなどの公衆アクセス可能な広域通信ネットワークを含むことが可能である。しかし、本発明は、特定のタイプのネットワークに限定されない。通常、これらのデバイスは、クライアントマシンであることが可能である。本明細書で説明されるプロトコルに参加するのに関係者によって使用されることが可能なクライアントデバイスの例には、セルラ電話機、スマートフォン、デスクトップ電話機、携帯情報端末、ラップトップコンピュータ、パーソナルコンピュータなどが含まれることが可能であるが、以上には限定されない。しかし、デバイスの1つまたは複数は、サーバであることも可能である。このため、本発明の通信プロトコルは、コンピューティングシステムが、それぞれ、クライアントとサーバである事例に限定されず、2つのネットワーク要素を備える任意のコンピューティングデバイスに適用可能であることを理解されたい。
【0176】
当業者には直ちに明白であるとおり、これらのサーバおよびクライアントは、コンピュータプログラムコードの制御下で動作する、プログラミングされたコンピュータとして実施されることが可能である。コンピュータプログラムコードは、コンピュータ可読記憶媒体(例えば、メモリ)の中に格納され、さらにこのコードは、コンピュータのプロセッサによって実行される。本発明の本開示を与えられて、当業者は、本明細書で説明されるプロトコルを実施するために適切なコンピュータプログラムコードを容易に作ることができる。
【0177】
それでも、図11は、ネットワークを介して通信する各コンピュータシステムに関する例示的なアーキテクチャを一般的に示す。図示されるとおり、デバイス1102は、入出力デバイス1108−Aと、プロセッサ1110−Aと、メモリ1112−Aとを備える。デバイス1104は、入出力デバイス1108−Bと、プロセッサ1110−Bと、メモリ1112−Bとを備える。本明細書で使用される「プロセッサ」という用語は、中央処理装置(CPU)、あるいは1つまたは複数のシグナルプロセッサ、1つまたは複数の集積回路などを含むが、以上には限定されない他の処理回路を含め、1つまたは複数の処理デバイスを含むことを意図していることを理解されたい。また、本明細書で使用される「メモリ」という用語は、RAM、ROM、固定メモリデバイス(例えば、ハードドライブ)、またはリムーバブルメモリデバイス(例えば、ディスケットもしくはCD−ROM)などの、プロセッサまたはCPUに関連するメモリを含むことを意図している。さらに、本明細書で使用される「入出力デバイス」という用語は、処理装置にデータを入力するための1つまたは複数の入力デバイス(例えば、キーボード、マウス)、ならびに処理装置に関連する結果をもたらすための1つまたは複数の出力デバイス(例えば、CRTディスプレイ)を含むことを意図している。
【0178】
したがって、本明細書で説明される、本発明の方法を実行するためのソフトウェア命令またはソフトウェアコードは、関連するメモリデバイス、例えば、ROM、固定メモリ、またはリムーバブルメモリの1つまたは複数の中に格納されることが可能であり、さらに、利用される用意ができると、RAMにロードされ、CPUによって実行される。
【0179】
本発明の例示的な実施形態は、添付の図面を参照して本明細書で説明されてきたが、本発明は、それらの実施形態そのものに限定されないこと、および本発明の範囲または趣旨を逸脱することなく、他の様々な変更および変形が当業者によって行われ得ることを理解されたい。
【特許請求の範囲】
【請求項1】
通信システムにおいて2名以上の関係者の間で会議を管理するための方法であって、
通信システムの会議管理要素と、会議に参加することを求めている2名以上の関係者の各関係者との間でIDベースの認証された鍵交換動作を実行するステップであり、会議管理要素と2名以上の関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信する、ステップと、
会議管理要素が、関係者によって計算されたランダムな鍵構成要素を備えるセットを各関係者に送信するステップと、
会議管理要素において、各関係者からランダムなグループ鍵構成要素を受信するステップであり、ランダムなグループ鍵構成要素が、鍵認証動作中にその関係者によって使用された乱数と、会議に参加することを求めている2名以上の関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算される、ステップと、
会議管理要素から各関係者に、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを送信して、各関係者が、会議管理要素を介して関係者相互に通信する際に使用するための同一のグループ鍵を計算することができるようにするステップとを備える、方法。
【請求項2】
各関係者によって計算されるグループ鍵が、Nai(Zi−1)+(N−1)Xi+(N−2)Xi+1+...+Xi−2として表現され、ただし、Nが、会議に参加することを求めている関係者の総数を表し、aiが、所与の関係者によって選択された乱数を表し、Ziが、所与の関係者によって計算されるランダムな鍵構成要素を表し、Xiが、所与の関係者によって計算されるランダムなグループ鍵構成要素を表し、さらにiが、N名の関係者の会議における所与の関係者に関する会議順序付けの番号を表し、i=1の場合、i−1=Nであり、i=Nである場合、i+1=1である、請求項1に記載の方法。
【請求項3】
所与の関係者に関するランダムな鍵構成要素が、aiPとして表現される計算によって計算され、ただし、aiが、所与の関係者によって選択された乱数であり、さらにPが、ID暗号化ベースの鍵認証動作に関連するグループから選択された点である、請求項2に記載の方法。
【請求項4】
所与の関係者に関するランダムなグループ鍵構成要素が、ai(ai+1P−ai−1P)として表現される計算によって計算され、ただし、aiが、所与の関係者によって選択された乱数であり、ai+1Pが、会議順序付けにおいて所与の関係者の直後に続く関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、ai−1Pが、会議順序付けにおけるその所与の関係者の直前の関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、さらにPが、暗号鍵交換プロトコルに関連するグループから選択された点である、請求項2に記載の方法。
【請求項5】
会議に参加することを求めている2名以上の関係者が、1つまたは複数の鍵管理サービスからそれぞれの秘密鍵を獲得する、請求項1に記載の方法。
【請求項6】
新規の関係者が会議に追加された場合、および参加している関係者が会議を離れた場合にはいつでも、グループ鍵が変わる、請求項1に記載の方法。
【請求項7】
機能要素が、会議に参加することを求めている嫌疑がかけられた関係者を模倣して、機能要素が嫌疑がかけられた関係者への会議メッセージ、および嫌疑がかけられた関係者からの会議メッセージを傍受することができるようにする、請求項1に記載の方法。
【請求項8】
通信システムにおいて2名以上の関係者の間で会議を管理するための装置であって、
メモリと、
メモリに結合された少なくとも1つのプロセッサとを備え、少なくとも1つのプロセッサが、
通信システムの会議管理要素と、会議に参加することを求めている2名以上の関係者の各関係者との間でIDベースの認証された鍵交換動作を実行するように構成され、会議管理要素と2名以上の関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信し、
会議管理要素から、関係者によって計算されたランダムな鍵構成要素を備えるセットを各関係者に送信するように構成され、
会議管理要素において、各関係者からランダムなグループ鍵構成要素を受信するように構成され、ランダムなグループ鍵構成要素が、鍵認証動作中にその関係者によって使用された乱数と、会議に参加することを求めている2名以上の関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算され、さらに
会議管理要素から各関係者に、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを送信するように構成され、各関係者が、会議管理要素を介して関係者相互に通信する際に使用するための同一のグループ鍵を計算することができるようにするが、会議管理要素が、グループ鍵を計算することができない、装置。
【請求項9】
通信システムにおいて関係者の間の会議に参加する際に使用するための方法であって、
所与の関係者において、
通信システムの会議管理要素と、所与の関係者との間でIDベースの認証された鍵交換動作を実行するステップであり、会議管理要素がまた、会議に参加することを求めているその他の参加者を相手にIDベースの認証された鍵交換動作を実行し、会議管理要素と関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信する、ステップと、
所与の関係者において会議管理要素から、関係者によって計算されたランダムな鍵構成要素を備えるセットを受信するステップと、
所与の関係者から会議管理要素にランダムなグループ鍵構成要素を送信するステップであり、会議管理要素がまた、その他の関係者の各関係者からランダムなグループ鍵構成要素を受信し、ランダムなグループ鍵構成要素が、鍵認証動作中に関係者によって使用された乱数と、会議に参加することを求めている関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算される、ステップと、
所与の関係者において会議管理要素から、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを受信するステップと、
所与の関係者において、会議管理要素を介して関係者相互で通信する際に使用するためにその他の関係者によって計算されたのと同一のグループ鍵であるグループ鍵を計算するステップとを備える、方法。
【請求項10】
通信システムにおいて関係者の間の会議に参加する際に使用するための装置であって、
所与の関係者において、
メモリと、
メモリに結合された少なくとも1つのプロセッサとを備え、少なくとも1つのプロセッサが、
通信システムの会議管理要素と、所与の関係者との間でIDベースの認証された鍵交換動作を実行するように構成され、会議管理要素がまた、会議に参加することを求めているその他の参加者を相手にIDベースの認証された鍵交換動作を実行し、会議管理要素と関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信し、
所与の関係者において会議管理要素から、関係者によって計算されたランダムな鍵構成要素を備えるセットを受信するように構成され、
所与の関係者から会議管理要素にランダムなグループ鍵構成要素を送信するように構成され、会議管理要素がまた、その他の関係者の各関係者からランダムなグループ鍵構成要素を受信し、ランダムなグループ鍵構成要素が、鍵認証動作中に関係者によって使用された乱数と、会議に参加することを求めている関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算され、
所与の関係者において会議管理要素から、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを受信するように構成され、
所与の関係者において、会議管理要素を介して関係者相互で通信する際に使用するためにその他の関係者によって計算されたのと同一のグループ鍵であるグループ鍵を計算するように構成されている、装置。
【請求項1】
通信システムにおいて2名以上の関係者の間で会議を管理するための方法であって、
通信システムの会議管理要素と、会議に参加することを求めている2名以上の関係者の各関係者との間でIDベースの認証された鍵交換動作を実行するステップであり、会議管理要素と2名以上の関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信する、ステップと、
会議管理要素が、関係者によって計算されたランダムな鍵構成要素を備えるセットを各関係者に送信するステップと、
会議管理要素において、各関係者からランダムなグループ鍵構成要素を受信するステップであり、ランダムなグループ鍵構成要素が、鍵認証動作中にその関係者によって使用された乱数と、会議に参加することを求めている2名以上の関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算される、ステップと、
会議管理要素から各関係者に、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを送信して、各関係者が、会議管理要素を介して関係者相互に通信する際に使用するための同一のグループ鍵を計算することができるようにするステップとを備える、方法。
【請求項2】
各関係者によって計算されるグループ鍵が、Nai(Zi−1)+(N−1)Xi+(N−2)Xi+1+...+Xi−2として表現され、ただし、Nが、会議に参加することを求めている関係者の総数を表し、aiが、所与の関係者によって選択された乱数を表し、Ziが、所与の関係者によって計算されるランダムな鍵構成要素を表し、Xiが、所与の関係者によって計算されるランダムなグループ鍵構成要素を表し、さらにiが、N名の関係者の会議における所与の関係者に関する会議順序付けの番号を表し、i=1の場合、i−1=Nであり、i=Nである場合、i+1=1である、請求項1に記載の方法。
【請求項3】
所与の関係者に関するランダムな鍵構成要素が、aiPとして表現される計算によって計算され、ただし、aiが、所与の関係者によって選択された乱数であり、さらにPが、ID暗号化ベースの鍵認証動作に関連するグループから選択された点である、請求項2に記載の方法。
【請求項4】
所与の関係者に関するランダムなグループ鍵構成要素が、ai(ai+1P−ai−1P)として表現される計算によって計算され、ただし、aiが、所与の関係者によって選択された乱数であり、ai+1Pが、会議順序付けにおいて所与の関係者の直後に続く関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、ai−1Pが、会議順序付けにおけるその所与の関係者の直前の関係者によって会議管理要素に送信されたランダムな鍵構成要素であり、さらにPが、暗号鍵交換プロトコルに関連するグループから選択された点である、請求項2に記載の方法。
【請求項5】
会議に参加することを求めている2名以上の関係者が、1つまたは複数の鍵管理サービスからそれぞれの秘密鍵を獲得する、請求項1に記載の方法。
【請求項6】
新規の関係者が会議に追加された場合、および参加している関係者が会議を離れた場合にはいつでも、グループ鍵が変わる、請求項1に記載の方法。
【請求項7】
機能要素が、会議に参加することを求めている嫌疑がかけられた関係者を模倣して、機能要素が嫌疑がかけられた関係者への会議メッセージ、および嫌疑がかけられた関係者からの会議メッセージを傍受することができるようにする、請求項1に記載の方法。
【請求項8】
通信システムにおいて2名以上の関係者の間で会議を管理するための装置であって、
メモリと、
メモリに結合された少なくとも1つのプロセッサとを備え、少なくとも1つのプロセッサが、
通信システムの会議管理要素と、会議に参加することを求めている2名以上の関係者の各関係者との間でIDベースの認証された鍵交換動作を実行するように構成され、会議管理要素と2名以上の関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信し、
会議管理要素から、関係者によって計算されたランダムな鍵構成要素を備えるセットを各関係者に送信するように構成され、
会議管理要素において、各関係者からランダムなグループ鍵構成要素を受信するように構成され、ランダムなグループ鍵構成要素が、鍵認証動作中にその関係者によって使用された乱数と、会議に参加することを求めている2名以上の関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算され、さらに
会議管理要素から各関係者に、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを送信するように構成され、各関係者が、会議管理要素を介して関係者相互に通信する際に使用するための同一のグループ鍵を計算することができるようにするが、会議管理要素が、グループ鍵を計算することができない、装置。
【請求項9】
通信システムにおいて関係者の間の会議に参加する際に使用するための方法であって、
所与の関係者において、
通信システムの会議管理要素と、所与の関係者との間でIDベースの認証された鍵交換動作を実行するステップであり、会議管理要素がまた、会議に参加することを求めているその他の参加者を相手にIDベースの認証された鍵交換動作を実行し、会議管理要素と関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信する、ステップと、
所与の関係者において会議管理要素から、関係者によって計算されたランダムな鍵構成要素を備えるセットを受信するステップと、
所与の関係者から会議管理要素にランダムなグループ鍵構成要素を送信するステップであり、会議管理要素がまた、その他の関係者の各関係者からランダムなグループ鍵構成要素を受信し、ランダムなグループ鍵構成要素が、鍵認証動作中に関係者によって使用された乱数と、会議に参加することを求めている関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算される、ステップと、
所与の関係者において会議管理要素から、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを受信するステップと、
所与の関係者において、会議管理要素を介して関係者相互で通信する際に使用するためにその他の関係者によって計算されたのと同一のグループ鍵であるグループ鍵を計算するステップとを備える、方法。
【請求項10】
通信システムにおいて関係者の間の会議に参加する際に使用するための装置であって、
所与の関係者において、
メモリと、
メモリに結合された少なくとも1つのプロセッサとを備え、少なくとも1つのプロセッサが、
通信システムの会議管理要素と、所与の関係者との間でIDベースの認証された鍵交換動作を実行するように構成され、会議管理要素がまた、会議に参加することを求めているその他の参加者を相手にIDベースの認証された鍵交換動作を実行し、会議管理要素と関係者の間で交換されるメッセージが、メッセージの受信者のそれぞれのIDに基づいて暗号化され、さらに会議管理要素が、鍵認証動作中に各関係者から、その関係者によって選択された乱数に基づいて計算されたランダムな鍵構成要素を受信し、
所与の関係者において会議管理要素から、関係者によって計算されたランダムな鍵構成要素を備えるセットを受信するように構成され、
所与の関係者から会議管理要素にランダムなグループ鍵構成要素を送信するように構成され、会議管理要素がまた、その他の関係者の各関係者からランダムなグループ鍵構成要素を受信し、ランダムなグループ鍵構成要素が、鍵認証動作中に関係者によって使用された乱数と、会議に参加することを求めている関係者のうちその他の関係者のサブセットによって計算されたランダムな鍵構成要素とに基づく計算を介して、各関係者によって計算され、
所与の関係者において会議管理要素から、関係者によって計算されたランダムなグループ鍵構成要素を備えるセットを受信するように構成され、
所与の関係者において、会議管理要素を介して関係者相互で通信する際に使用するためにその他の関係者によって計算されたのと同一のグループ鍵であるグループ鍵を計算するように構成されている、装置。
【図1A】
【図1B】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6A】
【図6B】
【図6C】
【図7】
【図8】
【図9】
【図10】
【図11】
【図1B】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6A】
【図6B】
【図6C】
【図7】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2013−503564(P2013−503564A)
【公表日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願番号】特願2012−526874(P2012−526874)
【出願日】平成22年8月23日(2010.8.23)
【国際出願番号】PCT/US2010/046319
【国際公開番号】WO2011/031436
【国際公開日】平成23年3月17日(2011.3.17)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
【公表日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願日】平成22年8月23日(2010.8.23)
【国際出願番号】PCT/US2010/046319
【国際公開番号】WO2011/031436
【国際公開日】平成23年3月17日(2011.3.17)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
[ Back to top ]