安全な複数UIM認証および鍵交換
一実施例では装置であり、装置は、第1のランダムノンス(RAND)および認証トークンを受け取ることによって認証鍵合意プロトコルを実行する通信デバイス構成要素を備え、通信デバイス構成要素は共有秘密鍵を有するように構成される。通信デバイス構成要素は、RANDおよび共有秘密鍵に擬似ランダム関数を適用することによって派生鍵を発生する。通信デバイス構成要素は、第2のランダムノンス(RANDC)および派生鍵に基づいて、セッション鍵の第1の組を発生し、セッション鍵の第1の組は通信を暗号化するのに用いられる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は一般に通信デバイスの認証における、認証および安全な鍵合意に関し、より詳細には加入者が複数のユーザ識別モジュールを用いる場合の拡張認証プロトコル(extensible authentication protocol:EAP)−認証および鍵合意(authentication and key agreement:AKA)に関する。
【背景技術】
【0002】
通信業界では安全なトランザクションを提供する必要性が十分に認められている。サービス提供者が、安全なトランザクションをサポートするシステムを提供できなければ、加入者は、購入、または安全に行われなければならない任意の他の商取引をするために無線デバイスを用いないことになる。したがって通信業界は絶えず、加入者が安全に個人的および業務上のトランザクションを行うことができる安全な環境を提供する努力をしている。たとえば、ユニバーサル移動体通信システム(Universal Mobile Telecommunications System:UMTS)標準は、認証鍵合意(authentication key agreement:AKA)および拡張認証プロトコル(EAP)−AKAを提供していることが知られている。
【0003】
AKAおよびEAP−AKAでは通信デバイスは、共有秘密鍵を用いて認証される。共有秘密鍵は、通信デバイスの一部であるユーザ識別モジュール(user identity module:UIM)内に常駐することができる。ネットワーク内に常駐する通信デバイスおよびサーバは、通信デバイスとアクセスネットワークの間の安全な通信リンクを確保するために、秘密鍵を用いて他の様々な鍵を計算することができる。この枠組みは、1つのUIMしかないときは有効に働く。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし加入者は、通常、2つ以上の通信デバイスを有する。たとえば加入者は、携帯電話、携帯情報端末、ラップトップ、および他の通信デバイスを有し得る。これらのデバイスのそれぞれは、アクセスネットワークを通して無線サービスを受けることができる。またこれらのデバイスのそれぞれは、安全なトランザクションをもたらすために認証される必要がある。複数の通信デバイスを有する加入者をサポートするための有効な方法は、加入者が所有する各デバイス用のUIMカードを加入者に与えることであり、各UIMカードは同じ共有秘密鍵を有する。しかし加入者が複数のUIMを有する場合は、AKAおよびEAP−AKAプロトコルにセキュリティホールが生じる。サービス提供者が、安全な通信リンクを提供し、かつ加入者が同じ共有秘密鍵を有する複数のUIMカードをもつことを可能にすることを望むならば、複数のUIMカードをもつことに関連するセキュリティホールに対処しなければならない。
【課題を解決するための手段】
【0005】
一実施形態では装置が提供される。装置は、第1のランダムノンス(RAND)および認証トークンを受け取ることによって認証鍵合意プロトコルを実行する通信デバイス構成要素を備え、通信デバイス構成要素は共有秘密鍵を有するように構成される。通信デバイス構成要素は、RANDおよび共有秘密鍵に擬似ランダム関数を適用することによって派生鍵を発生する。通信デバイス構成要素は、第2のランダムノンス(RANDC)および派生鍵に基づいて、セッション鍵の第1の組を発生し、セッション鍵の第1の組は通信を暗号化するのに用いられる。
【0006】
他の実施形態では装置が提供される。装置は、応答および第1のランダムノンス(RANDC)を受け取るように構成される。装置はまた、クライアント識別子に基づいて派生鍵を取り出し、派生鍵およびRANDCから期待応答を計算するように構成される。さらに装置は、応答を期待応答と比較し、応答が期待応答に等しい場合は、セッション鍵の第1の組を導出し、セッション鍵の第1の組は、暗号化された通信を行うためにセッション鍵の第2の組と共に用いられる。
【0007】
他の実施形態は方法が提供される。方法は、第1のランダムノンス(RAND)、第1の派生鍵、および認証トークンを含む認証ベクトルを受け取るステップを含む。方法はまた、認証要求メッセージを通信するステップであって、認証要求メッセージはRANDおよび認証トークンを含む、ステップと、第2のランダムノンス(RANDC)および応答を受け取るステップとを含む。方法はさらに、RANDCに基づいてセッション鍵の第1の組、および第1の派生鍵を導出するステップを含み、セッション鍵の第1の組は通信を暗号化するために用いられる。
【0008】
本発明の例示の実装形態の特徴は、説明、特許請求の範囲、および添付の図面から明らかになるであろう。
【図面の簡単な説明】
【0009】
【図1】従来技術の認証および鍵合意プロトコルを示すメッセージフローの一実装形態を示す図である。
【図2a】従来技術の認証および鍵合意プロトコルに関連する計算を表す図である。
【図2b】従来技術の認証および鍵合意プロトコルに関連する計算を表す図である。
【図3】安全な複数UIM認証および鍵交換プロトコルに対する例示のメッセージフローを示す図である。
【図4a】安全な複数UIM認証鍵交換プロトコルの一実施形態に関連する計算を表す図である。
【図4b】安全な複数UIM認証鍵交換プロトコルの一実施形態に関連する計算を表す図である。
【図5】安全な複数UIM認証鍵交換方法の一実施形態を示す例示のフローチャートである。
【発明を実施するための形態】
【0010】
図1を参照すると、一実施例におけるメッセージフロー100は、安全なアクセスチャネルをもたらすためのAKA/EAP−AKAメッセージフローの図を含む。ここからは簡潔にするためにAKAのみについて述べるが、AKAに関するすべての説明はAKA/EAPにも当てはまる。AKA認証プロトコルは、事前共有または共有秘密鍵(pre−shared or shared secret key:PSK)を有する、プロトコル内のいくつかの参加者に基づく鍵交換(key exchange:KE)プロトコルである。プロトコルにおける主参加者は通常は、サービングネットワーク(S)110へのアクセスを要求する通信デバイスすなわちクライアント(C)105である。サービングネットワークは、ホームネットワークである場合もあり、サービングネットワークはクライアントが訪問しているネットワークである場合もある。以下の説明ではメッセージは、サービングネットワーク110に送られる。一実施形態ではこれらのメッセージは、ホーム位置レジスタ、訪問者位置レジスタ、または他のサービングネットワークの構成要素に向かうことができる。実施された場合は、これらのメッセージはサービングネットワークの特定のノードに向かうことができるが、以下では一般にメッセージはサービングネットワーク110に向かうものとして説明する。サービングネットワーク110は通常は、クライアント(105)、および鍵サーバ(key server:KS)115と対話する。鍵サーバ115は通常は、クライアント(105)のホームネットワーク内に常駐する。
【0011】
クライアント105がネットワーク110にアクセスするときは、クライアント105は、アクセス要求120をサービングネットワーク110に送ることができる。アクセス要求120は、クライアントデバイス(モバイル通信デバイス)の電源投入、バーストデータに対する要求、またはクライアント105がサービングネットワーク110との接続の確立を望む場合がある任意の他の理由の結果として生じ得る。クライアント105および鍵サーバ115は、ネットワークを通して安全にデータを転送するのに用いられる完全性鍵(integrity key:IK)と、暗号鍵(cipher key:CK)とを発生する。通常はIKおよびCKは、共有秘密鍵を用いて発生される。共有秘密鍵は、サービングネットワーク110に無線で渡されず、通常はその代わりに共有秘密鍵は鍵サーバ115上に記憶される。また共有秘密鍵は、鍵サーバ115からサービングネットワークに送出されず、その代わりに鍵サーバ115は、様々な変数を含む認証ベクトル(authentication vector:AV)をサービングネットワーク110に渡す。サービングネットワーク110は、認証ベクトルの内容を用いてクライアント105を認証し、クライアント105とサービングネットワーク110の間の安全なチャネルを確立する。したがってクライアント105がサービングネットワーク110にアクセスしたときは、サービングネットワーク110は鍵サーバ115がどこに常駐するかを判定し、認証データ要求メッセージ122を鍵サーバ115に送る。
【0012】
認証データ要求122を受け取るとすぐに鍵サーバ115は、クライアント105の識別情報に基づいて共有秘密鍵を検索し、認証ベクトルに用いるべき値を決定する。一実施形態では認証ベクトルは、ランダムノンス(RAND)、期待応答(XRES)、CK、IK、および認証トークン(AUTN)の連接を含むことができる。これらの値に到達するために鍵サーバ115は、擬似ランダム関数f1からf5を使用することができる。これらの関数は異なる擬似ランダム関数でもよく、AESなどの同じ関数でもよい。後者の場合は関数が呼ばれたときに、関数特有の引数が先頭に追加されなければならない。したがってたとえば、fi(x)=AES(i,x)である。本明細書では擬似ランダム関数とは、AES、ハッシュ関数、擬似ランダム関数、Rijndael、または任意の他の擬似ランダム関数また準擬似ランダム関数を指す。
【0013】
AVを含む値に導出には、AVの他の変数を計算するのに、RAND、シーケンス番号(sequence number:SQN)、匿名鍵(anonymity key:AK)、およびメッセージ認証コード(message authentication code:MAC)を用いることができる。鍵サーバ115は、RANDおよびSQNを発生することができる。RANDは、たとえばSQNなどの様々なパラメータを用いて発生することができる。SQNは、一時的なAVを追跡し、クライアント105がリプレイを検出するのを補助するために用いることができる。AK匿名鍵は、
【0014】
【数1】
を用いて発生されるオプションのパラメータである。以降では、AKが用いられておらず、したがって
【0015】
【数2】
であるものとする。またMACの計算には、認証管理フィールド(authentication management field:AMF)が関連する。当業者には容易に理解されるように通常はAMFは、タイムアウト値などの技術的パラメータを選択するために用いられる。SQN、RAND、AMFを所与としてMACは、関数
【0016】
【数3】
を通して導出され、ただし
【0017】
【数4】
である。
【0018】
【数5】
のkは、共有秘密鍵(PSK)であることに留意されたい。
【0019】
さらにXRESは、
【0020】
【数6】
を用いて導出することができ、ただし
【0021】
【数7】
である。CKは、
【0022】
【数8】
を用いて導出することができ、ただし
【0023】
【数9】
である。IKは、
【0024】
【数10】
を用いて導出することができ、ただし
【0025】
【数11】
である。オプションのAKは、
【0026】
【数12】
を用いて導出することができ、ただし
【0027】
【数13】
である。および、
【0028】
【数14】
である。AVは、RAND、XRES、CK、IK、およびAUTNの連接として構成され、したがって、AV=RAND||XRES||CK||IK||AUTNである。鍵サーバ115で関連する計算を示すものとして図2Aを参照されたい。AV125は、鍵サーバ115からサービングネットワーク110に通信される。AV125を受け取るとすぐにサービングネットワークは、CKおよびIKを記憶し、認証要求130をクライアント105に通信することができる。認証要求130は、RANDと、鍵サーバ115によって計算されたAUTNとを含むことができる。
【0029】
認証要求130を受け取るとすぐにクライアントは、IKおよびCKの導出を試みることができる。クライアント105は、認証要求130にてRANDおよびAUTNを受け取っている。この例では0のAKが用いられているので、AUTN=SQN||AMF||MACである。クライアント105は、AVを導出するのに用いられた共有秘密鍵(k)を有するように構成されるので、図2Bに示されるようにクライアント105は、応答(response:RES)、CK、IK、および期待されるMAC(XMAC)を導出することができる。クライアント105は、SQNの有効性をチェックし、MACがXMACに等しいことを検証する。チェックが合格した場合は、クライアントはAKAが成功したと見なし、クライアントは導出したCKおよびIKをサービングネットワーク110との安全な通信に用いる。クライアント105はさらに、呼掛けに対する応答RESを計算し、サービングネットワーク110に送る。サービングネットワーク110は、RES=XRESであることを検証し、そうであればAKAが成功したと見なし、CKおよびIKを通信に用いる。これは第3世代パートナーシッププロジェクト(3rd Generation Partnership Project:3GPP)標準に準拠してAKAがどのように動作するかの概観である。
【0030】
前述したように、ネットワークに接続するために加入者が用いることができるデバイスの数が増えるのに従ってサービス提供者は、加入者のデバイスのそれぞれに対してUIMを発行することを望む場合があり、この場合は各UIMは同じ共有秘密鍵を有する。3GPP標準は、同じ共有秘密鍵を有する複数のUIMを可能にすることを留意されたい。しかし、加入者が複数のデバイスを有し各デバイスが同じ共有秘密鍵を有するそれ自体のUIMを有する環境で、知られている鍵交換プロトコルが用いられる場合は、セキュリティ脆弱性が現れる。このセキュリティ脆弱性を示す2つの攻撃シナリオについて述べる。
【0031】
第1のシナリオでは、第1のクライアント(C1)と第2のクライアント(C2)がサービングネットワークへの接続を試みる。C1およびC2は同じ加入者によって所有されるデバイスであるが、各デバイスはそれ自体のUIMを有することに留意されたい。したがってC1はUIM1を有し、C2はUIM2を有することができ、UIM1とUIM2は同じ共有秘密鍵を有する。鍵交換プロトコルの一部としてサービングネットワークは、RANDおよびAUTNをC1に送ることができ、これを敵(A)が漏れ聞く。次いでC2は、サービングネットワークとの接続の確立を試みる。しかしAは、C2のサービングネットワークとの通信を阻止することができ、漏れ聞いたRANDおよびAUTNをC2に繰り返す。C1およびC2は、同じセッション鍵CKおよびIKを導出することになる。ここでC1とC2はサービングネットワークと安全に通信していると考えるが、C1とC2は共に同じセッション鍵を用いて接続される。このシナリオではAは、Cのアカウント上で意図されていないトランザクションを作成することができる。たとえばC1によって実行されるトランザクションが、C1のUIMによって維持されるアカウント上の引き落とし額を伴う場合は、AはこのトランザクションをC2に対してリプレイすることができる(これは、C1がC2と同じセッション鍵を有するので可能である)。このリプレイは、対応するC2のUIM上の引き落とし額に影響を及ぼし得ることになり、これは明らかに意図されていないトランザクションであり、攻撃の成功である。
【0032】
第2の攻撃シナリオは、Aが、共有秘密鍵を含んだCのデバイスの1つを借用(または捕捉、または遠隔的にセキュリティを侵害する)する場合に生じ得る。秘密鍵は安全にUIMに記憶される。しかしUIMによって生成されるセッション鍵は、C2の主メモリにエクスポートされる。C2がセキュリティの侵害を受けたと仮定する。次いでAは、C1に向かうRANDおよびAUTNを漏れ聞き、RANDおよびAUTNをC2のUIMに転送する。C2のUIMは、セッション鍵IKおよびCKを発生し、主メモリにセッション鍵を置く。これらは、C1によって発生された同じセッション鍵であることに留意されたい。ここでAは、サービングネットワークとC1の間に確立された安全なセッションを支配する。
【0033】
複数UIMでのAKAを用いた上述の脆弱性を克服する1つの方法は、クライアントにランダム性を発生させて、確立されたセッション鍵に与えることである。これはすでに確立されたCKおよびIKを中間鍵として用いることによって行うことができ、UIMによってサンプルされたランダム性に基づいてセッション鍵を導出する。この提案に関連するメッセージフローを図3に示す。
【0034】
次に図3を参照すると、これは複数UIMのAKAプロトコルの一実施形態のメッセージフローを示す。メッセージフローにおける主参加者は、クライアント305、サービングネットワーク310、および鍵サーバ315である。クライアント305は、移動電話、携帯情報端末、ラップトップ、またはサービングネットワーク310へのアクセスを試みることができる任意の他のタイプのデバイスとすることができる。サービングネットワーク310は、クライアント305がアクセスするネットワークであるが、クライアント305のホームネットワークでもよくそうでなくてもよい。鍵サーバ315は、クライアント305のホームネットワーク内に常駐することができる。
【0035】
図1と同様に最初にクライアント305は、アクセス要求120をサービングネットワーク310に送ることによってネットワーク310との接続の確立を試みる。また図1と同様にサービングネットワーク310は、認証データ要求122を鍵サーバ315に送り、鍵サーバは、複数UIM鍵交換のために必要な情報の導出を開始する。UIM AKAプロトコルとは対照的に鍵サーバは、AVのためのCKおよびIKを生成せず、その代わりに鍵サーバ315は、共有秘密鍵およびRANDから派生鍵(KD)を計算する。図1と同様にクライアント305および鍵サーバ315は、共有鍵を有するように構成され、クライアント305の共有鍵は、鍵サーバ315の共有鍵と等しくまたは同じである。CKおよびIKは、KDから導出することができる。したがって鍵サーバ315によって生成されるAVは、RAND、AUTN、およびKDの連接を含む(すなわち、AV=RAND||AUTN||KDである)。
【0036】
AV317を生成するために必要な変数の計算には、擬似ランダム関数発生器f1、F、F1、およびF2が用いられる。先に述べたようにこれらの関数は異なる関数でもよく、AESなどの同じ関数でもよい。後者の場合は関数が呼ばれたときに、関数特有の引数が先頭に追加されなければならない。先に述べたように複数USIM AKAでは、鍵サーバ315は、セッション鍵CKおよびIKをサービングネットワーク310に送らない。その代わりに鍵サーバ312は、KDをサービングネットワーク310に送る。KDは、共有秘密鍵と、鍵サーバ315によって発生されたRANDとから導出することができ、したがって、KD=Fk(RAND)である。鍵サーバ315は、AKAプロトコルの場合のようにMACを計算し、したがって
【0037】
【数15】
である。図1に関連して述べたようにAMFは、通常は技術的パラメータを選択するために用いられる。XRESは、サービングネットワーク310がKDおよびRANDCに基づいてXRESを計算することになるので、省略される。鍵サーバ315はまた、AKAプロトコルの場合のようにAUTNを構成し、したがって、AUTN=SQN||AMF||MACである。上述のように、AV=RAND||AUTN||KDである。次いで鍵サーバ315は、AV317をサービングネットワーク310に送出する。AV317を受け取るとすぐにサービングネットワークは、AV317および具体的にはKDを記憶することができる。サービングネットワークは、記憶したKDに一意のクライアント識別子を関連付けることができ、一意のクライアント識別子は、モバイル識別表示、電子シリアル番号、または別の他の、通信デバイスの一意の識別子とすることができる。
【0038】
サービングネットワーク310は、AUTNとRANDとを含む認証要求320をクライアント305に送る。AKAの場合と同様にクライアント305は、AUTNを構成するMACおよびSQNを検証する。すなわちクライアント305は、MACが期待されるMACに等しいかどうかを判定することができる。MACが検証された場合は、クライアント305はKDを計算し、ただしKD=Fk(RAND)である。次いでクライアントはRANDCを発生し、RES=FKD(RANDC)を計算する。クライアント305はまた、CKおよびIKを計算することができ、ただし、CK=F1KD(RANDC)、およびIK=F2KD(RANDC)である。これらのクライアントの計算は、図4aに示される。この時点でクライアント305は、サービングネットワーク310との安全な通信セッションを行うために必要なセッション鍵(CKおよびIK)を有する。クライアント305は、認証応答330をフォーマットし、サービングネットワーク310に通信する。認証応答330は、RANDCおよびRESを含むことができる。これらのクライアントの計算は、クライアントのUIM内で行われることに留意されたい。共有秘密鍵および派生鍵は、UIMから出ることはない。しかしUIMは、UIMの外部のメモリにセッション鍵(CKおよびIK)をエクスポートすることができ、セッション鍵はクライアントとサービングネットワーク310の間の通信を暗号化するのに用いることができる。
【0039】
認証応答330を受け取るとすぐにサービングネットワーク310は、KDおよびRANDCから期待応答XRESを計算し、ただしXRES=FKD(RANDC)である。次いでサービングネットワークは、XRESが認証応答330のRESに等しいことを検証する。XRESの検証が成功した場合はサービングネットワーク310は、KDを取り出し、セッション鍵CKおよびIKを導出し、ただし、CK=F1KD(RANDC)、およびIK=F2KD(RANDC)である。XRES、CK、およびIKの導出は、図4bに示される。この時点でサービングネットワーク310は、クライアント305との安全な通信セッションを行うために用いることができるセッション鍵(IKおよびCK)を有する。
【0040】
次に図5を参照すると、この図は複数UIMのAKAプロトコルの方法500を示すフローチャートである。ステップ510では、クライアント、典型的にはUIMを備えた通信デバイスは、サービングネットワークへのアクセスを要求する。図1および図3に関連して述べたようにこれは、クライアントがアクセス要求メッセージをサービングネットワークに通信すること、およびサービングネットワークが認証データ要求を鍵サーバに通信することを引き起こし得る。520で鍵サーバはAVを発生することによって応答し、AVをサービングネットワークに通信する。AVの構成、およびどのようにAVのフィールドが計算されるかについては、図3に関連する説明で開示された。
【0041】
認証を求めるクライアントの要求に応じて、530でサービングネットワークは、認証要求をクライアントに通信する。認証要求は、RANDおよびAUTNを含むことができる。図3に関連して述べたように540でクライアントは、MACがXMACに等しいことを検証することができる。MACがXMACに等しくない場合は、590で方法は終了する。MACがXMACに等しい場合は、550でクライアントは、複数USIM AKAにおいて必要な他の変数を導出する。ステップ550はさらに、クライアントがRANDCを発生し、RES、CK、およびIKを計算することを含むことができる。クライアントがRANDCを発生し、RES、CK、およびIKを計算するやり方は、図3に関連して述べた。
【0042】
560でクライアントは、認証応答をサービングネットワークに通信する。認証応答は、RANDCおよびRESを含むことができる。図3に関連して述べたように、570でサービングネットワークは、XRESを計算し、XRESがRESに等しいかどうかを判定することができる。RESがXRESに等しくない場合は、方法500は590で終了する。XRESがRESに等しい場合は、580で複数USIM AKAのために必要な他の変数が導出される。ステップ580ではサービングネットワークは、図3に関連して述べたようにIKおよびCKを計算する。この時点でサービングネットワークおよびクライアントは、サービングネットワークとクライアントの間の安全な通信に用いることができるIKおよびCKを有する。
【0043】
一実施例におけるメッセージフロー500に関連する装置は、1つまたは複数の電子構成要素、ハードウェア構成要素、およびコンピュータ構成要素などの、複数の構成要素を備える。このような構成要素のいくつかは、装置内で組み合わせるまたは分割することができる。装置の例示の構成要素は、当業者には理解されるように、いくつかのプログラミング言語のいずれかを用いて書かれたまたは実現された1組の、および/または一連のコンピュータ命令を使用かつ/または備える。一実施例での装置は、任意の方向(たとえば水平、斜め、垂直)を有することができ、本明細書での説明および図面は、説明のために装置の1つの例示の方向を示す。
【0044】
本明細書で述べたステップまたは動作は、例示のためのみである。本発明の趣旨から逸脱せずに、これらのステップまたは動作に多くの変形例が存在し得る。たとえばステップは異なる順序で実行することができ、またはステップは追加、削除、または変更することができる。
【0045】
本発明の例示の実装形態について本明細書で示し詳細に説明してきたが、当業者には、本発明の趣旨から逸脱せずに、様々な変更、追加、置換などを行うことができることが明らかとなり、したがってこれらは添付の特許請求の範囲において定義される本発明の範囲内であると見なされる。
【技術分野】
【0001】
本発明は一般に通信デバイスの認証における、認証および安全な鍵合意に関し、より詳細には加入者が複数のユーザ識別モジュールを用いる場合の拡張認証プロトコル(extensible authentication protocol:EAP)−認証および鍵合意(authentication and key agreement:AKA)に関する。
【背景技術】
【0002】
通信業界では安全なトランザクションを提供する必要性が十分に認められている。サービス提供者が、安全なトランザクションをサポートするシステムを提供できなければ、加入者は、購入、または安全に行われなければならない任意の他の商取引をするために無線デバイスを用いないことになる。したがって通信業界は絶えず、加入者が安全に個人的および業務上のトランザクションを行うことができる安全な環境を提供する努力をしている。たとえば、ユニバーサル移動体通信システム(Universal Mobile Telecommunications System:UMTS)標準は、認証鍵合意(authentication key agreement:AKA)および拡張認証プロトコル(EAP)−AKAを提供していることが知られている。
【0003】
AKAおよびEAP−AKAでは通信デバイスは、共有秘密鍵を用いて認証される。共有秘密鍵は、通信デバイスの一部であるユーザ識別モジュール(user identity module:UIM)内に常駐することができる。ネットワーク内に常駐する通信デバイスおよびサーバは、通信デバイスとアクセスネットワークの間の安全な通信リンクを確保するために、秘密鍵を用いて他の様々な鍵を計算することができる。この枠組みは、1つのUIMしかないときは有効に働く。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし加入者は、通常、2つ以上の通信デバイスを有する。たとえば加入者は、携帯電話、携帯情報端末、ラップトップ、および他の通信デバイスを有し得る。これらのデバイスのそれぞれは、アクセスネットワークを通して無線サービスを受けることができる。またこれらのデバイスのそれぞれは、安全なトランザクションをもたらすために認証される必要がある。複数の通信デバイスを有する加入者をサポートするための有効な方法は、加入者が所有する各デバイス用のUIMカードを加入者に与えることであり、各UIMカードは同じ共有秘密鍵を有する。しかし加入者が複数のUIMを有する場合は、AKAおよびEAP−AKAプロトコルにセキュリティホールが生じる。サービス提供者が、安全な通信リンクを提供し、かつ加入者が同じ共有秘密鍵を有する複数のUIMカードをもつことを可能にすることを望むならば、複数のUIMカードをもつことに関連するセキュリティホールに対処しなければならない。
【課題を解決するための手段】
【0005】
一実施形態では装置が提供される。装置は、第1のランダムノンス(RAND)および認証トークンを受け取ることによって認証鍵合意プロトコルを実行する通信デバイス構成要素を備え、通信デバイス構成要素は共有秘密鍵を有するように構成される。通信デバイス構成要素は、RANDおよび共有秘密鍵に擬似ランダム関数を適用することによって派生鍵を発生する。通信デバイス構成要素は、第2のランダムノンス(RANDC)および派生鍵に基づいて、セッション鍵の第1の組を発生し、セッション鍵の第1の組は通信を暗号化するのに用いられる。
【0006】
他の実施形態では装置が提供される。装置は、応答および第1のランダムノンス(RANDC)を受け取るように構成される。装置はまた、クライアント識別子に基づいて派生鍵を取り出し、派生鍵およびRANDCから期待応答を計算するように構成される。さらに装置は、応答を期待応答と比較し、応答が期待応答に等しい場合は、セッション鍵の第1の組を導出し、セッション鍵の第1の組は、暗号化された通信を行うためにセッション鍵の第2の組と共に用いられる。
【0007】
他の実施形態は方法が提供される。方法は、第1のランダムノンス(RAND)、第1の派生鍵、および認証トークンを含む認証ベクトルを受け取るステップを含む。方法はまた、認証要求メッセージを通信するステップであって、認証要求メッセージはRANDおよび認証トークンを含む、ステップと、第2のランダムノンス(RANDC)および応答を受け取るステップとを含む。方法はさらに、RANDCに基づいてセッション鍵の第1の組、および第1の派生鍵を導出するステップを含み、セッション鍵の第1の組は通信を暗号化するために用いられる。
【0008】
本発明の例示の実装形態の特徴は、説明、特許請求の範囲、および添付の図面から明らかになるであろう。
【図面の簡単な説明】
【0009】
【図1】従来技術の認証および鍵合意プロトコルを示すメッセージフローの一実装形態を示す図である。
【図2a】従来技術の認証および鍵合意プロトコルに関連する計算を表す図である。
【図2b】従来技術の認証および鍵合意プロトコルに関連する計算を表す図である。
【図3】安全な複数UIM認証および鍵交換プロトコルに対する例示のメッセージフローを示す図である。
【図4a】安全な複数UIM認証鍵交換プロトコルの一実施形態に関連する計算を表す図である。
【図4b】安全な複数UIM認証鍵交換プロトコルの一実施形態に関連する計算を表す図である。
【図5】安全な複数UIM認証鍵交換方法の一実施形態を示す例示のフローチャートである。
【発明を実施するための形態】
【0010】
図1を参照すると、一実施例におけるメッセージフロー100は、安全なアクセスチャネルをもたらすためのAKA/EAP−AKAメッセージフローの図を含む。ここからは簡潔にするためにAKAのみについて述べるが、AKAに関するすべての説明はAKA/EAPにも当てはまる。AKA認証プロトコルは、事前共有または共有秘密鍵(pre−shared or shared secret key:PSK)を有する、プロトコル内のいくつかの参加者に基づく鍵交換(key exchange:KE)プロトコルである。プロトコルにおける主参加者は通常は、サービングネットワーク(S)110へのアクセスを要求する通信デバイスすなわちクライアント(C)105である。サービングネットワークは、ホームネットワークである場合もあり、サービングネットワークはクライアントが訪問しているネットワークである場合もある。以下の説明ではメッセージは、サービングネットワーク110に送られる。一実施形態ではこれらのメッセージは、ホーム位置レジスタ、訪問者位置レジスタ、または他のサービングネットワークの構成要素に向かうことができる。実施された場合は、これらのメッセージはサービングネットワークの特定のノードに向かうことができるが、以下では一般にメッセージはサービングネットワーク110に向かうものとして説明する。サービングネットワーク110は通常は、クライアント(105)、および鍵サーバ(key server:KS)115と対話する。鍵サーバ115は通常は、クライアント(105)のホームネットワーク内に常駐する。
【0011】
クライアント105がネットワーク110にアクセスするときは、クライアント105は、アクセス要求120をサービングネットワーク110に送ることができる。アクセス要求120は、クライアントデバイス(モバイル通信デバイス)の電源投入、バーストデータに対する要求、またはクライアント105がサービングネットワーク110との接続の確立を望む場合がある任意の他の理由の結果として生じ得る。クライアント105および鍵サーバ115は、ネットワークを通して安全にデータを転送するのに用いられる完全性鍵(integrity key:IK)と、暗号鍵(cipher key:CK)とを発生する。通常はIKおよびCKは、共有秘密鍵を用いて発生される。共有秘密鍵は、サービングネットワーク110に無線で渡されず、通常はその代わりに共有秘密鍵は鍵サーバ115上に記憶される。また共有秘密鍵は、鍵サーバ115からサービングネットワークに送出されず、その代わりに鍵サーバ115は、様々な変数を含む認証ベクトル(authentication vector:AV)をサービングネットワーク110に渡す。サービングネットワーク110は、認証ベクトルの内容を用いてクライアント105を認証し、クライアント105とサービングネットワーク110の間の安全なチャネルを確立する。したがってクライアント105がサービングネットワーク110にアクセスしたときは、サービングネットワーク110は鍵サーバ115がどこに常駐するかを判定し、認証データ要求メッセージ122を鍵サーバ115に送る。
【0012】
認証データ要求122を受け取るとすぐに鍵サーバ115は、クライアント105の識別情報に基づいて共有秘密鍵を検索し、認証ベクトルに用いるべき値を決定する。一実施形態では認証ベクトルは、ランダムノンス(RAND)、期待応答(XRES)、CK、IK、および認証トークン(AUTN)の連接を含むことができる。これらの値に到達するために鍵サーバ115は、擬似ランダム関数f1からf5を使用することができる。これらの関数は異なる擬似ランダム関数でもよく、AESなどの同じ関数でもよい。後者の場合は関数が呼ばれたときに、関数特有の引数が先頭に追加されなければならない。したがってたとえば、fi(x)=AES(i,x)である。本明細書では擬似ランダム関数とは、AES、ハッシュ関数、擬似ランダム関数、Rijndael、または任意の他の擬似ランダム関数また準擬似ランダム関数を指す。
【0013】
AVを含む値に導出には、AVの他の変数を計算するのに、RAND、シーケンス番号(sequence number:SQN)、匿名鍵(anonymity key:AK)、およびメッセージ認証コード(message authentication code:MAC)を用いることができる。鍵サーバ115は、RANDおよびSQNを発生することができる。RANDは、たとえばSQNなどの様々なパラメータを用いて発生することができる。SQNは、一時的なAVを追跡し、クライアント105がリプレイを検出するのを補助するために用いることができる。AK匿名鍵は、
【0014】
【数1】
を用いて発生されるオプションのパラメータである。以降では、AKが用いられておらず、したがって
【0015】
【数2】
であるものとする。またMACの計算には、認証管理フィールド(authentication management field:AMF)が関連する。当業者には容易に理解されるように通常はAMFは、タイムアウト値などの技術的パラメータを選択するために用いられる。SQN、RAND、AMFを所与としてMACは、関数
【0016】
【数3】
を通して導出され、ただし
【0017】
【数4】
である。
【0018】
【数5】
のkは、共有秘密鍵(PSK)であることに留意されたい。
【0019】
さらにXRESは、
【0020】
【数6】
を用いて導出することができ、ただし
【0021】
【数7】
である。CKは、
【0022】
【数8】
を用いて導出することができ、ただし
【0023】
【数9】
である。IKは、
【0024】
【数10】
を用いて導出することができ、ただし
【0025】
【数11】
である。オプションのAKは、
【0026】
【数12】
を用いて導出することができ、ただし
【0027】
【数13】
である。および、
【0028】
【数14】
である。AVは、RAND、XRES、CK、IK、およびAUTNの連接として構成され、したがって、AV=RAND||XRES||CK||IK||AUTNである。鍵サーバ115で関連する計算を示すものとして図2Aを参照されたい。AV125は、鍵サーバ115からサービングネットワーク110に通信される。AV125を受け取るとすぐにサービングネットワークは、CKおよびIKを記憶し、認証要求130をクライアント105に通信することができる。認証要求130は、RANDと、鍵サーバ115によって計算されたAUTNとを含むことができる。
【0029】
認証要求130を受け取るとすぐにクライアントは、IKおよびCKの導出を試みることができる。クライアント105は、認証要求130にてRANDおよびAUTNを受け取っている。この例では0のAKが用いられているので、AUTN=SQN||AMF||MACである。クライアント105は、AVを導出するのに用いられた共有秘密鍵(k)を有するように構成されるので、図2Bに示されるようにクライアント105は、応答(response:RES)、CK、IK、および期待されるMAC(XMAC)を導出することができる。クライアント105は、SQNの有効性をチェックし、MACがXMACに等しいことを検証する。チェックが合格した場合は、クライアントはAKAが成功したと見なし、クライアントは導出したCKおよびIKをサービングネットワーク110との安全な通信に用いる。クライアント105はさらに、呼掛けに対する応答RESを計算し、サービングネットワーク110に送る。サービングネットワーク110は、RES=XRESであることを検証し、そうであればAKAが成功したと見なし、CKおよびIKを通信に用いる。これは第3世代パートナーシッププロジェクト(3rd Generation Partnership Project:3GPP)標準に準拠してAKAがどのように動作するかの概観である。
【0030】
前述したように、ネットワークに接続するために加入者が用いることができるデバイスの数が増えるのに従ってサービス提供者は、加入者のデバイスのそれぞれに対してUIMを発行することを望む場合があり、この場合は各UIMは同じ共有秘密鍵を有する。3GPP標準は、同じ共有秘密鍵を有する複数のUIMを可能にすることを留意されたい。しかし、加入者が複数のデバイスを有し各デバイスが同じ共有秘密鍵を有するそれ自体のUIMを有する環境で、知られている鍵交換プロトコルが用いられる場合は、セキュリティ脆弱性が現れる。このセキュリティ脆弱性を示す2つの攻撃シナリオについて述べる。
【0031】
第1のシナリオでは、第1のクライアント(C1)と第2のクライアント(C2)がサービングネットワークへの接続を試みる。C1およびC2は同じ加入者によって所有されるデバイスであるが、各デバイスはそれ自体のUIMを有することに留意されたい。したがってC1はUIM1を有し、C2はUIM2を有することができ、UIM1とUIM2は同じ共有秘密鍵を有する。鍵交換プロトコルの一部としてサービングネットワークは、RANDおよびAUTNをC1に送ることができ、これを敵(A)が漏れ聞く。次いでC2は、サービングネットワークとの接続の確立を試みる。しかしAは、C2のサービングネットワークとの通信を阻止することができ、漏れ聞いたRANDおよびAUTNをC2に繰り返す。C1およびC2は、同じセッション鍵CKおよびIKを導出することになる。ここでC1とC2はサービングネットワークと安全に通信していると考えるが、C1とC2は共に同じセッション鍵を用いて接続される。このシナリオではAは、Cのアカウント上で意図されていないトランザクションを作成することができる。たとえばC1によって実行されるトランザクションが、C1のUIMによって維持されるアカウント上の引き落とし額を伴う場合は、AはこのトランザクションをC2に対してリプレイすることができる(これは、C1がC2と同じセッション鍵を有するので可能である)。このリプレイは、対応するC2のUIM上の引き落とし額に影響を及ぼし得ることになり、これは明らかに意図されていないトランザクションであり、攻撃の成功である。
【0032】
第2の攻撃シナリオは、Aが、共有秘密鍵を含んだCのデバイスの1つを借用(または捕捉、または遠隔的にセキュリティを侵害する)する場合に生じ得る。秘密鍵は安全にUIMに記憶される。しかしUIMによって生成されるセッション鍵は、C2の主メモリにエクスポートされる。C2がセキュリティの侵害を受けたと仮定する。次いでAは、C1に向かうRANDおよびAUTNを漏れ聞き、RANDおよびAUTNをC2のUIMに転送する。C2のUIMは、セッション鍵IKおよびCKを発生し、主メモリにセッション鍵を置く。これらは、C1によって発生された同じセッション鍵であることに留意されたい。ここでAは、サービングネットワークとC1の間に確立された安全なセッションを支配する。
【0033】
複数UIMでのAKAを用いた上述の脆弱性を克服する1つの方法は、クライアントにランダム性を発生させて、確立されたセッション鍵に与えることである。これはすでに確立されたCKおよびIKを中間鍵として用いることによって行うことができ、UIMによってサンプルされたランダム性に基づいてセッション鍵を導出する。この提案に関連するメッセージフローを図3に示す。
【0034】
次に図3を参照すると、これは複数UIMのAKAプロトコルの一実施形態のメッセージフローを示す。メッセージフローにおける主参加者は、クライアント305、サービングネットワーク310、および鍵サーバ315である。クライアント305は、移動電話、携帯情報端末、ラップトップ、またはサービングネットワーク310へのアクセスを試みることができる任意の他のタイプのデバイスとすることができる。サービングネットワーク310は、クライアント305がアクセスするネットワークであるが、クライアント305のホームネットワークでもよくそうでなくてもよい。鍵サーバ315は、クライアント305のホームネットワーク内に常駐することができる。
【0035】
図1と同様に最初にクライアント305は、アクセス要求120をサービングネットワーク310に送ることによってネットワーク310との接続の確立を試みる。また図1と同様にサービングネットワーク310は、認証データ要求122を鍵サーバ315に送り、鍵サーバは、複数UIM鍵交換のために必要な情報の導出を開始する。UIM AKAプロトコルとは対照的に鍵サーバは、AVのためのCKおよびIKを生成せず、その代わりに鍵サーバ315は、共有秘密鍵およびRANDから派生鍵(KD)を計算する。図1と同様にクライアント305および鍵サーバ315は、共有鍵を有するように構成され、クライアント305の共有鍵は、鍵サーバ315の共有鍵と等しくまたは同じである。CKおよびIKは、KDから導出することができる。したがって鍵サーバ315によって生成されるAVは、RAND、AUTN、およびKDの連接を含む(すなわち、AV=RAND||AUTN||KDである)。
【0036】
AV317を生成するために必要な変数の計算には、擬似ランダム関数発生器f1、F、F1、およびF2が用いられる。先に述べたようにこれらの関数は異なる関数でもよく、AESなどの同じ関数でもよい。後者の場合は関数が呼ばれたときに、関数特有の引数が先頭に追加されなければならない。先に述べたように複数USIM AKAでは、鍵サーバ315は、セッション鍵CKおよびIKをサービングネットワーク310に送らない。その代わりに鍵サーバ312は、KDをサービングネットワーク310に送る。KDは、共有秘密鍵と、鍵サーバ315によって発生されたRANDとから導出することができ、したがって、KD=Fk(RAND)である。鍵サーバ315は、AKAプロトコルの場合のようにMACを計算し、したがって
【0037】
【数15】
である。図1に関連して述べたようにAMFは、通常は技術的パラメータを選択するために用いられる。XRESは、サービングネットワーク310がKDおよびRANDCに基づいてXRESを計算することになるので、省略される。鍵サーバ315はまた、AKAプロトコルの場合のようにAUTNを構成し、したがって、AUTN=SQN||AMF||MACである。上述のように、AV=RAND||AUTN||KDである。次いで鍵サーバ315は、AV317をサービングネットワーク310に送出する。AV317を受け取るとすぐにサービングネットワークは、AV317および具体的にはKDを記憶することができる。サービングネットワークは、記憶したKDに一意のクライアント識別子を関連付けることができ、一意のクライアント識別子は、モバイル識別表示、電子シリアル番号、または別の他の、通信デバイスの一意の識別子とすることができる。
【0038】
サービングネットワーク310は、AUTNとRANDとを含む認証要求320をクライアント305に送る。AKAの場合と同様にクライアント305は、AUTNを構成するMACおよびSQNを検証する。すなわちクライアント305は、MACが期待されるMACに等しいかどうかを判定することができる。MACが検証された場合は、クライアント305はKDを計算し、ただしKD=Fk(RAND)である。次いでクライアントはRANDCを発生し、RES=FKD(RANDC)を計算する。クライアント305はまた、CKおよびIKを計算することができ、ただし、CK=F1KD(RANDC)、およびIK=F2KD(RANDC)である。これらのクライアントの計算は、図4aに示される。この時点でクライアント305は、サービングネットワーク310との安全な通信セッションを行うために必要なセッション鍵(CKおよびIK)を有する。クライアント305は、認証応答330をフォーマットし、サービングネットワーク310に通信する。認証応答330は、RANDCおよびRESを含むことができる。これらのクライアントの計算は、クライアントのUIM内で行われることに留意されたい。共有秘密鍵および派生鍵は、UIMから出ることはない。しかしUIMは、UIMの外部のメモリにセッション鍵(CKおよびIK)をエクスポートすることができ、セッション鍵はクライアントとサービングネットワーク310の間の通信を暗号化するのに用いることができる。
【0039】
認証応答330を受け取るとすぐにサービングネットワーク310は、KDおよびRANDCから期待応答XRESを計算し、ただしXRES=FKD(RANDC)である。次いでサービングネットワークは、XRESが認証応答330のRESに等しいことを検証する。XRESの検証が成功した場合はサービングネットワーク310は、KDを取り出し、セッション鍵CKおよびIKを導出し、ただし、CK=F1KD(RANDC)、およびIK=F2KD(RANDC)である。XRES、CK、およびIKの導出は、図4bに示される。この時点でサービングネットワーク310は、クライアント305との安全な通信セッションを行うために用いることができるセッション鍵(IKおよびCK)を有する。
【0040】
次に図5を参照すると、この図は複数UIMのAKAプロトコルの方法500を示すフローチャートである。ステップ510では、クライアント、典型的にはUIMを備えた通信デバイスは、サービングネットワークへのアクセスを要求する。図1および図3に関連して述べたようにこれは、クライアントがアクセス要求メッセージをサービングネットワークに通信すること、およびサービングネットワークが認証データ要求を鍵サーバに通信することを引き起こし得る。520で鍵サーバはAVを発生することによって応答し、AVをサービングネットワークに通信する。AVの構成、およびどのようにAVのフィールドが計算されるかについては、図3に関連する説明で開示された。
【0041】
認証を求めるクライアントの要求に応じて、530でサービングネットワークは、認証要求をクライアントに通信する。認証要求は、RANDおよびAUTNを含むことができる。図3に関連して述べたように540でクライアントは、MACがXMACに等しいことを検証することができる。MACがXMACに等しくない場合は、590で方法は終了する。MACがXMACに等しい場合は、550でクライアントは、複数USIM AKAにおいて必要な他の変数を導出する。ステップ550はさらに、クライアントがRANDCを発生し、RES、CK、およびIKを計算することを含むことができる。クライアントがRANDCを発生し、RES、CK、およびIKを計算するやり方は、図3に関連して述べた。
【0042】
560でクライアントは、認証応答をサービングネットワークに通信する。認証応答は、RANDCおよびRESを含むことができる。図3に関連して述べたように、570でサービングネットワークは、XRESを計算し、XRESがRESに等しいかどうかを判定することができる。RESがXRESに等しくない場合は、方法500は590で終了する。XRESがRESに等しい場合は、580で複数USIM AKAのために必要な他の変数が導出される。ステップ580ではサービングネットワークは、図3に関連して述べたようにIKおよびCKを計算する。この時点でサービングネットワークおよびクライアントは、サービングネットワークとクライアントの間の安全な通信に用いることができるIKおよびCKを有する。
【0043】
一実施例におけるメッセージフロー500に関連する装置は、1つまたは複数の電子構成要素、ハードウェア構成要素、およびコンピュータ構成要素などの、複数の構成要素を備える。このような構成要素のいくつかは、装置内で組み合わせるまたは分割することができる。装置の例示の構成要素は、当業者には理解されるように、いくつかのプログラミング言語のいずれかを用いて書かれたまたは実現された1組の、および/または一連のコンピュータ命令を使用かつ/または備える。一実施例での装置は、任意の方向(たとえば水平、斜め、垂直)を有することができ、本明細書での説明および図面は、説明のために装置の1つの例示の方向を示す。
【0044】
本明細書で述べたステップまたは動作は、例示のためのみである。本発明の趣旨から逸脱せずに、これらのステップまたは動作に多くの変形例が存在し得る。たとえばステップは異なる順序で実行することができ、またはステップは追加、削除、または変更することができる。
【0045】
本発明の例示の実装形態について本明細書で示し詳細に説明してきたが、当業者には、本発明の趣旨から逸脱せずに、様々な変更、追加、置換などを行うことができることが明らかとなり、したがってこれらは添付の特許請求の範囲において定義される本発明の範囲内であると見なされる。
【特許請求の範囲】
【請求項1】
第1のランダムノンス(RAND)および認証トークンを受け取ることによって認証鍵合意プロトコルを実行する通信デバイス構成要素であって、共有秘密鍵を有するように構成される、通信デバイス構成要素を備え、
通信デバイス構成要素は、RANDおよび共有秘密鍵に擬似ランダム関数を適用することによって派生鍵を発生し、
通信デバイス構成要素は、第2のランダムノンス(RANDC)および派生鍵に基づいてセッション鍵の第1の組を発生し、セッション鍵の第1の組は通信を暗号化するのに用いられる、装置。
【請求項2】
通信デバイス構成要素が、通信デバイスに動作可能に接続されたユーザ識別モジュールであり、
セッション鍵の第1の組が、安全な通信を行うためにセッション鍵の第2の組と共に用いられ、セッション鍵の第1の組とセッション鍵の第2の組は等しく、
ユーザ識別モジュールは、派生鍵、共有秘密鍵、およびセッション鍵の第1の組を備え、ユーザ識別モジュールは、セッション鍵の第1の組を通信デバイスにエクスポートし、
共有秘密鍵および派生鍵は通信デバイスにエクスポートされない、請求項1に記載の装置。
【請求項3】
認証トークンが、シーケンス番号、第1のメッセージ認証コード、および認証管理フィールドを含み、
ユーザ識別モジュールが、共有秘密鍵、シーケンス番号、認証管理フィールド、およびRANDに擬似ランダム関数を適用することによって第2のメッセージ認証コードを計算し、
ユーザ識別モジュールが、第2のメッセージ認証コードを第1のメッセージ認証コードと比較し、第1のメッセージ認証コードが第2のメッセージ認証コードに等しい場合は、ユーザインターフェースモジュールは、RANDC、セッション鍵、および応答を導出し、
ユーザ識別モジュールが、セッション鍵の第1の組、RANDC、および応答を通信デバイスにエクスポートする、請求項2に記載の装置。
【請求項4】
RANDC、セッション鍵の第1の組、および応答を導出することが、
RANDCを発生すること、
擬似ランダム関数を適用することによってセッション鍵の第1の組を計算することであって、セッション鍵の第1の組は完全性鍵および暗号鍵を含む、セッション鍵の第1の組を計算すること、
RANDCおよび派生鍵に擬似ランダム関数を適用することによって応答を計算すること、をさらに含み、
ユーザ識別モジュールが、RANDCおよび派生鍵に擬似ランダム関数を適用することによって完全性鍵を計算し、
ユーザ識別モジュールが、RANDCおよび派生鍵に擬似ランダム関数を適用することによって暗号鍵を計算し、
通信デバイスはRANDCおよび応答をサービングネットワークに通信し、サービングネットワークはセッション鍵の第2の組を発生し、セッション鍵の第1の組およびセッション鍵の第2の組はサービングネットワークと通信デバイスの間の通信を暗号化するために用いられる、請求項3に記載の装置。
【請求項5】
応答および第1のランダムノンス(RANDC)を受け取り、
クライアント識別子に基づいて派生鍵を取り出し、
派生鍵およびRANDCから期待応答を計算し、
応答を期待応答と比較し、応答が期待応答に等しい場合はセッション鍵の第1の組を導出し、セッション鍵の第1の組は暗号化された通信を行うためにセッション鍵の第2の組と共に用いられる、装置。
【請求項6】
クライアントに通信可能に結合されたネットワークノードを備え、
セッション鍵の第1の組とセッション鍵の第2の組は等しく、
クライアントは、セッション鍵の第2の組を備え、
セッション鍵の第1の組は、完全性鍵おおび暗号鍵を含み、完全性鍵はRANDCおよび派生鍵に擬似ランダム関数を適用することによって計算され、
暗号鍵は、RANDCおよび派生鍵に擬似ランダム関数を適用することによって計算され、
クライアントは、RANDCおよび応答をネットワークノードに通信し、
ネットワークノードは、RANDCおよび派生鍵に擬似ランダム関数を適用することによって期待応答を計算し、
期待応答が応答に等しい場合はネットワークノードは、セッション鍵の第1の組を導出する、請求項5に記載の装置。
【請求項7】
ネットワークノードが鍵サーバに通信可能に結合され、
ネットワークノードが鍵サーバから認証ベクトルを受け取り、認証ベクトルは第2のランダムノンス(RAND)、認証トークン、および派生鍵を含み、
ネットワークノードが派生鍵を記憶し、
クライアントからの要求に応じてネットワークノードが、RANDおよび認証トークンをクライアントに通信し、
クライアントが、RANDおよび認証トークンを用いてセッション鍵の第2の組を計算する、請求項6に記載の装置。
【請求項8】
第1のランダムノンス(RAND)、第1の派生鍵、および認証トークンを含む、認証ベクトルを受け取るステップと、
認証要求メッセージを通信するステップであって、認証要求メッセージはRANDおよび認証トークンを含む、ステップと、
第2のランダムノンス(RANDC)および応答を受け取るステップと、
RANDCおよび第1の派生鍵に基づいてセッション鍵の第1の組を導出するステップであって、セッション鍵の第1の組は通信を暗号化するために用いられる、ステップと
を含む、方法。
【請求項9】
応答が期待応答に等しいかどうかを判定するステップであって、期待応答は第1の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算される、ステップと、
期待応答が応答に等しい場合にセッション鍵の第1の組を導出するステップであって、セッション鍵の第1の組は暗号鍵および完全性鍵を含み、暗号鍵は第1の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算され、完全性鍵はRANDCおよび第1の派生鍵に擬似ランダム関数を適用することによって計算される、ステップと、
をさらに含み、第1の派生鍵が第1の共有秘密鍵およびRANDに擬似ランダム関数を適用することによって導出され、
第1のメッセージ認証コードが、第1の共有秘密鍵、シーケンス番号、RAND、および認証管理フィールドに擬似ランダム関数を適用することによって計算され、
認証トークンがシーケンス番号、認証管理フィールド、および第1のメッセージ認証コードをさらに含む、請求項8に記載の方法。
【請求項10】
RANDCおよび応答がクライアントから受け取られ、クライアントは、第2の共有秘密鍵およびRANDに擬似ランダム関数を適用することによって第2の派生鍵を計算し、
クライアントが第1のメッセージ認証コードが第2のメッセージ認証コードに等しいことを検証し、第1のメッセージ認証コードが第2のメッセージ認証コードに等しい場合は、RANDCを発生し、RANDCおよび第2の派生鍵に擬似ランダム関数を適用することによって応答を計算し、セッション鍵の第2の組を計算し、
クライアントが第2の派生鍵をユーザ識別モジュール内に保持し、ユーザ識別モジュールから第2の派生鍵をエクスポートせず、
セッション鍵の第2の組を計算するステップが完全性鍵および暗号鍵を計算するステップをさらに含み、完全性鍵は第2の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算され、暗号鍵は第2の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算され、
第1の派生鍵は第2の派生鍵に等しい、請求項9に記載の方法。
【請求項1】
第1のランダムノンス(RAND)および認証トークンを受け取ることによって認証鍵合意プロトコルを実行する通信デバイス構成要素であって、共有秘密鍵を有するように構成される、通信デバイス構成要素を備え、
通信デバイス構成要素は、RANDおよび共有秘密鍵に擬似ランダム関数を適用することによって派生鍵を発生し、
通信デバイス構成要素は、第2のランダムノンス(RANDC)および派生鍵に基づいてセッション鍵の第1の組を発生し、セッション鍵の第1の組は通信を暗号化するのに用いられる、装置。
【請求項2】
通信デバイス構成要素が、通信デバイスに動作可能に接続されたユーザ識別モジュールであり、
セッション鍵の第1の組が、安全な通信を行うためにセッション鍵の第2の組と共に用いられ、セッション鍵の第1の組とセッション鍵の第2の組は等しく、
ユーザ識別モジュールは、派生鍵、共有秘密鍵、およびセッション鍵の第1の組を備え、ユーザ識別モジュールは、セッション鍵の第1の組を通信デバイスにエクスポートし、
共有秘密鍵および派生鍵は通信デバイスにエクスポートされない、請求項1に記載の装置。
【請求項3】
認証トークンが、シーケンス番号、第1のメッセージ認証コード、および認証管理フィールドを含み、
ユーザ識別モジュールが、共有秘密鍵、シーケンス番号、認証管理フィールド、およびRANDに擬似ランダム関数を適用することによって第2のメッセージ認証コードを計算し、
ユーザ識別モジュールが、第2のメッセージ認証コードを第1のメッセージ認証コードと比較し、第1のメッセージ認証コードが第2のメッセージ認証コードに等しい場合は、ユーザインターフェースモジュールは、RANDC、セッション鍵、および応答を導出し、
ユーザ識別モジュールが、セッション鍵の第1の組、RANDC、および応答を通信デバイスにエクスポートする、請求項2に記載の装置。
【請求項4】
RANDC、セッション鍵の第1の組、および応答を導出することが、
RANDCを発生すること、
擬似ランダム関数を適用することによってセッション鍵の第1の組を計算することであって、セッション鍵の第1の組は完全性鍵および暗号鍵を含む、セッション鍵の第1の組を計算すること、
RANDCおよび派生鍵に擬似ランダム関数を適用することによって応答を計算すること、をさらに含み、
ユーザ識別モジュールが、RANDCおよび派生鍵に擬似ランダム関数を適用することによって完全性鍵を計算し、
ユーザ識別モジュールが、RANDCおよび派生鍵に擬似ランダム関数を適用することによって暗号鍵を計算し、
通信デバイスはRANDCおよび応答をサービングネットワークに通信し、サービングネットワークはセッション鍵の第2の組を発生し、セッション鍵の第1の組およびセッション鍵の第2の組はサービングネットワークと通信デバイスの間の通信を暗号化するために用いられる、請求項3に記載の装置。
【請求項5】
応答および第1のランダムノンス(RANDC)を受け取り、
クライアント識別子に基づいて派生鍵を取り出し、
派生鍵およびRANDCから期待応答を計算し、
応答を期待応答と比較し、応答が期待応答に等しい場合はセッション鍵の第1の組を導出し、セッション鍵の第1の組は暗号化された通信を行うためにセッション鍵の第2の組と共に用いられる、装置。
【請求項6】
クライアントに通信可能に結合されたネットワークノードを備え、
セッション鍵の第1の組とセッション鍵の第2の組は等しく、
クライアントは、セッション鍵の第2の組を備え、
セッション鍵の第1の組は、完全性鍵おおび暗号鍵を含み、完全性鍵はRANDCおよび派生鍵に擬似ランダム関数を適用することによって計算され、
暗号鍵は、RANDCおよび派生鍵に擬似ランダム関数を適用することによって計算され、
クライアントは、RANDCおよび応答をネットワークノードに通信し、
ネットワークノードは、RANDCおよび派生鍵に擬似ランダム関数を適用することによって期待応答を計算し、
期待応答が応答に等しい場合はネットワークノードは、セッション鍵の第1の組を導出する、請求項5に記載の装置。
【請求項7】
ネットワークノードが鍵サーバに通信可能に結合され、
ネットワークノードが鍵サーバから認証ベクトルを受け取り、認証ベクトルは第2のランダムノンス(RAND)、認証トークン、および派生鍵を含み、
ネットワークノードが派生鍵を記憶し、
クライアントからの要求に応じてネットワークノードが、RANDおよび認証トークンをクライアントに通信し、
クライアントが、RANDおよび認証トークンを用いてセッション鍵の第2の組を計算する、請求項6に記載の装置。
【請求項8】
第1のランダムノンス(RAND)、第1の派生鍵、および認証トークンを含む、認証ベクトルを受け取るステップと、
認証要求メッセージを通信するステップであって、認証要求メッセージはRANDおよび認証トークンを含む、ステップと、
第2のランダムノンス(RANDC)および応答を受け取るステップと、
RANDCおよび第1の派生鍵に基づいてセッション鍵の第1の組を導出するステップであって、セッション鍵の第1の組は通信を暗号化するために用いられる、ステップと
を含む、方法。
【請求項9】
応答が期待応答に等しいかどうかを判定するステップであって、期待応答は第1の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算される、ステップと、
期待応答が応答に等しい場合にセッション鍵の第1の組を導出するステップであって、セッション鍵の第1の組は暗号鍵および完全性鍵を含み、暗号鍵は第1の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算され、完全性鍵はRANDCおよび第1の派生鍵に擬似ランダム関数を適用することによって計算される、ステップと、
をさらに含み、第1の派生鍵が第1の共有秘密鍵およびRANDに擬似ランダム関数を適用することによって導出され、
第1のメッセージ認証コードが、第1の共有秘密鍵、シーケンス番号、RAND、および認証管理フィールドに擬似ランダム関数を適用することによって計算され、
認証トークンがシーケンス番号、認証管理フィールド、および第1のメッセージ認証コードをさらに含む、請求項8に記載の方法。
【請求項10】
RANDCおよび応答がクライアントから受け取られ、クライアントは、第2の共有秘密鍵およびRANDに擬似ランダム関数を適用することによって第2の派生鍵を計算し、
クライアントが第1のメッセージ認証コードが第2のメッセージ認証コードに等しいことを検証し、第1のメッセージ認証コードが第2のメッセージ認証コードに等しい場合は、RANDCを発生し、RANDCおよび第2の派生鍵に擬似ランダム関数を適用することによって応答を計算し、セッション鍵の第2の組を計算し、
クライアントが第2の派生鍵をユーザ識別モジュール内に保持し、ユーザ識別モジュールから第2の派生鍵をエクスポートせず、
セッション鍵の第2の組を計算するステップが完全性鍵および暗号鍵を計算するステップをさらに含み、完全性鍵は第2の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算され、暗号鍵は第2の派生鍵およびRANDCに擬似ランダム関数を適用することによって計算され、
第1の派生鍵は第2の派生鍵に等しい、請求項9に記載の方法。
【図1】
【図2a】
【図2b】
【図3】
【図4a】
【図4b】
【図5】
【図2a】
【図2b】
【図3】
【図4a】
【図4b】
【図5】
【公表番号】特表2013−516896(P2013−516896A)
【公表日】平成25年5月13日(2013.5.13)
【国際特許分類】
【出願番号】特願2012−548017(P2012−548017)
【出願日】平成22年12月14日(2010.12.14)
【国際出願番号】PCT/US2010/060283
【国際公開番号】WO2011/084419
【国際公開日】平成23年7月14日(2011.7.14)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
【公表日】平成25年5月13日(2013.5.13)
【国際特許分類】
【出願日】平成22年12月14日(2010.12.14)
【国際出願番号】PCT/US2010/060283
【国際公開番号】WO2011/084419
【国際公開日】平成23年7月14日(2011.7.14)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
[ Back to top ]