安全なパケット伝送のための暗号化方法
【課題】ネットワークのエンドポイントの間でパケットを安全に伝送する方法を提供する。
【解決手段】現存するホップバイホップセキュリティアソシエーションを使用してエンドツーエンドキーを確立する。また、パケット固有暗号化キーPEKがパケットpを暗号化するのに使用される。キーPEKの署名は、2つのノードで共有される完全性キーを使用して2つのノードのそれぞれで別々に計算される。署名は、2つのノードのうちの一方から他方に対して、パケットpに関連付けて送信される。受信するノードは、署名を使用して、パケットpがPEKを所有するエンティティによって発信されたことを検証する。
【解決手段】現存するホップバイホップセキュリティアソシエーションを使用してエンドツーエンドキーを確立する。また、パケット固有暗号化キーPEKがパケットpを暗号化するのに使用される。キーPEKの署名は、2つのノードで共有される完全性キーを使用して2つのノードのそれぞれで別々に計算される。署名は、2つのノードのうちの一方から他方に対して、パケットpに関連付けて送信される。受信するノードは、署名を使用して、パケットpがPEKを所有するエンティティによって発信されたことを検証する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線システムにおけるセキュリティおよび認証に関し、より詳細にはパケットデータを送信および受信するように構成された無線システムに関する。
【背景技術】
【0002】
現代の無線システム、例えば第3世代およびそれを超える無線システムは、1秒あたり数百キロビット、むしろ数千キロビットの転送速度でパケットデータを送信および受信するように構成されている。実例として図1は、「国際移動体通信システム(Universal Mobile Telecommunications System)」の略称である「UMTS」と呼ばれる一種の第3世代無線システムのハイレベルなアーキテクチャを示す。図に示すように、モバイルユーザ端末10は無線インターフェイスで基地局20と通信する。基地局はこの環境では「ノードB」と呼んでもよい。基地局20はバックホールネットワーク30と通信し、バックホールネットワーク30は、無線ネットワーク制御装置(RNC:Radio Network Controller)40、認証センター(AuC:Authentication Center)50、移動通信交換局(MSC:Mobile Switching Center)60、および図に示すようにSGSNおよびGGSNの機能をあわせ持つ要素70を含む。
【0003】
RNCはRNCに接続する1セットの基地局を制御する。RNCの機能は無線資源を管理することである。例えばRNCは、呼のセットアップおよびティアダウン、ならびに音声およびデータトラフィックの処理のセットアップおよびティアダウンを制御する。また、RNCはセル間のハードハンドオフおよびソフトハンドオフを管理する。
【0004】
AuCはネットワークにログオンしようとしている各ユーザを認証する。より詳細には、AuCは入ってくるユーザの端末に設置されているSIMカードを認証する。各加入者について、一意の秘密キーが加入者とAuCの間で共有される。AuCは、共有されるキーでハッシュされるかまたは暗号化されるランダムな数を入ってくる加入者に送信することにより、加入者を調査し、その結果はAuCに戻される。戻された結果が同じ操作からのAuC自身の結果と一致する場合、ユーザはネットワークに入ることを許可される。AuCとユーザの間で共有される秘密情報は、ユーザおよび基地局が互いに無線で通信するときセキュリティを実現する秘匿キー(ciphering key)CKを作成することにも使用される。
【0005】
この点に関して、いくつかの北アメリカのCDMA標準などの他の標準によると、ユーザ端末として機能する携帯電話はSIMカードを含まないことに留意されたい。その代わりに、電子シリアル番号(ESN:electronic serial number)が製造業者により携帯電話のハードウェアに刻印される。さらに、無線通信事業者はモバイル識別番号(MIN:mobile identification number)により携帯電話を識別することが可能である。ESNおよびMINは識別のために一緒に使用可能であり、認証およびセキュリティのための手続きに使用可能である。3GPP2のいくつかの北アメリカの標準を含むいくつかの標準によると、AuCの機能と同様の機能は、「AAAサーバ」(「AAA」は「認証、許可、アカウンティング(Authentication,Authorization,and Accounting)」の略語である)と呼ばれるネットワーク要素により実行可能であることに、さらに留意されたい。
【0006】
再び図1に目を向けると、MSCはそのサービスエリア内で移動しているユーザのために回路交換方式の呼び出しおよびモビリティ管理を特に支援する電話交換局である。データはディジタル方式でエンコードされた形式で有線ネットワークからMSCに対して直接配信可能である。図で示すように、MSCは公衆交換電話網(PSTN:public switched telephone network)に接続する。AuCは、その認証機能を実行するためMSCを介して間接的に動作する。
【0007】
SGSN(サービングGPRSサポートノード(Serving GPRS Support Node))はそのサービスエリア内のユーザ端末の位置を追跡し、課金機能およびセキュリティ機能を支援し、ダウンリンクパケットをRNCの方へトンネルし、アップリンクパケットをRNCからディトンネルする。パケットのトンネリングおよびディトンネリングは、モバイルユーザがあちこち移動する間インターネットへの接続を維持することを特に可能にするGPRSトンネリングプロトコル(GTP:GPRS Tunneling Protocol)に従っている。
【0008】
GGSN(ゲートウェイGPRSサポートノード(Gateway GPRS Support Node))は、外部パケットデータネットワークに関してIPルータとして機能する。図で示すように、例えばGGSNは「IPネットワーク」に接続する。また、GGSNはセキュリティ機能および課金機能も支援する。GTPに従ってGGSNは、外部のパケットネットワーク上で移送される通常のIPパケットと、UMTSコアネットワーク内でトンネルされるGTPパケットとの間の変換を行う。外部パケットネットワークにとって、ユーザはあちこち移動している可能性があるにも関わらず、GGSNに固定されているかのように見える。
【0009】
この点に関して、いくつかの北アメリカのCDMA標準などの他の標準によると、RNCはSGSNの代わりにPDSNに接続されることに留意されたい。次に、PDSNはホームエージェント(HA:Home Agent)に接続される。また、PDSNとRNCの間の通信、ならびに基地局に対する通信に使用されるトンネリングプロトコルはGTPを含まない。IEEE 802.16ベースのWiMAXシステムなどの他のシステムおよび標準は、アクセスゲートウェイ(AGW:Access Gateway)に接続された基地局から構成される異なる階層構造を使用する。全体として、詳細が異なっていても機能は同様である。
【0010】
基地局は一般には露出した位置にあり、それゆえ物理的な侵入に対して比較的安全でない。一方、RNC、MSC、SGSNおよびGGSNは典型的には、盗聴、改竄、破壊活動および窃盗に対して機密に属するネットワーク情報が保護可能である中央局に位置している。
【0011】
したがって、セキュリティ関連機能の実行は物理的に安全なそれらのネットワーク要素に限定されるが、基地局は暗号化されたデータを転送するためにのみ動作し、暗号化されたメッセージをデコードすることはない。物理的に安全なネットワーク要素が同様に安全なネットワークに相互接続されると仮定されるので、一般にそれらのネットワーク要素間の安全なトンネルをさらにセットアップするために必須の要件はない。
【0012】
多様な高度のアーキテクチャが提案されてきており、それらのアーキテクチャはいくつかのネットワーク要素でより広く露出され、物理的なセキュリティが低下することにつながりうる。例えばBSR(基地局ルータ(Base Station Router))アーキテクチャなどのフラットなIPアーキテクチャは、RNC、SGSNおよびGGSNのほとんどの機能を基地局に統合している。(別の種類のBSRアーキテクチャはUMTSアーキテクチャよりもむしろSAE/LTEアーキテクチャに関連がある。この第2のタイプのBSRにおいてeNB、MMEおよびUPEは基地局に統合されている。前述の略語はそれぞれ「拡張されたノードB(enhanced Node B)」、「移動管理エンティティ(Mobility Management Entity)」、および「ユーザプレーンエンティティ(User Plane Entity)」の略称である)。
【0013】
したがって例えば図2は、BSR90と無線通信しているモバイルユーザ80を示しており、次にBSR90はAuC100、SIPサーバ110、IPネットワークおよびPSTNを含むバックホールネットワークに接続する。図で示すように、IPネットワークはBSRをAuCおよびSIPサーバに接続する。SIP(セッションイニシエーションプロトコル(Session Initiation Protocol))は、VoIP(ボイスオーバーIP(Voice over IP))、および複数の種類の媒体を含む、他のタイプの対話形式ユーザセッションのためのインターネットシグナリングプロトコルである。図ではSIPサーバブロックはVoIPなどのための支援機能全てを表すことを意味している。
【発明の概要】
【発明が解決しようとする課題】
【0014】
BSRおよび同様のアーキテクチャでは、暗号化機能および他のセキュリティ関連機能、ならびにキー情報および他の機密に属する情報でさえ、物理的に露出した位置に存在しうる。さらに、BSRは、盗聴および改竄に対して脆弱な公衆IPネットワークを介して外部接続を行うことがある。このように露出が増大するので、悪質な行為に対する新しい予防措置が必要である。
【0015】
しかし、バックホールネットワークの物理的な保護が保証できないので、この新しい予防措置が少なくとも部分的には論理的に根拠があることが望ましい。一方、論理的に根拠のある新しい予防措置は、例えばその予防措置がいくつかの無線標準と矛盾するため、または無線標準には従っているがその予防措置がインターネット標準と矛盾するため、障害に直面する可能性がある。
【0016】
それゆえ、エンドツーエンドで、すなわち無線ユーザ端末とIPネットワークのノードの間で、またはIPネットワークを経由して接続された2つの無線ユーザ端末間で効果的であり、さらに現行のIP標準を大きく変更することなく実行可能である、悪質な攻撃に対する予防措置が特に必要である。
【課題を解決するための手段】
【0017】
本発明者はこの種の予防措置を開発した。したがって、本発明は、リンクによって相互接続されたノードのネットワークにおいてAおよびBで指定される2つのエンドポイントノード間でパケットpを伝送することを含む。
【0018】
第1の広範な例によれば、エンドツーエンドキーが、現存するホップバイホップセキュリティアソシエーションを使用して確立される。この点に関して「エンドツーエンド」で情報を送信することは、1つのタイプのネットワークもしくはプロトコルから別のネットワークもしくはプロトコルに対して、1つの加入者ネットワークから別の加入者ネットワークに対して、または1つのサービスプロバイダから別のサービスプロバイダに対しての遷移がある場合に、あるいはユーザ端末が位置している場合に、あるいはメッセージについて任意の他の種類のエンドポイントがある場合に、任意のペアのネットワークエンティティ間で情報を送信することを意味する。
【0019】
例えば、Aは、Bに対するエンドツーエンドキーのパケット暗号化キー(PEK:Packet Encryption Key)を確立する。キーを確立するのに必要な情報は、現存するホップバイホップセキュリティアソシエーションを使用してAとBの間で安全に転送される。キーPEKはパケット固有である。パケットpはキーPEKで暗号化され、AからBに対して伝送される。
【0020】
具体的な例では、キーPEKはAで生成され、ネットワークを介してBに対して伝送される。
【0021】
他の具体的な例では、AはBとのセッションを確立する。「セッション」とは、別個のIPアドレスを有するエンティティの間で、開始および終了を有する時間帯の間でのデータパケット交換についての相互の了解を意味する。AおよびBは両方とも、少なくとも1つのセッションキーSEKを所有する。例えば、AはセッションキーSEKを作成し、それをBに対して送信することが可能である。次にAおよびBはそれぞれ別々に、知られているアルゴリズムを使用して、少なくともセッションキーSEKから、かつパケットpの一意のプロパティから、パケット固有暗号化キーPEKを作成する。セッションキーは現存するホップバイホップセキュリティアソシエーションを使用してAからBに対して安全に送信される。
【0022】
AからBに対するネットワークパスの少なくとも1つのホップは、完全性キーを共有する1つのペアのノード間で起こることがある。例えばAは、Aのサービスをする基地トランシーバノードと完全性キーを共有する無線ユーザ端末であってよい。同様にBもまた、Bのサービスをする基地トランシーバノードと完全性キーを共有する無線ユーザ端末であってよい。「基地トランシーバノード」とは、基地局、ノード−B、基地トランシーバ局、BSRまたは同様の機能を有する無線ネットワークの他の任意の要素を意味する。
【0023】
第2の広範な例は、パケット固有暗号化キーPEKがパケットpを暗号化するのに使用される方法を含む。キーPEKの署名は、2つのノードで共有される完全性キーを使用して、2つのノードのそれぞれで別々に計算される。署名は2つのノードのうちの一方から他方に対してパケットpに関連付けて送信される。受信するノードは署名を使用してパケットpを検証する。
【0024】
この点に関してパケットを「検証する」ことは、パケットの送信元がPEKを所有していたことを検証することを意味する。この意味でのパケットの検証は、パケットが例えば改竄などによる許可されていない改変がないことを必ずしも保証しないことに留意されたい。
【0025】
具体的な例において、完全性キーを共有するノードは、無線ユーザ端末および無線ユーザ端末にサービスをする基地トランシーバノードである。
【0026】
具体的な例において、パケットpは、第1の無線ユーザAからネットワークを介して第2の無線ユーザBに対して送信される。ユーザAおよびユーザAのサービスをする基地トランシーバノードは、キーPEKの署名を使用してパケットpの真正性を検証し、ユーザBおよびユーザBのサービスをする基地トランシーバノードについても同様である。
【図面の簡単な説明】
【0027】
【図1】先行技術のUMTSシステムのアーキテクチャのハイレベルなブロック図である。
【図2】BSRを使用する無線システムのハイレベルなブロック図である。
【図3】IPネットワークを介し複数のホップを経由して互いに通信するそれぞれのBSRを介して、2台のモバイルユーザ端末が互いに接続されているハイレベルなブロック図である。
【図4】ユーザがセッションを開始し、セッションコードをターゲットユーザに配信する例示的な手続きの流れ図である。
【図5】開始ユーザがパケットをターゲットユーザに対して送信する例示的な手続きの流れ図である。
【図6】ターゲットユーザおよびターゲットユーザにサービスをするBSRが、開始ユーザによって送信されるパケットを認証する例示的な手続きの流れ図である。
【図7】下記のいくつかの方法に関連して使用可能であるパケットフォーマットの概略図である。
【発明を実施するための形態】
【0028】
説明の目的のために、UMTSネットワークの環境で本発明の新しい方法が適用されている例を記載する。しかし、説明されるべきそれらの方法は適用例においてより大まかなものであることに留意されたい。例えばそれらの方法は、広範囲の標準のいずれかに従う無線サービスの環境で適用可能であり、それらの標準の中でGSM標準およびUMTS標準は2つの例にすぎない。さらに、それらの方法はアクセス技術が有線である環境、およびアクセス技術が無線である環境に適用可能である。またさらに本発明の方法は、例えば従来の無線サービスおよびボイスオーバーIP(VoIP:Voice over IP)などのアプリケーションレベルのサービスを含みうる多様な種類のサービス環境に有効に適用される。またさらに本発明の方法が提供可能であるセキュリティの拡張は、ハードウェアエンティティとしてのアクセス端末間のセキュリティに関連することが可能であるか、またはそのセキュリティの拡張は、ユーザ間、すなわちサービスに対する加入者として認識される人々の間のセキュリティに、同じくらい有利に関連することが可能である。
【0029】
上述のようにUMTSネットワークにおける認証センター(AuC:Authentication Center)は、ネットワークにサインオンしようとしている加入者の端末に設置されているSIMカードを認証する。認証処理は加入者とAuCの間で共有される秘密キーに依拠する。より詳細には、「ルートキー」と呼ばれる固定キーが加入者のS1Mカード内に格納され、無線ネットワーク内にも格納される。典型的なUMTSネットワークでは、ルートキーはAuCに格納されるが、ホームロケーションレジスタ(HLR:Home Location Register)などの他のネットワーク要素にも格納可能である。ユーザ端末およびネットワークはそれぞれ、ルートキーから秘匿キーCKおよび完全性キー(integrity key)IKをローカルに生成する。GSM、TDMAおよびCDMAシステムのための標準などの多様な他の無線標準は、認証およびセキュリティのための同様の手続きを記載していることに留意されたい。
【0030】
例示のシナリオでは、図3に示すようにユーザ端末120は、例えば上述のようにBSRI30に対する無線通信を経由してネットワークに対してユーザ端末120自身を認証する。次に端末120は、BSR150によりサービスされるユーザ端末140とのセッションを確立する。セッションが確立される手続きはよく知られている標準に従って典型的に行われるので、本明細書で詳細に説明する必要はない。ブロードバンド無線環境におけるこれらの標準の例は、3GPPおよび3GPP2の標準ならびにIEEE 802.16 WiMax標準である。
【0031】
図ではBSRが互いに通信するのに経由するIPネットワークが、3台のサーバ161、162、163で表されている。図は純粋に教示的な目的のために与えられており、IPネットワークにおけるノードもしくはサーバの数またはBSRもしくはユーザの数について、あるいは他のいかなる意味においても限定するものとして理解されるべきではない。
【0032】
ユーザ端末120とBSR130の間の通信は暗号化により保護されるので有利である。上記で説明したようにUMTSシステムにおいて、例えばこの通信は典型的には、その通信を秘匿キーCKで暗号化し、ユーザ端末とBSRの間で交換されるメッセージの完全性を確実なものにするために追加のキーIKを使用することにより保護される。同様に、無線ユーザ端末および無線ユーザ端末にサービスをするBSRからなる他のノードペアはそれら自身の秘匿キーおよび完全性キーを有する。したがって、例えば端末120とBSR130の間のリンクは、より大まかにはキーのベクトルであってよいキー171によって保護されるものとして図に示される。同様に、端末140とBSR150の間のリンクはキー172によって保護される。
【0033】
また、BSRI30およびBSR150が通信するのに経由するIPネットワークまたは他のネットワークも、暗号化を使用してそのネットワークを介して送信されるメッセージを保護することが可能である。例えば、この目的のために暗号化の使用を記載している、多様なIETF標準がある。例えば、IETF標準文書に記載されているIPSec(インターネットセキュリティ(Internet Security))アーキテクチャは、パケットペイロード内のデータを暗号化するためのカプセル化セキュリティペイロード(ESP:Encapsulating Security Payload)などのプロトコルを含む。
【0034】
典型的には各ホップは異なる秘匿キーによって保護される。したがって、一例として図3は、キー173−176のそれぞれのキーによって保護されるものとして、IPネットワークの各リンクを示す。
【0035】
図3のユーザ端末120および140などのネットワークノード間の通信が上述のホップバイホップセキュリティ対策を使用することは概して有利である。ネットワークで露出された地点で盗聴および改竄に対する拡張された保護を提供するセキュリティ対策を、ここでさらに説明する。
【0036】
図4に記載されている手続きを見ると、ここで「ユーザA」と命名される開始ユーザは、ここで「ユーザB」と命名されるターゲットユーザとのセッションを確立することを望んでいることがわかる。より大まかには、開始ノードおよびターゲットノードはネットワークにおける任意のノードであってよく、無線ユーザ端末などに限定されない。ブロック180で、よく知られている方法に従ってセッションが確立される。ブロック190で、秘匿キーCKA,BSR−Aおよび完全性キーIKA,BSR−Aが、ユーザAとユーザAにサービスをするBSR(上述のようにここで「BSR−A」と命名される)との間に確立される。この点に関して、この手続きが限定する目的のためにではなく、純粋に説明の目的のためにBSRネットワークの環境で説明されており、多様な種類の通信ネットワークにおいて有益な適用例を見いだせることに留意されたい。
【0037】
ブロック200で示すように、セッションキーSEKはここで生成され、ユーザAとBSR−Aの間で交換される。より大まかには、セッションキーは2つ以上のキーのベクトルであってよい。例えば、キーのベクトルはセッションを暗号化するための1つまたは複数のキー、およびパケットを認証するための1つまたは複数の他のキーを含んでよい。話を簡単にするために、単一のセッションキーSEKに言及するが、実際は2つ以上のキーのベクトルが使用可能であることに留意されたい。
【0038】
セッションキーSEKは典型的にユーザAにより生成され、ユーザAとBSR−Aの間で確立された秘匿キーの保護の下でBSR−Aに伝送される。しかし、他の構成も可能である。例えば、BSR−Aがキーを生成してそれをユーザAに送信することが可能であるか、またはサードパーティがユーザAおよびBSR−Aの両方にキーを配信することが可能であるか、または事前に構成されたアルゴリズムおよび共有されたデータを使用してユーザAおよびBSR−Aがそれぞれローカルにキーを計算することが可能である。いずれにしてもセッションキーを生成するアルゴリズムはよく知られており、本明細書で詳細に説明する必要はない。例えば、適切なアルゴリズムは3GPPおよび3GPP2の標準に記載されている。具体的な一例は3GPP2標準に記載されている拡張暗号アルゴリズム(ECA:Enhanced Cryptographic Algorithms)により与えられる。
【0039】
図4のブロック210および220で示すように、セッションキーはホップバイホップ暗号化の保護の下でBSR−BおよびユーザBに対して転送される。すなわちセッションキーは、各ホップ上でそのホップのエンドポイント間のセキュリティアソシエーションに従って与えられる秘匿キーにより保護される。結果としてセッションキーは図3のノード161−163などの各中間ノードで復号化されてよく、次に現在のノードと次のノードの間のセキュリティアソシエーションに従って再度暗号化されてよい。BSR−BからユーザBに対する最後のホップまで、ユーザBがネットワークに対してユーザB自身を認証したとき確立された秘匿キーを使用して、セッションキーは典型的に暗号化される。
【0040】
図5を見ると、ブロック230で、ユーザAがここでユーザBに伝送されるべきパケットを生成することがわかる。伝送されるべきこの各パケットに対してユーザAは、他のパケットではなくそのパケットに固有のパケット暗号化キーPEKを計算する。例えばキーPEKは、セッションキーおよびパケットの一意のプロパティを含む入力から計算されてよい。使用されうるパケットの1つのプロパティは、シーケンス番号または同期をとったカウンタ値である。したがって例えば、カウンタ値とセッションキーの間でXORなどの論理演算を実行することにより、キーPEKは生成可能である。複数のセッションキーがある場合には、1つのセッションキーがキーPEKを生成するのに使用されるものとして特に指定されてよい。理解されるように、各パケットについてのキーPEKもまた、BSR−A、BSR−BおよびユーザBでローカルに計算される。
【0041】
図5のブロック240で示すように、ユーザAも本明細書では
【数1】
で示されるキーPEKの署名を計算する。当然、例えばランダム数、暗号同期パラメータ、加入者プロファイルID(SPID:subscriber profile ID)などの他の入力も署名の計算に含まれてよい。特に、必ずしも機密ではないが時間に依存したパラメータが含まれることもある。
【0042】
ブロック250で示すように、ユーザAは、対応するパケットに関連付けてその署名をBSR−Aに対して送信する。署名はパケット、例えばヘッダ部分に添付されてよい。別法として署名は、帯域外伝送、例えば制御チャネルで送信可能である。ブロック260で示すように、BSR−Aは単独で
【数2】
のローカルな計算を実行する。
【0043】
上述のように
【数3】
は、関連する2つのノード間で共有される完全性キーを使用して計算されてよく、この完全性キーはこの場合には、ユーザAとBSR−Aの間で共有される完全性キーである。署名
【数4】
は典型的にはPEKより短い。例えば、署名は暗号化圧縮またはハッシュ関数の結果であってよい。この関数は、PEKの知識を正当に共有するエンティティに知られているランダムノンス(randam nonce)およびカウンタ値などの他の数量と一緒に、PEKを入力として取り込むことが可能である。この関数は当技術分野でよく知られており、本明細書で詳細に説明する必要はない。この環境で有益な関数の一例は、IETFのHMAC標準に使用されているセキュアハッシュ関数1(SHA−1:Secure Hash Function 1)である。
【0044】
【数5】
などの署名の目的は、所与のリンクを介してのパケット送信者が、パケットだけでなくキーPEK、および署名を作成するのに使用されたキーを所有していたことを検証することである。パケットペイロードなどのデータのより大きなブロックの署名を計算することは、もちろん可能である。しかし、PEK署名はユーザ端末およびBSRで計算資源に対する要求を著しく減少させながら、効果的なパケット検証を実行するので、有利である。
【0045】
上述の例のネットワークでは、所与のリンクはユーザAからBSR−Aに対するリンクであってよいし、または、理解されるように、BSR−BからユーザBに対するリンクであってよい。これらのリンクは無線なので、偽のパケットがセッションに投入されるか、または例えばパケットが改変された後に古いパケットがセッションに再投入される攻撃に特に脆弱でありうる。PEKは伝送されないので、攻撃者によってインターセプトされる可能性はない。その代わり、攻撃者はPEKを計算する必要があるが、セッションコードが他の情報と一緒にインターセプトされるという起こりそうにない場合にのみ、このことは可能である。それゆえ、侵入するパケットはリンクの受信側で検出され、拒絶されることが可能である。したがってブロック270で示すように、ローカルに計算された
【数6】
の値がユーザAから受信した値に一致する場合にのみ、BSR−Aはパケットを真正なものとして受け付ける。ブロック280で示すように、パケットが受け付けられる場合、BSR−Aはネットワークを介してパケットをBSR−Bに転送する。ネットワークを介してパケットが通るパス上の隣接するノードの各ペアは、一意の秘匿キーを共有することが可能である。したがってパケットは各ホップの後に復号化され、次のホップの前に新しいキーで再度暗号化されることが可能である。
【0046】
典型的にパケットの内容はユーザAによりキーPEKを使用して暗号化されているので、全中間ノードにとってアクセスできないものとなる。すなわち、キーPEKが(直接的に、またはPEKを生成するためのSEKなどの入力を配信することによって)ネットワークを介して配信されても、PEKの知識は中間ノードに対して拒否されることが可能である。例えば安全なIPSecトンネルはBSR−AとBSR−Bの間で確立されることが可能であるか、またはBSR−AおよびBSR−Bは中央セキュリティサーバ(Central Security Server)を共有することが可能である。それらまたは同様の手段により、安全なキーの配信が容易に遂行される。もちろん、IPSecトンネルなどはセッションの全パケットの安全な伝送に使用されることが可能である。しかし、暗号化プロトコルをこのように極度に使用することは、中間ノードでの計算資源に対して過度の負荷をかけるおそれがある。この負荷は、例えばセッションにつき1回のみ、キーの配信に対してだけIPSecトンネルを使用することにより避けられる。
【0047】
上述のように中央セキュリティサーバまたはIPSecトンネルの使用は、現存するホップバイホップセキュリティアソシエーションを使用するキーの配信の一例である。この点に関して、キーの配信が完了した後、中央セキュリティサーバが適切なセッションに属するパケットのルーティングに携わる必要がないことは、注目に値する。それゆえ、限定された使用だけが中央セキュリティサーバでなされる。
【0048】
次に図6に注目し、この図6で示す一連のステップは、ブロック290でBSR−Bによるパケットの受信から始まる。パケットは典型的にBSR−Bが先行するノードと共有する秘匿キーで暗号化されたものとして到達する。したがってブロック300で示すように、BSR−Bはその秘匿キーに関連してパケットを復号化する。
【0049】
さらにブロック300で示すように、BSR−Bは単独で
【数7】
のローカルな計算を実行する。典型的にこの計算は
【数8】
の計算と同様である。しかしBSR−BとユーザBの間の完全性キーは、BSR−AとユーザAの間の完全性キーの代わりに入力として使用される。
【0050】
ブロック310でBSR−Bは、ユーザBと共有する秘匿キーを使用してパケットを再度暗号化し、それをユーザBに転送する。ブロック320で示すように、BSR−Bはまた、前述のように、帯域内伝送または帯域外伝送を介して、パケットに関連付けて
【数9】
をユーザBに送信し、この際、署名
【数10】
が参照される。ブロック330で、BSR−Bはパケットを復号化し、
【数11】
の単独でローカルな計算を実行する。ローカルに計算された値がBSR−Bによって送信された値と一致する場合、パケットは検証されたものとして、すなわち、PEKを所有するエンティティによって発信されたことを検証されたパケットとして受け付けられる。
【0051】
上述のように、各パケットに対するPEKは、最初のホップの始点ノードおよび終点ノード、ならびに最後のホップの始点ノードおよび終点ノードでローカルに計算されてよい。セッションキーはPEKを計算するための入力として使用される。セッションキーは、現存するホップバイホップセキュリティアソシエーションを使用して、暗号化された形式でネットワークを介して伝送される。
【0052】
しかし他の例ではセッションキーは任意であり、PEKがホップバイホップ暗号化を使用してネットワークを介して転送される。例えば、ユーザA(起動ノードの例として)は、パケットまたは少なくともパケットペイロードをPEKで暗号化する。またユーザAは、BSR−A(最初のホップの終点ノードの例として)と共有する秘匿キーを使用してPEKを暗号化し、BSR−Aと共有する完全性キーを使用してPEKに署名する。暗号化されたPEKおよびその署名は、ユーザAからBSR−Aに対してパケットに関連付けて、上述のように署名
【数12】
を参照して送信される。
【0053】
図7を参照して、例えばパケット400はIPヘッダ410、ペイロード420およびPEKフィールド430を含む。ペイロード420はエンドツーエンドでPEKで暗号化される。
【0054】
PEKはBSR−AからBSR−Bに対してネットワークを介して、ホップバイホップ暗号化を使用して、パケットとともに送信される。それゆえ、PEKは各中間ノードで復号化され再度暗号化されることが可能であるが、中間ノードでパケットの復号化はなされない。典型的なパケットにおいて、フィールド430における暗号化されたPEKがたった128ビットの長さでありうるのに対し、フィールド420におけるペイロードは1500バイトの長さであることがある。それゆえ、PEKのみを復号化し再度暗号化することが大量の計算資源を節約することは明らかである。
【0055】
図7の例では、PEKフィールド430の内容は最初のホップ、すなわちユーザAからBSR−Aに対するホップ上で秘匿キーCKA,BSR−Aで暗号化される。BSR−AからBSR−Bに対するパスの各ホップ上で、フィールド430の内容は例えば適切なIPSecキーで暗号化される。それゆえ、このホップが2つ以上ある場合、一連のIPSecアソシエーションはPEKを保護するために使用可能である。
【0056】
BSR−BでPEKは、BSR−BがユーザBと共有する秘匿キーCKB,BSR−Bを使用して暗号化され、BSR−BがユーザBと共有する完全性キーを使用して署名される。暗号化されたPEKはBSR−BからユーザBに対してフィールド430で送信され、PEK署名はBSR−BからユーザBに対してパケットに関連付けて送信される。
【0057】
SEKがネットワークを介して転送されるべき場合、その転送は多様で可能な任意の技術によって実行可能である。このような技術の一つによると、新しいセッションの最初のトラフィックパケットは、適切なPEKで暗号化された少なくともそのペイロードと一緒に送信される。ユーザAがパケットをBSR−Aに対して送信するとき、ユーザAはSEKを、ユーザAがBSR−Aと共有する秘匿キーにより暗号化されたものとして、添付する。BSR−AはSEKを復号化し、現存するセキュリティアソシエーションを使用してSEKをBSR−Bに対して配信する。BSR−BがパケットをユーザBに対して送信するとき、BSR−BはSEKを、ユーザBがBSR−Bと共有する秘匿キーにより暗号化されたものとして、添付する。
【0058】
多様な代替の技術の1つによると、SEKは呼をセットアップする間に適切なプロトコルを使用して配信される。例えばSEKは、VoIP呼または例えばIMS(IPマルチメディアサブシステム(lP Multimedia Subsystem))に基づいたサービスをセットアップするためのSIP(セッションイニシエーションプロトコル)メッセージとともに配信可能である。
【技術分野】
【0001】
本発明は、無線システムにおけるセキュリティおよび認証に関し、より詳細にはパケットデータを送信および受信するように構成された無線システムに関する。
【背景技術】
【0002】
現代の無線システム、例えば第3世代およびそれを超える無線システムは、1秒あたり数百キロビット、むしろ数千キロビットの転送速度でパケットデータを送信および受信するように構成されている。実例として図1は、「国際移動体通信システム(Universal Mobile Telecommunications System)」の略称である「UMTS」と呼ばれる一種の第3世代無線システムのハイレベルなアーキテクチャを示す。図に示すように、モバイルユーザ端末10は無線インターフェイスで基地局20と通信する。基地局はこの環境では「ノードB」と呼んでもよい。基地局20はバックホールネットワーク30と通信し、バックホールネットワーク30は、無線ネットワーク制御装置(RNC:Radio Network Controller)40、認証センター(AuC:Authentication Center)50、移動通信交換局(MSC:Mobile Switching Center)60、および図に示すようにSGSNおよびGGSNの機能をあわせ持つ要素70を含む。
【0003】
RNCはRNCに接続する1セットの基地局を制御する。RNCの機能は無線資源を管理することである。例えばRNCは、呼のセットアップおよびティアダウン、ならびに音声およびデータトラフィックの処理のセットアップおよびティアダウンを制御する。また、RNCはセル間のハードハンドオフおよびソフトハンドオフを管理する。
【0004】
AuCはネットワークにログオンしようとしている各ユーザを認証する。より詳細には、AuCは入ってくるユーザの端末に設置されているSIMカードを認証する。各加入者について、一意の秘密キーが加入者とAuCの間で共有される。AuCは、共有されるキーでハッシュされるかまたは暗号化されるランダムな数を入ってくる加入者に送信することにより、加入者を調査し、その結果はAuCに戻される。戻された結果が同じ操作からのAuC自身の結果と一致する場合、ユーザはネットワークに入ることを許可される。AuCとユーザの間で共有される秘密情報は、ユーザおよび基地局が互いに無線で通信するときセキュリティを実現する秘匿キー(ciphering key)CKを作成することにも使用される。
【0005】
この点に関して、いくつかの北アメリカのCDMA標準などの他の標準によると、ユーザ端末として機能する携帯電話はSIMカードを含まないことに留意されたい。その代わりに、電子シリアル番号(ESN:electronic serial number)が製造業者により携帯電話のハードウェアに刻印される。さらに、無線通信事業者はモバイル識別番号(MIN:mobile identification number)により携帯電話を識別することが可能である。ESNおよびMINは識別のために一緒に使用可能であり、認証およびセキュリティのための手続きに使用可能である。3GPP2のいくつかの北アメリカの標準を含むいくつかの標準によると、AuCの機能と同様の機能は、「AAAサーバ」(「AAA」は「認証、許可、アカウンティング(Authentication,Authorization,and Accounting)」の略語である)と呼ばれるネットワーク要素により実行可能であることに、さらに留意されたい。
【0006】
再び図1に目を向けると、MSCはそのサービスエリア内で移動しているユーザのために回路交換方式の呼び出しおよびモビリティ管理を特に支援する電話交換局である。データはディジタル方式でエンコードされた形式で有線ネットワークからMSCに対して直接配信可能である。図で示すように、MSCは公衆交換電話網(PSTN:public switched telephone network)に接続する。AuCは、その認証機能を実行するためMSCを介して間接的に動作する。
【0007】
SGSN(サービングGPRSサポートノード(Serving GPRS Support Node))はそのサービスエリア内のユーザ端末の位置を追跡し、課金機能およびセキュリティ機能を支援し、ダウンリンクパケットをRNCの方へトンネルし、アップリンクパケットをRNCからディトンネルする。パケットのトンネリングおよびディトンネリングは、モバイルユーザがあちこち移動する間インターネットへの接続を維持することを特に可能にするGPRSトンネリングプロトコル(GTP:GPRS Tunneling Protocol)に従っている。
【0008】
GGSN(ゲートウェイGPRSサポートノード(Gateway GPRS Support Node))は、外部パケットデータネットワークに関してIPルータとして機能する。図で示すように、例えばGGSNは「IPネットワーク」に接続する。また、GGSNはセキュリティ機能および課金機能も支援する。GTPに従ってGGSNは、外部のパケットネットワーク上で移送される通常のIPパケットと、UMTSコアネットワーク内でトンネルされるGTPパケットとの間の変換を行う。外部パケットネットワークにとって、ユーザはあちこち移動している可能性があるにも関わらず、GGSNに固定されているかのように見える。
【0009】
この点に関して、いくつかの北アメリカのCDMA標準などの他の標準によると、RNCはSGSNの代わりにPDSNに接続されることに留意されたい。次に、PDSNはホームエージェント(HA:Home Agent)に接続される。また、PDSNとRNCの間の通信、ならびに基地局に対する通信に使用されるトンネリングプロトコルはGTPを含まない。IEEE 802.16ベースのWiMAXシステムなどの他のシステムおよび標準は、アクセスゲートウェイ(AGW:Access Gateway)に接続された基地局から構成される異なる階層構造を使用する。全体として、詳細が異なっていても機能は同様である。
【0010】
基地局は一般には露出した位置にあり、それゆえ物理的な侵入に対して比較的安全でない。一方、RNC、MSC、SGSNおよびGGSNは典型的には、盗聴、改竄、破壊活動および窃盗に対して機密に属するネットワーク情報が保護可能である中央局に位置している。
【0011】
したがって、セキュリティ関連機能の実行は物理的に安全なそれらのネットワーク要素に限定されるが、基地局は暗号化されたデータを転送するためにのみ動作し、暗号化されたメッセージをデコードすることはない。物理的に安全なネットワーク要素が同様に安全なネットワークに相互接続されると仮定されるので、一般にそれらのネットワーク要素間の安全なトンネルをさらにセットアップするために必須の要件はない。
【0012】
多様な高度のアーキテクチャが提案されてきており、それらのアーキテクチャはいくつかのネットワーク要素でより広く露出され、物理的なセキュリティが低下することにつながりうる。例えばBSR(基地局ルータ(Base Station Router))アーキテクチャなどのフラットなIPアーキテクチャは、RNC、SGSNおよびGGSNのほとんどの機能を基地局に統合している。(別の種類のBSRアーキテクチャはUMTSアーキテクチャよりもむしろSAE/LTEアーキテクチャに関連がある。この第2のタイプのBSRにおいてeNB、MMEおよびUPEは基地局に統合されている。前述の略語はそれぞれ「拡張されたノードB(enhanced Node B)」、「移動管理エンティティ(Mobility Management Entity)」、および「ユーザプレーンエンティティ(User Plane Entity)」の略称である)。
【0013】
したがって例えば図2は、BSR90と無線通信しているモバイルユーザ80を示しており、次にBSR90はAuC100、SIPサーバ110、IPネットワークおよびPSTNを含むバックホールネットワークに接続する。図で示すように、IPネットワークはBSRをAuCおよびSIPサーバに接続する。SIP(セッションイニシエーションプロトコル(Session Initiation Protocol))は、VoIP(ボイスオーバーIP(Voice over IP))、および複数の種類の媒体を含む、他のタイプの対話形式ユーザセッションのためのインターネットシグナリングプロトコルである。図ではSIPサーバブロックはVoIPなどのための支援機能全てを表すことを意味している。
【発明の概要】
【発明が解決しようとする課題】
【0014】
BSRおよび同様のアーキテクチャでは、暗号化機能および他のセキュリティ関連機能、ならびにキー情報および他の機密に属する情報でさえ、物理的に露出した位置に存在しうる。さらに、BSRは、盗聴および改竄に対して脆弱な公衆IPネットワークを介して外部接続を行うことがある。このように露出が増大するので、悪質な行為に対する新しい予防措置が必要である。
【0015】
しかし、バックホールネットワークの物理的な保護が保証できないので、この新しい予防措置が少なくとも部分的には論理的に根拠があることが望ましい。一方、論理的に根拠のある新しい予防措置は、例えばその予防措置がいくつかの無線標準と矛盾するため、または無線標準には従っているがその予防措置がインターネット標準と矛盾するため、障害に直面する可能性がある。
【0016】
それゆえ、エンドツーエンドで、すなわち無線ユーザ端末とIPネットワークのノードの間で、またはIPネットワークを経由して接続された2つの無線ユーザ端末間で効果的であり、さらに現行のIP標準を大きく変更することなく実行可能である、悪質な攻撃に対する予防措置が特に必要である。
【課題を解決するための手段】
【0017】
本発明者はこの種の予防措置を開発した。したがって、本発明は、リンクによって相互接続されたノードのネットワークにおいてAおよびBで指定される2つのエンドポイントノード間でパケットpを伝送することを含む。
【0018】
第1の広範な例によれば、エンドツーエンドキーが、現存するホップバイホップセキュリティアソシエーションを使用して確立される。この点に関して「エンドツーエンド」で情報を送信することは、1つのタイプのネットワークもしくはプロトコルから別のネットワークもしくはプロトコルに対して、1つの加入者ネットワークから別の加入者ネットワークに対して、または1つのサービスプロバイダから別のサービスプロバイダに対しての遷移がある場合に、あるいはユーザ端末が位置している場合に、あるいはメッセージについて任意の他の種類のエンドポイントがある場合に、任意のペアのネットワークエンティティ間で情報を送信することを意味する。
【0019】
例えば、Aは、Bに対するエンドツーエンドキーのパケット暗号化キー(PEK:Packet Encryption Key)を確立する。キーを確立するのに必要な情報は、現存するホップバイホップセキュリティアソシエーションを使用してAとBの間で安全に転送される。キーPEKはパケット固有である。パケットpはキーPEKで暗号化され、AからBに対して伝送される。
【0020】
具体的な例では、キーPEKはAで生成され、ネットワークを介してBに対して伝送される。
【0021】
他の具体的な例では、AはBとのセッションを確立する。「セッション」とは、別個のIPアドレスを有するエンティティの間で、開始および終了を有する時間帯の間でのデータパケット交換についての相互の了解を意味する。AおよびBは両方とも、少なくとも1つのセッションキーSEKを所有する。例えば、AはセッションキーSEKを作成し、それをBに対して送信することが可能である。次にAおよびBはそれぞれ別々に、知られているアルゴリズムを使用して、少なくともセッションキーSEKから、かつパケットpの一意のプロパティから、パケット固有暗号化キーPEKを作成する。セッションキーは現存するホップバイホップセキュリティアソシエーションを使用してAからBに対して安全に送信される。
【0022】
AからBに対するネットワークパスの少なくとも1つのホップは、完全性キーを共有する1つのペアのノード間で起こることがある。例えばAは、Aのサービスをする基地トランシーバノードと完全性キーを共有する無線ユーザ端末であってよい。同様にBもまた、Bのサービスをする基地トランシーバノードと完全性キーを共有する無線ユーザ端末であってよい。「基地トランシーバノード」とは、基地局、ノード−B、基地トランシーバ局、BSRまたは同様の機能を有する無線ネットワークの他の任意の要素を意味する。
【0023】
第2の広範な例は、パケット固有暗号化キーPEKがパケットpを暗号化するのに使用される方法を含む。キーPEKの署名は、2つのノードで共有される完全性キーを使用して、2つのノードのそれぞれで別々に計算される。署名は2つのノードのうちの一方から他方に対してパケットpに関連付けて送信される。受信するノードは署名を使用してパケットpを検証する。
【0024】
この点に関してパケットを「検証する」ことは、パケットの送信元がPEKを所有していたことを検証することを意味する。この意味でのパケットの検証は、パケットが例えば改竄などによる許可されていない改変がないことを必ずしも保証しないことに留意されたい。
【0025】
具体的な例において、完全性キーを共有するノードは、無線ユーザ端末および無線ユーザ端末にサービスをする基地トランシーバノードである。
【0026】
具体的な例において、パケットpは、第1の無線ユーザAからネットワークを介して第2の無線ユーザBに対して送信される。ユーザAおよびユーザAのサービスをする基地トランシーバノードは、キーPEKの署名を使用してパケットpの真正性を検証し、ユーザBおよびユーザBのサービスをする基地トランシーバノードについても同様である。
【図面の簡単な説明】
【0027】
【図1】先行技術のUMTSシステムのアーキテクチャのハイレベルなブロック図である。
【図2】BSRを使用する無線システムのハイレベルなブロック図である。
【図3】IPネットワークを介し複数のホップを経由して互いに通信するそれぞれのBSRを介して、2台のモバイルユーザ端末が互いに接続されているハイレベルなブロック図である。
【図4】ユーザがセッションを開始し、セッションコードをターゲットユーザに配信する例示的な手続きの流れ図である。
【図5】開始ユーザがパケットをターゲットユーザに対して送信する例示的な手続きの流れ図である。
【図6】ターゲットユーザおよびターゲットユーザにサービスをするBSRが、開始ユーザによって送信されるパケットを認証する例示的な手続きの流れ図である。
【図7】下記のいくつかの方法に関連して使用可能であるパケットフォーマットの概略図である。
【発明を実施するための形態】
【0028】
説明の目的のために、UMTSネットワークの環境で本発明の新しい方法が適用されている例を記載する。しかし、説明されるべきそれらの方法は適用例においてより大まかなものであることに留意されたい。例えばそれらの方法は、広範囲の標準のいずれかに従う無線サービスの環境で適用可能であり、それらの標準の中でGSM標準およびUMTS標準は2つの例にすぎない。さらに、それらの方法はアクセス技術が有線である環境、およびアクセス技術が無線である環境に適用可能である。またさらに本発明の方法は、例えば従来の無線サービスおよびボイスオーバーIP(VoIP:Voice over IP)などのアプリケーションレベルのサービスを含みうる多様な種類のサービス環境に有効に適用される。またさらに本発明の方法が提供可能であるセキュリティの拡張は、ハードウェアエンティティとしてのアクセス端末間のセキュリティに関連することが可能であるか、またはそのセキュリティの拡張は、ユーザ間、すなわちサービスに対する加入者として認識される人々の間のセキュリティに、同じくらい有利に関連することが可能である。
【0029】
上述のようにUMTSネットワークにおける認証センター(AuC:Authentication Center)は、ネットワークにサインオンしようとしている加入者の端末に設置されているSIMカードを認証する。認証処理は加入者とAuCの間で共有される秘密キーに依拠する。より詳細には、「ルートキー」と呼ばれる固定キーが加入者のS1Mカード内に格納され、無線ネットワーク内にも格納される。典型的なUMTSネットワークでは、ルートキーはAuCに格納されるが、ホームロケーションレジスタ(HLR:Home Location Register)などの他のネットワーク要素にも格納可能である。ユーザ端末およびネットワークはそれぞれ、ルートキーから秘匿キーCKおよび完全性キー(integrity key)IKをローカルに生成する。GSM、TDMAおよびCDMAシステムのための標準などの多様な他の無線標準は、認証およびセキュリティのための同様の手続きを記載していることに留意されたい。
【0030】
例示のシナリオでは、図3に示すようにユーザ端末120は、例えば上述のようにBSRI30に対する無線通信を経由してネットワークに対してユーザ端末120自身を認証する。次に端末120は、BSR150によりサービスされるユーザ端末140とのセッションを確立する。セッションが確立される手続きはよく知られている標準に従って典型的に行われるので、本明細書で詳細に説明する必要はない。ブロードバンド無線環境におけるこれらの標準の例は、3GPPおよび3GPP2の標準ならびにIEEE 802.16 WiMax標準である。
【0031】
図ではBSRが互いに通信するのに経由するIPネットワークが、3台のサーバ161、162、163で表されている。図は純粋に教示的な目的のために与えられており、IPネットワークにおけるノードもしくはサーバの数またはBSRもしくはユーザの数について、あるいは他のいかなる意味においても限定するものとして理解されるべきではない。
【0032】
ユーザ端末120とBSR130の間の通信は暗号化により保護されるので有利である。上記で説明したようにUMTSシステムにおいて、例えばこの通信は典型的には、その通信を秘匿キーCKで暗号化し、ユーザ端末とBSRの間で交換されるメッセージの完全性を確実なものにするために追加のキーIKを使用することにより保護される。同様に、無線ユーザ端末および無線ユーザ端末にサービスをするBSRからなる他のノードペアはそれら自身の秘匿キーおよび完全性キーを有する。したがって、例えば端末120とBSR130の間のリンクは、より大まかにはキーのベクトルであってよいキー171によって保護されるものとして図に示される。同様に、端末140とBSR150の間のリンクはキー172によって保護される。
【0033】
また、BSRI30およびBSR150が通信するのに経由するIPネットワークまたは他のネットワークも、暗号化を使用してそのネットワークを介して送信されるメッセージを保護することが可能である。例えば、この目的のために暗号化の使用を記載している、多様なIETF標準がある。例えば、IETF標準文書に記載されているIPSec(インターネットセキュリティ(Internet Security))アーキテクチャは、パケットペイロード内のデータを暗号化するためのカプセル化セキュリティペイロード(ESP:Encapsulating Security Payload)などのプロトコルを含む。
【0034】
典型的には各ホップは異なる秘匿キーによって保護される。したがって、一例として図3は、キー173−176のそれぞれのキーによって保護されるものとして、IPネットワークの各リンクを示す。
【0035】
図3のユーザ端末120および140などのネットワークノード間の通信が上述のホップバイホップセキュリティ対策を使用することは概して有利である。ネットワークで露出された地点で盗聴および改竄に対する拡張された保護を提供するセキュリティ対策を、ここでさらに説明する。
【0036】
図4に記載されている手続きを見ると、ここで「ユーザA」と命名される開始ユーザは、ここで「ユーザB」と命名されるターゲットユーザとのセッションを確立することを望んでいることがわかる。より大まかには、開始ノードおよびターゲットノードはネットワークにおける任意のノードであってよく、無線ユーザ端末などに限定されない。ブロック180で、よく知られている方法に従ってセッションが確立される。ブロック190で、秘匿キーCKA,BSR−Aおよび完全性キーIKA,BSR−Aが、ユーザAとユーザAにサービスをするBSR(上述のようにここで「BSR−A」と命名される)との間に確立される。この点に関して、この手続きが限定する目的のためにではなく、純粋に説明の目的のためにBSRネットワークの環境で説明されており、多様な種類の通信ネットワークにおいて有益な適用例を見いだせることに留意されたい。
【0037】
ブロック200で示すように、セッションキーSEKはここで生成され、ユーザAとBSR−Aの間で交換される。より大まかには、セッションキーは2つ以上のキーのベクトルであってよい。例えば、キーのベクトルはセッションを暗号化するための1つまたは複数のキー、およびパケットを認証するための1つまたは複数の他のキーを含んでよい。話を簡単にするために、単一のセッションキーSEKに言及するが、実際は2つ以上のキーのベクトルが使用可能であることに留意されたい。
【0038】
セッションキーSEKは典型的にユーザAにより生成され、ユーザAとBSR−Aの間で確立された秘匿キーの保護の下でBSR−Aに伝送される。しかし、他の構成も可能である。例えば、BSR−Aがキーを生成してそれをユーザAに送信することが可能であるか、またはサードパーティがユーザAおよびBSR−Aの両方にキーを配信することが可能であるか、または事前に構成されたアルゴリズムおよび共有されたデータを使用してユーザAおよびBSR−Aがそれぞれローカルにキーを計算することが可能である。いずれにしてもセッションキーを生成するアルゴリズムはよく知られており、本明細書で詳細に説明する必要はない。例えば、適切なアルゴリズムは3GPPおよび3GPP2の標準に記載されている。具体的な一例は3GPP2標準に記載されている拡張暗号アルゴリズム(ECA:Enhanced Cryptographic Algorithms)により与えられる。
【0039】
図4のブロック210および220で示すように、セッションキーはホップバイホップ暗号化の保護の下でBSR−BおよびユーザBに対して転送される。すなわちセッションキーは、各ホップ上でそのホップのエンドポイント間のセキュリティアソシエーションに従って与えられる秘匿キーにより保護される。結果としてセッションキーは図3のノード161−163などの各中間ノードで復号化されてよく、次に現在のノードと次のノードの間のセキュリティアソシエーションに従って再度暗号化されてよい。BSR−BからユーザBに対する最後のホップまで、ユーザBがネットワークに対してユーザB自身を認証したとき確立された秘匿キーを使用して、セッションキーは典型的に暗号化される。
【0040】
図5を見ると、ブロック230で、ユーザAがここでユーザBに伝送されるべきパケットを生成することがわかる。伝送されるべきこの各パケットに対してユーザAは、他のパケットではなくそのパケットに固有のパケット暗号化キーPEKを計算する。例えばキーPEKは、セッションキーおよびパケットの一意のプロパティを含む入力から計算されてよい。使用されうるパケットの1つのプロパティは、シーケンス番号または同期をとったカウンタ値である。したがって例えば、カウンタ値とセッションキーの間でXORなどの論理演算を実行することにより、キーPEKは生成可能である。複数のセッションキーがある場合には、1つのセッションキーがキーPEKを生成するのに使用されるものとして特に指定されてよい。理解されるように、各パケットについてのキーPEKもまた、BSR−A、BSR−BおよびユーザBでローカルに計算される。
【0041】
図5のブロック240で示すように、ユーザAも本明細書では
【数1】
で示されるキーPEKの署名を計算する。当然、例えばランダム数、暗号同期パラメータ、加入者プロファイルID(SPID:subscriber profile ID)などの他の入力も署名の計算に含まれてよい。特に、必ずしも機密ではないが時間に依存したパラメータが含まれることもある。
【0042】
ブロック250で示すように、ユーザAは、対応するパケットに関連付けてその署名をBSR−Aに対して送信する。署名はパケット、例えばヘッダ部分に添付されてよい。別法として署名は、帯域外伝送、例えば制御チャネルで送信可能である。ブロック260で示すように、BSR−Aは単独で
【数2】
のローカルな計算を実行する。
【0043】
上述のように
【数3】
は、関連する2つのノード間で共有される完全性キーを使用して計算されてよく、この完全性キーはこの場合には、ユーザAとBSR−Aの間で共有される完全性キーである。署名
【数4】
は典型的にはPEKより短い。例えば、署名は暗号化圧縮またはハッシュ関数の結果であってよい。この関数は、PEKの知識を正当に共有するエンティティに知られているランダムノンス(randam nonce)およびカウンタ値などの他の数量と一緒に、PEKを入力として取り込むことが可能である。この関数は当技術分野でよく知られており、本明細書で詳細に説明する必要はない。この環境で有益な関数の一例は、IETFのHMAC標準に使用されているセキュアハッシュ関数1(SHA−1:Secure Hash Function 1)である。
【0044】
【数5】
などの署名の目的は、所与のリンクを介してのパケット送信者が、パケットだけでなくキーPEK、および署名を作成するのに使用されたキーを所有していたことを検証することである。パケットペイロードなどのデータのより大きなブロックの署名を計算することは、もちろん可能である。しかし、PEK署名はユーザ端末およびBSRで計算資源に対する要求を著しく減少させながら、効果的なパケット検証を実行するので、有利である。
【0045】
上述の例のネットワークでは、所与のリンクはユーザAからBSR−Aに対するリンクであってよいし、または、理解されるように、BSR−BからユーザBに対するリンクであってよい。これらのリンクは無線なので、偽のパケットがセッションに投入されるか、または例えばパケットが改変された後に古いパケットがセッションに再投入される攻撃に特に脆弱でありうる。PEKは伝送されないので、攻撃者によってインターセプトされる可能性はない。その代わり、攻撃者はPEKを計算する必要があるが、セッションコードが他の情報と一緒にインターセプトされるという起こりそうにない場合にのみ、このことは可能である。それゆえ、侵入するパケットはリンクの受信側で検出され、拒絶されることが可能である。したがってブロック270で示すように、ローカルに計算された
【数6】
の値がユーザAから受信した値に一致する場合にのみ、BSR−Aはパケットを真正なものとして受け付ける。ブロック280で示すように、パケットが受け付けられる場合、BSR−Aはネットワークを介してパケットをBSR−Bに転送する。ネットワークを介してパケットが通るパス上の隣接するノードの各ペアは、一意の秘匿キーを共有することが可能である。したがってパケットは各ホップの後に復号化され、次のホップの前に新しいキーで再度暗号化されることが可能である。
【0046】
典型的にパケットの内容はユーザAによりキーPEKを使用して暗号化されているので、全中間ノードにとってアクセスできないものとなる。すなわち、キーPEKが(直接的に、またはPEKを生成するためのSEKなどの入力を配信することによって)ネットワークを介して配信されても、PEKの知識は中間ノードに対して拒否されることが可能である。例えば安全なIPSecトンネルはBSR−AとBSR−Bの間で確立されることが可能であるか、またはBSR−AおよびBSR−Bは中央セキュリティサーバ(Central Security Server)を共有することが可能である。それらまたは同様の手段により、安全なキーの配信が容易に遂行される。もちろん、IPSecトンネルなどはセッションの全パケットの安全な伝送に使用されることが可能である。しかし、暗号化プロトコルをこのように極度に使用することは、中間ノードでの計算資源に対して過度の負荷をかけるおそれがある。この負荷は、例えばセッションにつき1回のみ、キーの配信に対してだけIPSecトンネルを使用することにより避けられる。
【0047】
上述のように中央セキュリティサーバまたはIPSecトンネルの使用は、現存するホップバイホップセキュリティアソシエーションを使用するキーの配信の一例である。この点に関して、キーの配信が完了した後、中央セキュリティサーバが適切なセッションに属するパケットのルーティングに携わる必要がないことは、注目に値する。それゆえ、限定された使用だけが中央セキュリティサーバでなされる。
【0048】
次に図6に注目し、この図6で示す一連のステップは、ブロック290でBSR−Bによるパケットの受信から始まる。パケットは典型的にBSR−Bが先行するノードと共有する秘匿キーで暗号化されたものとして到達する。したがってブロック300で示すように、BSR−Bはその秘匿キーに関連してパケットを復号化する。
【0049】
さらにブロック300で示すように、BSR−Bは単独で
【数7】
のローカルな計算を実行する。典型的にこの計算は
【数8】
の計算と同様である。しかしBSR−BとユーザBの間の完全性キーは、BSR−AとユーザAの間の完全性キーの代わりに入力として使用される。
【0050】
ブロック310でBSR−Bは、ユーザBと共有する秘匿キーを使用してパケットを再度暗号化し、それをユーザBに転送する。ブロック320で示すように、BSR−Bはまた、前述のように、帯域内伝送または帯域外伝送を介して、パケットに関連付けて
【数9】
をユーザBに送信し、この際、署名
【数10】
が参照される。ブロック330で、BSR−Bはパケットを復号化し、
【数11】
の単独でローカルな計算を実行する。ローカルに計算された値がBSR−Bによって送信された値と一致する場合、パケットは検証されたものとして、すなわち、PEKを所有するエンティティによって発信されたことを検証されたパケットとして受け付けられる。
【0051】
上述のように、各パケットに対するPEKは、最初のホップの始点ノードおよび終点ノード、ならびに最後のホップの始点ノードおよび終点ノードでローカルに計算されてよい。セッションキーはPEKを計算するための入力として使用される。セッションキーは、現存するホップバイホップセキュリティアソシエーションを使用して、暗号化された形式でネットワークを介して伝送される。
【0052】
しかし他の例ではセッションキーは任意であり、PEKがホップバイホップ暗号化を使用してネットワークを介して転送される。例えば、ユーザA(起動ノードの例として)は、パケットまたは少なくともパケットペイロードをPEKで暗号化する。またユーザAは、BSR−A(最初のホップの終点ノードの例として)と共有する秘匿キーを使用してPEKを暗号化し、BSR−Aと共有する完全性キーを使用してPEKに署名する。暗号化されたPEKおよびその署名は、ユーザAからBSR−Aに対してパケットに関連付けて、上述のように署名
【数12】
を参照して送信される。
【0053】
図7を参照して、例えばパケット400はIPヘッダ410、ペイロード420およびPEKフィールド430を含む。ペイロード420はエンドツーエンドでPEKで暗号化される。
【0054】
PEKはBSR−AからBSR−Bに対してネットワークを介して、ホップバイホップ暗号化を使用して、パケットとともに送信される。それゆえ、PEKは各中間ノードで復号化され再度暗号化されることが可能であるが、中間ノードでパケットの復号化はなされない。典型的なパケットにおいて、フィールド430における暗号化されたPEKがたった128ビットの長さでありうるのに対し、フィールド420におけるペイロードは1500バイトの長さであることがある。それゆえ、PEKのみを復号化し再度暗号化することが大量の計算資源を節約することは明らかである。
【0055】
図7の例では、PEKフィールド430の内容は最初のホップ、すなわちユーザAからBSR−Aに対するホップ上で秘匿キーCKA,BSR−Aで暗号化される。BSR−AからBSR−Bに対するパスの各ホップ上で、フィールド430の内容は例えば適切なIPSecキーで暗号化される。それゆえ、このホップが2つ以上ある場合、一連のIPSecアソシエーションはPEKを保護するために使用可能である。
【0056】
BSR−BでPEKは、BSR−BがユーザBと共有する秘匿キーCKB,BSR−Bを使用して暗号化され、BSR−BがユーザBと共有する完全性キーを使用して署名される。暗号化されたPEKはBSR−BからユーザBに対してフィールド430で送信され、PEK署名はBSR−BからユーザBに対してパケットに関連付けて送信される。
【0057】
SEKがネットワークを介して転送されるべき場合、その転送は多様で可能な任意の技術によって実行可能である。このような技術の一つによると、新しいセッションの最初のトラフィックパケットは、適切なPEKで暗号化された少なくともそのペイロードと一緒に送信される。ユーザAがパケットをBSR−Aに対して送信するとき、ユーザAはSEKを、ユーザAがBSR−Aと共有する秘匿キーにより暗号化されたものとして、添付する。BSR−AはSEKを復号化し、現存するセキュリティアソシエーションを使用してSEKをBSR−Bに対して配信する。BSR−BがパケットをユーザBに対して送信するとき、BSR−BはSEKを、ユーザBがBSR−Bと共有する秘匿キーにより暗号化されたものとして、添付する。
【0058】
多様な代替の技術の1つによると、SEKは呼をセットアップする間に適切なプロトコルを使用して配信される。例えばSEKは、VoIP呼または例えばIMS(IPマルチメディアサブシステム(lP Multimedia Subsystem))に基づいたサービスをセットアップするためのSIP(セッションイニシエーションプロトコル)メッセージとともに配信可能である。
【特許請求の範囲】
【請求項1】
ネットワークを介して第1のエンドポイントから第2のエンドポイントに対してパケットを安全に伝送するためのエンドツーエンドキーを確立するステップと、
第1のエンドポイントから第2のエンドポイントに対してパケットを伝送するステップと
を含み、
エンドツーエンドキーを確立するステップが、2つ以上のホップバイホップセキュリティアソシエーションの保護の下でネットワークを介して第1のエンドポイントから第2のエンドポイントに対して情報を伝送するステップを含む、方法。
【請求項2】
エンドツーエンドキーがパケット固有暗号化キーであり、エンドツーエンドキーを確立するステップが、パケット固有暗号化キーがセッション暗号化キーおよびパケット固有情報から計算されることが可能であるように、第1のエンドポイントから第2のエンドポイントに対してセッション暗号化キーを伝送するステップを含む、請求項1に記載の方法。
【請求項3】
エンドツーエンドキーを確立するステップが、ネットワークを介してトラフィックパケットの一部として情報を伝送するステップを含む、請求項1に記載の方法。
【請求項4】
エンドツーエンドキーがパケット固有暗号化キーであり、
第1のエンドポイントおよび第2のエンドポイントの中間に位置しているネットワークのノードと共有される完全性キーを使用してパケット固有暗号化キーの署名を計算するステップと、
第1のエンドポイントから第2のエンドポイントに対して中間ノードを経由してパケットを伝送するステップと、
伝送されるパケットに関連付けて中間ノードに対して署名を伝送するステップと
をさらに含む、請求項1に記載の方法。
【請求項5】
ネットワークのノードで実行されるべき方法であって、
ネットワークの前のノードから前記前のノードとともにセキュリティアソシエーションの保護の下で、セッション暗号化キーを受信するステップと、
パケット固有暗号化キーで暗号化されたペイロード部分を有する転送されたパケットを前記前のノードから受信するステップと、
セッション暗号化キーおよび転送されたパケットに固有の情報を含む入力からパケット固有暗号化キーをローカルに計算するステップと
を含む、方法。
【請求項6】
ローカルに計算されたパケット固有暗号化キーを使用してパケットを復号化するステップをさらに含む、請求項5に記載の方法。
【請求項7】
ネットワークの別のノードと共有される完全性キーを使用してパケット固有暗号化キーの署名をローカルに計算するステップをさらに含む、請求項5に記載の方法。
【請求項8】
完全性キーが前記先行するノードと共有され、ローカルに計算されたパケット固有暗号化キー署名を、パケットに関連付けて受信されたパケット固有暗号化キー署名と比較して、それによりパケットを検証するステップをさらに含む、請求項7に記載の方法。
【請求項9】
完全性キーがネットワークの後続のノードと共有され、
後続のノードに対してパケットを転送するステップと、
ローカルに計算されたパケット固有暗号化キー署名を後続のノードに対してパケットに関連付けて伝送して、それにより後続のノードに対してパケットを検証するステップと
をさらに含む、請求項7に記載の方法。
【請求項10】
完全性キーを共有する第1のノードおよび第2のノードを含むネットワークにおいてパケットを処理する方法であって、
少なくともパケットのペイロード部分がパケット固有暗号化キーで暗号化されるように第1のノードから第2のノードに対してパケットを伝送するステップと、
パケットを検証するために使用されるべきパケット固有暗号化キーの署名を計算するステップであって、前記署名の計算が完全性キーを使用して実行されるステップと、
パケット固有暗号化キー署名を第2のノードに対してパケットに関連付けて伝送するステップと
を含む、方法。
【請求項11】
完全性キーを共有する第1のノードおよび第2のノードを含むネットワークにおいてパケットを処理する方法であって、
少なくともパケットのペイロード部分がパケット固有暗号化キーで暗号化されるように第1のノードからパケットを受信するステップと、
第1のノードからパケット固有暗号化キーの署名を受信するステップと、
パケット固有暗号化キーの署名を計算するステップであって、前記計算が完全性キーを使用して実行されるステップと、
計算されたキー署名を受信されたキー署名と比較するステップと、
計算されたキー署名が受信されたキー署名と一致する場合、パケットを検証されたものとして受け付けるステップと
を第2のノードにおいて含む、方法。
【請求項12】
パケット固有暗号化キーを使用してパケットを復号化するステップをさらに含む、請求項11に記載の方法。
【請求項13】
パケットが検証されたものとして受け付けられた場合、パケットを送信先に対して転送するステップをさらに含む、請求項11に記載の方法。
【請求項1】
ネットワークを介して第1のエンドポイントから第2のエンドポイントに対してパケットを安全に伝送するためのエンドツーエンドキーを確立するステップと、
第1のエンドポイントから第2のエンドポイントに対してパケットを伝送するステップと
を含み、
エンドツーエンドキーを確立するステップが、2つ以上のホップバイホップセキュリティアソシエーションの保護の下でネットワークを介して第1のエンドポイントから第2のエンドポイントに対して情報を伝送するステップを含む、方法。
【請求項2】
エンドツーエンドキーがパケット固有暗号化キーであり、エンドツーエンドキーを確立するステップが、パケット固有暗号化キーがセッション暗号化キーおよびパケット固有情報から計算されることが可能であるように、第1のエンドポイントから第2のエンドポイントに対してセッション暗号化キーを伝送するステップを含む、請求項1に記載の方法。
【請求項3】
エンドツーエンドキーを確立するステップが、ネットワークを介してトラフィックパケットの一部として情報を伝送するステップを含む、請求項1に記載の方法。
【請求項4】
エンドツーエンドキーがパケット固有暗号化キーであり、
第1のエンドポイントおよび第2のエンドポイントの中間に位置しているネットワークのノードと共有される完全性キーを使用してパケット固有暗号化キーの署名を計算するステップと、
第1のエンドポイントから第2のエンドポイントに対して中間ノードを経由してパケットを伝送するステップと、
伝送されるパケットに関連付けて中間ノードに対して署名を伝送するステップと
をさらに含む、請求項1に記載の方法。
【請求項5】
ネットワークのノードで実行されるべき方法であって、
ネットワークの前のノードから前記前のノードとともにセキュリティアソシエーションの保護の下で、セッション暗号化キーを受信するステップと、
パケット固有暗号化キーで暗号化されたペイロード部分を有する転送されたパケットを前記前のノードから受信するステップと、
セッション暗号化キーおよび転送されたパケットに固有の情報を含む入力からパケット固有暗号化キーをローカルに計算するステップと
を含む、方法。
【請求項6】
ローカルに計算されたパケット固有暗号化キーを使用してパケットを復号化するステップをさらに含む、請求項5に記載の方法。
【請求項7】
ネットワークの別のノードと共有される完全性キーを使用してパケット固有暗号化キーの署名をローカルに計算するステップをさらに含む、請求項5に記載の方法。
【請求項8】
完全性キーが前記先行するノードと共有され、ローカルに計算されたパケット固有暗号化キー署名を、パケットに関連付けて受信されたパケット固有暗号化キー署名と比較して、それによりパケットを検証するステップをさらに含む、請求項7に記載の方法。
【請求項9】
完全性キーがネットワークの後続のノードと共有され、
後続のノードに対してパケットを転送するステップと、
ローカルに計算されたパケット固有暗号化キー署名を後続のノードに対してパケットに関連付けて伝送して、それにより後続のノードに対してパケットを検証するステップと
をさらに含む、請求項7に記載の方法。
【請求項10】
完全性キーを共有する第1のノードおよび第2のノードを含むネットワークにおいてパケットを処理する方法であって、
少なくともパケットのペイロード部分がパケット固有暗号化キーで暗号化されるように第1のノードから第2のノードに対してパケットを伝送するステップと、
パケットを検証するために使用されるべきパケット固有暗号化キーの署名を計算するステップであって、前記署名の計算が完全性キーを使用して実行されるステップと、
パケット固有暗号化キー署名を第2のノードに対してパケットに関連付けて伝送するステップと
を含む、方法。
【請求項11】
完全性キーを共有する第1のノードおよび第2のノードを含むネットワークにおいてパケットを処理する方法であって、
少なくともパケットのペイロード部分がパケット固有暗号化キーで暗号化されるように第1のノードからパケットを受信するステップと、
第1のノードからパケット固有暗号化キーの署名を受信するステップと、
パケット固有暗号化キーの署名を計算するステップであって、前記計算が完全性キーを使用して実行されるステップと、
計算されたキー署名を受信されたキー署名と比較するステップと、
計算されたキー署名が受信されたキー署名と一致する場合、パケットを検証されたものとして受け付けるステップと
を第2のノードにおいて含む、方法。
【請求項12】
パケット固有暗号化キーを使用してパケットを復号化するステップをさらに含む、請求項11に記載の方法。
【請求項13】
パケットが検証されたものとして受け付けられた場合、パケットを送信先に対して転送するステップをさらに含む、請求項11に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−178853(P2012−178853A)
【公開日】平成24年9月13日(2012.9.13)
【国際特許分類】
【外国語出願】
【出願番号】特願2012−96264(P2012−96264)
【出願日】平成24年4月20日(2012.4.20)
【分割の表示】特願2009−512111(P2009−512111)の分割
【原出願日】平成19年5月17日(2007.5.17)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
【公開日】平成24年9月13日(2012.9.13)
【国際特許分類】
【出願番号】特願2012−96264(P2012−96264)
【出願日】平成24年4月20日(2012.4.20)
【分割の表示】特願2009−512111(P2009−512111)の分割
【原出願日】平成19年5月17日(2007.5.17)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(596092698)アルカテル−ルーセント ユーエスエー インコーポレーテッド (965)
【Fターム(参考)】
[ Back to top ]