期限切れマーカを使用する無線通信の認証
ネットワークと加入者局との間のGSM無線通信をセキュリティ保護するシステムおよび方法が開示されている。1つの実施形態では、ある特定量の時間後に期限切れになることになっている認証トリプレットを生成し、それらが、それらを傍受する攻撃者によって無期限に使用され得ないようにする。
【発明の詳細な説明】
【技術分野】
【0001】
米国特許法第119条のもとでの優先権の主張
本特許出願は、2003年11月10日に出願された仮出願第60/519,010号(“Expiration of GSM Authentication Challenges”)に対して優先権を主張しており、仮出願第60/519,010号は、本発明の譲受人に譲渡され、それによって、本明細書において参照によって明らかに取り入れられている。
【0002】
本発明の開示は、概ね、無線通信、より具体的には、無線遠隔通信システムをセキュリティ保護する方法に関する。
【発明の開示】
【発明が解決しようとする課題】
【0003】
無線通信のための1つのセルラ技術は、グローバルシステムフォーモバイル(Global System for Mobile, GSM)のプロトコルによって定められている。GSMは、汎用パケット無線サービス(General Packet Radio Service, GPRS)のような新しいサービスによってさらに拡張され、これは、インターネットコンテンツおよびパケットを用いたデータサービスをGSMネットワークに与える。GSMは、音声、インターネットブラウジング、電子メール、およびマルチメディアデータを含む、多くのタイプの無線通信に使用されている。GSMは、このようなシステム上で通信されるコンテンツを保護するために、種々のセキュリティ機構を取り入れている。サービスプロバイダおよびユーザは、通信のプライバシおよびデータの保護のために、これらのセキュリティ機構に同様に依存している。セキュリティ機構は、一般に、ネットワークに対してユーザを認証し、次に、ユーザがデータを、空中をわたる伝送前に、暗号化することによって動作する。このようなセキュリティ対策は、第三者による攻撃を受ける。したがって、セキュリティ保護された無線通信のための方法および装置が必要である。
【発明を実施するための最良の形態】
【0004】
暗号化は、認可されていない第三者によるアクセスから保護するために、データを変更する処理である。この技術は、一般に、例えば、加入者局と基地局との間で、エアインターフェースによって、および他の無線またはワイヤーラインリンクによって、希望の遠く離れた相手に伝送されるデータの暗号化を採用する。暗号化は、通常、データを、適切な“鍵”をもつ受信者のみがそれを復号できるようなやり方で、符号化することを指す。暗号化は、擬似ランダムビット列と、通信データの標準のバーストのビットとの間で排他的論理和の処理を行うことによって達成され得る。受信者が適切な鍵をもっているときに限って、処理は“アンドゥ(undo)”され、通信データのバーストが抽出される。
【0005】
無線通信システムにおいて使用される1つのタイプの暗号化は、ストリーム暗号を使用して行われる。ストリーム暗号のための暗号化アルゴリズムは、ユーザデバイス(例えば、携帯電話、または、具体的には、デバイスの内部の加入者識別モジュール(Subscriber Identity Module, SIM)カード)のみが知っている秘密鍵と、フレーム番号とを利用し、暗号化のために入力とXORをとられる擬似ランダムビットストリーム(すなわち、鍵ストリーム(keystream))を生成する。情報は、受信データを解読するのにも使用される。したがって、ビットは、事実上、相互に独立して暗号化される。
【0006】
上述のように使用される擬似ランダム列を生成するのに一般に使用される2つのアルゴリズムは、A5/1およびA5/2のアルゴリズムである。最初のGSMプロトコルは、エアリンクの暗号化のためのセキュリティの3つのレベル、すなわち、暗号化されない、A5/2で暗号化される、およびA5/1で暗号化される、を支援する。A5のアルゴリズムは、音声またはデータ接続におけるオプションの暗号化に使用される。A5は、ストリーム暗号であり、64ビットの暗号化鍵を使用するが、228ビットのブロック長に基づくブロックである。A5は、XORおよび1ビットの加算の処理のみに関与して、ハードウェアにおいて効率的に実施されるように設計されている。A5は、2つのバージョンをもち、A5/1はヨーロッパにおいて使用され、A5/2はエクスポートシステムにおいて使用される。A5/1およびA5/2の両者は、暗号化に使用されるストリーム暗号アルゴリズムであるが、各々は、僅かに異なるセキュリティを与え、異なる複雑さを負っている。当業者には分かるように、A5はGSM仕様の一部である。A5/1は、“強い”エクスポートの制限されたバージョンとして知られており、A5/2は、エクスポートの制限をもたない標準および“弱い”バージョンである。時々使用されるA5の暗号化の別のバージョンは、A5/3であり、これは、ブロック暗号のユニバーサルモバイルテレコミュニケーションズシステム(Universal Mobile Telecommunications System, UMTS)/広帯域符号分割多元接続(Wideband Code Division-Multiple Access, WCDMA)のアルゴリズムに基づき、“カスミ(KASUMI)”として知られている。カスミは、真の128ビットの鍵を使用する64ビットのブロック暗号である。
【0007】
これらのアルゴリズムの各々は、秘密鍵として、例えば、標準GSM支援型認証機構にしたがう認証機構によって得られる64ビットのセッションの鍵(Kc)を使用する。GSMのセキュリティは、SIMカード上と、ユーザのホームネットワークの認証局(Authentication Center, AuC)上とに記憶された秘密の128ビットの鍵(Ki)を使用する、呼び掛け−応答機構に基づく。アクティブなセッションの初期設定中に、AuCは、128ビットのランダムに選択された値(RAND)を生成し、同じくGSM仕様の一部であるA3またはA8のような認証アルゴリズムを、RANDに適用する。アルゴリズムは、予測される応答(SRES)とセッションの暗号化鍵(Kc)との両者を生成する。これらの各々は、RANDおよびKiの関数である。RAND、SRES、およびKcは、まとめて、GSM認証ベクトル(認証トリプレット)を構成する。
【0008】
登録中に、認証トリプレットは、基地局へ送出され、基地局は、RANDを加入者局へ送る。加入者局内のSIMカードは、RANDを読み出し、SRESおよびセッションの鍵Kcを、同じ認証アルゴリズムまたは鍵協定アルゴリズム(それぞれ、A3またはA8)にしたがって、その秘密鍵Kiを使用して計算する。計算されたSRES値は、基地局へ送られ、基地局は、それを、認証トリプレット内のSRESと比較し、それによって、加入者局の有効性を認証する。加入者局が認証されると、アクティブなセッション中に、Kcは、基地局によって指示されるように、通信の暗号化に使用され得る。
【0009】
都合の悪いことに、A5アルゴリズムは、データおよびネットワークの両者を危険にさらす第三者の攻撃に弱い。一般に、無線システム上で通信されるデータの暗号化は、誤り訂正のための符号化の後で行われる。符号化が、暗号化されるビット間で既知の線形の関係性を取り入れていることは周知である。したがって、攻撃者は、個々の入力ビットの実際の値を知らなかったとしても、符号化の既知の線形の関係性にしたがって、ある特定のグループがXORでゼロになることを知り得る。このような既知の関係性は、攻撃者が、暗号化されているデータの内容についての特定の知識をもたずに、セキュリティ保護された通信に侵入することを可能にし得る。
【0010】
このような攻撃は、“暗号文のみ”の攻撃(“ciphertext only” attack)として知られており、種々のA5の暗号化アルゴリズムに対して効果的であることが証明されている。このような攻撃の一例は、Biham、他によって開示された“マンインザミドル(Man In The Middle, MITM)”攻撃である。基本的に、GSMに対するMITM攻撃は、偽の基地局が、自分自身を認証処理に介入させ、RANDおよびSRESの両者を傍受するのを可能にすることを含む。偽の基地局は、加入者局に、認証後に、暗号化に、より弱いA5/2アルゴリズムを使用することを強制する。偽の基地局がA5/2のトラヒックからKcを壊して取り出すには、少量のA5/2の暗号化された通信のみが必要とされる。この時点で、偽の基地局は、加入者局と偽の基地局との間の区間上でA5/2暗号化間の翻訳機としての役割を果たすことができ、偽の基地局と真の基地局との間の区間上で、真の基地局によって、何れの暗号化も要求される。より重要なことには、偽の基地局は、認証トリプレット全体を復元することができ、したがって、それは、例えば、電話呼を乗っ取る(hijack)か、または偽のサービスを設定するために、再び使用され得る。さらに加えて、A5/3のような、より強いA5アルゴリズムが開発されても、Kcがこれらのアルゴリズムの何れをも使って働くので、より強いものでさえ、より弱いアルゴリズムにおけるセキュリティの不備な点によって徐々に崩され、最も重要な部分においてKcが傍受されるのを許してしまう。
【0011】
このタイプの攻撃から保護するための提案が作成されたが、標準のGSMプロトコルまた装置に対して大幅な変更を要求しない効率的な解決案は、現在のところない。さらに加えて、SIMおよび配備された加入者局に対する変更は、実施するのに不可能または非現実的であり得る。ネットワークのインフラストラクチャに対する変更も、煩雑で、コスト高で、同期をとるのが困難であるだろう。したがって、これらの攻撃の脅威に対する現在提案されている解決策は、実際に実施するには、コストが高過ぎるか、またはあまりにも非現実的であり得る。
【0012】
ここで図面の図1を参照すると、攻撃者によって危険にさらされ得る一般的なGSMネットワークシステムの一部が示されている。ユーザは、セルラ電話であるか、またはそれを含み得る加入者局(subscriber station, SS)100と、加入者識別モジュール(SIM)カード104とを使用することによって、ネットワーク上で通信し得る。もちろん、本明細書における教示は、種々の通信デバイスに当てはまり、セルラ電話に制限されないことが分かる。SIMカード104は、セルラ電話内に配置され得る小型の1つの回路である。SIMカード104は、電話番号、秘密鍵(別途さらに詳しく記載される)、電話帳エントリ、および他の詳細のような、ユーザに関する個人情報を記憶し得る。この情報のいくつかが使用され、ユーザが、電話サービスを提供しているネットワークに識別され、認証され得る。SIMカード104は、加入者局からネットワークへ伝送する前の音声およびデータ伝送に対する暗号化能力および処理能力も含み得る。SIMカード104は、オプションで、1つのデバイスから別のデバイスに移されても、または、異なるSIMカード104が任意のGSMのセルラ電話に挿入されても、あるいはこの両者が行われてもよい。例えば、ユーザは、1台の電話をもち、それを私的な呼と仕事用の呼の両者に使用するとき、電話をどのように使用するかに依存して、SIMカードを変更することができる(1枚のカードは、私的な識別およびデータを含み、第2のカードは、仕事用の識別およびデータを保持する)。
【0013】
ユーザは、加入者局100の電源を入れると、通信に使用される1つ以上のネットワークアクセスポイント(Network Access Point, NAP)106の位置を突き止めることを試みる。NAPは、例えば、GSMネットワークに接続するのに適した基地局または他のハードウェアを含み得る。これを行うために、加入者局100は、異なるNAPから送られたパイロット信号を監視する。加入者局は、最も強いパイロット信号を選択し、これは、ネットワークへのリンクを設定するのに適した1つのNAPを識別するであろう。GSMネットワークシステムについての次の記述において、加入者局100は、1つのNAP106とのリンクを設定する。
【0014】
加入者局100が、NAP106と設定されたリンク108を介して、ネットワークに接続された後で、ネットワークは、加入者局100の位置を判断しなければならない。訪問先位置レジスタ(Visited Location Register, VLR)112のようなデータベースは、そのローカルエリア内の全ての加入者局のエントリを、加入者局の最後に認められた位置と共に記憶し得る。加入者局は、現在の位置について、ホーム位置レジスタ(Home Location Resister, HLR)110に定期的に知らせて、HLR110が、それにしたがって記憶されている情報を更新し、到来する呼を加入者局にルート設定することを可能にし得る。加入者局がローミングしていないときは(すなわち、加入者局が、ホームオペレータによってサービスされる領域内にいるときは)、HLR110およびVLR112の機能が結合され得る。使用されるとき、VLR112は、外部ネットワーク内でローミングしている加入者局と、ホームネットワーク内にある加入者局の自分のHLR110との間の通信に役立ち得る。本明細書における概念は、VLRをもつ無線システムと、VLRをもたない無線システムとに適用され得ることであることが分かるであろう。
【0015】
ネットワークは、加入者局100の現在の位置を識別した後で、ユーザを認証することを試み得る。認証は、GSMのセキュリティ対策の一部である。ユーザの秘密鍵(Ki)は、GSMシステムにおけるセキュリティの中心であり、認証中に使用される。各ユーザは、秘密鍵としてKiと呼ばれる乱数を割り当てられ、これは、SIMカード104と、認証局(AuC)114と呼ばれるデータベースとに記憶されている。秘密鍵は、第三者によって発見されると、システムを故障させることになるので、注意深く保護される。Kiは、AuC114から送られず、したがって、伝送中の盗聴は不可能である。Kiは、SIMカード104からも離れない。認証中に、NAP106は、先ず、乱数および関係付けられた応答について、AuC114に尋ねる。AuC114はプロセッサ116を含んでいて、これは、乱数(RAND)を生成し、RANDおよびユーザのKiが入力として使用されるセキュリティアルゴリズムを実行し得る。セキュリティアルゴリズムは、例えば、A3/A8認証プロトコルにしたがい得るが、他のプロトコルも使用され得る。このアルゴリズムの出力は、応答(SRES)と、セッションの鍵(Kc)として知られている特別な暗号化鍵とである。SRESは、ユーザを認証するのに使用され、Kcは、加入者局およびネットワークの両者によって、認証が行われた後に、通信データを暗号化および解読するために使用され得る。
【0016】
AuCは、RAND、SRES、およびKcを生成し、計算した後で、3つの値を、認証トリプレット(トリプレット)と呼ばれるものにおいて一緒にまとめ、NAP106にトリプレットを与える。次に、NAP106は、トリプレットからRANDを抽出し、RANDのみを加入者局100へ送る。加入者局100は、何れの認証アルゴリズムがAuCによってSRESおよびKcを生成するために使用されたかを知る。したがって、加入者局100は、同じ認証アルゴリズムを使用することによって、NAPから受信したRANDを得て、同じSRESおよびKcを計算し得る。既に記載したように、これらの値は、Ki、すなわち、SIMカード104上に記憶された秘密鍵の関数であり、加入者局100による使用に供される。
【0017】
図2は、認証処理中に関与し得る加入者局100の追加の構成要素を示している。アナログフロントエンドは、受信機(receiver, Rx)202および送信機(transmitter, Tx)204の両者をもつトランシーバを含み得る。加入者局(subscriber system)100は処理システム(processing system, SSPS)206も含み、これは、ユーザのセルラ電話上に存在するプロセッサ208と、既に記載したように自分自身のプロセッサをもつSIMカード104とを含む。
【0018】
ここで図1に戻ると、加入者局100(または、そのSIMカード104)は、SRESおよびKcを計算すると、Kcを保持し、SRESをNAP106に送り返すことができる。NAP106が加入者局100を認証することができると、通信が行われ、各エンティティはKcを使用して、NAPによって選択された、加入者局100に特定の暗号化アルゴリズムにしたがって通信データを暗号化および解読することができる。加入者局100を認証するために、NAP106は、先ず、加入者局100から受信した正しいSRESを照合する。そのようにするために、NAP106は、プロセッサ(processor, P)118によって、加入者局100から受信したSRESと、AuC114から受信したSRESとを比較し得る。これらが整合しないときは、認証は失敗する。しかしながら、これらが整合するときは、加入者は認証され、通信が行われ得る。
【0019】
既に記載したように、MITM攻撃は、認証手続き中に行われる。NAP106が、認証のためにRANDを加入者局100へ送るとき、RANDが攻撃者120によって傍受される。攻撃者120は、RANDを正当なユーザの加入者局100へ送る。加入者局100は、この認証要求がNAP106から正当に来たと信じて、既に記載した通常の認証ルーチンの一部として、SRESを計算し、SRESをNAP106に戻す。SRESは、攻撃者120によって再び傍受され、攻撃者120は、それをネットワーク上へ送る。この時点で、攻撃者120は、NAP106にとって“認証された”ように見え、それが傍受したRANDおよびSRESの両者も手に入れている。攻撃者120が欠いている完全な認証トリプレットの唯一の部分は、Kcである。しかしながら、攻撃者120は、弱い暗号化アルゴリズムA5/2を使用して、この値を得ることができる。
【0020】
例えば、標準の条件のもとで、NAP106は、認証を照合すると、A5/1またはA5/3の暗号化を使用して通信を行う要求(暗号開始(cipherstart)メッセージ)を加入者局100へ送る。しかしながら、攻撃中に、攻撃者120は、暗号開始メッセージを傍受することができ、それを加入者局100へ送る代わりに、その暗号開始メッセージを変えて、その代りに、A5/2、すなわち弱い暗号化アルゴリズムを使用するように加入者局100に伝える。A5/2の要求が、加入者局100にとって、正当な暗号開始メッセージであるように見え、したがって、加入者局は、その通信データをA5/2アルゴリズムで暗号化し始めることになる。次に、NAP106と加入者局100との間で通信を依然として傍受している攻撃者120は、A5/2の暗号解析を採用して、Kcを検索し得る。攻撃者120は、Kcが分かると、同じKcがA5アルゴリズムの何れをも使って働くので、攻撃者120は、翻訳機としての役割を果たし、A5/2によって加入者局100と通信し、NAP106がその暗号開始メッセージにおいて特定したアルゴリズムが何れであっても、NAP106と通信し得る。より重要なことは、この時点において、攻撃者120は有効な認証トリプレットの全ての部分をもち、したがって、これを将来のセッションにおいて再び使用し、例えば、認証されたユーザを装うことによって、電話呼を乗っ取るか、または電話サービスを盗み得る。
【0021】
傍受されたトリプレットの潜在的に無限の再使用を防ぐために、期限切れの特徴が実施され得る。トリプレットは、その有効性を、ある所定時間texpの後で期限切れになるようにする追加情報を含むように構築され得る。このような特徴は、時間ウィンドウまたは期限切れ時間をRAND内へ符号化することを含み、攻撃者が無限の時間期間において傍受した認証情報を再使用するのを妨げ得る。図3は、このような符号化された期限切れ時間をもつトリプレットを含む方法の例を示すフローチャートである。ブロック300において、texpは、例えば、AuCによって判断され得る。次に、ブロック302において、texpは、ランダム値RANDexp内で符号化され得る。RANDexpは、上述の、指定された暗号化マーカ(mandated encryption marker)も含み得る。次に、ブロック304において、AuCは、RANDexpを、対応するSRESおよびKcの値と組合せて、texpと共にトリプレットを形成し得る。トリプレットは、既に記載したように、ネットワークを通され、最後に、RANDexpは、トリプレットから抽出され、ブロック306において示されているように、加入者局によって受信され得る。
【0022】
ブロック308に示されているように、次に行われることは、加入者局がレガシー(legacy)の装置を含んでいるか、またはアップグレードされた装置を含んでいるかに依存し得る。加入者局が呼び掛けを支援するとき、期限切れ処理は、続いてステップ314に進む。さもなければ、処理は、続いてステップ310に進む。システムは、ブロック310に示されているように、texpを認識するのに失敗し得る。ブロック312において、加入者局は、RANDexpを使用して、texpの明細を明らかにすることも、または処理に対して他の変更を加えることもなく、上述の認可処理を進め得る。しかしながら、加入者局は、アップグレードされているときは、texpを認識し、決定ブロック314において、texpが、例えば、加入者局の内部クロックから判断され得る現在の時間tcurよりも大きいかどうかを判断し得る。言い換えると、加入者局は、tcurを、トリプレットが最早有効でない時間、すなわちtexpと比較し得る。texp>tcurであるときは、ブロック316において、加入者局は、RANDexpを続けるのを止め、ここで、加入者局は、期限が切れた、無効のトリプレットから得られたことを知る。その結果、ブロック318において、認証は失敗するであろう。しかしながら、tcurが、texpによって示された時間にまだ達していないときは、ブロック320において、加入者局は、RANDexpが有効なトリプレットから来たことを知り、既に記載したように、RANDexpを使用して、認可を行い得る。
【0023】
texpは、トリプレットが期限切れになる単一のディスクリートな時間に制限されず、その代わりに、有効期間を示す時間ウィンドウを含み得ることが理解されるべきである。時間ウィンドウは、時間の上限および下限を含み、その外では、この時間ウィンドウで符号化されたトリプレットは、期限切れであり、無効であると見なされる。例えば、tcurが時間ウィンドウ内に入るときは、トリプレットは有効であり、tcurが時間ウィンドウの外部、すなわち、時間ウィンドウを定めている時間の上限および下限の何れかの側に入るときは、トリプレットは期限切れであり、したがって無効であるであろう。
【0024】
図4は、期限切れ時間マーカをもつ認証トリプレットを処理する例を示すフローチャートである。ブロック400では、AuCは、例えば、認証中にNAPからトリプレットに対する要求を受信することに応答して、トリプレット(triplet, T)を選択し、加入者局を認証するのに使用できるVLRに、Tを送り得る。その代わりに、これ、および図4を参照して記載される他の手続きが、HLRによって行われることもある。ブロック402では、NAPは、Tが、時間ウィンドウか、またはその中に符号化された他の形式の期限切れマーカをもつトリプレットであるかどうかを試験し得る。そうでないときは、トリプレットは有効であり、ブロック404において、VLRは、トリプレットを、認証に使用されるNAPに送る。他方で、Tが期限切れマーカを含むときは、ブロック406において、VLRはマーカtexpを識別し、次に、これを使用して、Tの現在の有効性を試験し得る。
【0025】
ブロック408において、VLRは、texpを、例えばVLRの内部クロックから判断され得る現在の時間tcurと比較し、texpがtcurを超えているかどうかを判断することによって、トリプレットが期限切れになったかどうかを試験し得る。texpがtcurを超えていると判断されると、トリプレットは期限切れであり、ブロック410において、VLRはそのトリプレットを捨て、ブロック400において、別のものを選択し得る。他方で、texpがtcurより小さいときは、トリプレットは依然として有効であり、ブロック404において、認証に使用するために、NAPに送り得る。別の実施形態では、VLRは、実際の期限切れの前、例えば、tcurがtexpを超える前のある時間量内で、トリプレットを捨て得る。例えば、公差はVLR内で予め定められ、プログラムされてもよく、したがって、tcurがtexpよりも小さいが、その公差量内であるとき、VLRは、それでもトリプレットを捨て得る。
【0026】
図5は、現在の時間と、ランダム値RANDに関係付けられた期限切れ時間と比較する認証照合ユニット712をもつ、1つの実施形態にしたがう加入者ユニットを示している。加入者ユニットは、鍵および応答計算ユニット704に接続された受信回路700をもち、鍵および応答計算ユニット704は、応答SRESを送信回路708に与え、鍵Kcを符号化/復号ユニット710に与える。マイクロプロセッサは、鍵および応答計算ユニット704、符号化/復号ユニット710、およびメモリ記憶ユニット702の動作を制御する。加入者ユニットは、秘密鍵Kiをメモリ記憶ユニット702に記憶する。鍵および応答計算ユニット704は、ネットワークから受信したランダム値RANDから、期限切れ時間情報を抽出する。認証照合ユニット712は、期限切れ時間情報を受信し、現在の時間と比較する。認証照合ユニット712が、RANDが期限切れになったと判断すると、加入者ユニットは認証手続きを終了し、再試行することを決定し得る。認証照合ユニット712が、RANDが期限切れになっていないと判断すると、加入者ユニットは、応答SRESと、鍵Kiとを生成する。認証照合ユニット712は、現在の時間のようなタイミング情報をクロック714から受信する。
【0027】
本明細書は、本発明の特定の実施形態を記載しているが、普通の技能をもつ者は、発明の概念から逸脱することなく、本発明のバリエーションを考案することができる。例えば、本発明の教示は、回路交換ネットワーク素子を参照しているが、同様に、パケット交換領域ネットワーク素子に適用可能である。さらに加えて、本明細書の教示は、認証トリプレットの組に制限されず、2つのSRES値を含む1つのトリプレット(通例のフォーマットの1つ、および本明細書に開示されているより新しいフォーマットの1つ)の使用に適用されることもできる。
【0028】
当業者には、情報および信号が、種々の異なる技術および技法の何れかを使用して表され得ることが分かるであろう。例えば、上述全体で参照され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁界または磁性粒子、光学場または光学粒子、あるいはこれらの組合せによって表され得る。
【0029】
当業者は、本明細書に開示されている実施形態に関連して記載された種々の例示的な論理ブロック、モジュール、回路、およびアルゴリズムが、電子ハードウェア、コンピュータソフトウェア、またはこの両者の組合せとして実施され得ることも分かるであろう。ハードウェアおよびソフトウェアのこの互換性を明らかに説明するために、種々の例示的な構成要素、ブロック、モジュール、回路、方法、およびアルゴリズムが、それらの機能性に関して、上述概ねに記載されている。このような機能性がハードウェアまたはソフトウェアとして実施されるかは、システム全体に課された設計の制約および具体的な用途に依存する。熟練工は、記載された機能性を各特定の用途ごとに様々なやり方で実施し得るが、このような実施上の決定は、本発明の範囲からの逸脱を招くものとして解釈されるべきではない。
【0030】
本明細書に開示されている実施形態に関連して記載されている種々の例示的な論理ブロック、モジュール、および回路は、汎用プロセッサ、ディジタル信号プロセッサ(digital signal processor, DSP)、特定用途向け集積回路(application specific integrated circuit, ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array, FPGA)または他のプログラマブル論理デバイス、ディスクリートゲートまたはトランジスタロジック、離散ハードウェアコンポーネント、あるいは本明細書に説明されている機能を実行するように設計されたこれらの組合せで実現または実行され得る。汎用プロセッサは、マイクロプロセッサであってもよいが、代替例においては、プロセッサは任意の従来のプロセッサ、制御装置、マイクロ制御装置、または状態機械であり得る。プロセッサは、計算デバイスの組合せとして、例えば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと関連した1つ以上のマイクロプロセッサ、または任意の他のこのような構成としても実施され得る。
【0031】
本明細書に開示されている実施形態に関連して記載されている方法またはアルゴリズムは、ハードウェアにおいて、プロセッサによって実行されるソフトウェアモジュールにおいて、またはこの2つの組合せにおいて直接に具現化され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、または当技術において公知の任意の他の形態の記憶媒体に常駐していてもよい。記憶媒体は、プロセッサが記憶媒体から情報を読み出し、かつそこへ情報を書き込むことができるようにプロセッサに結合され得る。代替例において、記憶媒体は、プロセッサと一体であってもよい。プロセッサおよび記憶媒体は、ASICに常駐していてもよい。
【0032】
開示されている実施形態の上記説明は、当業者が本発明を構成または使用することを可能にすべく提供されている。これらの実施形態への種々の変更は、当業者には容易に明らかであり、本明細書に定義されている一般的な原理は、本発明の主旨および範囲から逸脱することなく他の実施形態に適用され得る。したがって、本発明は本明細書に示されている実施形態に制限されることを意図されるものではなく、本明細書に開示されている原理および新規な特徴と合致する最大の範囲に一致すべきものである。
【図面の簡単な説明】
【0033】
【図1】攻撃者によって危険にさらされ得る一般的なGSMネットワークシステムの一部を示す図。
【図2】認証中に関与し得る加入者局の構成要素を示す図。
【図3】トリプレットにおいて期限切れ時間を実施する例を示すフローチャート。
【図4】期限切れ時間マーカをもつ認証トリプレットを処理する例を示すフローチャート。
【図5】加入者ユニットを示す図。
【符号の説明】
【0034】
108・・・リンク、206・・・処理システム。
【技術分野】
【0001】
米国特許法第119条のもとでの優先権の主張
本特許出願は、2003年11月10日に出願された仮出願第60/519,010号(“Expiration of GSM Authentication Challenges”)に対して優先権を主張しており、仮出願第60/519,010号は、本発明の譲受人に譲渡され、それによって、本明細書において参照によって明らかに取り入れられている。
【0002】
本発明の開示は、概ね、無線通信、より具体的には、無線遠隔通信システムをセキュリティ保護する方法に関する。
【発明の開示】
【発明が解決しようとする課題】
【0003】
無線通信のための1つのセルラ技術は、グローバルシステムフォーモバイル(Global System for Mobile, GSM)のプロトコルによって定められている。GSMは、汎用パケット無線サービス(General Packet Radio Service, GPRS)のような新しいサービスによってさらに拡張され、これは、インターネットコンテンツおよびパケットを用いたデータサービスをGSMネットワークに与える。GSMは、音声、インターネットブラウジング、電子メール、およびマルチメディアデータを含む、多くのタイプの無線通信に使用されている。GSMは、このようなシステム上で通信されるコンテンツを保護するために、種々のセキュリティ機構を取り入れている。サービスプロバイダおよびユーザは、通信のプライバシおよびデータの保護のために、これらのセキュリティ機構に同様に依存している。セキュリティ機構は、一般に、ネットワークに対してユーザを認証し、次に、ユーザがデータを、空中をわたる伝送前に、暗号化することによって動作する。このようなセキュリティ対策は、第三者による攻撃を受ける。したがって、セキュリティ保護された無線通信のための方法および装置が必要である。
【発明を実施するための最良の形態】
【0004】
暗号化は、認可されていない第三者によるアクセスから保護するために、データを変更する処理である。この技術は、一般に、例えば、加入者局と基地局との間で、エアインターフェースによって、および他の無線またはワイヤーラインリンクによって、希望の遠く離れた相手に伝送されるデータの暗号化を採用する。暗号化は、通常、データを、適切な“鍵”をもつ受信者のみがそれを復号できるようなやり方で、符号化することを指す。暗号化は、擬似ランダムビット列と、通信データの標準のバーストのビットとの間で排他的論理和の処理を行うことによって達成され得る。受信者が適切な鍵をもっているときに限って、処理は“アンドゥ(undo)”され、通信データのバーストが抽出される。
【0005】
無線通信システムにおいて使用される1つのタイプの暗号化は、ストリーム暗号を使用して行われる。ストリーム暗号のための暗号化アルゴリズムは、ユーザデバイス(例えば、携帯電話、または、具体的には、デバイスの内部の加入者識別モジュール(Subscriber Identity Module, SIM)カード)のみが知っている秘密鍵と、フレーム番号とを利用し、暗号化のために入力とXORをとられる擬似ランダムビットストリーム(すなわち、鍵ストリーム(keystream))を生成する。情報は、受信データを解読するのにも使用される。したがって、ビットは、事実上、相互に独立して暗号化される。
【0006】
上述のように使用される擬似ランダム列を生成するのに一般に使用される2つのアルゴリズムは、A5/1およびA5/2のアルゴリズムである。最初のGSMプロトコルは、エアリンクの暗号化のためのセキュリティの3つのレベル、すなわち、暗号化されない、A5/2で暗号化される、およびA5/1で暗号化される、を支援する。A5のアルゴリズムは、音声またはデータ接続におけるオプションの暗号化に使用される。A5は、ストリーム暗号であり、64ビットの暗号化鍵を使用するが、228ビットのブロック長に基づくブロックである。A5は、XORおよび1ビットの加算の処理のみに関与して、ハードウェアにおいて効率的に実施されるように設計されている。A5は、2つのバージョンをもち、A5/1はヨーロッパにおいて使用され、A5/2はエクスポートシステムにおいて使用される。A5/1およびA5/2の両者は、暗号化に使用されるストリーム暗号アルゴリズムであるが、各々は、僅かに異なるセキュリティを与え、異なる複雑さを負っている。当業者には分かるように、A5はGSM仕様の一部である。A5/1は、“強い”エクスポートの制限されたバージョンとして知られており、A5/2は、エクスポートの制限をもたない標準および“弱い”バージョンである。時々使用されるA5の暗号化の別のバージョンは、A5/3であり、これは、ブロック暗号のユニバーサルモバイルテレコミュニケーションズシステム(Universal Mobile Telecommunications System, UMTS)/広帯域符号分割多元接続(Wideband Code Division-Multiple Access, WCDMA)のアルゴリズムに基づき、“カスミ(KASUMI)”として知られている。カスミは、真の128ビットの鍵を使用する64ビットのブロック暗号である。
【0007】
これらのアルゴリズムの各々は、秘密鍵として、例えば、標準GSM支援型認証機構にしたがう認証機構によって得られる64ビットのセッションの鍵(Kc)を使用する。GSMのセキュリティは、SIMカード上と、ユーザのホームネットワークの認証局(Authentication Center, AuC)上とに記憶された秘密の128ビットの鍵(Ki)を使用する、呼び掛け−応答機構に基づく。アクティブなセッションの初期設定中に、AuCは、128ビットのランダムに選択された値(RAND)を生成し、同じくGSM仕様の一部であるA3またはA8のような認証アルゴリズムを、RANDに適用する。アルゴリズムは、予測される応答(SRES)とセッションの暗号化鍵(Kc)との両者を生成する。これらの各々は、RANDおよびKiの関数である。RAND、SRES、およびKcは、まとめて、GSM認証ベクトル(認証トリプレット)を構成する。
【0008】
登録中に、認証トリプレットは、基地局へ送出され、基地局は、RANDを加入者局へ送る。加入者局内のSIMカードは、RANDを読み出し、SRESおよびセッションの鍵Kcを、同じ認証アルゴリズムまたは鍵協定アルゴリズム(それぞれ、A3またはA8)にしたがって、その秘密鍵Kiを使用して計算する。計算されたSRES値は、基地局へ送られ、基地局は、それを、認証トリプレット内のSRESと比較し、それによって、加入者局の有効性を認証する。加入者局が認証されると、アクティブなセッション中に、Kcは、基地局によって指示されるように、通信の暗号化に使用され得る。
【0009】
都合の悪いことに、A5アルゴリズムは、データおよびネットワークの両者を危険にさらす第三者の攻撃に弱い。一般に、無線システム上で通信されるデータの暗号化は、誤り訂正のための符号化の後で行われる。符号化が、暗号化されるビット間で既知の線形の関係性を取り入れていることは周知である。したがって、攻撃者は、個々の入力ビットの実際の値を知らなかったとしても、符号化の既知の線形の関係性にしたがって、ある特定のグループがXORでゼロになることを知り得る。このような既知の関係性は、攻撃者が、暗号化されているデータの内容についての特定の知識をもたずに、セキュリティ保護された通信に侵入することを可能にし得る。
【0010】
このような攻撃は、“暗号文のみ”の攻撃(“ciphertext only” attack)として知られており、種々のA5の暗号化アルゴリズムに対して効果的であることが証明されている。このような攻撃の一例は、Biham、他によって開示された“マンインザミドル(Man In The Middle, MITM)”攻撃である。基本的に、GSMに対するMITM攻撃は、偽の基地局が、自分自身を認証処理に介入させ、RANDおよびSRESの両者を傍受するのを可能にすることを含む。偽の基地局は、加入者局に、認証後に、暗号化に、より弱いA5/2アルゴリズムを使用することを強制する。偽の基地局がA5/2のトラヒックからKcを壊して取り出すには、少量のA5/2の暗号化された通信のみが必要とされる。この時点で、偽の基地局は、加入者局と偽の基地局との間の区間上でA5/2暗号化間の翻訳機としての役割を果たすことができ、偽の基地局と真の基地局との間の区間上で、真の基地局によって、何れの暗号化も要求される。より重要なことには、偽の基地局は、認証トリプレット全体を復元することができ、したがって、それは、例えば、電話呼を乗っ取る(hijack)か、または偽のサービスを設定するために、再び使用され得る。さらに加えて、A5/3のような、より強いA5アルゴリズムが開発されても、Kcがこれらのアルゴリズムの何れをも使って働くので、より強いものでさえ、より弱いアルゴリズムにおけるセキュリティの不備な点によって徐々に崩され、最も重要な部分においてKcが傍受されるのを許してしまう。
【0011】
このタイプの攻撃から保護するための提案が作成されたが、標準のGSMプロトコルまた装置に対して大幅な変更を要求しない効率的な解決案は、現在のところない。さらに加えて、SIMおよび配備された加入者局に対する変更は、実施するのに不可能または非現実的であり得る。ネットワークのインフラストラクチャに対する変更も、煩雑で、コスト高で、同期をとるのが困難であるだろう。したがって、これらの攻撃の脅威に対する現在提案されている解決策は、実際に実施するには、コストが高過ぎるか、またはあまりにも非現実的であり得る。
【0012】
ここで図面の図1を参照すると、攻撃者によって危険にさらされ得る一般的なGSMネットワークシステムの一部が示されている。ユーザは、セルラ電話であるか、またはそれを含み得る加入者局(subscriber station, SS)100と、加入者識別モジュール(SIM)カード104とを使用することによって、ネットワーク上で通信し得る。もちろん、本明細書における教示は、種々の通信デバイスに当てはまり、セルラ電話に制限されないことが分かる。SIMカード104は、セルラ電話内に配置され得る小型の1つの回路である。SIMカード104は、電話番号、秘密鍵(別途さらに詳しく記載される)、電話帳エントリ、および他の詳細のような、ユーザに関する個人情報を記憶し得る。この情報のいくつかが使用され、ユーザが、電話サービスを提供しているネットワークに識別され、認証され得る。SIMカード104は、加入者局からネットワークへ伝送する前の音声およびデータ伝送に対する暗号化能力および処理能力も含み得る。SIMカード104は、オプションで、1つのデバイスから別のデバイスに移されても、または、異なるSIMカード104が任意のGSMのセルラ電話に挿入されても、あるいはこの両者が行われてもよい。例えば、ユーザは、1台の電話をもち、それを私的な呼と仕事用の呼の両者に使用するとき、電話をどのように使用するかに依存して、SIMカードを変更することができる(1枚のカードは、私的な識別およびデータを含み、第2のカードは、仕事用の識別およびデータを保持する)。
【0013】
ユーザは、加入者局100の電源を入れると、通信に使用される1つ以上のネットワークアクセスポイント(Network Access Point, NAP)106の位置を突き止めることを試みる。NAPは、例えば、GSMネットワークに接続するのに適した基地局または他のハードウェアを含み得る。これを行うために、加入者局100は、異なるNAPから送られたパイロット信号を監視する。加入者局は、最も強いパイロット信号を選択し、これは、ネットワークへのリンクを設定するのに適した1つのNAPを識別するであろう。GSMネットワークシステムについての次の記述において、加入者局100は、1つのNAP106とのリンクを設定する。
【0014】
加入者局100が、NAP106と設定されたリンク108を介して、ネットワークに接続された後で、ネットワークは、加入者局100の位置を判断しなければならない。訪問先位置レジスタ(Visited Location Register, VLR)112のようなデータベースは、そのローカルエリア内の全ての加入者局のエントリを、加入者局の最後に認められた位置と共に記憶し得る。加入者局は、現在の位置について、ホーム位置レジスタ(Home Location Resister, HLR)110に定期的に知らせて、HLR110が、それにしたがって記憶されている情報を更新し、到来する呼を加入者局にルート設定することを可能にし得る。加入者局がローミングしていないときは(すなわち、加入者局が、ホームオペレータによってサービスされる領域内にいるときは)、HLR110およびVLR112の機能が結合され得る。使用されるとき、VLR112は、外部ネットワーク内でローミングしている加入者局と、ホームネットワーク内にある加入者局の自分のHLR110との間の通信に役立ち得る。本明細書における概念は、VLRをもつ無線システムと、VLRをもたない無線システムとに適用され得ることであることが分かるであろう。
【0015】
ネットワークは、加入者局100の現在の位置を識別した後で、ユーザを認証することを試み得る。認証は、GSMのセキュリティ対策の一部である。ユーザの秘密鍵(Ki)は、GSMシステムにおけるセキュリティの中心であり、認証中に使用される。各ユーザは、秘密鍵としてKiと呼ばれる乱数を割り当てられ、これは、SIMカード104と、認証局(AuC)114と呼ばれるデータベースとに記憶されている。秘密鍵は、第三者によって発見されると、システムを故障させることになるので、注意深く保護される。Kiは、AuC114から送られず、したがって、伝送中の盗聴は不可能である。Kiは、SIMカード104からも離れない。認証中に、NAP106は、先ず、乱数および関係付けられた応答について、AuC114に尋ねる。AuC114はプロセッサ116を含んでいて、これは、乱数(RAND)を生成し、RANDおよびユーザのKiが入力として使用されるセキュリティアルゴリズムを実行し得る。セキュリティアルゴリズムは、例えば、A3/A8認証プロトコルにしたがい得るが、他のプロトコルも使用され得る。このアルゴリズムの出力は、応答(SRES)と、セッションの鍵(Kc)として知られている特別な暗号化鍵とである。SRESは、ユーザを認証するのに使用され、Kcは、加入者局およびネットワークの両者によって、認証が行われた後に、通信データを暗号化および解読するために使用され得る。
【0016】
AuCは、RAND、SRES、およびKcを生成し、計算した後で、3つの値を、認証トリプレット(トリプレット)と呼ばれるものにおいて一緒にまとめ、NAP106にトリプレットを与える。次に、NAP106は、トリプレットからRANDを抽出し、RANDのみを加入者局100へ送る。加入者局100は、何れの認証アルゴリズムがAuCによってSRESおよびKcを生成するために使用されたかを知る。したがって、加入者局100は、同じ認証アルゴリズムを使用することによって、NAPから受信したRANDを得て、同じSRESおよびKcを計算し得る。既に記載したように、これらの値は、Ki、すなわち、SIMカード104上に記憶された秘密鍵の関数であり、加入者局100による使用に供される。
【0017】
図2は、認証処理中に関与し得る加入者局100の追加の構成要素を示している。アナログフロントエンドは、受信機(receiver, Rx)202および送信機(transmitter, Tx)204の両者をもつトランシーバを含み得る。加入者局(subscriber system)100は処理システム(processing system, SSPS)206も含み、これは、ユーザのセルラ電話上に存在するプロセッサ208と、既に記載したように自分自身のプロセッサをもつSIMカード104とを含む。
【0018】
ここで図1に戻ると、加入者局100(または、そのSIMカード104)は、SRESおよびKcを計算すると、Kcを保持し、SRESをNAP106に送り返すことができる。NAP106が加入者局100を認証することができると、通信が行われ、各エンティティはKcを使用して、NAPによって選択された、加入者局100に特定の暗号化アルゴリズムにしたがって通信データを暗号化および解読することができる。加入者局100を認証するために、NAP106は、先ず、加入者局100から受信した正しいSRESを照合する。そのようにするために、NAP106は、プロセッサ(processor, P)118によって、加入者局100から受信したSRESと、AuC114から受信したSRESとを比較し得る。これらが整合しないときは、認証は失敗する。しかしながら、これらが整合するときは、加入者は認証され、通信が行われ得る。
【0019】
既に記載したように、MITM攻撃は、認証手続き中に行われる。NAP106が、認証のためにRANDを加入者局100へ送るとき、RANDが攻撃者120によって傍受される。攻撃者120は、RANDを正当なユーザの加入者局100へ送る。加入者局100は、この認証要求がNAP106から正当に来たと信じて、既に記載した通常の認証ルーチンの一部として、SRESを計算し、SRESをNAP106に戻す。SRESは、攻撃者120によって再び傍受され、攻撃者120は、それをネットワーク上へ送る。この時点で、攻撃者120は、NAP106にとって“認証された”ように見え、それが傍受したRANDおよびSRESの両者も手に入れている。攻撃者120が欠いている完全な認証トリプレットの唯一の部分は、Kcである。しかしながら、攻撃者120は、弱い暗号化アルゴリズムA5/2を使用して、この値を得ることができる。
【0020】
例えば、標準の条件のもとで、NAP106は、認証を照合すると、A5/1またはA5/3の暗号化を使用して通信を行う要求(暗号開始(cipherstart)メッセージ)を加入者局100へ送る。しかしながら、攻撃中に、攻撃者120は、暗号開始メッセージを傍受することができ、それを加入者局100へ送る代わりに、その暗号開始メッセージを変えて、その代りに、A5/2、すなわち弱い暗号化アルゴリズムを使用するように加入者局100に伝える。A5/2の要求が、加入者局100にとって、正当な暗号開始メッセージであるように見え、したがって、加入者局は、その通信データをA5/2アルゴリズムで暗号化し始めることになる。次に、NAP106と加入者局100との間で通信を依然として傍受している攻撃者120は、A5/2の暗号解析を採用して、Kcを検索し得る。攻撃者120は、Kcが分かると、同じKcがA5アルゴリズムの何れをも使って働くので、攻撃者120は、翻訳機としての役割を果たし、A5/2によって加入者局100と通信し、NAP106がその暗号開始メッセージにおいて特定したアルゴリズムが何れであっても、NAP106と通信し得る。より重要なことは、この時点において、攻撃者120は有効な認証トリプレットの全ての部分をもち、したがって、これを将来のセッションにおいて再び使用し、例えば、認証されたユーザを装うことによって、電話呼を乗っ取るか、または電話サービスを盗み得る。
【0021】
傍受されたトリプレットの潜在的に無限の再使用を防ぐために、期限切れの特徴が実施され得る。トリプレットは、その有効性を、ある所定時間texpの後で期限切れになるようにする追加情報を含むように構築され得る。このような特徴は、時間ウィンドウまたは期限切れ時間をRAND内へ符号化することを含み、攻撃者が無限の時間期間において傍受した認証情報を再使用するのを妨げ得る。図3は、このような符号化された期限切れ時間をもつトリプレットを含む方法の例を示すフローチャートである。ブロック300において、texpは、例えば、AuCによって判断され得る。次に、ブロック302において、texpは、ランダム値RANDexp内で符号化され得る。RANDexpは、上述の、指定された暗号化マーカ(mandated encryption marker)も含み得る。次に、ブロック304において、AuCは、RANDexpを、対応するSRESおよびKcの値と組合せて、texpと共にトリプレットを形成し得る。トリプレットは、既に記載したように、ネットワークを通され、最後に、RANDexpは、トリプレットから抽出され、ブロック306において示されているように、加入者局によって受信され得る。
【0022】
ブロック308に示されているように、次に行われることは、加入者局がレガシー(legacy)の装置を含んでいるか、またはアップグレードされた装置を含んでいるかに依存し得る。加入者局が呼び掛けを支援するとき、期限切れ処理は、続いてステップ314に進む。さもなければ、処理は、続いてステップ310に進む。システムは、ブロック310に示されているように、texpを認識するのに失敗し得る。ブロック312において、加入者局は、RANDexpを使用して、texpの明細を明らかにすることも、または処理に対して他の変更を加えることもなく、上述の認可処理を進め得る。しかしながら、加入者局は、アップグレードされているときは、texpを認識し、決定ブロック314において、texpが、例えば、加入者局の内部クロックから判断され得る現在の時間tcurよりも大きいかどうかを判断し得る。言い換えると、加入者局は、tcurを、トリプレットが最早有効でない時間、すなわちtexpと比較し得る。texp>tcurであるときは、ブロック316において、加入者局は、RANDexpを続けるのを止め、ここで、加入者局は、期限が切れた、無効のトリプレットから得られたことを知る。その結果、ブロック318において、認証は失敗するであろう。しかしながら、tcurが、texpによって示された時間にまだ達していないときは、ブロック320において、加入者局は、RANDexpが有効なトリプレットから来たことを知り、既に記載したように、RANDexpを使用して、認可を行い得る。
【0023】
texpは、トリプレットが期限切れになる単一のディスクリートな時間に制限されず、その代わりに、有効期間を示す時間ウィンドウを含み得ることが理解されるべきである。時間ウィンドウは、時間の上限および下限を含み、その外では、この時間ウィンドウで符号化されたトリプレットは、期限切れであり、無効であると見なされる。例えば、tcurが時間ウィンドウ内に入るときは、トリプレットは有効であり、tcurが時間ウィンドウの外部、すなわち、時間ウィンドウを定めている時間の上限および下限の何れかの側に入るときは、トリプレットは期限切れであり、したがって無効であるであろう。
【0024】
図4は、期限切れ時間マーカをもつ認証トリプレットを処理する例を示すフローチャートである。ブロック400では、AuCは、例えば、認証中にNAPからトリプレットに対する要求を受信することに応答して、トリプレット(triplet, T)を選択し、加入者局を認証するのに使用できるVLRに、Tを送り得る。その代わりに、これ、および図4を参照して記載される他の手続きが、HLRによって行われることもある。ブロック402では、NAPは、Tが、時間ウィンドウか、またはその中に符号化された他の形式の期限切れマーカをもつトリプレットであるかどうかを試験し得る。そうでないときは、トリプレットは有効であり、ブロック404において、VLRは、トリプレットを、認証に使用されるNAPに送る。他方で、Tが期限切れマーカを含むときは、ブロック406において、VLRはマーカtexpを識別し、次に、これを使用して、Tの現在の有効性を試験し得る。
【0025】
ブロック408において、VLRは、texpを、例えばVLRの内部クロックから判断され得る現在の時間tcurと比較し、texpがtcurを超えているかどうかを判断することによって、トリプレットが期限切れになったかどうかを試験し得る。texpがtcurを超えていると判断されると、トリプレットは期限切れであり、ブロック410において、VLRはそのトリプレットを捨て、ブロック400において、別のものを選択し得る。他方で、texpがtcurより小さいときは、トリプレットは依然として有効であり、ブロック404において、認証に使用するために、NAPに送り得る。別の実施形態では、VLRは、実際の期限切れの前、例えば、tcurがtexpを超える前のある時間量内で、トリプレットを捨て得る。例えば、公差はVLR内で予め定められ、プログラムされてもよく、したがって、tcurがtexpよりも小さいが、その公差量内であるとき、VLRは、それでもトリプレットを捨て得る。
【0026】
図5は、現在の時間と、ランダム値RANDに関係付けられた期限切れ時間と比較する認証照合ユニット712をもつ、1つの実施形態にしたがう加入者ユニットを示している。加入者ユニットは、鍵および応答計算ユニット704に接続された受信回路700をもち、鍵および応答計算ユニット704は、応答SRESを送信回路708に与え、鍵Kcを符号化/復号ユニット710に与える。マイクロプロセッサは、鍵および応答計算ユニット704、符号化/復号ユニット710、およびメモリ記憶ユニット702の動作を制御する。加入者ユニットは、秘密鍵Kiをメモリ記憶ユニット702に記憶する。鍵および応答計算ユニット704は、ネットワークから受信したランダム値RANDから、期限切れ時間情報を抽出する。認証照合ユニット712は、期限切れ時間情報を受信し、現在の時間と比較する。認証照合ユニット712が、RANDが期限切れになったと判断すると、加入者ユニットは認証手続きを終了し、再試行することを決定し得る。認証照合ユニット712が、RANDが期限切れになっていないと判断すると、加入者ユニットは、応答SRESと、鍵Kiとを生成する。認証照合ユニット712は、現在の時間のようなタイミング情報をクロック714から受信する。
【0027】
本明細書は、本発明の特定の実施形態を記載しているが、普通の技能をもつ者は、発明の概念から逸脱することなく、本発明のバリエーションを考案することができる。例えば、本発明の教示は、回路交換ネットワーク素子を参照しているが、同様に、パケット交換領域ネットワーク素子に適用可能である。さらに加えて、本明細書の教示は、認証トリプレットの組に制限されず、2つのSRES値を含む1つのトリプレット(通例のフォーマットの1つ、および本明細書に開示されているより新しいフォーマットの1つ)の使用に適用されることもできる。
【0028】
当業者には、情報および信号が、種々の異なる技術および技法の何れかを使用して表され得ることが分かるであろう。例えば、上述全体で参照され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁界または磁性粒子、光学場または光学粒子、あるいはこれらの組合せによって表され得る。
【0029】
当業者は、本明細書に開示されている実施形態に関連して記載された種々の例示的な論理ブロック、モジュール、回路、およびアルゴリズムが、電子ハードウェア、コンピュータソフトウェア、またはこの両者の組合せとして実施され得ることも分かるであろう。ハードウェアおよびソフトウェアのこの互換性を明らかに説明するために、種々の例示的な構成要素、ブロック、モジュール、回路、方法、およびアルゴリズムが、それらの機能性に関して、上述概ねに記載されている。このような機能性がハードウェアまたはソフトウェアとして実施されるかは、システム全体に課された設計の制約および具体的な用途に依存する。熟練工は、記載された機能性を各特定の用途ごとに様々なやり方で実施し得るが、このような実施上の決定は、本発明の範囲からの逸脱を招くものとして解釈されるべきではない。
【0030】
本明細書に開示されている実施形態に関連して記載されている種々の例示的な論理ブロック、モジュール、および回路は、汎用プロセッサ、ディジタル信号プロセッサ(digital signal processor, DSP)、特定用途向け集積回路(application specific integrated circuit, ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array, FPGA)または他のプログラマブル論理デバイス、ディスクリートゲートまたはトランジスタロジック、離散ハードウェアコンポーネント、あるいは本明細書に説明されている機能を実行するように設計されたこれらの組合せで実現または実行され得る。汎用プロセッサは、マイクロプロセッサであってもよいが、代替例においては、プロセッサは任意の従来のプロセッサ、制御装置、マイクロ制御装置、または状態機械であり得る。プロセッサは、計算デバイスの組合せとして、例えば、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと関連した1つ以上のマイクロプロセッサ、または任意の他のこのような構成としても実施され得る。
【0031】
本明細書に開示されている実施形態に関連して記載されている方法またはアルゴリズムは、ハードウェアにおいて、プロセッサによって実行されるソフトウェアモジュールにおいて、またはこの2つの組合せにおいて直接に具現化され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、または当技術において公知の任意の他の形態の記憶媒体に常駐していてもよい。記憶媒体は、プロセッサが記憶媒体から情報を読み出し、かつそこへ情報を書き込むことができるようにプロセッサに結合され得る。代替例において、記憶媒体は、プロセッサと一体であってもよい。プロセッサおよび記憶媒体は、ASICに常駐していてもよい。
【0032】
開示されている実施形態の上記説明は、当業者が本発明を構成または使用することを可能にすべく提供されている。これらの実施形態への種々の変更は、当業者には容易に明らかであり、本明細書に定義されている一般的な原理は、本発明の主旨および範囲から逸脱することなく他の実施形態に適用され得る。したがって、本発明は本明細書に示されている実施形態に制限されることを意図されるものではなく、本明細書に開示されている原理および新規な特徴と合致する最大の範囲に一致すべきものである。
【図面の簡単な説明】
【0033】
【図1】攻撃者によって危険にさらされ得る一般的なGSMネットワークシステムの一部を示す図。
【図2】認証中に関与し得る加入者局の構成要素を示す図。
【図3】トリプレットにおいて期限切れ時間を実施する例を示すフローチャート。
【図4】期限切れ時間マーカをもつ認証トリプレットを処理する例を示すフローチャート。
【図5】加入者ユニットを示す図。
【符号の説明】
【0034】
108・・・リンク、206・・・処理システム。
【特許請求の範囲】
【請求項1】
加入者局においてネットワークとの無線通信をセキュリティ保護する方法であって、
ネットワークからランダム値を受信し、ランダム値が期限切れ時間を示す期限切れマーカをもつことと、
現在の時間を期限切れ時間と比較することと、
現在の時間が期限切れ時間を超えていないときは、通信を認証することと、
現在の時間が期限切れ時間を超えているときは、通信の認証を拒絶することとを含む方法。
【請求項2】
期限切れ時間が、時間のウィンドウによって定められている請求項1記載の方法。
【請求項3】
加入者局に記憶されている秘密鍵を検索することと、
秘密鍵およびランダム値の関数として、応答値を生成することとをさらに含む請求項1記載の方法。
【請求項4】
秘密鍵およびランダム値の関数として、暗号化鍵を生成することをさらに含む請求項3記載の方法。
【請求項5】
認証のために、応答値を伝送することをさらに含む請求項4記載の方法。
【請求項6】
伝送データを、暗号化鍵を使用して暗号化することをさらに含む請求項5記載の方法。
【請求項7】
受信データを、暗号化鍵を使用して解読することをさらに含む請求項6記載の方法。
【請求項8】
ランダム値を受信することが、
ランダム値、応答値、および暗号化鍵を含む認証トリプレットを受信することを含み、トリプレットが期限切れマーカを識別する請求項1記載の方法。
【請求項9】
ネットワークからランダム値を受信する手段であって、ランダム値が、期限切れ時間を示す期限切れマーカをもつ手段と、
現在の時間を期限切れ時間と比較する手段と、
現在の時間が期限切れ時間を超えていないときは、通信を認証する手段と、
現在の時間が期限切れ時間を超えているときは、通信の認証を拒絶する手段とを含む無線通信のための装置。
【請求項10】
期限切れ時間が、時間のウィンドウによって定められている請求項9記載の装置。
【請求項11】
加入者局に記憶されている秘密鍵を検索する手段と、
秘密鍵およびランダム値の関数として、応答値を生成する手段とをさらに含む請求項9記載の装置。
【請求項12】
秘密鍵およびランダム値の関数として、暗号化鍵を生成する手段をさらに含む請求項11記載の方法。
【請求項13】
認証のために、応答値を伝送する手段をさらに含む請求項12記載の装置。
【請求項14】
伝送データを、暗号化鍵を使用して暗号化する手段をさらに含む請求項13記載の装置。
【請求項15】
受信データを、暗号化鍵を使用して解読する手段をさらに含む請求項14記載の装置。
【請求項16】
ランダム値を受信する手段が、
ランダム値、応答値、および暗号化鍵を含む認証トリプレットを受信する手段を含み、トリプレットが期限切れマーカを識別する請求項9記載の装置。
【請求項17】
認証局および位置レジスタをもつネットワークであって、
認証局において、期限切れ時間を特定する期限切れマーカをもつランダム値を生成する手段と、
認証局において、ランダム値の関数として、セッションの鍵および応答値を計算する手段と、
認証局において、ランダム値、セッションの鍵、および応答値を組合せて、認証トリプレットを形成する手段であって、認証トリプレットが期限切れマーカを含む手段と、
認証トリプレットを認証局から位置レジスタに伝送する手段とを含むネットワーク。
【請求項18】
ネットワークからランダム値を受信するように構成された受信機であって、ランダム値が期限切れ時間を示すマーカをもつ受信機と、
現在の時間を報告するように構成されたクロックと、
マーカを認識し、マーカの認識に応答して、現在の時間と期限切れ時間とを比較するように構成されたプロセッサとを含む加入者局。
【請求項19】
現在の時間が期限切れ時間と少なくとも同じ大きさであるとき、プロセッサが、認証に使用されるランダム値を拒絶するようにも構成されている請求項18記載の加入者局。
【請求項20】
現在の時間が期限切れ時間よりも小さいときは、プロセッサが、認証のためにランダム値を使用するようにも構成されている請求項16記載の加入者局。
【請求項1】
加入者局においてネットワークとの無線通信をセキュリティ保護する方法であって、
ネットワークからランダム値を受信し、ランダム値が期限切れ時間を示す期限切れマーカをもつことと、
現在の時間を期限切れ時間と比較することと、
現在の時間が期限切れ時間を超えていないときは、通信を認証することと、
現在の時間が期限切れ時間を超えているときは、通信の認証を拒絶することとを含む方法。
【請求項2】
期限切れ時間が、時間のウィンドウによって定められている請求項1記載の方法。
【請求項3】
加入者局に記憶されている秘密鍵を検索することと、
秘密鍵およびランダム値の関数として、応答値を生成することとをさらに含む請求項1記載の方法。
【請求項4】
秘密鍵およびランダム値の関数として、暗号化鍵を生成することをさらに含む請求項3記載の方法。
【請求項5】
認証のために、応答値を伝送することをさらに含む請求項4記載の方法。
【請求項6】
伝送データを、暗号化鍵を使用して暗号化することをさらに含む請求項5記載の方法。
【請求項7】
受信データを、暗号化鍵を使用して解読することをさらに含む請求項6記載の方法。
【請求項8】
ランダム値を受信することが、
ランダム値、応答値、および暗号化鍵を含む認証トリプレットを受信することを含み、トリプレットが期限切れマーカを識別する請求項1記載の方法。
【請求項9】
ネットワークからランダム値を受信する手段であって、ランダム値が、期限切れ時間を示す期限切れマーカをもつ手段と、
現在の時間を期限切れ時間と比較する手段と、
現在の時間が期限切れ時間を超えていないときは、通信を認証する手段と、
現在の時間が期限切れ時間を超えているときは、通信の認証を拒絶する手段とを含む無線通信のための装置。
【請求項10】
期限切れ時間が、時間のウィンドウによって定められている請求項9記載の装置。
【請求項11】
加入者局に記憶されている秘密鍵を検索する手段と、
秘密鍵およびランダム値の関数として、応答値を生成する手段とをさらに含む請求項9記載の装置。
【請求項12】
秘密鍵およびランダム値の関数として、暗号化鍵を生成する手段をさらに含む請求項11記載の方法。
【請求項13】
認証のために、応答値を伝送する手段をさらに含む請求項12記載の装置。
【請求項14】
伝送データを、暗号化鍵を使用して暗号化する手段をさらに含む請求項13記載の装置。
【請求項15】
受信データを、暗号化鍵を使用して解読する手段をさらに含む請求項14記載の装置。
【請求項16】
ランダム値を受信する手段が、
ランダム値、応答値、および暗号化鍵を含む認証トリプレットを受信する手段を含み、トリプレットが期限切れマーカを識別する請求項9記載の装置。
【請求項17】
認証局および位置レジスタをもつネットワークであって、
認証局において、期限切れ時間を特定する期限切れマーカをもつランダム値を生成する手段と、
認証局において、ランダム値の関数として、セッションの鍵および応答値を計算する手段と、
認証局において、ランダム値、セッションの鍵、および応答値を組合せて、認証トリプレットを形成する手段であって、認証トリプレットが期限切れマーカを含む手段と、
認証トリプレットを認証局から位置レジスタに伝送する手段とを含むネットワーク。
【請求項18】
ネットワークからランダム値を受信するように構成された受信機であって、ランダム値が期限切れ時間を示すマーカをもつ受信機と、
現在の時間を報告するように構成されたクロックと、
マーカを認識し、マーカの認識に応答して、現在の時間と期限切れ時間とを比較するように構成されたプロセッサとを含む加入者局。
【請求項19】
現在の時間が期限切れ時間と少なくとも同じ大きさであるとき、プロセッサが、認証に使用されるランダム値を拒絶するようにも構成されている請求項18記載の加入者局。
【請求項20】
現在の時間が期限切れ時間よりも小さいときは、プロセッサが、認証のためにランダム値を使用するようにも構成されている請求項16記載の加入者局。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2007−511184(P2007−511184A)
【公表日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願番号】特願2006−539792(P2006−539792)
【出願日】平成16年11月10日(2004.11.10)
【国際出願番号】PCT/US2004/037468
【国際公開番号】WO2005/048641
【国際公開日】平成17年5月26日(2005.5.26)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
【公表日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願日】平成16年11月10日(2004.11.10)
【国際出願番号】PCT/US2004/037468
【国際公開番号】WO2005/048641
【国際公開日】平成17年5月26日(2005.5.26)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
[ Back to top ]