移動通信システムにおける安全なデータ伝送のための方法および装置
【課題】移動通信システムにおける安全なデータ伝送のための方法および装置。
【解決手段】安全な伝送のための方法および装置。各ユーザは登録キーを与えられる。長期間更新された放送キーは、登録キーを使用して暗号化され、そして周期的にユーザに与えられる。短期間更新されたキーは放送キーを使用して暗号化され、そして周期的にユーザに与えられる。放送はそこで短期間キーを使用して暗号化され、ここでユーザは短期間キーを使用して放送メッセージを解読する。一つの実施例はリンクレイヤ内容暗号化を与える。他の実施例は、エンドツーエンド暗号化を与える。
【解決手段】安全な伝送のための方法および装置。各ユーザは登録キーを与えられる。長期間更新された放送キーは、登録キーを使用して暗号化され、そして周期的にユーザに与えられる。短期間更新されたキーは放送キーを使用して暗号化され、そして周期的にユーザに与えられる。放送はそこで短期間キーを使用して暗号化され、ここでユーザは短期間キーを使用して放送メッセージを解読する。一つの実施例はリンクレイヤ内容暗号化を与える。他の実施例は、エンドツーエンド暗号化を与える。
【発明の詳細な説明】
【関連出願】
【0001】
35U.S.C.120による優先権主張
本特許出願は、部分的に継続であり、そして“データ処理システムにおける安全性のための方法および装置”と題された、2001年8月20日に出願され、そしてこれについて譲受人に譲渡され、そしてこの結果参照によってこの中に明確に組み込まれた特許出願09/933,972に対する優先権を主張する。
【技術分野】
【0002】
本発明は一般的にデータ処理システム、そしてとくにデータ処理システムにおける安全性(security)のための方法および装置に関する。
【背景技術】
【0003】
通信システムを含む、データ処理および情報システムにおける安全性は、他の必要とされる基準の過多(plethora)と同様に、責任、公正度、正確度、信頼度、操作性に寄与している。暗号化、あるいは一般的な暗号の分野は、電子的な商取引(electronic commerse)、無線通信、放送に使用され、そして応用に関する無限の範囲を有している。電子的な商取引においては、暗号化は詐欺を防止し、財務上の取引を確認するために使用される。データ処理システムにおいては、暗号化は関係者が本人であることを識別するために使用される。暗号化はまた、ハッキングを防止し、ウエブページを保護し、そして秘密の書類へのアクセスを防止するために使用される。
【0004】
しばしば暗号システムとして参照される非対称な暗号化システムは、メッセージを暗号化し、そして解読するために同じキー(すなわち秘密キー)を使用する。ここで、非対称な暗号化システムは、メッセージを暗号化するために第1のキー(すなわち公開キー(public key))を使用し、それを解読するために異なったキー(すなわち個人キー(private key))を使用する。非対称な暗号化システムはまた公開キー暗号システムと呼ばれる。対称な暗号化システムは送出者から受信者への秘密キーの安全な準備においては問題がある。さらに、キーあるいは他の暗号化機構がしばしば更新される場合は問題が存在する。データ処理システムにおいては、安全にキーを更新する方法は、処理時間、メモリ容量、および他の処理オーバーヘッドを負担する。無線通信システムにおいては、キーを更新することは伝送のために使用される貴重な帯域幅を使用する。
【発明の概要】
【0005】
従来の技術は、彼等が暗号化された放送にアクセスするために、移動局の大きなグループに対してキーを更新するための方法を与えていない。その結果、データ処理システムにおいてはキーを更新することに関する安全なそして効率的な方法に対するニーズが存在する。さらに、無線通信システムにおいては、キーを更新することに関する安全なそして効率的な方法に対するニーズが存在する。
【0006】
この中に開示された実施例は、データ処理システムにおける安全のための方法を与えることによって上に示されたニーズに対処する。
【0007】
一つの観点においては、安全な伝送のための方法は、伝送における関係者に固有の登録キーを決定し、第1のキーを決定し、第1のキーを登録キーを用いて暗号化し、第2のキーを決定し、第2のキーを第1のキーを用いて暗号化し、そして第1および第2のキーを更新することを含む。
【0008】
他の観点においては、伝送の安全な受信のための方法は、伝送における関係者に固有の登録キーを受信し、第1のキーを受信し、第1のキーを登録キーを用いて解読し、第2のキーを受信し、第2のキーを第1のキーを用いて解読し、情報の放送ストリームを受信し、そして情報の放送ストリームを第2のキーを用いて解読することを含む。
【0009】
さらに他の観点においては、放送サービスオプションをサポートする無線通信システムは、受信回路、放送メッセージを解読するための短期間キーを回復することが可能なユーザ識別ユニット、および放送メッセージを解読するために短期間キーを適用することに適合された移動装置ユニットをを含む基幹施設エレメントを有する。ユーザ識別ユニットはキー情報を解読することが可能な処理ユニット、および登録キーを保存するためのメモリ保存ユニットを含む。
【図面の簡単な説明】
【0010】
【図1A】図1Aは、暗号システムに関する線図である。
【図1B】図1Bは、対称暗号システムに関する線図である。
【図1C】図1Cは、非対称暗号システムに関する線図である。
【図1D】図1Dは、PGP暗号化システムに関する線図である。
【図1E】図1Eは、PGP解読システムに関する線図である。
【図2】図2は、いくつかのユーザをサポートする、スペクトル拡散通信システムに関する線図である。
【図3】図3は、放送伝送をサポートする、通信システムに関するブロック線図である。
【図4】図4は、無線通信システムにおける移動局に関するブロック線図である。
【図5】図5は、放送アクセスを制御するために使用される移動局内におけるキーの更新を記述している模型である。
【図6】図6は、UIM内における暗号動作を記述している模型である。
【図7A】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7B】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7C】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7D】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7E】図7Eは、放送伝送をサポートする無線通信システムにおいて、安全オプションのキー更新期間に関するタイミング線図である。
【図8A】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図8B】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図8C】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図8D】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図9】図9は、放送伝送をサポートする無線通信システムにおける安全性を示している高レベルアーキテクチャ線図である。
【図10】図10は、リンクレイヤ内容暗号化を使用している通信システムのブロック線図である。
【図11】図11は、エンドツーエンド内容暗号化を使用している通信システムのブロック線図である。
【図12】図12は、集中化されたBAK暗号化を使用している通信システムのブロック線図である。
【図13】図13は、通信システムにおける、登録キー(RK)の準備を示すタイミング線図である。
【図14】図14は、通信システムにおける、放送アクセスキー(BAK)の加入サーバ(SS)暗号化を示すタイミング線図である。
【図15】図15は、通信システムにおける、ローカルに暗号化されたBAKを示すタイミング線図である。
【図16】図16は、通信システムにおける、認証ベクトル(AV)を使用しての一時的なキー(TK)の発生を示すタイミング線図である。
【図17】図17は、通信システムにおける、リンクレイヤ暗号化を示すタイミング線図である。
【図18】図18は、放送およびマルチキャストサービスをサポートする通信システムである。
【図19】図19は、内容サーバ(CS)によって実行された放送アクセスキー(BAK)更新を示すタイミング線図である。
【図20】図20は、サービスプロバイダ(SP)によって実行されたBAK更新を示すタイミング線図である。
【図21】図21は、放送チャネル上に送出された情報を結合することによって、BAKから複数の解読キーを導出することを示す。
【図22】図22は、BCMCSをサポートするための通信システムアーキテクチャである。
【図23】図23は、BCMCSをサポートする通信システムにおける、登録キー(RK)確立に関するタイミング線図であり、ここでホームサービスプロバイダは、内容サーバ(CS)を所有していない。
【図24】図24は、BCMCSをサポートするための通信システムアーキテクチャであって、ここでホームサービスプロバイダはCSを所有している。
【図25】図25は、マルチキャストサービスに対する準備を経てのベアラーパスセットアップに関するタイミング線図である。
【図26】図26は、ユニキャストサービスに対する準備を経てのベアラーパスセットアップに関するタイミング線図である。
【図27】図27は、マルチキャストサービスに対するMS登録を経てのベアラーパス配置に関するタイミング線図である。
【発明を実施するための形態】
【0011】
用語“典型的な”は、この中では、“実例、事実、あるいは例証として役立つ”ことを意味するためにのみ使用される。この中に“典型的な”として記述されたいかなる実施例も、選定されあるいは他の実施例よりも優れて有利であるとして解釈される必要はない。
【0012】
無線通信システムは、音声、データ、等の通信の種々の形態を与えるために広く展開されている。これらのシステムは、符号分割多元接続(CDMA)、時間分割多元接続(TDMA)、あるいは若干の他の変調技術に基づくことが可能である。CDMAシステムは、増加されたシステム容量を含む、システムの他の形式に勝るある利点を与える。
【0013】
システムは、この中ではIS−95標準として参照される“デュアルモード広帯域スペクトル拡散セルラシステムのためのTIA/EIA/IS−95−B移動局−基地局両立性標準”、この中では3GPPとして参照される“第3世代パートナーシッププロジェクト”と命名された協会によって提供され、そして書類番号3G TS25.211、3G TS 25.212、3G TS 25.213、および 3G TS 25.214、3G TS 25.302を含む書類のセットに収録されたこの中ではW−CDMAとして参照される標準、この中では3GPP2として参照される“第3世代パートナーシッププロジェクト2”と命名された協会によって提供された標準、およびこの中ではcdma2000標準として参照される、以前はIS−2000MCと呼ばれた、TR−45.5等の、1個あるいはそれ以上の標準をサポートするように設計することが可能である。この中で以上に引用された標準は、この結果参照によってこの中に明確に組み込まれている。
【0014】
各標準は、基地局から移動体へのそして逆もまた同様に、伝送のためのデータに関する処理を明確に定義している。典型的な実施例として、以下の論議はcdma2000システムと矛盾のないスペクトル拡散通信システムを考慮する。代わりの実施例は、他の標準/システムと組み合わせられることが可能である。なお他の実施例は、暗号システムを使用するデータ処理システムの任意の形式に対して、この中に開示された安全な方法を適用することが可能である。
【0015】
暗号システムはメッセージを隠す方法であり、したがって、ユーザの特定のグループがメッセージを抽出することを可能とする。図1Aは、基本的な暗号システム10を示す。暗号は創造の技術であり、そして暗号システムを使用する。暗号解読は暗号システムを破壊するすなわち、あなたがメッセージにアクセスすることが可能なユーザの特定のグループにいない場合に、メッセージを受信しそして理解する技術である。もとのメッセージは暗号のもとになる平文メッセージあるいは平文として参照される。暗号化されたメッセージは暗号文と呼ばれ、ここで暗号化は平文を暗号文に変換する何らかの手段を含む。解読は、暗号文を平文に変換する、すなわちもとのメッセージを回復する何らかの手段を含む。図1Aに示されるように、平文メッセージは暗号文を形成するために暗号化される。暗号文はそこで受信されそして平文を回復するために解読される。用語、平文および暗号文は一般的にデータに関連するが、暗号化の概念はディジタル形式で与えられたオーディオおよびビデオデータを含む、任意のディジタル情報に適用することが可能である。この中に与えられた本発明に関する記述は暗号の技術と矛盾のない用語、平文および暗号文を使用するが、これらの用語はディジタル通信に関する他の形式を除外していない。
【0016】
暗号システムは秘密をもとにしている。エンティティのグループは、もしもこのグループ外のエンティティが意味を持って大量のリソースなしに秘密を得ることが不可能な場合は、エンティティのグループは秘密を共有する。この秘密はエンティティのグループ間のセキュリティアソシエーション(security association)として役立つといわれる。
【0017】
暗号システムはアルゴリズムの集合であることが可能であり、ここで、各アルゴリズムは名前を付けられそして名前はキーと呼ばれる。しばしば暗号システムとして参照される対称的暗号化システムは、メッセージを暗号化しそして解読するために同じキー(すなわち秘密キー)を使用する。対称的暗号化システム20は図1Bに示され、ここで、暗号化および解読の両者は同じ個人キーを使用する。
【0018】
対照的に、非対称暗号化システムは、メッセージを暗号化するために第1のキー(すなわち公開キー)を使用し、そしてそれを解読するために異なったキー(すなわち個人キー)を使用する。図1Cは、非対称暗号化システム30を示す。ここで、1個のキーは暗号化のために、そして第2のキーは解読のために与えられる。非対称暗号システムはまた、公開キー暗号システムと呼ばれる。公開キーは、公開されそして任意のメッセージを暗号化するために使用可能である。しかしながら、公開キーを用いて暗号化されたメッセージを解読するためには個人キーのみが使用可能である。
【0019】
送出者から受領者への秘密キーに関する安全性の準備において、対称的暗号システムにおいては問題が存在する。一つの解においては、情報を与えるための伝達手段(courier)が使用可能であるかも知れない。あるいは、より効率的でそして信頼できる解は、Rivest、Shamir、およびAdleman(RSA)によって定義された、この中で以下に論じられる、公開キー暗号システムを使用することかも知れない。RSAシステムは、かなり良いプライバシー(PGP:Pretty Good Privacy)として参照される一般的な安全ツールの中に使用され、そしてそれはさらにこの中で以下に詳述される。たとえば、最初に記録された暗号システムは、平文内の文字をアルファベット内でn個だけ各文字をシフトすることによって変更した。ここで、nはあらかじめ設定された一定の整数値である。このような方式においては、“A”は“D”で置き換えられる等である。ここで与えられた暗号化方式は、nに関するいくつかの異なった数と組み合わせることが可能である。この暗号化方式においては“n”はキーである。意図された受領者は暗号文の受信に先立って暗号化方式を与えられる。このようにして、キーを知っている人々のみが平文を回復するために暗号文を解読することが可能であった。しかしながら暗号化に関する知識を持ってキーを計算することによって、意図されないパーティが安全問題を発生させて、暗号文を傍受しそして解読することが可能であるかも知れない。
【0020】
さらに複雑なそして洗練された暗号システムは、意図されないパーティーから傍受および解読を阻止する戦略的なキーを使用している。古典的な暗号システムは、暗号化関数Eおよび解読関数Dを次のように使用している。
【0021】
D_K(E_K(P) )=P 任意の平文Pに対して (1)。
【0022】
公開キー暗号システムにおいては、 E_Kは、Kから順に計算される既知の“公開キー”Yから容易に計算される。誰でもがメッセージを暗号化することが可能なようにYは公開される。解読関数D_Kは公開キーYから計算されるが、しかし個人キーKに関する知識はほとんどない。個人キーKなしには意図されない受領者は、そのように発生された暗号文を解読することはできないかも知れない。このようにして、Kを発生した受領者のみがメッセージを解読可能である。
【0023】
RSAは、 Rivest、Shamir、およびAdlemanによって定義された公開キー暗号システムである。例として、2512までの正の整数として平文を考慮しよう。キーはクオッドルプル(quadruples)(p、q、e、d)であって、pは256ビットの素数として与えられ、qは258ビットの素数として与えられ、そしてdおよびeは(p-1)(q-1)によって除算可能な(de-1)である大きい数である。さらに、暗号化関数を
E_K(P)=Pe mod pq,D_K(C)=Cd mod pq, (2)
として定義する。
【0024】
E_Kは対(pair)(pq,e)から容易に計算される一方、 D_Kを対(pq,e)から計算するための知られた単純な方法はない。その結果Kを発生する受領者が対(pq,e)を公開可能である。彼がメッセージを読むことが可能な一人であるとして秘密のメッセージを受領人に送出することは可能である。
【0025】
PGPは、対称的、および非対称的暗号化からの特徴を結合している。図1Dおよび1Eは、PGP暗号システム50を示し、ここで平文メッセージは暗号化されそして回復される。図1Dにおいては、平文メッセージはモデム伝送時間およびディスク空間を節約するために圧縮される。圧縮は暗号化および解読の処理に対して他の変換レベルを加えることによって暗号の安全性即ち機密性を強める。大部分の暗号解読技術は、暗号を解読するために平文内に見られるパターンを利用する。圧縮は平文内のこれらのパターンを減らし、それによって暗号解読に対する抵抗を高める。一つの実施例は圧縮するには短すぎる平文あるいは他のメッセージは圧縮せず、あるいは適切に圧縮しないものは圧縮されないことに注意すべきである。
【0026】
PGPはそこで一度だけの秘密キーであるセションキーを作成する。このキーは、マウスのランダムな動きおよびタイプをするときのキーストローク等の任意のランダム事象から発生することが可能なランダムな数である。セションキーは、暗号文に帰着する平文を暗号化するための安全な暗号化アルゴリズムとともに動作する。一度データが暗号化されるとセションキーはそこで受領者の公開キーに対して暗号化される。この公開キー、暗号化されたセションキーは、暗号文とともに受領者に送信される。
【0027】
図1E内に示されるように、解読のために受領者のPGPに関するコピーは、一時的なセションキーを回復するために個人キーを使用する。そしてそれを、PGPはそこで規則通りに暗号化された暗号文を解読するために使用する。この暗号化方法の組み合わせは、公開キー暗号化の簡便さとそして対称的暗号化の速度とを利用している。対称的暗号化は、一般に公開キー暗号化よりもずっとより速い。公開キー暗号化は、代わりにキー配送およびデータ伝送発出に対する解を与える。組み合わせによって特性およびキー配送は安全における何の犠牲もなしに改善される。
【0028】
キーは、特定の暗号文を発生するために暗号アルゴリズムとともに動作する値である。キーは基本的に非常に大きい数である。キーサイズはビットで測定される。公開キー暗号においては、安全性はキーサイズとともに増加するが、しかしながら、公開キーサイズおよび対称的暗号化個人キーサイズは一般的に関係ない。一方、公開および個人キーは数学的に関係があるので、公開キーのみを与えて個人キーを導出するにあたって困難が生じる。個人キーを導出することは、十分な時間と計算力を与えれば、キーサイズの選択を重要な安全問題として可能である。目標は、速い処理のためにキーサイズを十分に小さく維持しながら、安全な大きいキーを有することである。付加的な配慮は、予想される傍受者、とくに、第三者に対するメッセージの何が重要であるか、そして解読のために第三者がどのくらいの資源を有しているかである。
【0029】
より大きいキーはより長い時間中暗号的に安全であろう。キーは暗号化された形態で記憶される。PGPはとくにキーを2個のファイル、1個は公開キーに対するそして1個は個人キーに対する中に保存する。これらのファイルはキーリング(keyring)と呼ばれる。適用にあたって、PGP暗号化システムは目標とする受領者の公開キーを送出者の公開キーリングの中に加える。送出者の個人キーは、送出者の個人キーリング上に記憶される。
【0030】
この中で上に与えられた例において論じたように、暗号化および解読に使用されるキーの配送の方法は複雑であることが可能である。“キー交換問題”は、第1に、キーが送出者および受信者の両方がそれぞれ暗号化および解読を実行可能であるように、そして双方向通信に対しては、送出者および受信者の両方がそれぞれメッセージを暗号化しそして解読することが可能であるように交換されることを保証することを含む。さらに、キー交換が意図されていない第三者による傍受を排除するように実行されることが望まれる。最後に付加的な配慮は、受信者に、メッセージは、意図された送出者でありそして第三者ではないものによって、暗号化されたことを受信者に保証を与える認証である。個人キー交換システムにおいては、成功したキー交換および確実な認証の上に改善された安全性を与えて、キーは秘密のうちに交換される。個人キー暗号化方式は暗黙のうちに認証を与えることは記憶すべきである。個人キー暗号システムにおける基本となる仮定は、意図された送出者のみが、意図された受信者に配送されたメッセージを暗号化する能力を有するキーを有するであろうということである。公開キー暗号方法は‘キー交換問題’に関するきわどい局面、とくに、キー交換の期間中消極的な盗聴者が存在する場合においてもその解読に対する抵抗を解決しているとはいえ、キー交換と組み合わせられたすべての問題を解決していない。とくに、キーは‘公開された知識’(とくにRSAの場合)と見なされているために、キーのみの所有は(メッセージを暗号化するのには十分な)送出者の特定の独自の本人であることの証拠ではなく、受領者の本人であることを確立するために十分な、それ自身による対応する解読キーの所有でもないので若干の他の機構が認証を与えるために必要とされる。
【0031】
一つの解決法は、リストされたキーは実際に与えたエンティティのそれであることを保証する、時には信頼された機関(trusted authority)、証明書機関(certificate authority)、あるいは第三者証書代理人(third part escrow agent)と呼ばれるキー配送機能を開発することである。この機関は典型的には実際にキーを発生せず、しかし送出者および受信者によって参照のために保存されそして広告された、キーのリストおよび組み合わせられた(本人であることの)証拠が正しくそして断固としたものであることを保証する。他の方法は、ユーザがお互いのキーを配送しそして追跡することを信頼し、そして略式の配送された様式を信頼することである。RSAのもとにおいては、もしもユーザが、暗号化されたメッセージに加えてそれらの本人であることの証拠を送ることを願う場合は、個人キーを用いてサインは暗号化される。受信者は、送出者のみが秘密キーの使用によって平文を暗号化してきていることが可能であるように、情報を解読することを確認するために、RSAアルゴリズムを逆に使用することが可能である。典型的には、暗号化された‘サイン’は、秘密のメッセージの唯一の数学的な‘要約’を含む‘メッセージ要約’である(もしもサインが複数のメッセージに亙って変わらなかった場合は、一度知った前の受信者はそれを不正に使用することができた)。このようにして、理論的にのみメッセージの送出者は、それによって受信者に対してその認証を立てて、そのメッセージに対する正しいサインを発生することが可能であった。
【0032】
メッセージ要約は、暗号を用いたハッシュ関数(hash function)を用いてしばしば計算される。暗号を用いたハッシュ関数は、任意の入力から入力の長さには関係なく値(一定したビットの数の)を計算する。暗号を用いたハッシュ関数の一つの特性は次のとおりである。出力値を与えて、その出力に帰着するであろう入力を決定することは計算機的に困難である。暗号を用いたハッシュ関数の例は、連邦情報処理標準発行機関(FIPS PUBS: Federal Information Processing Standards Publication)によって公表され、そして米国標準および技術会National Institute of Standards and Technology)によって発行された“安全なハッシュ標準(Secure Hash Standard)”、FIPS PUB 180−1、の中に記述されるように、SHA−1である。
【0033】
図2は、いくつかのユーザをサポートし、そして本発明の少なくともいくつかの観点および実施例を実行することが可能な通信システム100の例として有効である。アルゴリズムおよび方法の任意の変形は、システム100内における伝送を予定するために使用することが可能である。システム100は、それらの各々は対応する基地局104Aから104Gによってそれぞれ取り扱われる、いくつかのセル102Aから102Gに対する通信を与える。典型的な実施例においては、基地局104のいくつかは複数の受信アンテナを有し、そして他はただ1個の受信アンテナを有する。同様に、基地局104のいくつかは複数の送信アンテナを有し、そして他は1個の送信アンテナを有する。送信アンテナおよび受信アンテナの組み合わせに制約はない。その結果、基地局104に対して複数の送信アンテナおよび1個の受信アンテナを有すること、あるいは複数の受信アンテナおよび1個の送信アンテナを有すること、あるいはともに1個のあるいは複数の送信および受信アンテナを有することが可能である。
【0034】
カバレッジエリア内の端末106は固定され(すなわち静止した)あるいは移動体であることが可能である。図2内に示されたように、種々の端末106がシステムを通じて分散されている。各端末106は、下りリンクおよび上りリンク上で任意の与えられた瞬間において、たとえばソフトハンドオフが使用されているか否か、あるいは、端末が複数の基地局からの複数の伝送を(同時にあるいは順次に)受信するように設計されそして動作されるか否かによって異なる、少なくとも1個の、そして多分それ以上の基地局104と通信する。CDMA通信システムにおけるソフトハンドオフは、当業界においてよく知られ、そして“CDMAセルラ電話システムにおいてソフトハンドオフを与えるための方法および装置”と題された、本発明の譲受人に譲渡された、米国特許5,101,501の中に詳細に記述されている。
【0035】
下りリンクは基地局から端末への伝送に関連し、そして上りリンクは端末から基地局への伝送に関連する。典型的な実施例においては、端末106のいくつかは、複数の受信アンテナを有し、そして他は1個のみの受信アンテナを有する。図2において基地局104Aは、データを端末106Aおよび106Jに、下りリンク上に送信する。基地局104Bは、データを端末106Bおよび106Jに送信し、基地局104Cはデータを端末106Cに送信する等である。
【0036】
無線データ伝送に対する増加している要求と、そして無線通信技術によって利用可能なサービスの拡大は、特別なデータサービスの開発に帰着している。一つのこのようなサービスは高データレート(HDR:High Data Rate)として参照される。典型的なHDRサービスは“HDR規格”として参照される“EIA/TIA−IS856cdma2000高レートパケットデータエアインタフェース規格”の中に提案されている。HDRサービスは一般的に、無線通信システムにおいてデータのパケットを送信する効率的な方法を与える音声通信システムに対するオーバーレイである。送信されるデータの量および伝送の数の増加につれて、無線電話伝送に利用可能な限定された帯域幅は危機的な資源になってきている。その結果、利用可能な帯域幅の使用を最適化する、通信システムにおける伝送を予定する効率的なそして公正な方法に対するニーズが存在する。典型的な実施例においては、図2に示されたシステム100は、HDRサービスを有するCDMA形式システムと矛盾していない。
【0037】
一つの実施例に従って、システム100は、高速度放送サービス(HSBS:High-Speed Broadcast Service)として参照される高速度マルチメディア放送サービスをサポートする。HSBSに対する例となる応用は、映画、スポーツイベント等のビデオストリーミングである。HSBSサービスはインターネットプロトコル(IP)に基づいたパケットデータサービスである。典型的な実施例に従ってサービスプロバイダは、ユーザに対してこのような高速度放送サービスの利用可能性を示す。HSBSサービスを希望するユーザはサービスを受けるために加入し、そして広告、ショートマネージメントシステム(SMS:Short Management System)、無線応用プロトコル(WAP:Wireless Application Protocol)等を通じて放送サービス予定を見出すことが可能である。移動ユーザは、移動局(MS)として参照される。基地局(BS)は、オーバーヘッドメッセージの中にHSBSに関係したパラメータを送信する。MSが放送セションを受信することを希望する場合は、MSはオーバーヘッドメッセージを読み、そして適切な構成を学ぶ。MSはそこでHSBSチャネルを含む周波数に同調し、そして放送サービス内容を受信する。
【0038】
考慮されているサービスは高速度マルチメディア放送サービスである。このサービスは、この書類の中では、高速度放送サービス(HSBS)として参照される。一つのこのような例は、映画、スポーツイベント等のビデオストリーミングである。このサービスは多分インターネットプロトコル(IP)に基づいたパケットデータサービスであろう。
【0039】
サービスプロバイダは、ユーザに対してこれらの高速度放送サービスの利用可能性を示すであろう。このようなサービスを希望する移動局ユーザは、このサービスを受けるために加入し、そして、広告、SMS、WAP等を通じて放送サービス予定を見出すであろう。基地局はオーバーヘッドメッセージ内に放送サービスに関係したパラメータを送信するであろう。放送セションを聴くことを希望する移動体は、適切な構成を決定するために、これらのメッセージを読み、高速度放送チャネルを含む周波数に同調し、そして放送サービス内容の受信を開始する。
【0040】
HSBSサービスに対しては、自由なアクセス、制御されたアクセス、および部分的に制御されたアクセスを含む、いくつかの可能な加入/収入モデルが存在する。自由なアクセスに対しては、サービスを受けるために移動体によっての加入は必要とされない。BSは、内容を暗号化することなしに放送し、そして関心のある移動体は内容を受信することが可能である。サービスプロバイダに対する収入は、放送チャネル内にまた送信されるかも知れない広告を経て発生されることが可能である。たとえば、それに対して撮影所がサービスプロバイダに支払うであろう、間もなく現れる映画の一部分の送信されることが可能である。
【0041】
制御されたアクセスに対しては、MS(移動局)ユーザは、サービスに対して加入し、放送サービスを受けるために対応する料金を支払う。加入していないユーザはHSBSサービスを受けることが不可能である。制御されたアクセスは、加入したユーザのみが内容を解読することが可能であるようにHSBS伝送/内容を暗号化することによって達成されることが可能である。これは、オーバージエア暗号化キー交換手順を使用するかも知れない。この方式は強い安全性を与え、そしてサービスを盗むことを防止する。
【0042】
部分的に制御されたアクセスとして参照される混成アクセス方式は、暗号化された加入に基づいたサービスとして、間欠的な暗号化されない広告伝送とともにHSBSサービスを与える。これらの広告は、暗号化されたHSBSサービスに対する加入を活性化するために目論まれるかも知れない。これらの暗号化されないセグメントの予定は外部的な手段によってMSに対して知られることが可能である。
【0043】
無線通信システム200が図3に示され、ここでビデオ、およびオーディオ情報が内容サーバ(CS:Content Server)201によってパケット化されたデータサービスネットワーク(PDSN:Packetized Data Service Network)202に与えられる。ビデオおよびオーディオ情報は、テレビ放送されたプログラムあるいは無線電話伝送から来るかも知れない。情報はIPパケット内等のパケット化されたデータとして与えられる。PDSN202はアクセスネットワーク(ANAccess Network)内における配送のためにIPパケットを処理する。示されるように、ANは複数のMS206と通信中のBS204を含むシステムの部分として定義される。PDSN202はBS204に結合される。HSBSサービスに対しては、BS204はPDSN202からの情報のストリームを受信し、そして情報をシステム200内の加入者に対する選定されたチャネル上に与える。アクセスを制御するために、内容はPDSN202に与えられる前にCS201によって暗号化される。加入したユーザはIPパケットが解読されうるように解読キーとともに与えられる。
【0044】
図4は、図3におけるMS206と同様にMS300を詳細に示している。MS300は受信回路304に結合されたアンテナ302を有する。MS300は図3におけるBS204と同様にBS(図示せず)からの伝送を受信する。MS300はユーザ識別モジュール(UIM:User Identification Module)308および移動装置(ME:Mobile Equipment)306を含む。受信回路はUIM308およびME306に結合されている。UIM308はHSBS伝送の安全性のために確認手順を適用し、そして種々のキーをME306に与える。ME306は処理ユニット312に結合することが可能である。ME306は、HSBS内容ストリームの解読を含む、しかし限定はされない、実質的な処理を実行する。ME306はメモリ記憶ユニット(MEM:memory storage unit)310を含む。典型的な実施例においては、ME306処理(図示せず)内のデータ、およびMEメモリ記憶ユニットMEM310内のデータは限定された資源の使用によって、非加入者によって容易にアクセスされることが可能であり、そしてその結果ME306は不安全であるといわれる。ME306に通された、あるいはME306によって処理されたいかなる情報も、短時間の間のみは安全に秘密にとどまる。その結果、 ME306と共有されたキー等のいかなる秘密の情報もしばしば変更されることが望まれる。
【0045】
UIM308は、長い期間の間秘密にとどまるべき秘密の情報(暗号化キー等の)を記憶しそして処理するためには信用されている。UIM308は安全なユニットであるために、その中に記憶された秘密はシステムに対して秘密情報をしばしば変更することを必ずしも必要としない。UIM308は、安全なUIM処理ユニット(SUPU:Secure UIM Processing Unit)316として参照される処理ユニット、および安全であると信用される安全なUIMメモリユニット(SUMU:Secure UIM Memory Unit)314として参照されるメモリ記憶ユニットを含む。UIM308の中に、SUMU314は、情報に対する不許可のアクセスを妨害するようなやり方で秘密の情報を記憶する。もしも秘密の情報がUIM308から得られる場合は、アクセスは意味を持って大量の資源を要求するであろう。また、UIM308の中で、SUPU316は、UIM308にとって外側であり、そして/あるいはUIM308にとって内側であるかも知れない値について計算を実行する。計算の結果は、SUMU314の中に記憶され、あるいはME306に通されることが可能である。SUPU316とともに実行された計算は、UIM308から、意味を持って大量の資源を持ったエンティティによって得られることのみが可能である。同様に、SUMU314の中に記憶されるべく指定されたSUPU316からの出力(しかしME306への出力ではない)は、認証されていない傍受者が有意義な大量の資源を要求するように設計されている。一つの実施例においては、UIM308はMS300内の固定ユニットである。UIM308における安全な記憶および処理に加えて、UIM308はまた、電話番号、Eメールアドレス情報、ウエブページあるいはURLアドレス情報および/あるいは予定関数等を含む情報の記憶に対して安全でない記憶、および処理(図示せず)を含むかも知れないことは記憶すべきである。
【0046】
他の実施例は、取り外し可能な、および/あるいは再プログラムが可能なUIMを与える。典型的な実施例においては、SUPU316は、HSBSの放送内容の暗号化を可能とするような、安全性およびキー手順を超えた機能に対する十分な処理力を有していない。代わりの実施例は、より強力な処理力を有しているUIMを実現することが可能である。
【0047】
UIMは特定のユーザと組み合わせられており、そして本来はMS300がそのユーザに与えられた、移動電話ネットワークにアクセスする等の特権を有するかを確認するために使用される。その結果、MS300というよりはむしろUIM308と組み合わせられている。同じユーザは複数のUIM308と組み合わせられることが可能である。
【0048】
放送サービスは加入したユーザに対してキーを如何に配送するかを決定する問題に直面している。特定の時刻において放送内容を解読するために、MEは現在の解読キーを知らなければならない。サービスが盗まれるのを防止するために、解読キーは頻繁にたとえば毎分ごとに交換されるべきである。これらの解読キーは短期間キー(SK:Short-term Keys)と称される。SKは、短時間の間放送内容を解読するために使用され、そこで、SKはユーザに対する固有の金額(monetary value)の若干の量を有していると仮定されることが可能である。たとえば、この固有の金額は、登録コストの一部であるかも知れない。加入者のメモリ記憶ユニットMEM310からSKを得ている非加入者のコストがSKの固有の金額を超えると仮定しよう。それは、SKを(違法に)得ているコストが収入を超えるということでありそこで利益はない。したがってメモリ記憶ユニットMEM310の中のSKを防護する必要はない。しかしながら、もしも秘密キーがSKのそれよりもより長い寿命期間を有する場合は、そこでこの秘密キーを(違法に)得ているコストは収入よりも少ない。この状況においてはメモリ記憶ユニットMEM310からこのようなキーを得ることの利益が存在する。したがってメモリ記憶ユニットMEM310は、理想的にはSKのそれよりもより長い寿命期間で秘密を記憶しないであろう。
【0049】
SKを種々の加入者ユニットに配送するためにCS(図示せず)によって使用されるチャネルは安全ではないと見なされる。その結果、与えられたSKを配送する場合に、CSは非加入のユーザからSKの値を隠す技術を使用することを希望する。さらに、CSはそれぞれのMEにおける処理のために、比較的短い時間フレームのうちに潜在的に多数の加入者の各々に対してSKを配送する。キー伝送に関する既知の安全な方法は遅く、そして多数のキーの伝送を必要とし、そして必要とされる基準に対して一般的に実行可能ではない。典型的な実施例は、非加入者は解読キーを得ることができないような方法で、短い時間フレームのうちに加入者の大きい組に解読キーを配送する実行可能な方法である。
【0050】
典型的な実施例においては、MS300は無線通信システムにおけるHSBSをサポートする。HSBSへのアクセスを得るために、ユーザは登録しそしてその後サービスに加入する。一度加入が可能になるときは、種々のキーは周期的に更新される。登録処理において、CSおよびUIM308はユーザおよびCS間のセキュリティアソシエーションとして役立つ登録キー(RK:Registration Key)に関して一致する。CSはそこでRKを用いて暗号化されたさらなる秘密情報をUIMに送出することが可能になる。RKは秘密としてUIM308の中に保管され、そして与えられたUIMに対して唯一である。すなわち各ユーザは異なったRKを割り当てられる。登録処理のみはHSBSに対するユーザアクセスを与えない。この中で以上に述べたように、登録の後にユーザはサービスに加入する。加入処理中、CSはUIM308に共通の放送アクセスキー(BAK:Broadcast Access Key)の値を送出する。CSは、MS300そしてとくにUIM308に対して、UIM308に対する唯一のRKを用いて暗号化されたBAKの値を送出する。UIM308は、RKを用いて暗号化されたバージョンからもとのBAKの値を回復することが可能である。BAKは、CSおよび加入したユーザのグループ間のセキュリティアソシエーションとして役立つ。CSはそこで、SKを導出するためにUIM308内でBAKと結合される、SK情報(SKI:SK Information)と呼ばれるデータを放送する。UIM308はそこでSKをME306に通す。このようにして、CSはSKの新しい値を加入したユーザのMEに対して効率的に配送することが可能である。
【0051】
次のパラグラフは、登録処理をさらに詳細に論じる。ユーザが与えられたCSをもって登録するときに、UIM308およびCS(図示せず)は、セキュリティアソシエーションを構築する。それは、UIM308およびCSが秘密キーRKに関して一致することである。RKは、もしも1個のユーザが複数のUIMを有する場合は、そこでこれらのUIMは、CSのポリシーによって異なる同じRKを共有するかも知れないが、各UIM308に対して唯一のものである。この登録は、CSによって提供される放送チャネルにユーザが加入する場合に生起するかも知れず、あるいは加入に先立って生起するかも知れない。1個のCSが複数の放送チャネルを提供するかも知れない。CSは、すべてのチャネルに対して同じRKをもつユーザと組むか、あるいはユーザに各チャネルに対して登録し、そして異なったチャネル上の異なったRKをもつ同じユーザと組むことを要求するか、を選定することが可能である。複数のCSは同じ登録キーを使用するか、あるいはユーザに登録し、そして各CSに対して異なったRKを得ることを要求することを選択するかも知れない。
【0052】
このセキュリティアソシエーションを構築するための二つの共通したシナリオは、認証されたキー一致(AKA:Authenticated Key Agreement)方法(3GPPにおいて使用されるように)および、IPsecにおいて使用されるような、インターネットキー交換(IKE:Internet Key Exchange)方法を含む。いずれの場合においても、UIMメモリユニットSUMU314は、Aキーとして参照される秘密キーを含む。一つの例として、AKA方法が記述される。AKA方法においては、Aキーは、UIMおよび信用された第三者(TTP:trusted third party)のみに知られた秘密である。TTPは、1個以上のエンティティを含むことが可能である。TTPは典型的には、それとともにユーザが登録される移動体サービスプロバイダである。CSおよびTTP間のすべての通信は安全であり、そしてCSはTTPが放送サービスに対する無許可のアクセスを援助しないであろうことを信用している。ユーザが登録を行う場合、CSはTTPにユーザがサービスに対する登録を希望していることを通知し、そしてユーザの要求に関する確認を与える。TTPは、Aキーおよび登録キー情報(RKI:Registration Key Information)と呼ばれる付加的なデータからRK計算するために関数(暗号を用いたハッシュ関数と同様な)を使用する。TTPはRK、RKIをこの提案とは関係のない他のデータとともに安全なチャネル上をCSに通す。CSはRKIをMS300に送出する。受信機回路304はRKIをUIM308に通し、そして多分RKIをME306に通す。UIM308はRKIおよびUIMメモリユニットSUMU314に記憶されるAキーからRKを計算する。RKは、UIMメモリユニットSUMU314に記憶されそして直接にME306には与えられない。他の実施例はRKを確立するためにIKEシナリオあるいはいくつかの他の方法を使用するかも知れない。RKはCSおよびUIM308間のセキュリティアソシエーションとして役に立つ。
【0053】
AKA方法においてRKはCS、UIM、およびTTP間で共有される秘密である 。その結果、この中に使用されるようにAKA方法は、CSおよびUIM間のいかなるセキュリティアソシエーションも暗黙のうちにTTPを含むことを暗示している。任意のセキュリティアソシエーション内にTTPを含むことは、CSがTTP放送チャネルへの許可されていないアクセスに対して援助しないことを信用している故に、安全性即ち機密性の侵害とは見なされない。この中で以上に述べたように、もしもキーがME306と共有される場合は、そのキーはしばしば変更することが望まれる。これは、メモリ記憶ユニットMEM310内に記憶された情報を非加入者がアクセスすることの、そしてその結果、制御されたあるいは部分的に制御されたサービスへのアクセスを許容することのリスクに起因している。ME306は、メモリ記憶ユニットMEM310内にSK(放送内容を解読するために使用されるキー情報)を記憶する。CSはSKを計算するために加入したユーザに対する十分な情報を送出しなければならない。もしも加入したユーザのME306がこの情報からSKを計算する場合は、そこでSKを計算するために必要とされる付加的な情報は秘密でありえない。この場合は、加入していないユーザのME306はまた、この情報からSKを計算することが可能であると仮定する。このために、SKの値はCSおよびSUMU314によって共有された秘密キーを用いてSUPU316内において計算されなければならない。CSおよびSUMU314は、RKの値を共有し、しかしながら各ユーザはRKの唯一の値を有する。CSにとってRKのすべての値でSKを暗号化し、そしてこれらの暗号化された値を各加入したユーザに送信するためには不十分な時間である。若干の他の技術が必要とされる。
【0054】
次のパラグラフは、加入処理をさらに詳細に論じる。安全情報SKの効率的な配送を保証するために、CSは周期的に各加入者UIM308に共通の放送アクセスキー(BAK)を配送する。各加入者に対してCSはBAKI(BAK情報)と呼ばれる値を得るために、対応するRKを用いてBAKを暗号化する。CSは加入したユーザのMS300に対して対応するBAKIを送出する。たとえば、BAKは各MSに対応するRKを用いて暗号化されたIPパケットとして送信されることが可能である。典型的な実施例においては、BAKIはIPSeqパケットである。典型的な実施例においては、BAKIは、キーとしてRKを用いて暗号化されたBAKを含むIPSecパケットである。RKはユーザごとのキーであるからCSはBAKを各加入者それぞれに送出しなければならない。従って、BAKは放送チャネル上に送出されない。MS300はBAKIをUIM308に通す。SUPU316はSUMU314の中に記憶されたRKの値およびBAKIの値を用いてBAKを計算する。BAKの値はそこでSUMUの中に記憶される。典型的な実施例においては、BAKIは、MS300にBAKIをUIM308に通すことを命令している、そしてUIM308にBAKIを解読するためにRKを用いることを命令している、安全パラメータインデックス(SPI:Security Parameter Index)値を含む。
【0055】
BAKを更新するための期間は、CSがBAKを各加入者それぞれに、意味のあるオーバーヘッドが生起することなしに送出することを可能とするほどに十分であることが望まれる。ME306は長期間の間秘密を保持することは信用されていないので、UIM308はBAKをME306には与えない。BAKはCSおよびHSBSサービスの加入者のグループ間のセキュリティアソシエーションとして役立つ。
【0056】
次のパラグラフは、成功した加入処理に続いて如何にSKが更新されるかを論じる。BAKを更新するための各期間中、その期間中にSKが放送チャネル上に配送される短い期間が与えられる。CSは二つの値SKおよびSKI(SK情報)を、SKがBAKおよびSKIから決定されることが可能なように決定するために暗号関数を使用する。たとえば、SKIはキーとしてBAKを用いたSKの暗号化であるかも知れない。典型的な実施例においては、SKIはキーとしてBAKを用いて暗号化されたSKを含むIPSecパケットである。あるいは、SKはブロックSKIおよびBAKの連鎖に対して暗号を用いたハッシュ関数を適用した結果であるかも知れない。
【0057】
SKIの若干の部分は予測可能である。たとえば、SKIの一部はその期間中このSKIが有効であるシステム時間から導出されることが可能である。SKI_Aで示されるこの部分は、放送サービスの部分としてMS300に送信される必要はない。SKIの残り、SKI_Bは予測不能であるかも知れない。 SKI_Bは、放送サービスの部分であるとしてMS300に送信される必要はない。MS300は、 SKI_AおよびSKI_BからSKIを再構成し、そしてSKIをUIM308に与える。SKIはUIM308の中で再構成されることが可能である。SKIの値は各新しいSKの値に対して変化しなければならない。したがって、新しいSKを計算する場合はSKI_Aおよび/あるいはSKI_Bの何れかは変化しなければならない。CSは放送伝送のために、BSに対してSKI_Bを送出する。BSはSKI_Bを放送し、そしてそれはアンテナ302によって検出されそして受信回路304に通される。受信回路304は、 SKI_BをMS300に与え、ここでMS300はSKIを再構成する。MS300はSKIをUIM308に与え、ここで、UIM308はSUMU314に記憶されたBAKを用いてSKを得る。SKはそこでUIM308によってME306に与えられる。ME306はSKをメモリ記憶ユニットMEM310に記憶する。ME306はCSから受信された放送伝送を解読するためにSKを使用する。
【0058】
典型的な実施例においては、SKIはまた、MS300にSKIをUIM308に通すことを命令する、そしてUIM308にSKIを解読するためにBAKを使用することを命令する、安全パラメータインデックス(SPI;Security Parameter Index)値を含む。解読の後に、UIM308はSKをME306に通し、ここで、ME306は放送内容を解読するためにSKを使用する。
【0059】
CSとBSとはいつSKI_Bが送信されるべきかということに対する若干の基準に対して一致する。CSは、SK周波数を変更することによって各SK内の固有の金額を減らすことを希望するかも知れない。この状態においては、 SKI_Bデータを変更するための希望は利用可能な帯域幅を最適化することに対して比較される。 SKI_Bは、放送チャネル以外のチャネル上に送信されることが可能である。ユーザが放送チャネルに“同調する”場合に、受信回路304は“制御チャネル”から放送チャネルの位置に関する情報を得る。ユーザが放送チャネルに“同調する”場合は、速いアクセスを許可することが望ましいかも知れない。このことは、ME306に短い時間のうちにSKIを得ることを必要とする。ME306はすでにSKI_Aを知っているであろうが、しかしながらBSはこの短い時間量の間にME300にSKI_Bを与えなければならない。たとえば、BSは(放送チャネルの位置に関する情報とともに)制御チャネル上に頻繁にSKI_Bを送信し、あるいは放送チャネル上に頻繁にSKI_Bを送信するかも知れない。BSがより頻繁にSKI_Bの値を“新たにする”ほど、MS300はより速く放送メッセージにアクセスすることが可能である。 SKI_Bデータをあまりに頻繁に送信することは、制御チャネルあるいは放送チャネル内の受け入れられない帯域幅の量を使用するかも知れないために、 SKI_Bデータを新たにする希望は、利用可能な帯域幅を最適化することに対して比較される。
【0060】
このパラグラフは、放送内容に関する暗号化および伝送について論じる。CSは現在のSKを使用して放送内容を暗号化する。典型的な実施例は、進歩した暗号化標準(AES:Advanced Encryption Standard)h暗号アルゴリズム等の暗号化アルゴリズムを使用する。典型的な実施例においては、暗号化された内容はそこで、カプセル化する安全ペイロード(ESP:Encapsulating Security Payload)輸送モードに従ってIPsecパケットによって輸送される。 IPsecパケットはまた、受信された放送内容を解読するために現在のSKを使用することをME306に命令するSPI値を含む。暗号化された内容は放送チャネルを経由して送出される。
【0061】
受信回路304は、RKIおよびBAKIを直接にUIM308に与える。さらに、受信回路304は、 SKI_Bを、そこでそれがSKIを得るためにSKI_Aと結合される、MS300の適切な部分に与える。SKIはMS300の関連した部分によってUIM308に与えられる。UIM308はRKIおよびAキーからRKを計算し、BAKを得るためにRKを用いてBAKIを解読し、そしてME306による使用に対してSKを発生するためにSKIおよびBAKを使用してSKを計算する。ME306はSKを用いて放送内容を解読する。典型的な実施例のUIM308はリアルタイムにおける放送内容に解読に対して十分に強力ではないので、そしてその結果、SKは放送内容の解読のためにME306に通される。
【0062】
図5は、典型的な実施例に従ったキーRK、BAKおよびSKに関する伝送および処理を示す。示されたように、登録のときに、MS300はRKIを受信し、そしてそれをUIM308に通す。ここで、SUPU316はRKIおよびAキーを用いてRKを計算しそしてRKをUIMメモリ記憶SUMU314に記憶する。MS300は周期的に、UIM308に対して特定のRK値を使用して暗号化されたBAKを含むBAKIを受信する。暗号化されたBAKIはBAKを回復するためにSUPU316によって解読されそしてそれはUIMメモリ記憶SUMU314に記憶される。MS300はさらに周期的に、SKIを形成するためにそれがSKI_Aと結合するSKI_Bを受信する。SUPU316はSKIおよびBAKからSKを計算する。SKは放送内容を解読するためにME306に与えられる。
【0063】
典型的な実施例においては、CSキーは必ずしも暗号化されそしてMSに送信される必要はない。CSは代わりの方法を使用するかも知れない。各MSへの伝送のためにCSによって発生されたキー情報は、キーを計算するためのMSに対する十分な情報を与える。図6のシステム350内に示されたようにRKはCSによって発生されるがしかし、RK情報(RKI)はMSに対して送信される。CSはUIMに対してRKを導出するために十分な情報を送出する。ここで、CSから送信された情報からRKを導出するためにあらかじめ設定された関数が使用される。RKIはAキーおよび、あらかじめ設定されたd1と命名された公開関数等の他の値から、もとのRKを決定するためのMSに対する十分な情報を含む。ここで。
【0064】
RK=d1(Aキー,RKI) (3)。
【0065】
典型的な実施例においては、関数d1は暗号化的な形式の関数を定義する。一つの実施例に従ってRKは。
【0066】
RK=SHA’(Aキー‖RKI) (4)
として決定される。
【0067】
ここで、“‖”は、AキーおよびRKIを含むブロックに関する連鎖を表し、そしてSHA’(X)は、入力Xに対して与えられる、安全なハッシュアルゴリズムSHA−1の出力の最後の128ビットを表す。他の実施例においては、RKは。
【0068】
RK=AES(Aキー,RKI) (5)
として決定される。
【0069】
ここで、AES(X,Y)は128ビットAキーを使用する128ビットブロックRKIの暗号化を示す。AKAプロトコルに基づいたさらなる実施例においては、RKは3GPPキー発生関数f3の出力として決定され、ここでRKIは標準によって定義されるように、RANDの値、およびAMFおよびSQNの適切な値を含む。
【0070】
BAKは、異なったRKの値を有する複数のユーザがBAKの同じ値を計算しなければならないために、異なった方法で処理される。CSはBAKを決定するために任意の技術を使用することが可能である。しかしながら、特定のUIM308と組み合わせられたBAKIの値はそのUIM308と組み合わせられた唯一のRKのもとにおけるBAKの暗号化でなければならない。SUPU316は、d2と名付けられた関数に従って。
【0071】
BAK=d2(BAKI,RK) (9)
に従ってSUMU314内に記憶されたRKを用いてBAKIを解読する。
【0072】
他の実施例においては、CSはRKを用いてBAKに対する解読処理を適用することによってBAKIを計算することが可能であり、そしてSUPU316はRKを用いてBAKIに対する解読処理を適用することによってBAKを得る。これは、CSがBAKを暗号化し、そしてSUPU316がBAKIを解読するのと等価であると考えられる。他の実施例は、図6に示されたそれらに加えて、あるいは代わりに任意の数のキー組み合わせを実行するかも知れない。
【0073】
SKはRKに対すると同様な方法で処理される。最初にSKIはSKI_AおよびSKI_Bから導出される( SKI_B はCSからMSに送信された情報である)。そこで、d3と名付けられたあらかじめ設定された関数がSKIおよび(SUMU314内に記憶された) BAKから。
【0074】
SK=d3(BAK,SKI) (6)
に従って導出するために使用される。
【0075】
一つの実施例においては、関数d3は暗号化的な形式の関数である。典型的な実施例においては、SKは。
【0076】
SK=SHA(BAK‖SKI) (7)。
【0077】
一方他の実施例においては、SKは。
【0078】
SK=AES(BAK,SKI) (8)
として計算される。
【0079】
放送メッセージに対して安全性を与えるための方法が図7A〜7Dに示される。図7Aは、登録処理400を示しており、その中で、加入者はステップ402においてCSと登録を取り決める。ステップ404において登録はUIMに唯一のRKを与える。UIMはRKをステップ406において安全なメモリユニット(SUMU)内に記憶する。図7BはCSおよびMS間の加入処理420を示す。ステップ422において、CSはBAK期間T1に対するBAKを発生する。BAKはBAK期間T1を通じて有効であり、ここでBAKは周期的に更新される。ステップ424において、CSはUIMがBAKタイマー期間T1の期間中に、放送内容(BC:Broadcast Content)にアクセスすることを許可する。ステップ426において、CSは各加入者に対する各個別のRKを用いてBAKを暗号化する。暗号化されたBAKはBAKIとして参照される。CSはそこでステップ428においてBAKIをUIMに送信する。UIMはBAKIを受信し、そしてステップ430においてRKを用いて解読を実行する。解読されたBAKIは最初に発生されたBAKに帰着する。UIMはBAKをステップ432においてSUMU内に記憶する。UIMはそこで放送セションを受信しそして、暗号化された放送(EBC:encrypted broadcast)の解読にBAKを適用することによって、BCにアクセスすることが可能である。
【0080】
図7Cは、放送サービスをサポートする無線通信システムにおいて、安全な暗号化のためにキーを更新する方法を示す。方法440は、図7Eに与えられるような期間に実行する。BAKは期間T1を有して周期的に更新される。タイマーt1は、BAKが計算されそしてT1において時間が終了するときに開始する。SKを計算するために、SK_RANDとして参照される変数が使用され、そしてそれは期間T2をもって周期的に更新される。タイマーt2は、 SK_RANDが発生されT2において時間が終了するときに開始する。一つの実施例においては、SKはさらにT3の期間をもって周期的に更新される。タイマーt3は各SKが発生されT3において時間が終了するときに開始する。 SK_RANDがCSにおいて発生されそして周期的にMSに与えられる。MSおよびCSはこの中で以下に詳細に述べられるように、SKを発生するためにSK_RANDを使用する。
【0081】
第1のタイマーt1はBAKの適用可能な値が更新される場合にリセットされる。2個のBAK更新の間の時間は、BAK更新期間である。典型的な実施例においては、BAK更新期間は月であるが、しかしながら他の実施例は、システムの最適な動作に対して必要とされる、あるいは種々のシステム基準を満足させるために任意の期間に実行されることが可能である。
【0082】
図7Cにおいて続けると、方法440はSK_REG期間T2を開始するためにステップ442においてタイマーt2を初期化する。CSはSK_RANDを発生し、そしてステップ444においてシステムを通しての伝送のために送信回路に値を与える。タイマーt3は、ステップ446においてSK期間T3を開始するために初期化される。CSはそこでステップ448において現在のSKを使用してBCを暗号化する。暗号化された結果はEBCであり、ここでCSはシステム内の伝送のために送信回路にEBCを与える。もしもタイマーt2が決定ダイアモンド450において終了している場合は、処理はステップ442に戻る。t2がT2よりも小さい間に、もしもタイマーt3が決定ダイアモンド452において終了している場合は、処理はステップ446に戻り、そうでない場合は処理は450に戻る。
【0083】
図7Dは、放送サービスにアクセスしているMSの動作を示す。方法460は、最初にタイマーt2およびt3をステップ462におけるCSにおける値に同期する。MSのUIMはステップ464においてCSによって発生されたSK_RANDを受信する。ステップ466において、UIMは、 SK_RAND、BAK、および時間の測定値を用いてSKを発生する。UIMはSKをMSのMEに通す。UIMはそこで、ステップ468においてもとのBCを抽出するためにSKを用いて受信されたEBCを解読する。ステップ470においてタイマーt2が終了する場合は、処理はステップ462に戻る。タイマーt2がT2よりも小さい間に、もしもタイマーt3がステップ472において終了する場合は、タイマーt3はステップ474において初期化されそして466に戻る。
【0084】
もしもユーザが特定のBAK更新期間中に放送サービスに加入する場合は、CSは(RKを用いて暗号化されたBAKに対応する)適切な情報BAKIを送出する。これは、典型的に、このBAK更新期間の開始に先立って、あるいはこのBAK更新期間中にMSが放送チャネルに最初に同調する場合に生起する。これは基準の違いに従ってMSあるいはCSによって開始されることが可能である。複数のBAKIが送信されそして同時に解読される。
【0085】
BAK更新期間の終了が差し迫っている場合は、もしもMSが次のBAK更新期間に加入している場合はMSはCSからの更新されたBAKを要求することが可能であることは注意すべきである。代わりの実施例においては、CSによって第1のタイマーt1が使用され、ここでタイマーの終了すなわちBAK更新期間の満足の場合は、CSはBAKを送信する。
【0086】
ユーザにとってBAK更新期間中にBAKを受信することが可能であることは注意すべきである。ここでたとえば、BAK更新が月毎に実行される場合は加入者は半月サービスに加わる。さらに、BAKおよびSK更新の期間は、すべての加入者が与えられた時刻において更新されるように同期されることが可能である。
【0087】
図8Aは、典型的な実施例に従った無線通信システム500における登録処理を示す。CS502は、各加入者すなわちMS512と、加入者の各々に対する特定のRKを発生するために協定する。RKは各MSのUIM内のSUMUユニットに与えられる。示されたように、CS502はUIM1512の中のSUMU1510に記憶されるRK1を発生する。同様に、CS502はUIM2522の中のSUMU2520の中に、そしてUIMN532の中のSUMUN530の中にそれぞれ記憶される、RK2およびRKNを発生する。
【0088】
図8Bは、システム500における加入処理を示す。CS502はさらに複数の符号化器504を含む。符号化器504の各々は唯一のRKの一つおよびCS502内で発生されたBAK値を受信する。各符号化器504の出力は加入者に対して特定的に符号化されたBAKIである。BAKIはUIM1512等の各MSのUIMにおいて受信される。各UIMは、UIM1512のSUPU1514、およびSUMU1510等のSUPUおよびSUMUを含む。SUPUは、UIMに関するRKの適用によってBAKを回復する復号器516等の復号器を含む。処理は各加入者において繰り返される。
【0089】
キーの取り扱いおよび更新は、図8Cに示され、ここで、CSは、SKを計算するためにCSおよびMSによって用いられる、仮の値であるSK_RANDの値を発生するために関数508を適用する。とくに、関数508は、BAK値、SK_RAND、および時間係数を適用する。図8Cに示された実施例は、いつSKを更新するを決定するためにタイマーを適用しているが、代わりの実施例は、周期的な更新を与えるために代わりの尺度、たとえば誤り、あるいは他の事象の生起を使用するかも知れない。CSは、加入者のそれぞれに対してSK_RAND値を与え、ここで、各UIM内にある関数518はCSの関数508にあると同じ関数を適用する。関数518は、ME1540のMEM1542等のME内のメモリ位置に記憶されるSKを発生するためにSK_RAND、BAK、およびタイマー値上で動作する。
【0090】
図8Dは、登録および加入後のBCの処理を示す。CS502は、EBCを発生するために現在のSKを使用してBCを符号化する符号化器560を含む。EBCはそこで加入者に送信される。各MSはSKを使用してEBCからBCを抽出する符号化器544等の符号化器を含む。
【0091】
本発明は、1方向放送サービスをサポートする無線通信システムの典型的な実施例に関して記述されて来ているが一方、この中に以上に記述された暗号化方法およびキーの取り扱いはさらにマルチキャスト形式の放送システムを含む、他のデータ処理システムに対して適用可能である。なお、さらに、そこでは安全でないチャネルを通じて安全な情報の1個の伝送に複数の加入者がアクセスしている、任意のデータ処理システムに対する本発明の適用が可能である。
【0092】
ユーザは、現在の内容サーバ(CS)、内容プロバイダ、および/あるいは現在の放送あるいは伝送に対する内容ソースと異なった第1のエンティティに加入するかも知れないことは注意すべきである。一例として、異なった地理的領域の中に動き回るユーザを考慮しよう。このユーザはCNN等の中央ニュース放送エンティティに対する加入者である。CNNアジア等の中央ニュース放送エンティティの関連会社も地域的に発生されるかも知れない。この場合、中央ニュース放送エンティティたとえばCNNの加入者が地域的に発生された放送エンティティたとえばCNNアジアの地域的領域内に動き回る場合は、許可は地域的に発生された放送エンティティに中央放送エンティティの加入データベースをチェックすることを要求するかも知れない。
【0093】
各放送エンティティは、分離した加入サーバ(SS: Subscription Server )を有するかも知れない。そしてそれは、SSの各々が、動き回る位置にある他のSSと取り決めることを必要とするので認証を複雑にする。同様に、分離したSSの使用は、キー配送に関して混乱を生じるかも知れない。SSの各々は地域的なCSによって所有されるかも知れず、あるいは地域的なCSとの業務協定を有するかも知れない。
【0094】
動き回ること等と組み合わせられた許可問題の若干を避ける種々の他の実施例がこの中に記述されている。論理的エンティティに対する次の定義は、明確化のために、このような実施例を理解することの中に与えられる。HLRあるいはHLR/ACとして参照されるホームシステムあるいはネットワークは、移動体ユーザの加入を維持する。換言すれば、ホームはどこに正常な電話加入がおかれているかをシステムに参照する。(正常な電話加入がおかれているシステムを参照する。)MSC/VLR等のVLRとして参照される訪問されたシステムあるいはネットワークは、そこで動き回ること等によって入られたシステムである。ユーザが動き回らない場合は、VLRシステムはHLRシステムと同様である。内容サーバ(CS)はそのCSが訪問したネットワークに内容を与える場合は、地域的な/訪問されたものとして参照される。CSは、内容ソースおよび放送アクセスキー(BAK)発生器を含む。BAK暗号化器は、UIMへの準備のためにBAKを暗号化する。BAK暗号化器は、1個だけのCSと組み合わせられるかも知れず、あるいは複数のCSを取り扱うかも知れない。加入サーバ(SS)は、ユーザに少なくとも1個の放送マルチキャストサービス(BCMCS:Broad Cast Multi Cast Service)を許可している加入データを維持する。SSは地域的なCSによって所有されるかも知れず、あるいは地域的なCSとの業務協定の部分であるかも知れない。
【0095】
BCMCSの目的は放送およびマルチキャストサービスを与えることである。内容サーバ(CS)と呼ばれるエンティティは、内容を参加している移動体サービスプロバイダ(SP)に与えるであろう。内容は可聴可視(audiovisual)データであると想定される。CSは取り扱いネットワークの部分であるかも知れず、しかしそれはそうである必要はない。SPはこの内容を特定の物理チャネルに送信するであろう。もしも内容が無料で提供される場合は、そこで任意のユーザがこのチャネルに内容を見て/処理(view/process) するためにアクセスすることが可能である。もしもチャネルへのアクセスが加入ベースである場合は、そこで任意のユーザが物理チャネルに同調することが可能である一方で、内容は、加入したユーザのみが内容を見て処理することが可能であろうように、暗号化されるであろう。
【0096】
放送システムに対する安全性の脅威が、主要な設計考慮である。放送およびマルチキャストサービスを与えるシステムは図18内に示される。安全性の脅威は加入費用(ここでは必要とされる)を払うことなしに内容にアクセスを得ているユーザを含むかも知れない。このような脅威に対抗するために、内容は暗号化され、そして解読キーは加入して来ているこれらのユーザのみに与えられる。キー管理がそこで決定的に重要になって来る。
【0097】
放送内容は輸送モードにある、IPSecカプセル封入安全ペイロード(ESP:Encapsulating Security Payload)を用いてエンドツーエンド暗号化によって保護することが可能である。暗号化キー、および暗号化アルゴリズム等の安全パラメータは、セキュリティアソシエーションとして記憶される。そしてそれは、宛先アドレスおよび安全パラメータインデックス(SPI:Security Parameter Index)と呼ばれる32ビット値によって指示される。
【0098】
この議論の目的のために、移動局(MS)は二つの分離したエンティティ、ユーザ識別モジュール(UIM)および移動体装置(ME)として考慮される。UIMは安全なメモリを含む低電力処理装置である。UIMは取り外し可能であるか(SIMカードのように)、あるいはMSそれ自身の部分であるかも知れない。MEは高電力処理装置を含むが安全なメモリは含まない。
【0099】
内容は頻繁に変化する短期間キー(SK)を用いて暗号化される。MEはSKを用いて内容を解読する。“詐欺砲弾(rogue shell)”を防止するために、送出するSKから他の端末までの放送を受信するときの使用のために頻繁に変化し、それによって1個の支払いをしている加入のみに多くのサービスを与える。SKは送信されず、特定の放送パケットを暗号化するために使用されたSKの値はそのIPSecパケットのヘッダ内の放送アクセスキー(BAK)およびSPIから導出される。BAKは、放送サービスを受信するためにUIMの存在を必要としてUIMの中におかれる。現在のBAKはそのチャネルに対するすべての加入者に対して同じであり、そしてBAKは操作者によって決定された期間に対してアクセスを与える。したがって、一度UIMがBAKを得ていればUIMは放送を解読するためにMEに対して必要とされるSK値を計算することが可能である。“スペクトル拡散システムにおいて移動局の準備をするオーバージエアサービス”と題された2001年12月に発行されたTIA/EIA/IS−683−B、C.S0016−A、SP−4742−RV2−Aの中に記述されたように“安全なモード(Secure Mode)”に似た方法が、BAKを用いてUIMを準備するために使用される。
【0100】
以下は、理解の明確化のために与えられた定義に関するリストである。
AAA 認証、許可、および課金処理。AAAはユーザに関する基本キーを保有する。
AC 認証センタ。これは、AAAによって実行されるそれと同様な認証およびキー取り扱い機能を実行するANS−41エンティティ。
BAK 放送アクセスキー。ある時間の間(たとえば1日、1週間、1月)内容へのアクセスを与える。
BAKUE 放送アクセスキー更新エンティティ。BAKUEはBAKを更新することが可能な、取り扱いネットワーク内にあるエンティティ。
CS 内容サーバ。サービスのためのデータを与える。
MS 移動局。本文書の目的に対してMSは2個の分離したエンティティ、UIMおよびMEとして考慮される。
UIM ユーザ識別モジュール(UIM)。UIMは安全なメモリを含む低電力処理装置である。UIMは取り外し可能であるか(SIMカードのように)あるいはMSそれ自身の部分である。
ME 移動体装置。MEは高電力処理装置を含むが安全なメモリは含まない。
SA セキュリティアソシエーション。IPSecパケットを処理するために必要とされるパラメータ(キー等)のリスティング。各SAは宛先アドレスおよび安全パラメータインデックス(SPI)によるインデックスである。
SDP セションデータパラメータ。現在の内容を処理するために必要とされるパラメータ。
SK 短期間キー。CSは内容をSKを用いて暗号化し、そしてMEはSKを用いて解読する。
SMCK 安全モード暗号キー。IS−683−B内で使用された通り。BCMCSにおいては、SMCKはUIMに送出される場合にBAKを暗号化するために使用される。
SP サービスプロバイダ。その中にMSが現在位置している取り扱いネットワーク。
SPI 安全パラメータインデックス。セキュリティアソシエーション(SA)を示すために使用される。
PDSN パケットデータサービングノード。インターネットおよびRAN間のインタフェース。
RAN ラジオアクセスネットワーク。
RANDSM IS−683−BにおいてSMCKを発生するためにAC/AAAによって発生されたランダムな数。
【0101】
加入処理はこの議論の範囲外にある。しかしながら、CSおよびSPが、認証およびキー取り扱いの両者に対して使用することが可能な加入当たりの基本キーの準備を含む加入処理に関して一致すると仮定しよう。この基本キーはACあるいはAAA−Hによって保有されると仮定しよう。
【0102】
放送加入はCSあるいはAAA−H内、あるいはACと組み合わせられたHLR内に保有されるであろう無線アクセスに対する加入から分離された、他のエンティティ内に保有されるかも知れないことは可能である。この場合、無線アクセス加入は放送サービス加入が確立される前に確立されると仮定しよう。加入データの位置は、どのようにBAKが準備されるかに影響するであろう。もしもそれが正しいBAKを有する場合は、MSが検出のために使用することが可能な二つの方法がある。
【0103】
ユーザが放送サービスに同調する場合に、第1のステップはCSからセションデータパラメータ(SDP:Session Data Parameters)を得ることである。SDPは、もしもあるなら識別子(シーケンス数)および終了時刻等の、BAKに関する関連したデータを含む。これらの値は、MSにそれがBAKを更新することを必要とするか否かを決定することを可能にする。伝送期間中にもしもBAK更新が必要とされる場合は、伝送はSDP更新を実行することのMSに対する通知(それから、MSはそれがBAKを更新する必要があることを決定することが可能である)を含むであろう。
【0104】
BAKから導出されたSK値で暗号化されたIPSecパケットは、そのBAKに対応するBAK_IDに対するSPIセットに関する、4個の最も意味のあるビット(MSB:(most significant bit))を有する。そこでMEはUIMが正しいBAKを有しているかをチェックするために4個のMSBを抽出することが可能である。
【0105】
CSはどのくらい頻繁にBAKが変更されるかを決定する。頻繁なBAK変更はより安全性を与えるであろう。頻繁なBAK変更はまた、請求におけるより大きな柔軟性を与えるであろう。次の例を考慮しよう。一度ユーザがBAKを有するときは、彼等はBAKの寿命期間中内容にアクセスすることが可能である。BAKは毎月の初めに変更されると仮定しよう。もしもユーザの加入がBAKの寿命期間を通して中間で終了する場合は、ユーザはBAKが終了するまでは、なおSKを発生することが(そしてその結果内容を見ることが)可能であろう。そこでBAKを月毎にのみ変更することによって、CSは、月の始まりから月の終わりまで加入請求することが可能である。ユーザは月の半ばから次の月の半ばまで加入することはできない。しかしながら、もしもBAKが毎日変更される場合は、そこで、ユーザは、月の期間中の任意の日の初めから加入することが可能である。BAK変更の頻度を増加することは、移動局が新しいBAK値を引き出さなければならない回数の、可能性のある増加に対して評価されるべきである。
【0106】
この議論は、それがBAKを更新することを必要とするかを如何にMSが決定するかを定義するものではない。そのBAKが終了間近であるかあるいは終了しているか、BAK更新を実行するためのトリガリング動作を決定するための手段がMSに対して与えられるであろうと仮定しよう。その結果、いくつかの方法が利用可能である。MSがBAK更新を実行することを決定する場合、IS−683−B安全モードと同様な方法が、UIMにBAKを与えるために使用される。これが行われることが可能な、二つの方法が存在する。
【0107】
第1に、図19にあるように、CSはUIMにBAKを準備することが可能である。MSがBAKを更新することを必要とすると決定した場合、MSはCSと接触する。
【0108】
CSはユーザが加入しているかをチェックする。もしもユーザが加入している場合は、そこでCSはIS−683−Bにあるように一時的なSMCKを得るためにユーザのAC/AAAに接触する。AC/AAAはランダムな数RANDSMを発生し、そしてこれをSMCKを得るために、移動局の現在のSSD−B(あるいは基本キー)と結合する。SHA−1に基づいた関数f3がこの目的に用いられる。 AC/AAAはRANDSMおよびSMCKをCSに送出する。
【0109】
CSはEBAKを得るためにSMCKを用いてBAKを暗号化する。CSはそこで、移動局に対してRANDSM、BAK_ID、およびEBAKを送出する。UIMはSMCKを得るためにRANDSMを基本キーK(あるいは現在のSSD−B )と結合する。
【0110】
UIMはそこでBAKを得るために、EBAKを解読するためにSMCKを使用し、そしてBAKを安全なメモリ内に記憶する。
【0111】
もしもCSがHLR/ACあるいはAAA−Hの上へ加入データを通す場合は、そこで、SPは、図20に示したように、CSの代わりにUIMにBAKを準備することが可能である。このシナリオにおいては、SPはUIMにBAKを準備することが可能な1個あるいはそれ以上のBAK更新エンティティ(BAKUE:BAK Update Entities)を有する。
【0112】
CSは現在のBAKをBAKUEに供給する。MSがBAKを更新することを必要とすると決定した場合は、MSはBAKUEと接触する。 BAKUEは、IS−683−Bにおけるように一時的な安全モード暗号キー(SMCK;Secure Mode Cipher Key)を得るためにユーザのAC/AAAと接触する。
【0113】
AC/AAAは、ユーザが加入しているかをチェックする。ユーザが加入している場合は、そこで、AC/AAAはランダムな数RANDSMを発生しそして、SMCKを得るためにこれを移動局の現在のSSD−B(あるいは基本キーK)と結合する。SHA−1に基づいた関数f3がこの目的に対して使用される。AC/AAAはRANDSMおよびSMCKをBAKUEに送出する。
【0114】
BAKUEは、EBAKを得るためにSMCKを用いてBAKを暗号化する。CSはそこで移動局に対してRANDSM、BAK_ID、およびEBAKを送出する。UIMは、SMCKを得るためにRANDSMを基本キーK(あるいは現在のSSD−B)と結合する。UIMはそこでBAKを得るために、EBAKを解読するためにSMCKを使用し、そしてBAKを安全なメモリ内に記憶する。
【0115】
もしもCSが加入データをHLR/ACあるいはAAA−Hの上へ通す場合は、そこでSPは図20に示されるようにCSの代わりにUIMにBAKを準備することが可能である。このシナリオにおいてはSPは、UIMにBAKを準備することが可能な1個あるいはそれ以上のBAK更新エンティティ(BAKUE)を有する。
1.CSは現在のBAKをBAKUEに供給する。
2.MSがBAKを更新する必要があると決定する場合は、MSはBAKUEと接触する。
3.BAKUEは、IS−683−Bにおけるように、一時的な安全モード暗号キー(SMCK)を得るためにユーザのAC/AAAと接触する。
4.AC/AAAはそのユーザが加入しているかをチェックする。もしもユーザが加入している場合は、そこでAC/AAAはランダムな数RANDSMを発生し、そしてSMCKを得るためにこれを移動局の現在のSSD−B(あるいは基本キーK)と結合する。SHA−1に基づいた関数f3がこの目的に対して使用される。AC/AAAはRANDSMおよびSMCKをBAKUEに送出する。
5.BAKUEは、EBAKを得るためにSMCKを用いてBAKを暗号化する。CSはそこで、RANDSM、BAK_ID、およびEBAKを移動局に対して送信する。
6.UIMはSMCKを得るためにRANDSMを基本キーK(あるいは現在のSSD−B)と結合する。UIMはそこでBAKを得るために、EBAKを解読するためにSMCKを使用し、そしてBAKを安全なメモリの中に記憶する。
【0116】
競争相手は、加入したユーザをまねている間にBAK要求を実行することによって何も達成していない。加入したユーザのみが、RANDSMからSMCKを導出し、そしてしたがって、BAKを抽出することが可能であろう。これらの理由のために、CS/BAKUEは、BAK要求を認証する必要がないことが可能である。典型的な実施例に従って、UIMはBAKを示さない。もしも1個のUIMがBAKを示せば、そこですべての秘密はCSがBAKを変更するまでは失われる。
【0117】
UIMはもしあれば、BAKおよび識別子(シーケンス数)および終了時間等のBAKに関する関係したデータを記憶すべきである。 BAKがSK値を導出するために使用されることを開始する僅か前に、UIMがBAKを準備することが有利であることは立証可能である。そうでない場合は、一度CSが、新しいBAKから導出されたSKをもったパケットの送出を開始すると、ユーザはMSがBAK更新を実行するときに遅延を経験するであろう。もしも多くのユーザが同調する場合は、そこで、MSのすべてがBAK更新を実行するときにトラフィックのバーストが存在するであろう。
【0118】
このような問題を避けるために、この中に記述したように、放送マルチキャストサービス(BCMCS)が、BAK変更の少し前にMSが新しいBAKを得ることを可能にするかも知れない。MS、SP、あるいはCSはBAK取得処理を開始することが可能である。異なったMSは、余りに多くのMSが一度にBAK更新を実行することを防止するために、BAK更新を実行するための異なった予定を有することが可能である。
【0119】
安全性の理由のために、BAKは使用の時間に対して可能な限り近接して配送されるべきである。MEはUIMからのこの情報の要求を減らすために、BAKに関連したデータを記憶することが可能である。
【0120】
もしもCSが現在のSPIに対応するSKをすでに計算している場合は、そこで、CSは、輸送モードにおけるIPSecESPに従って暗号化キーとしてSKを用いて、放送内容を暗号化する。新しいキーSKを作成するためにCSは次のステップを実行する。CSはランダムな28ビット値SPI_RANDを選定する。CSはSPI=(BAK_ID‖ SPI_RAND )形態の32ビットSPIを形成する。ここで、4ビットのBAK_IDは、現在のBAK値を識別する。CSはSPI_RANDを128ビットに引き伸ばす。CSはキーとしてBAKを用いてこの128ビット値を暗号化する。128ビット出力はSKである。CSはSKの新しい値をSPIおよび放送パケットの宛先アドレスによって示されたSAの中に置く。
【0121】
SPI_RANDの値は、SPIのいかなる値が将来使用されるであろうかをユーザが予測できないようにランダムであるべきである。そうでない場合は、誰かがある日に対して使用されるべきSK値をあらかじめ計算し、そしてこれらのキーをその日の始まるときに配送することが可能となる。キーを配送することを欲している誰かに対しては、この処理はキーをリアルタイムで配送するよりもより容易で(そしてより少ない支出で)あろう。
【0122】
BCMCSIPSecパケットを与えると、MEは次のステップを実行する。MEはSPIを取得する。MEはSPIからBAK_IDを抽出する。MEはそこでUIMが正しいBAKを有しているかを決定する。もしもUIMが正しいBAKを有していない場合は、そこでMSは上に論じられたようにBAKを更新する。(あるいはMEは、それが現在のBAKを有しているかを見るためにSDPをチェックするかも知れない)。
【0123】
MEは、それがSPIおよび放送パケットの宛先アドレスに対応するセキュリティアソシエーション(SA)を有するかをチェックする。もしもMEがこのSPIに伴ったSAを有する場合は、そこでMEは、SA内の解読キーSKを用いてブロックを解読(輸送モードにおけるIPSecESPによって)する。もしもMEがこのSPIに伴ったSAを有していない場合は、そこでMEはUIMがSKを計算できるようにSPIをUIMに通す。UIMはSKを次のようにして計算する。UIMは、SPIの4個の最も意味を持つビットからBAK_IDを抽出し、そしてそのメモリから(BAK_ID に対応する)BAKの値を回収する。UIMは28ビットのSPI_RANDを抽出しそしてSPI_RANDを128ビットに引き伸ばす。
【0124】
UIMは、キーとしてBAKを用いてこの128ビット値を暗号化する。128ビット出力はSKである。UIMはSKをMEに通す。MEはSKの新しい値を、SPIおよび放送パケットの宛先アドレスによって示されたSA内に置く。MEは今度はキーとしてSKを用い、輸送モードにおけるIPSecESPによってブロックを解読する。
【0125】
SKの同じ値は、1個以上のIPSecパケットに対して使用可能である。CSは、いつ、そしてどのくらいの頻度でSKを変更するかを決定する。SKの寿命期間を減少することは安全性を増加する。SKは通常は5〜10分毎に変更することが可能であるがしかし、どの位頻繁に彼らがSKを変更することを望んでいるかを決定することはCSの仕事である。ピーク使用の期間中CSはさらなる安全のためにSKをより頻繁に変更することを選定することが可能である。SKの値はSPIを変更することによって変更され、そこでCSおよびMSは動的なSPIに順応するように設計されなければならないことに注目されたい。
【0126】
SKの同じ値は1個以上のIPSecパケットに対して使用されるであろう。CSは、いつ、そしてどのくらいの頻度でSKを変更するかを決定する。SKの寿命期間を減少することは安全性を増加する。SKは通常は5〜10分毎に変更することが可能であるが、どの位頻繁に彼らがSKを変更することを望んでいるかを決定することはCSの仕事である。ピーク使用の期間中、CSはさらなる安全のためにSKをより頻繁に変更することを選定することができる。SKの値はSPIを変更することによって変更され、そこでCSおよびMSは動的なSPIに順応するように設計されなければならないことに注目されたい。SKの同じ値は、1個以上のIPSecパケットに対して使用可能である。CSは、いつ、そしてどのくらいの頻度でSKを変更するかを決定する。SKの寿命期間を減少することは安全性を増加する。SKは通常は5〜10分毎に変更することが可能であるがしかし、どの位頻繁に彼らがSKを変更することを望んでいるかを決定することはCSの仕事である。ピーク使用の期間中CSはさらなる安全のためにSKをより頻繁に変更することを選定することが可能である。SKの値はSPIを変更することによって変更され、そこでCSおよびMSは動的なSPIに順応するように設計されなければならない。
表1は、MS内のキーの使用、計算および記憶に関する手早い参考資料として有用であるかも知れない。表1は移動局におけるキーの使用、計算、および記憶に関する要約である。
【表1】
【0127】
BCMCSは、標準的でない解(non-standard solution)を必要とするキー取り扱いに対する新しい課題を提供する。もしも解がIPSecを使用する場合は、SKのいかなる値が解読のために使用されるべきかを決定するために、可変のSPIがBCMCSのために必要とされる。一つの実施例に対しては、キーの取り扱い(その中で、SKはBAKおよびSPIから導出される)はBCMCSに対して十分に安全であり、BCMCSに対してとくに実用的な解を可能にする。
【0128】
BCMCSの中で発生している二つの“交換”が存在する。
・CSから(SPを経由して)放送内容を受信するために、ユーザはCSに代金を支払う。
・SPからの伝送時間を受信するために、CSはSPに代金を支払う。
【0129】
システムの安全目標は、次の脅威を避けることを含む。
脅威1:SPが支払われた伝送代金を伝送時間を与えることなしに受け取る。典型的には、これは主要な関心事ではない。伝送時間を与えることに失敗したいかなるSPも容易に捕まえられるであろう。SPは、さらなる事業を促進するような方法で行動するであろうと予期される。そうでなければ、違法なSPは悪い評判の結果を受けるであろう。
脅威2:CS(あるいは他のパーティ)は伝送費用を支払わずに伝送時間を得る。誰かが合法的なCSをまねる場合のように、あたかもそれがCSによって与えられた内容であったかのようにメッセージをSPに送出する。一つの解は脅威を防ぐためにCSおよびSK間のリンク上に認証ヘッダ(AH:Authentication Header)を付加することである。
脅威3:費用を支払わずにユーザが放送内容にアクセスする。解はIPSecに基づくことを必要とされた。放送内容にアクセスするために、ユーザは現在の解読キーを持たなければならない。UIMは、内容を解読するのに十分なほどに力がないので、そしてその結果、MEが解読を実行する。これは、解読キーがMEの中に記憶されることを意味する。結局、誰かがMEから現在の解読キーを抽出する方法を解くであろう。加入したユーザはそこで、他の加入していないユーザに解読キーを配送することが可能になるであろう。そこで、加入していないユーザがデータにアクセス不可能であるような方式を設計することは困難であろう。
【0130】
目標は、潜在的な市場(サービスが目標としているこれらのユーザ)が内容にアクセスするために違法の手段を用いることを思いとどまらせることであることに注意すべきである。
【0131】
MEは、長期のキーを記憶しあるいは計算することを信用され得ない。長期のキーは、UIMの中に記憶されそして計算されるべきである。UIMは公開キー暗号操作を実行するに十分なほどに強力でなく、そこですべてのキー取り扱いは対称暗号を基にすべきである。SPおよび他のエンティティは若干の対称キーにアクセスを有するであろうし、そしてこれらを解読キーを導出するために使用することが可能である。真の脅威は、解読キーを非加入のユーザに配送する加入したユーザであると思われる。一つの解は、予想できない方法で解読キーを頻繁に変更することである。課題は、キー配送に対して必要とされる伝送オーバーヘッドを最小にしながらこれを達成することである。
【0132】
一つの解は、各ユーザ個々に放送アクセスキー(BAK)を配送する。ここで多くの解読キーがBAKおよび放送で送出された公開情報を用いて導出される。一例が図21に示される。この例においては、3個だけの解読キーが各BAKから導出される。実際問題として1個のBAKから導出された数百個あるいは数千個の解読キーが存在することが可能である。
【0133】
図21は放送チャネル上に送出された情報と組み合わせることによって、一つのBAKから多くの解読キーを導出する一例である。もしも加入したユーザがBAKを抽出し、そしてそれを他のユーザに配送することができれば、そこでこれは他のユーザが多くのSKを導出することを可能にするであろう。これを避けるために、ユーザがBAKを抽出できないように、BAKはUIMの中の安全なメモリ内に保管されなければならない。UIMがBAKを準備するための種々のオプションが存在する。提案されたオプションは(IS−683−B安全モードに似て)最も単純な解であるように見える。
【0134】
IPSecを用いる標準の場合においては、2個のパーティーはキーを交換するときに標準的に取り決める。一度パーティーが新しいキーに関して一致すれば、SPIは変化しない。パーティーは単に古いセキュリティアソシエーションの中に新しいキーをおきSPIをそれがそうであったように残す。BCMCSにおいては、そこには複数の受信機がありそして通信はCSからユーザにのみ流れるために、異なった状況が存在する。CSはユーザがSKの正しい値を有するかを識別する位置にはない。同様に、ユーザは彼らがSKの正しい値を有するかを識別することが困難である。SKが変化する場合にSPIを変化することはこの問題を解決する。この方法は、SKが変化していることをユーザが承知しているかをCSは知っている。これは、IPSecの標準の実行でないことに注意すべきである。
【0135】
SKを配送するための二つの主要なオプションは:1)内容ストリームとは分離したパケット内でSKを送出すること、あるいは 2)内容を含むIPSecパケット内に含まれる情報からSKを導出することを含む。ハイブリッド方式もまた考慮されるかも知れない。
【0136】
ユーザは、放送の期間中いつでも“同調する”ことが可能である。ユーザは、ほとんど瞬間的に内容にアクセスすることを希望するであろう。したがって、もしもSKを導出するための情報が内容と分離したパケット内で送出される場合(たとえば、そしてSKの暗号化された値あるいはランダムな速度)は、そこでCSは、SKを導出するための情報を数秒毎に再送出しなければならない。一つの欠点は、この方法は帯域幅を多く使用することである。主要な欠点は、SK情報を含むパケットを、内容を含むパケットから識別するための標準方法がないことである。
【0137】
SKが変化しているときにSPIが変化していることを与えるとBAKおよびSPIから独占的にSKを導出する余分なステップをとることが可能となる。BAKの正しい値が使用されることを保証するためにSPIは4ビットのBAK_IDを含み、そして将来他のBAKの値に対してBAK_IDが再使用されることが可能なように、そのBAKに対する終了時間があるであろう。これは、228のSKの可能な値に対応して変化することが可能なSPIの28ビットを残す。MEが新しいSPIを見つける(超えてくる)場合は、MEはこのSPIをUIMに通し、そしてUIMはSPIおよびBAKからSKを計算する。MEは、無視できる時間の内に新しいSKを戻すであろうしそして解読を継続することが可能である。SPIの変化する部分はランダムであろう、そうでない場合は加入したユーザが必要なSK値をあらかじめ計算し、そしてそれらを配送するためにUIMを得ることが可能である。
【0138】
このような方法は、SKをユーザに配送するための余分な帯域幅を必要とすることがなく、そしてUIMが、BAKを有するとすぐにSKを計算することを可能とし、そしてMEは、IPSecパケットの受信を開始している。ユーザはSKに対する情報を含むパケットを待つ必要がない。これは、とくにユーザが数秒あるいは数分毎にチャネルを変更している場合に相当な利点であり、ユーザは彼等がチャネルを変更する度にSKを導出するための情報を待つ間の数秒の遅延を欲しないであろう。
【0139】
しかしながら、この方式は1個のBAKから導出されるべき比較的小さい数のSK値を可能とする。とくに、記述された例においては、他の方法を使用するときの2128個の値に比較して(SPI_RANDの228個の値に対応する)228個の値が存在する。加入したユーザのグループは、すべての228個の可能なSPI値を入力することによって、現在のBAKに対するSKのすべての228個の値をあらかじめ計算するために、それらのUIMを得ることが可能である。一つのUIMはすべてのキーを、大略、1時間のうちにあらかじめ計算することが可能であろう。このグループはそこでこれらの値を配送することが可能となろう。キーのセットはメモリの約4ギガバイトを必要とするであろう。しかしながら、現在の考慮はパーソナルディジタルアシスタント(PDA)あるいは電話を経由してアクセスするユーザに対するものであるから、すべての4ギガバイトに対する十分な記憶に対してアクセスしているであろうということは、ほとんどありそうにない。さらにユーザは、多分大量のデータ、たとえば4ギガバイトをBAKが変化する度毎にダウンロードすることは行いたくないであろう。また、現在の例は品質サービスを欲するユーザを考慮している。すべてのこのキーなしにはユーザは内容のすべてを解読可能とするところではなく、そして品質サービスを受けないであろう。
【0140】
次の議論は、BCMCSおよび同様な放送形式にサービスの安全性を高めるためのいくつかのオプションを提供する。とくに考慮されたことは:1)リンクレイヤ暗号化およびエンドツーエンド暗号化を含む暗号化レイヤ;2)SSにおける暗号化およびローカルネットワークにおける暗号化等のBAK更新手順;3)1個のCSと組み合わせられ、あるいは複数のCSに対する準備のために集中化されたような、BAK暗号化器あるいはBAK配送サーバの位置、および4)SK輸送、ここでSKはSPIから導出されあるいは暗号化された形態で送出されることが可能である。典型的なアーキテクチャは次の議論において使用されるであろう図9に与えられる。
【0141】
種々のオプションおよび実施例が考慮される一方で、典型的な実施例は、最初に登録キー(RK)あるいは基本キーを、HLRとして参照されるホームシステムあるいはネットワーク、および遠隔ユニット、UIM内の安全なモジュール間に安全に確立するための方法を与える。AKA手順、あるいは修正されたAKA手順が、HLRおよび与えられたユーザに対するUIMの両者に対して、同じRKを与えるために使用される。一度UIMおよびHLRの両者が同じRK値を有するときは、VLRとして参照されるローカルシステムはこれらの情報を用いて放送アクセスキー(BAK)をUIMに与えることが可能である。とくに、VLRはBAKを発生する。VLRはそこで:1) HLRにBAKを与える。そしてそこでHLRはBAKを暗号化しそして暗号化されたBAK(EBAK)をVLRに与える。あるいは2)VLRは一時的なキー(TK)要求をHLRに送出する、の何れかを行う。第1の例においては、HLRはHLRおよびUIMによってのみ知られるRKを用いてBAKを暗号化する。EBAKはVLRを経由してUIMに与えられる。UIMはEBAKを受信し、そしてBAKを解読するためにRKを使用する。実行にあたって、その度ごとにBAKは変化し、VLRはそのBAKをHLR生起オーバーヘッドに送出しなければならない。方法2)に対しては、HLRは複数のTK値および組み合わせられたランダムな値を発生する。TK値はランダムな数およびRKを用いて発生される。TK値すなわち、TK1、TK2等、およびランダムな値すなわちTK_RAND1,TK_RAND2等はVLRに与えられる。その度ごとにVLRはBAKを更新し(安全な伝送の維持のためにBAKを変更し)、VLRはTKiを使用してBAKを暗号化する。VLRはそこでEBAKおよびTKiあるいは( TKi 、 TK_RAND i)対をUIMに送出する。各々の状態において、UIMはRKを有しているためにUIMはEBAKを解読し、BAKを回復することが可能である。
【0142】
BCMCSをサポートする、図22におけるシステム1000を考えよう。種々のエンティティの機能は、
・ホームBCMCS制御:
−BCMCSサービス加入を与えること
−BCMCSサービスに対する課金処理情報
−UIM内に基本キー(RK)確立を要求
−BAKの暗号化に対して一時的なキー(TK)を発生
・ローカルBCMCS制御:
−BCMCSサービスに対するBAKを発生
−TKを用いることによってBAKを暗号化
−暗号化されたBAKをUIMにダウンロード
−SKを発生するためにBAKをRANに配送、そしてまたSK寿命期間の表示
・BCMCS内容サーバ:
−BCMCS内容を与える。
として定義される。システム1000内に示されたインタフェースは、
・B1インタフェース(HLR/AC−ホームBCMCS制御):
−ホームBCMCS制御からのUIM内にRK確立要求に対して使用
−HLR/ACからホームBCMCS制御へのRKの配送
・B2インタフェース(ローカルBCMCS制御−PDSN):
−暗号化されたBAKをIPプロトコルを経由してUIMにダウンロード
・B3インタフェース(ローカルBCMCS制御−BSC/PCF):
−BAKをRANに配送
−SKリフト時間をRANに送出
・B4インタフェース(ローカルBCMCS制御−ホームBCMCS制御)
−TKのセットをローカルBCMCS制御に配送
として定義される。
【0143】
図23は、RK確立を示すタイミング線図である。垂直軸が時刻を示す。RK確立あるいは準備は、ユーザがホームBCMCS AAA内のBCMCSサービスに加入する場合に生起する。各BCMCS内容プロバイダは各加入者に対する一つの対応するRKを有する。RKはUIMおよびホームサービスプロバイダ/ホーム内容サービスプロバイダのみによって知られる。図23に示されたRK確立手順は次のように記述される。
【0144】
−ステップa:ユーザから加入を受信する場合は、ホームBCMCS制御は、加入者の身元(SUB_ID)およびその自身のBCMCS内容プロバイダの身元を示してRK確立要求を、加入者のホームサービスプロバイダのHLR/ACに送出する。
−ステップb:HLR/ACは、現存のAKA手順をUIM内にRKを確立するために使用する。
−ステップc:UIM内におけるRK確立成功の場合は、HLR/ACはRKをホームBCMCS制御に送出する。MSがそれを要求する場合はBAKダウンロードが生起する。各BAKと組み合わせられたBAK寿命期間が存在する。ここで各BAKはBAK識別子あるいはシーケンス数によって識別される。内容IDによって識別された各BCMCSプログラムはその自身のBAKを有している。ホーム内容プロバイダIDおよび内容IDは各BCMCSプログラムに対して唯一である。BCMCS_IDおよび(ホーム内容プロバイダID+内容ID)対間のマッピングは、ローカルにローカルBCMCS制御内で実行される。BAKはローカルBCMCS制御およびUIMによってのみ知られる。BAKダウンロード手順は次のように与えられる。
−ステップa:加入者のBCMCSサービスへの加入のときあるいはBAK寿命期間の終了のときは、UIMはBAKダウンロードを要求し、そしてMSは要求をローカルBCMCS制御に通す。
−ステップb:ローカルBCMCS制御エンティティは、ホームBCMCS制御に一時的なキー要求を、それがキーをBAKの暗号化に対して使用できるように送出する。
−ステップc:ホームBCMCSキー暗号化器は、TK_RANDを発生し、そしてそこで、ある関数[TK=f( TK_RAND ,RK)]を用いることによってRKおよびTK_RANDの入力を用いてTKを計算する。ホームBCMCSキー暗号化器は、ホームBCMCS制御およびローカルBCMCS制御間の取り扱いが必ずしも必要とされないように、将来の使用のために対のいくつかのセットを発生することが可能である。ホームBCMCS制御はそこで、いくつかのTKをローカルBCMCS制御に戻す。
−ステップd:ローカルBCMCSキー暗号化器は、TKの一つで暗号化されたBAKを発生しそしてBAK_RANDを発生する。ローカルBCMCS暗号化器はそこで若干の関数[BAK_AUTH=f( BAK_RAND,BAK)]を使用することによって、BAKおよびBAK_RANDの入力を用いてBAK_AUTHを計算する。そこで、ローカルBCMCSキー暗号化器は、対応するBAK_IDおよびBAK寿命期間、BCMCS_ID、TK_RAND、BAK_AUTH、およびBAK_RANDを用いて暗号化されたBAKを、MSを経由してUIMに送出する。UIMはTK_RANDおよびその自身の記憶されたRKの入力を用いてTKを計算し、そしてそこでTKを用いることによってBAKを解読する。
BAKおよびBAK_RANDの入力を用いてのBAK_AUTHの計算は、受信されたBAK_AUTHと比較される。もしも整合がない場合はステップaに戻る。図24は、内容サーバを有するホームサービスプロバイダに対するBCMCSアーキテクチャを示す。システム1100は、次のように定義されるエンティティを有する。
・ホームHLR/AC:
−BCMCSサービス加入を与える
−BCMCSサービスに対する課金処理情報
−BAKの暗号化のために一時的なキー(TK)を発生
・ローカルBCMCS制御
−BCMCSサービスのためにBAKを発生
−TKを用いることによってBAKを暗号化
−B2インタフェースを経由してUIMに暗号化されたBAKをダウンロード
−SKを発生するためにBAKをRANに発送、そしてまたSK寿命期間の表示
・BCMCS内容サーバ
−BCMCS内容を与える
図24に示されるようにインタフェースは次のように定義される。
・B2インタフェース(ローカルBCMCS制御−PDSN)
−IPプロトコルを経由して暗号化されたBAKをUIMにダウンロード
・B3インタフェース(ローカルBCMCS制御−BSC/PCF)
−BAKをRANに配送
−SK寿命期間をRANに送出
・B5インタフェース(ローカルBCMCS制御−BSC/PCF)
−TKのセットをローカルBCMCS制御に配送
システム1100においては、ホームサービスプロバイダが自身のBCMCS内容サーバを所有するためにAキー交換手順と同様にAキーはRKに対して使用される。
【0145】
システム1100に関しては、MSがBAKあるいは更新を要求する場合にBAKダウンロードが生起する。各BAKと組み合わせられたBAK寿命期間が存在する。内容IDによって識別された各BCMCSプログラムは、その自身のBAKを有する。BAKは、ローカルBCMCS制御およびUIMによってのみ知られる。BAKダウンロード手順は次のように与えられる。
−ステップa:加入者がBCMCSサービスに加入するとき、あるいはBAK寿命期間が終了するときUIMはBAKダウンロードを要求し、そしてMSは要求をローカルBCMCS制御に通す。
−ステップb:ローカルBCMCS制御は一時的なキーの要求を、それがキーをBAKの暗号化のためにキーを使用可能なようにBSC/VLRに送出する。
−ステップc:BSC/PCFは、一時的なキーの要求をMSC/VLRを経由してHLR/ACに通す。
−ステップd:HLR/ACは、TK_RANDを発生し、そしてそこである関数[TK=f(TK_RAND,Aキー)]を使用することによって、AキーおよびTK_RANDの入力を用いてTKを計算する。それ(HLR/AC)は、MSC/VLRを経由してのHLR/ACおよびBSC/PCF間の移動が必ずしも必要とされないように、将来の使用のためにこの対のいくつかのセットを発生することが可能である。HLR/ACはそこで、いくつかのTKをMSC/VLRを経由してBSC/PCFに戻す。
−ステップe:BSC/PCFはTKをローカルBCMCS制御に通す。
−ステップf:ローカルBCMCS制御はBAKを発生し、そして一つのTKで暗号化する。それはまたBAK_RANDを発生し、そしてそこで、ある関数[BAK_AUTH=f( BAK_RAND ,BAK)]を使用することによってBAKおよびBAK_RANDの入力を用いてBAK_AUTHを計算する。そこで、ローカルBCMCS制御は、暗号化されたBAKを対応するBAK_ID、およびBAK寿命期間、BCMCS_ID、TK_RAND、BAK_AUTH、およびBAK_RANDとともにMSを経由してUIMに送出する。UIMはTK_RANDおよびその所有する記憶されたAキーの入力を用いてTKを計算し、そしてそこで、TKを使用することによってBAKを解読する。そしてそこで、それはその自身のBAK_AUTHをBAKおよびBAK_RANDの入力を用いて計算する。それは、その計算したBAK_AUTHを受信したBAK_AUTHと比較する。もしもそれが整合しない場合は、それはステップaから再び出発するであろう。リンクレイヤにおいて暗号化を与える実施例に対しては、このような暗号化形態は、IPレベルでの暗号化を防止しないことに注意すべきである。リンクレイヤにおける暗号化はもしもIPレベルでの暗号化が可能である場合は無力にされるべきである。短期間キー(SK)ダウンロード手順は次のように与えられる。
−ステップa:BCMCS制御は、BAKおよびBAK寿命期間をBSC/PCFに送出し、そしてSK寿命期間を示された寿命期間でSKを発生した要求BSC/PCFに送出する。
−ステップb:BSC/PCFは、BAKで暗号化されたSKをMSを経由してUIMに送出する。
−ステップc:UIMはBAKを用いてSKを解読し、MSに返送する。
−ステップd:BCMCS内容サーバは平文の放送内容をPDSNを経由してBSC/PCFに送出する。
−ステップe:BSC/PCFは放送内容をSKで暗号化し、そしてそこでそれを、オーバージエアに送出する。要約すると、BCMCSは帯域外で見出される。ユーザはBCMCSサービスに帯域外(SUB ID)で加入する。もしもホームサービスプロバイダが内容サーバを所有していない場合は、基本キーあるいは登録キー(RK)がAKA経由で確立され、そうでない場合はAキーはRKのために使用されるであろう。TKはローカルBCMCS制御ノードに送出される。TKによって暗号化されたBAKは、特別なUDPポート数を使用して訪問したネットワーク(PDSN)経由でUIMにダウンロードされる。MSはオーバーヘッドメッセージによって特定のセクタに対して放送サービスが利用可能かを見出す。MSは登録(BCMCS_ID)を実行する。
【0146】
図25は、CSおよびPDSN間のマルチキャストサービスに対する準備によるベアラーパスセットアップ(bearer path set-up)を示している。図26は、CSおよびPDSN間のユニキャストサービスに対する準備によるベアラーパスセットアップを示している。図27は、CSおよびPDSN間のマルチキャストサービスに対するMS登録および登録解除(deregistration)によるベアラーパスセットアップおよびティアーダウンを示している。
【0147】
・BCMCSベアラーパスがセットアップされる(そこにない場合)。
【0148】
・MSはBCMCSチャネルのモニタを開始。
【0149】
図9は、一つの実施例に従った安全性に対する高レベルアーキテクチャを示す。CS602は内容暗号化器(CE)604に対して内容情報を与える。CE604はSKの発生に使用され、そしてSKの暗号化に対して使用されることが可能である。内容暗号化器604は、:1)SKで暗号化された内容;2)SPI;あるいは3)暗号化されたSK(この中で以下に論じられる)を放送受信機606に与える。さらに、CE604はBAK発生器612からBAK、BAKseq(何れのBAK値かを識別する)およびSK寿命期間(どのくらい長くSKが有効であるかを定義する)を受信する。これらの値はCE604内における処理のために与えられる。CE604は内容を暗号化し、そして暗号化された製品を放送受信機606に与える。CE604はまたBAKseqを放送受信機606に与える。BAKが更新されるときに、BAKseq値はそれぞれのBAKを識別する。内容暗号化器604がSKを発生することに注意すべきである。SK発生はSPIに基づいているかも知れず、あるいは暗号化されたSK(ESK)であるかも知れない。
【0150】
SPIに基づいたSKの発生に対しては、SPIは4ビットBAKseqおよび28ビットSPI_RANDから形成されることが可能である。
【0151】
SPI=(BAKseq, SPI_RAND )がSPI_RANDをBAKで暗号化することによって発生される場合に、SKはパケットに対する。ここで、“X_RAND”は、Xの値を求めるために使用されるランダムな数である。SPIの変更はSKにおける変更を示す。内容暗号化器604は、 SPI_RANDを選定し、SKを発生し、そしてSPI(BAKseq, SPI_RAND )を形成する。内容暗号化器(CE)604は、SKを用いて内容を暗号化し、そして暗号化された内容とともにSPIを放送受信機606に送出する。放送受信機606は、SPIを抽出しSPIを、SPI_RANDおよびBAKからSKを計算するUIM608に通す。UIM608はSKを、SKを用いて内容を解読する放送受信機606に通す。
【0152】
ESKに対しては、内容暗号化器604はESKを発生するためにBAKを用いてSKを暗号化する。内容暗号化器604はSKを選定しそれらから(BAKSeq,ESK)を形成するためにESKを計算する。内容暗号化器604は、内容をSKを用いて暗号化し、そして周期的に(BAKSeq,ESK)を暗号化された内容とともに放送受信機606に送出する。放送受信機606は、(BAKseq,ESK)を、SKを計算し、そのSKを放送受信機606に戻し通すところのUIM608に通す。放送受信機606は、そこでSKを用いて内容を解読する。(BAKseq,ESK)は、独自のポート数をもったパケットに送出することが可能であり、そしてそれは同期化問題を導入するかも知れない。
【0153】
放送受信機606は、内容解読およびシグナリングを与える。放送受信機606はCE604から暗号化された内容、SPIあるいはESK、およびBAKseqを受信する。放送受信機606は、SPIあるいはESKおよびBAKseqをUIM608に与え、そしてUIM608からSK要求および/あるいはBAK要求を受信する。さらに、放送受信機606はRKで暗号化されたBAKを与え、あるいはTK_RANDで暗号化されたBAKをUIM608に与える。
【0154】
UIM608は、端末基本キーK、SS基本キーRK、およびアクセスキーBAKを記憶する。UIM608はRKおよびTKの値を決定する。UIM608はBAKを解読し、そしてSPIおよびBAKからSKを決定する。あるいは、UIM608はまた、SKを形成するためにBAKを用いてESKを解読するために用いられるかも知れない。UIM608は、SKをMEに通す(図示せず)。
【0155】
内容アクセスマネージャ610はBAK発生器612にBAK更新命令を与える。BAK発生器612はBAKおよびBAKシーケンス数すなわちBAKseqを発生する。BAK発生器612は、BAK、BAKseq、およびSK寿命期間を内容暗号化器604に与える。BAK発生器612は、BAK、BAKseq、BAK寿命期間(どのくらい長くBAKが有効であろうかを定義する)をBAK配送サーバ616に与える。認証はサービス認証ユニット614によってBAK配送サーバ616に与えられる。BAK配送サーバ616は、放送受信機606からBAK要求を受信する。BAK配送サーバ616は、ランダムなBAK更新時間、RKあるいはRK_RANDを用いて暗号化されたBAK、およびTKを用いて暗号化されたBAKを放送受信機606に与えるために適応している。
【0156】
第1の場合、BAK配送サーバ616は、どのBAKが要求されているかの識別すなわちBAKseqとともに、放送受信機606からBAK要求を受信する。対応して、BAK配送サーバ616は加入サーバ(SS)618にTK要求を与える。SS618は、SSおよびUIMに対するRK独自のキーを保持する。SS618は基本キーおよびTK_RANDから一時的なキー(TK)を形成する。SS618はそこで、BAK配送サーバ616にTK_RAND値を送出する。
【0157】
第2の場合、 BAK配送サーバ616は、BAK要求によって定義されたBAKおよび放送受信機606から受信されたBAKseqをSS618に送出する。対応して、SS618はBAKをRKで暗号化し、そして暗号化されたBAKをBAK配送サーバ616に戻す。
【0158】
なお他の場合、BAK配送サーバ616は、認証サーバ620にTK要求を送出する。認証サーバ620は端末基本キーKを保持し、そして基本キーおよびランダムな数からTKおよび/あるいはRKを形成する。認証サーバ620はそこで、TK_RANDをBAK配送サーバ616に送出する。この中で以下に記述されるように、BAK配送サーバ616はまた、BAK暗号化器として参照されるかも知れないことに注意すべきである。
【0159】
UIM608は、認証サーバ620によって与えられたRK_RANDからRKを計算する。認証サーバ620は、UIM608からのRK要求に応じてRK_RANDを与える。認証サーバ620はまたRK値をSS618に与える。
【0160】
BAK配送サーバ616はUIM608にランダムなBAK更新期間を与える。ランダムなBAK更新期間は、UIM608に、いつBAK更新を要求すべきかを命令する。このような更新のランダムなタイミングはすべてのユーザが同時に更新を要求しそしてシステムに負担をかけることをしないことを保証する。
【0161】
図10、11、および12は、種々のシステム配列に対する、暗号化および安全適用の種々の実施例を示す。各図面は、信号、キー、およびシステム内の情報の流れを示す凡例を含む。凡例は、図の右下側の隅におかれている。これらの例によって示されるように暗号化は、この中で暗号化は基地局制御器(BSC:Base Station Controller)、パケット制御機能(PCF:Packet Control Function)ノード、他の同様なノード、あるいはこれらの組み合わせにおいて実行されるようにリンクレイヤにおいて実行されることが可能である。リンクレイヤ暗号化方法の一つの実施例は図10に示されている。暗号化はまた、エンドツーエンド基準で与えられることが可能であり、ここで一つの実施例は図11に示される。エンドツーエンド暗号化方法は、この中で以上にIPsecの使用を通じて記述されている。図11に示された実施例は、アプリケーションレイヤで暗号化を実行する。
【0162】
BAKは、周期的にあるいはそうでなければ時々更新されることに注意すべきである。BAK更新はSS暗号化されるかも知れない。そこでは、BAK暗号化器はBAKをSSに送出し、SSはBAKを暗号化し、暗号化されたBAKをBAK暗号化器に返す。特別には、BAK暗号化器はBAKをSSに送出する。SSはBAKを、暗号化されたBAK(EBAK)にRKを用いて暗号化する。SSはEBAKをBAK暗号化器に返す。BAK暗号化器は、BAKを回復するためにRKを用いてEBAKを解読する、UIMにEBAKを送出する。
【0163】
あるいは、BAKはローカルに暗号化されるかもしれない。この場合、SSは一時的なキー(TK)をローカルBAK暗号化器に与える。もしもBAK暗号化器がローカルネットワークの中にある場合は、そこでBAK暗号化器は、CKをTKとして使用することが可能である。ここで、CKは認証ベクトル(AV:Authentication Vector)から導出される。
【0164】
BAK暗号化器の位置は、システムのニーズおよび目標に従って設計されることが可能である。BAK暗号化器はSSから(TK_RAND,TK)対を得る。一つの実施例においては、TKは、
TK=f( TK_RAND,RK) (11)
として与えられる。BAK暗号化器は、(TK_RAND,TK)対を再使用することが可能である。SSは複数の対を送出することが可能である。BAK暗号化器は、そこでEBAKを形成するためにTKを用いてBAKを暗号化する。BAK暗号化器はそこで、UIMに(TK_RAND,EBAK)を送出する。UIMは上に与えられた式(11)を用いてTKを形成する。UIMはBAKを回復するためにTKを用いてEBAKを解読する。
【0165】
代わりの実施例においては、BAK更新は、認証、課金処理および許可(AAA)ユニットHLR/AAAからのTKを用いてローカルに暗号化される。この場合、SSはHLR/AAAである。MSは特別なAKA交渉を実行する。認証ベクトルはCKを含み、ここで、CKは
CK=f(CK_RAND,K) (12)
として定義される。ここでKは、HLRあるいはホームネットワークにおける基本キーであるAキーに等しい。BAK暗号化器は(CK_RAND,CK)対を再使用することが可能である。HLR/AAAは、複数の対を送出可能である。CKおよびCK_RANDは、EBAKを形成するためにCKを用いてBAKを暗号化するBAK暗号化器に通される。BAK暗号化器はそこで、UIMに(CK_RAND,EBAK)対を送出する。これに応じてUIMは式(12)に定義されたようにCKを形成する。UIMはBAKを形成するためにCKを用いてEBAKを解読する。
【0166】
一つの実施例においては、BAK暗号化器は、1個の内容サーバ(CS)と組み合わせられる。他の実施例においては、図12に示したように、複数のCSと組み合わせられることが可能な、集中化されたBAK暗号化器が使用される。
【0167】
SKは周期的にあるいは時々更新される。一つの実施例においては、SKはSPIから導出される。他の実施例においては、SKは暗号化された形態で与えられる。特別なポート数がSKを含むパケットを表示するために使用されることが可能である。たとえば、BSR_ID等の放送フレーム識別子が、SKを含むパケットを表示するために、“000”等のあらかじめ設定された値にセットされることが可能である。
【0168】
図10は、リンクレイヤ内容暗号化を与える一つの実施例を示す。システム700は、ME704に結合されたUIM702を含む。UIM702は、ME704に暗号化されていないBAKを与える。ME704はUIM702に、暗号化されたBAKを与える。同様にME704は、UIM702にRK−AKAを与える。示されたように、SK発生、SK暗号化、および内容暗号化は、基地局制御器/パケット制御機能(BSC/PCF)ノード708によって内容プロバイダを所有するローカルネットワークにおいて実行される。暗号化されていない内容は、内部内容ソース(internal content source)(CS2)722からパケットデータサービスノード(PDSN)710に与えられる。PDSN710はそこで、暗号化されていない内容をBSC/PCF708に通す。CS2BAK発生器724は、暗号化されていないBAK値をPDSN710に与え、そしてCS2BAK暗号化器726はPDSN710からBAK要求を受信し、そして暗号化されたBAKを代わりに与える。PDSN710はそこで、暗号化されていない内容、暗号化されていないBAK、および暗号化されたBAKをBSC/PCF708に進める。
【0169】
ローカルネットワークは、VLRとして動作するMSC706を含む。BSC/PCF708は、RK要求に対応してMSC706からRKを受信する。ホームネットワーク728の中に位置するAC730はHLRとして動作する。MSCはRKを与えることによって応答するAC730からRKを要求する。MSC706は、RKをME704に与えるBSC/PCF708にRKを与える。さらに、BSC/PCF708は、暗号化された内容および暗号化されたBAKをME704に与える。
【0170】
ローカルな第三者内容プロバイダ720は、外部内容ソース(external content source)(CS1)714、CS1 BAK発生器716、およびCS1 BAK暗号化器718を含む。暗号化されたBAKはBAK暗号化器718からPDSN710に与えられる。外部内容ソースCS1 714は、PDSN710に、暗号化されていない内容および暗号化されていないBAKを与える。
【0171】
加入を記憶するエンティティ732は、加入サーバ734を含む。MSC706はRKを加入サーバ734に与える。TK要求およびTK_RAND対は、加入サーバ734およびBAK暗号化器718および726の間で通信される。信号シーケンスは図10の凡例に与えられた通りであり、ここで、信号はRK要求で開始される少なくなる順序で示される。
【0172】
図11は、エンドツーエンド内容暗号化を与える他の実施例を示す。システム800の配置はシステム700のそれと同様であるが、しかしながらシステム800においては、内容ソース(CS2)822はSK発生、SK暗号化、および内容暗号化を与える。内容ソース822は、PDSN810に暗号化された内容を与え、そしてBAK暗号化器826は、BAKを暗号化し、そしてBAK要求に対応してPDSN810に暗号化されたBAKを与える。PDSNはさらにローカル第三者内容プロバイダ820の中の外部内容ソース(CS1)814から暗号化された内容を受信する。内容ソース822におけるように、外部内容ソース814はSK発生、SK暗号化、および内容暗号化を実行する。BAK暗号化器818は、暗号化されたBAKをPDSN810に与える。PDSN810はそこで、暗号化された内容および暗号化されたBAKをBSC/PCF808に与える。
【0173】
図12は、エンドツーエンド内容暗号化を有する集中化されたBAK暗号化を与える実施例を示す。システム900の配置はシステム800のそれと同様である。ここで、SK発生、SK暗号化、および内容暗号化は内容ソース(CS2)922および外部内容ソース(CS1)914によって実行される。システム900は、CS2 BAK発生器924およびCS1 BAK発生器916からの暗号化されていないBAKを受信する集中化されたBAK暗号化器912を含む。集中化されたBAK暗号化器912は、暗号化されたBAKを、BAK要求に対応してPDSN910に与える。集中化されたBAK暗号化器912は、さらに、TK要求およびTK_RAND/対と協定するために加入サーバ932と通信する。
【0174】
図13は、RKを準備するためのタイミング線図である。垂直軸は時間軸を与える。そしてシステムエレメントは上部水平軸上に与えられる。MEはVLRとして動作しているMSCにメッセージを送出することによって認証されたキー協定(AKA)手順を開始する。AKA手順は、そのように命名されたブロックの中で識別される。MSCはそこで、HLRに認証ベクトル(AV)要求を送出する。HLRはRAND値を選択し、そしてそれからAVを発生する。AVは
AUTH=f1(RAND,K) (13)
XRES=f2(RAND,K) (14)
CK=f3(RAND,K) (15)
として示される変数と同様にランダムな数RANDを含むかも知れない。ここで、f1、f2、f3等は変数の各々を計算するための異なった関数を示すために定められる。
【0175】
HLRは、AVをMSCあるいはVLRに与える。もしもMSCが余分のAVを有する場合は、この余備品が使用され、そしてHLRからAVを要求する必要はない。AVからの情報は認証を確認し処理変数を計算するUIMに進められる。このような処理はそこでMSCによって識別される。MSCは、式(13)に示されたようにAUTHを計算することによって、そしてさらに、次の変数を計算することによって認証を確認する。
【0176】
RES=f2(RAND,K) (16)
RK=CK=f3(RAND,K) (17)
RK値は確認処理を進めるSSに送出される。SSはそこで、ランダムな数RAND2を選択し、そして
AUTH2=f1(VER_RAND2,RK) (18)
を計算することによってさらなる確認を実行する。SSは、MEに対して認証を確認し、そして承認する(あるいは否定的に承認する)UIMに認証情報を与える。
【0177】
図14は、SS暗号化されたBAK値の発生を示すタイミング線図である。図9を参照すると、たとえば、BAK配送サーバ(あるいは暗号化器)616はBAK要求をSS618に送出し、そしてSS618はEBAKを形成するためにRKを用いてBAKを暗号化する。SS618はEBAKをBAK配送サーバ616に送出する。図14に示したようにMEは、BAK暗号化器を経由してSSからBAKを要求する。MEはBAK要求メッセージをBAK暗号化器に送出する。BAK暗号化器はそこでBAKおよび組み合わせられた情報をSSに送出する。SSはBAKを受信し、そして暗号化されたBAK(EBAK)を発生する。EBAKは、BAKを回復するためにEBAKを解読するUIMに進められる。ここで、このような計算は、
BAK=D[EBAK,RK] (19)
として与えられる。ここでD[]は、解読演算子である。UIMはさらに
AUTH_BAK=f1(RAND_BAK,BAK) (20)
を計算することによってBAKを確認する。UIMは、承認あるいは失敗のメッセージをこの確認に対応して送出する。失敗の場合は、失敗処理がMEによって実行されあるいは開始される。与えられた期間中変数を計算するための種々の関数は同じ関数であるかも知れずあるいは各々は個別に割り当てられる(指定される)かも知れない。
【0178】
図15は、ローカルに暗号化されたBAK処理を示すタイミング線図である。図9を参照するとたとえば、BAK配送サーバ(あるいは暗号化器)616は、TK要求をSS618に送出し、そしてSS618は、基本キーおよびランダムな数TK_RANDからTKを形成する。SS618はTK_RANDをBAK配送サーバ616に送出する。BAK配送サーバ616はそこでBAKをTK_RANDで暗号化する。図15に示されたように、MEはBAK暗号化器にBAK要求メッセージを送出する。もしもBAK暗号化器が現在の加入データをもっていない場合は、BAK暗号化器はSSからこのようなものを要求する。もしもBAK暗号化器がTK対を有していない場合は、SSはランダムな数TK_RANDを選定し、そしてTKを
TK=f( TK_RAND ,RK) (21)
として計算する。SSはいくつかの( TK_RAND ,RK)対をBAK暗号化器に送出する。BAK暗号化器は、TKを用いてBAKを暗号化することによってEBAKを計算する。BAK暗号化器はそこで他のBAK情報と同様にEBAK、TK_RANDを、このような情報をUIMに進めるところのMEに与える。UIMは式(21)に従ってTKを計算し、式(19)に従ってEBAKを計算し、そして式(20)に従ってAUTH_BAKを計算する。UIMはBAKを確認し、それに従って認可、あるいは失敗メッセージをMEに送出する。失敗の場合は、MEによって失敗処理が実行され、あるいは開始される。
【0179】
図16は、最初の認証手順期間中にローカルBAKがAVを受信してしまっており、そしてそこでTKを発生するためにそのAVからのランダムな値を使用する場合の安全処理を示す。この状況においては、BAK暗号化器はVLRである。BAK暗号化器はSS(これはHLRと見なされる)に対してAV要求を送出する。対応して、SSはランダムな数RANDを選定し、そして式(13)、(14)、および(15)にそれぞれ与えられたように、AUTH、XRES、およびCKを計算する。SSはAVを、EBAKを形成するためにBAKを暗号化するBAK暗号化器に送出する。BAK暗号化器はそこでRAND、EBAK、およびBAK情報を、このような情報をUIMに進めるMEに送出する。UIMは、式(21)に従ってTKを計算し、式(19)に従ってEBAKを計算し、そして式(20)に従ってAUTH_BAKを計算する。UIMは、BAKを確認し、そしてそれに従って認可あるいは失敗メッセージをMEに送出する。失敗の場合は、MEによって失敗処理が実行されあるいは開始される。
【0180】
図17は、リンクレイヤ暗号化を示すタイミング線図である。ここで、BSCはSKおよび内容を暗号化する。図9および10を参照するとここで、BSC708は、SK発生、SK暗号化、および内容暗号化を実行する。図17に示したように、BAK暗号化器はBAKおよびSK情報と同様に、BAKをBSCに与える。BSCはSKを選定しそしてESKを形成するためにBAKを用いてSKを暗号化する。BSCはさらにランダムな数SK_RANDを選定し、そして
AUTH_SK=f1( SK_RAND ,SK) (22)
として与えられる認証変数AUTH_SKを計算する。BSCは、ESK、SK_RAND、AUTH_SK、およびBAK情報を、これらの情報をUIMに進めるところのMEに与える。UIMはSKを
SK=D[ESK,BAK] (23)
として計算し、 そしてAUTH_SKを式(22)で与えられるとして計算する。UIMはそこで、SKあるいは失敗メッセージをMEに送出する。失敗に対しては、MEは失敗処理を実行し、あるいは開始する。SKの識別に対して暗号化されたリンクが現在安全な通信に対して利用可能である。
【0181】
キー識別は通信システムにおけるさらなる安全考慮である。もしも通信および/あるいはSS、BAK暗号化等の処理において若干の混乱が存在して来ている場合は、正しくない値のキーがUIM内に導出されているかも知れない。その結果、UIMに対して、RK、BAK、およびSKが正しく準備されているかを 決定するためのニーズが存在する。一つの実施例に従って、与えられたキーと組み合わせられたランダムな数を用い、そしてそのランダムな数を用いて与えられたキーに対する識別演算を実行することによって識別が実行される。識別の結果はそこでUIMに送出される。UIMは識別結果をチェックする。たとえば、KxはRK、BAK、SKあるいは通信システムにおいて暗号化のために設計された任意の他のキーを表すとしよう。キーKxを確立しているエンティティは、最初にランダムな数RAND_Kxを選定する。エンティティはそこで、
VERIF_Kx=f( RAND_Kx ,Kx) (24)
として与えられる識別結果を計算する。エンティティはそこで、( RAND_Kx ,VERIF_Kx)対をUIMに送出する。UIMはそこで式(24)に定義された識別結果をチェックすることによってKxが正しいかどうかを決定する。もしも識別結果が正しい場合は、UIMはキーを受け入れる。そうでない場合はUIMはキー識別誤り処理を実行する。そしてそれは、キーが正しくないことにかかわるエンティティ、あるいは複数のエンティティを発表することを含むかも知れない。もしもエンティティがUIMから応答を受信しない場合は、エンティティはキーが正しく受信されたと仮定する。
【0182】
同様に、BAK識別は実行されることが可能である。ここで、UIMにEBAKを送出するのに先立って、BAK暗号化器は識別手順を実行する。BAK暗号化器はランダムな数RAND_BAKを選定し、そして識別結果を
VERIF_BAK=f1( RAND_BAK ,BAK) (25)
として計算する。ここで、BAKは識別されたキーである。BAK暗号化器は、UIMに、(EBAK,RAND_BAK,VERIF_BAK)を送出する。BAK暗号化器は、付加的な情報をその上に送出することが可能である。UIMはEBAKを解読しそして式(25)を確認する。確認した場合は、UIMは導出されたBAK値を用い、そうでない場合は、UIMはBAKが正しくないBAK暗号化器を発表する。
【0183】
キー識別において、RAND_Kxは時間に対する値を含むことが可能であることは注意すべきである。この場合VERIF_KxはいつKxがUIMに送られたかを識別する “タイムスタンプ”となる。これは、誰かがキーがすでに使用されてしまっているときに、ある時刻だけ遅れて同じパケットを送出することによってUIMを混乱させることを試みる、再生攻撃(replay attack)を防止する。UIMは時刻が違っていることを検出するであろう。攻撃者は、それがまたVERIF_Kxの値を変更するであろうために時刻を変更することができない。
【0184】
当業界において熟練した人々は、情報および信号は種々の異なった技術および手法の任意のものを使用して表すことが可能であることを理解するであろう。たとえば、上の記述を通して参照されることが可能な、データ、指令、命令、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁場あるいは粒子、光学場あるいは粒子あるいはこれらの任意の組み合わせによって示されることが可能である。
【0185】
熟練した人々はさらに、この中に開示された実施例に関連して記述された、種々の例証となる論理ブロック、モジュール、回路、およびアルゴリズムステップは電子的ハードウエア、計算機ソフトウエア、あるいは両者の組み合わせとして実現可能であることを正しく評価するであろう。ハードウエアおよびソフトウエアのこの互換性を明らかに示すために、種々の例証的なコンポーネント、ブロック、モジュール、回路、およびステップが一般的にそれらの機能の形で上に記述されてきている。これらの機能が、ハードウエア、あるいはソフトウエアとして実現されるかは、特定の応用およびシステム全体に課せられた設計制約によって異なる。熟練した技術者は、記述された機能を各特定の応用に対して、種々の方法で実現することが可能であるが、しかしこれらの実現の決定は本発明の範囲からの逸脱の原因となると解釈されるべきではない。
【0186】
この中に開示された実施例と結合して記述された、種々の例証的な論理ブロック、モジュール、および回路は、汎用処理装置、ディジタル信号処理装置(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、あるいは他のプログラム可能な論理デバイス、ディスクリートゲートあるいはトランジスタ論理、ディスクリートハードウエアコンポーネント、あるいはこの中に記述された機能を実行するために設計されたこれらの任意の組み合わせを用いて実現され、あるいは実行されることが可能である。汎用処理装置はマイクロ処理装置であるかも知れず、しかし代わりに処理装置は、任意の従来の処理装置、制御器、マイクロ制御器、あるいはステートマシンであるかも知れない。処理装置はまた、計算デバイスたとえばDSPおよびマイクロ処理装置の組み合わせ、複数のマイクロ処理装置、DSPコアと結合した1個あるいはそれ以上のマイクロ処理装置、あるいは、任意の他のこのような配置として実現されるかも知れない。
【0187】
この中に開示された実施例に関連して記述された方法のステップあるいはアルゴリズムは、直接にハードウエア内で、処理装置によって実行されるソフトウエア内で、あるいはこの二つの組み合わせ内で実行されることが可能である。ソフトウエアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、抵抗器、ハードディスク、取り外し可能なディスク、CD−ROM、あるいは当業界において知られる記憶媒体の任意の他の形態の中に置かれるかも知れない。典型的な記憶媒体は、その処理装置が記憶媒体から情報を読み取り、それに情報を書き込むことが可能なように処理装置と結合される。あるいは記憶媒体は、処理装置に合体されるかも知れない。処理装置および記憶媒体はASIC内に置かれるかも知れない。ASICはユーザ端末内に置かれるかも知れない。あるいは、処理装置および記憶媒体はディスクリートコンポーネントとしてユーザ端末の中に置かれるかも知れない。
【0188】
開示された実施例に関する以上の記述は、当業界において熟練したいかなる人も本発明を作成しあるいは使用することを可能とするために与えられる。これらの実施例に関する種々の変形が、当業界において熟練した人々には容易に明白であろうし、そしてこの中に定義された一般的な原理は、本発明の精神および範囲から逸脱することなしに、他の実施例に適用することが可能である。したがって、本発明はこの中に示された実施例に限定されることを意図したものではなく、しかしこの中に開示された原理および新規な特徴に矛盾のない最も広い範囲に一致されるべきものである。
【関連出願】
【0001】
35U.S.C.120による優先権主張
本特許出願は、部分的に継続であり、そして“データ処理システムにおける安全性のための方法および装置”と題された、2001年8月20日に出願され、そしてこれについて譲受人に譲渡され、そしてこの結果参照によってこの中に明確に組み込まれた特許出願09/933,972に対する優先権を主張する。
【技術分野】
【0002】
本発明は一般的にデータ処理システム、そしてとくにデータ処理システムにおける安全性(security)のための方法および装置に関する。
【背景技術】
【0003】
通信システムを含む、データ処理および情報システムにおける安全性は、他の必要とされる基準の過多(plethora)と同様に、責任、公正度、正確度、信頼度、操作性に寄与している。暗号化、あるいは一般的な暗号の分野は、電子的な商取引(electronic commerse)、無線通信、放送に使用され、そして応用に関する無限の範囲を有している。電子的な商取引においては、暗号化は詐欺を防止し、財務上の取引を確認するために使用される。データ処理システムにおいては、暗号化は関係者が本人であることを識別するために使用される。暗号化はまた、ハッキングを防止し、ウエブページを保護し、そして秘密の書類へのアクセスを防止するために使用される。
【0004】
しばしば暗号システムとして参照される非対称な暗号化システムは、メッセージを暗号化し、そして解読するために同じキー(すなわち秘密キー)を使用する。ここで、非対称な暗号化システムは、メッセージを暗号化するために第1のキー(すなわち公開キー(public key))を使用し、それを解読するために異なったキー(すなわち個人キー(private key))を使用する。非対称な暗号化システムはまた公開キー暗号システムと呼ばれる。対称な暗号化システムは送出者から受信者への秘密キーの安全な準備においては問題がある。さらに、キーあるいは他の暗号化機構がしばしば更新される場合は問題が存在する。データ処理システムにおいては、安全にキーを更新する方法は、処理時間、メモリ容量、および他の処理オーバーヘッドを負担する。無線通信システムにおいては、キーを更新することは伝送のために使用される貴重な帯域幅を使用する。
【発明の概要】
【0005】
従来の技術は、彼等が暗号化された放送にアクセスするために、移動局の大きなグループに対してキーを更新するための方法を与えていない。その結果、データ処理システムにおいてはキーを更新することに関する安全なそして効率的な方法に対するニーズが存在する。さらに、無線通信システムにおいては、キーを更新することに関する安全なそして効率的な方法に対するニーズが存在する。
【0006】
この中に開示された実施例は、データ処理システムにおける安全のための方法を与えることによって上に示されたニーズに対処する。
【0007】
一つの観点においては、安全な伝送のための方法は、伝送における関係者に固有の登録キーを決定し、第1のキーを決定し、第1のキーを登録キーを用いて暗号化し、第2のキーを決定し、第2のキーを第1のキーを用いて暗号化し、そして第1および第2のキーを更新することを含む。
【0008】
他の観点においては、伝送の安全な受信のための方法は、伝送における関係者に固有の登録キーを受信し、第1のキーを受信し、第1のキーを登録キーを用いて解読し、第2のキーを受信し、第2のキーを第1のキーを用いて解読し、情報の放送ストリームを受信し、そして情報の放送ストリームを第2のキーを用いて解読することを含む。
【0009】
さらに他の観点においては、放送サービスオプションをサポートする無線通信システムは、受信回路、放送メッセージを解読するための短期間キーを回復することが可能なユーザ識別ユニット、および放送メッセージを解読するために短期間キーを適用することに適合された移動装置ユニットをを含む基幹施設エレメントを有する。ユーザ識別ユニットはキー情報を解読することが可能な処理ユニット、および登録キーを保存するためのメモリ保存ユニットを含む。
【図面の簡単な説明】
【0010】
【図1A】図1Aは、暗号システムに関する線図である。
【図1B】図1Bは、対称暗号システムに関する線図である。
【図1C】図1Cは、非対称暗号システムに関する線図である。
【図1D】図1Dは、PGP暗号化システムに関する線図である。
【図1E】図1Eは、PGP解読システムに関する線図である。
【図2】図2は、いくつかのユーザをサポートする、スペクトル拡散通信システムに関する線図である。
【図3】図3は、放送伝送をサポートする、通信システムに関するブロック線図である。
【図4】図4は、無線通信システムにおける移動局に関するブロック線図である。
【図5】図5は、放送アクセスを制御するために使用される移動局内におけるキーの更新を記述している模型である。
【図6】図6は、UIM内における暗号動作を記述している模型である。
【図7A】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7B】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7C】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7D】図7A〜7Dは、放送伝送をサポートする無線通信システムにおいて、安全暗号化を実行する方法を示す。
【図7E】図7Eは、放送伝送をサポートする無線通信システムにおいて、安全オプションのキー更新期間に関するタイミング線図である。
【図8A】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図8B】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図8C】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図8D】図8A〜8Dは、放送伝送をサポートする無線通信システムにおける、安全暗号化方法の応用を示す。
【図9】図9は、放送伝送をサポートする無線通信システムにおける安全性を示している高レベルアーキテクチャ線図である。
【図10】図10は、リンクレイヤ内容暗号化を使用している通信システムのブロック線図である。
【図11】図11は、エンドツーエンド内容暗号化を使用している通信システムのブロック線図である。
【図12】図12は、集中化されたBAK暗号化を使用している通信システムのブロック線図である。
【図13】図13は、通信システムにおける、登録キー(RK)の準備を示すタイミング線図である。
【図14】図14は、通信システムにおける、放送アクセスキー(BAK)の加入サーバ(SS)暗号化を示すタイミング線図である。
【図15】図15は、通信システムにおける、ローカルに暗号化されたBAKを示すタイミング線図である。
【図16】図16は、通信システムにおける、認証ベクトル(AV)を使用しての一時的なキー(TK)の発生を示すタイミング線図である。
【図17】図17は、通信システムにおける、リンクレイヤ暗号化を示すタイミング線図である。
【図18】図18は、放送およびマルチキャストサービスをサポートする通信システムである。
【図19】図19は、内容サーバ(CS)によって実行された放送アクセスキー(BAK)更新を示すタイミング線図である。
【図20】図20は、サービスプロバイダ(SP)によって実行されたBAK更新を示すタイミング線図である。
【図21】図21は、放送チャネル上に送出された情報を結合することによって、BAKから複数の解読キーを導出することを示す。
【図22】図22は、BCMCSをサポートするための通信システムアーキテクチャである。
【図23】図23は、BCMCSをサポートする通信システムにおける、登録キー(RK)確立に関するタイミング線図であり、ここでホームサービスプロバイダは、内容サーバ(CS)を所有していない。
【図24】図24は、BCMCSをサポートするための通信システムアーキテクチャであって、ここでホームサービスプロバイダはCSを所有している。
【図25】図25は、マルチキャストサービスに対する準備を経てのベアラーパスセットアップに関するタイミング線図である。
【図26】図26は、ユニキャストサービスに対する準備を経てのベアラーパスセットアップに関するタイミング線図である。
【図27】図27は、マルチキャストサービスに対するMS登録を経てのベアラーパス配置に関するタイミング線図である。
【発明を実施するための形態】
【0011】
用語“典型的な”は、この中では、“実例、事実、あるいは例証として役立つ”ことを意味するためにのみ使用される。この中に“典型的な”として記述されたいかなる実施例も、選定されあるいは他の実施例よりも優れて有利であるとして解釈される必要はない。
【0012】
無線通信システムは、音声、データ、等の通信の種々の形態を与えるために広く展開されている。これらのシステムは、符号分割多元接続(CDMA)、時間分割多元接続(TDMA)、あるいは若干の他の変調技術に基づくことが可能である。CDMAシステムは、増加されたシステム容量を含む、システムの他の形式に勝るある利点を与える。
【0013】
システムは、この中ではIS−95標準として参照される“デュアルモード広帯域スペクトル拡散セルラシステムのためのTIA/EIA/IS−95−B移動局−基地局両立性標準”、この中では3GPPとして参照される“第3世代パートナーシッププロジェクト”と命名された協会によって提供され、そして書類番号3G TS25.211、3G TS 25.212、3G TS 25.213、および 3G TS 25.214、3G TS 25.302を含む書類のセットに収録されたこの中ではW−CDMAとして参照される標準、この中では3GPP2として参照される“第3世代パートナーシッププロジェクト2”と命名された協会によって提供された標準、およびこの中ではcdma2000標準として参照される、以前はIS−2000MCと呼ばれた、TR−45.5等の、1個あるいはそれ以上の標準をサポートするように設計することが可能である。この中で以上に引用された標準は、この結果参照によってこの中に明確に組み込まれている。
【0014】
各標準は、基地局から移動体へのそして逆もまた同様に、伝送のためのデータに関する処理を明確に定義している。典型的な実施例として、以下の論議はcdma2000システムと矛盾のないスペクトル拡散通信システムを考慮する。代わりの実施例は、他の標準/システムと組み合わせられることが可能である。なお他の実施例は、暗号システムを使用するデータ処理システムの任意の形式に対して、この中に開示された安全な方法を適用することが可能である。
【0015】
暗号システムはメッセージを隠す方法であり、したがって、ユーザの特定のグループがメッセージを抽出することを可能とする。図1Aは、基本的な暗号システム10を示す。暗号は創造の技術であり、そして暗号システムを使用する。暗号解読は暗号システムを破壊するすなわち、あなたがメッセージにアクセスすることが可能なユーザの特定のグループにいない場合に、メッセージを受信しそして理解する技術である。もとのメッセージは暗号のもとになる平文メッセージあるいは平文として参照される。暗号化されたメッセージは暗号文と呼ばれ、ここで暗号化は平文を暗号文に変換する何らかの手段を含む。解読は、暗号文を平文に変換する、すなわちもとのメッセージを回復する何らかの手段を含む。図1Aに示されるように、平文メッセージは暗号文を形成するために暗号化される。暗号文はそこで受信されそして平文を回復するために解読される。用語、平文および暗号文は一般的にデータに関連するが、暗号化の概念はディジタル形式で与えられたオーディオおよびビデオデータを含む、任意のディジタル情報に適用することが可能である。この中に与えられた本発明に関する記述は暗号の技術と矛盾のない用語、平文および暗号文を使用するが、これらの用語はディジタル通信に関する他の形式を除外していない。
【0016】
暗号システムは秘密をもとにしている。エンティティのグループは、もしもこのグループ外のエンティティが意味を持って大量のリソースなしに秘密を得ることが不可能な場合は、エンティティのグループは秘密を共有する。この秘密はエンティティのグループ間のセキュリティアソシエーション(security association)として役立つといわれる。
【0017】
暗号システムはアルゴリズムの集合であることが可能であり、ここで、各アルゴリズムは名前を付けられそして名前はキーと呼ばれる。しばしば暗号システムとして参照される対称的暗号化システムは、メッセージを暗号化しそして解読するために同じキー(すなわち秘密キー)を使用する。対称的暗号化システム20は図1Bに示され、ここで、暗号化および解読の両者は同じ個人キーを使用する。
【0018】
対照的に、非対称暗号化システムは、メッセージを暗号化するために第1のキー(すなわち公開キー)を使用し、そしてそれを解読するために異なったキー(すなわち個人キー)を使用する。図1Cは、非対称暗号化システム30を示す。ここで、1個のキーは暗号化のために、そして第2のキーは解読のために与えられる。非対称暗号システムはまた、公開キー暗号システムと呼ばれる。公開キーは、公開されそして任意のメッセージを暗号化するために使用可能である。しかしながら、公開キーを用いて暗号化されたメッセージを解読するためには個人キーのみが使用可能である。
【0019】
送出者から受領者への秘密キーに関する安全性の準備において、対称的暗号システムにおいては問題が存在する。一つの解においては、情報を与えるための伝達手段(courier)が使用可能であるかも知れない。あるいは、より効率的でそして信頼できる解は、Rivest、Shamir、およびAdleman(RSA)によって定義された、この中で以下に論じられる、公開キー暗号システムを使用することかも知れない。RSAシステムは、かなり良いプライバシー(PGP:Pretty Good Privacy)として参照される一般的な安全ツールの中に使用され、そしてそれはさらにこの中で以下に詳述される。たとえば、最初に記録された暗号システムは、平文内の文字をアルファベット内でn個だけ各文字をシフトすることによって変更した。ここで、nはあらかじめ設定された一定の整数値である。このような方式においては、“A”は“D”で置き換えられる等である。ここで与えられた暗号化方式は、nに関するいくつかの異なった数と組み合わせることが可能である。この暗号化方式においては“n”はキーである。意図された受領者は暗号文の受信に先立って暗号化方式を与えられる。このようにして、キーを知っている人々のみが平文を回復するために暗号文を解読することが可能であった。しかしながら暗号化に関する知識を持ってキーを計算することによって、意図されないパーティが安全問題を発生させて、暗号文を傍受しそして解読することが可能であるかも知れない。
【0020】
さらに複雑なそして洗練された暗号システムは、意図されないパーティーから傍受および解読を阻止する戦略的なキーを使用している。古典的な暗号システムは、暗号化関数Eおよび解読関数Dを次のように使用している。
【0021】
D_K(E_K(P) )=P 任意の平文Pに対して (1)。
【0022】
公開キー暗号システムにおいては、 E_Kは、Kから順に計算される既知の“公開キー”Yから容易に計算される。誰でもがメッセージを暗号化することが可能なようにYは公開される。解読関数D_Kは公開キーYから計算されるが、しかし個人キーKに関する知識はほとんどない。個人キーKなしには意図されない受領者は、そのように発生された暗号文を解読することはできないかも知れない。このようにして、Kを発生した受領者のみがメッセージを解読可能である。
【0023】
RSAは、 Rivest、Shamir、およびAdlemanによって定義された公開キー暗号システムである。例として、2512までの正の整数として平文を考慮しよう。キーはクオッドルプル(quadruples)(p、q、e、d)であって、pは256ビットの素数として与えられ、qは258ビットの素数として与えられ、そしてdおよびeは(p-1)(q-1)によって除算可能な(de-1)である大きい数である。さらに、暗号化関数を
E_K(P)=Pe mod pq,D_K(C)=Cd mod pq, (2)
として定義する。
【0024】
E_Kは対(pair)(pq,e)から容易に計算される一方、 D_Kを対(pq,e)から計算するための知られた単純な方法はない。その結果Kを発生する受領者が対(pq,e)を公開可能である。彼がメッセージを読むことが可能な一人であるとして秘密のメッセージを受領人に送出することは可能である。
【0025】
PGPは、対称的、および非対称的暗号化からの特徴を結合している。図1Dおよび1Eは、PGP暗号システム50を示し、ここで平文メッセージは暗号化されそして回復される。図1Dにおいては、平文メッセージはモデム伝送時間およびディスク空間を節約するために圧縮される。圧縮は暗号化および解読の処理に対して他の変換レベルを加えることによって暗号の安全性即ち機密性を強める。大部分の暗号解読技術は、暗号を解読するために平文内に見られるパターンを利用する。圧縮は平文内のこれらのパターンを減らし、それによって暗号解読に対する抵抗を高める。一つの実施例は圧縮するには短すぎる平文あるいは他のメッセージは圧縮せず、あるいは適切に圧縮しないものは圧縮されないことに注意すべきである。
【0026】
PGPはそこで一度だけの秘密キーであるセションキーを作成する。このキーは、マウスのランダムな動きおよびタイプをするときのキーストローク等の任意のランダム事象から発生することが可能なランダムな数である。セションキーは、暗号文に帰着する平文を暗号化するための安全な暗号化アルゴリズムとともに動作する。一度データが暗号化されるとセションキーはそこで受領者の公開キーに対して暗号化される。この公開キー、暗号化されたセションキーは、暗号文とともに受領者に送信される。
【0027】
図1E内に示されるように、解読のために受領者のPGPに関するコピーは、一時的なセションキーを回復するために個人キーを使用する。そしてそれを、PGPはそこで規則通りに暗号化された暗号文を解読するために使用する。この暗号化方法の組み合わせは、公開キー暗号化の簡便さとそして対称的暗号化の速度とを利用している。対称的暗号化は、一般に公開キー暗号化よりもずっとより速い。公開キー暗号化は、代わりにキー配送およびデータ伝送発出に対する解を与える。組み合わせによって特性およびキー配送は安全における何の犠牲もなしに改善される。
【0028】
キーは、特定の暗号文を発生するために暗号アルゴリズムとともに動作する値である。キーは基本的に非常に大きい数である。キーサイズはビットで測定される。公開キー暗号においては、安全性はキーサイズとともに増加するが、しかしながら、公開キーサイズおよび対称的暗号化個人キーサイズは一般的に関係ない。一方、公開および個人キーは数学的に関係があるので、公開キーのみを与えて個人キーを導出するにあたって困難が生じる。個人キーを導出することは、十分な時間と計算力を与えれば、キーサイズの選択を重要な安全問題として可能である。目標は、速い処理のためにキーサイズを十分に小さく維持しながら、安全な大きいキーを有することである。付加的な配慮は、予想される傍受者、とくに、第三者に対するメッセージの何が重要であるか、そして解読のために第三者がどのくらいの資源を有しているかである。
【0029】
より大きいキーはより長い時間中暗号的に安全であろう。キーは暗号化された形態で記憶される。PGPはとくにキーを2個のファイル、1個は公開キーに対するそして1個は個人キーに対する中に保存する。これらのファイルはキーリング(keyring)と呼ばれる。適用にあたって、PGP暗号化システムは目標とする受領者の公開キーを送出者の公開キーリングの中に加える。送出者の個人キーは、送出者の個人キーリング上に記憶される。
【0030】
この中で上に与えられた例において論じたように、暗号化および解読に使用されるキーの配送の方法は複雑であることが可能である。“キー交換問題”は、第1に、キーが送出者および受信者の両方がそれぞれ暗号化および解読を実行可能であるように、そして双方向通信に対しては、送出者および受信者の両方がそれぞれメッセージを暗号化しそして解読することが可能であるように交換されることを保証することを含む。さらに、キー交換が意図されていない第三者による傍受を排除するように実行されることが望まれる。最後に付加的な配慮は、受信者に、メッセージは、意図された送出者でありそして第三者ではないものによって、暗号化されたことを受信者に保証を与える認証である。個人キー交換システムにおいては、成功したキー交換および確実な認証の上に改善された安全性を与えて、キーは秘密のうちに交換される。個人キー暗号化方式は暗黙のうちに認証を与えることは記憶すべきである。個人キー暗号システムにおける基本となる仮定は、意図された送出者のみが、意図された受信者に配送されたメッセージを暗号化する能力を有するキーを有するであろうということである。公開キー暗号方法は‘キー交換問題’に関するきわどい局面、とくに、キー交換の期間中消極的な盗聴者が存在する場合においてもその解読に対する抵抗を解決しているとはいえ、キー交換と組み合わせられたすべての問題を解決していない。とくに、キーは‘公開された知識’(とくにRSAの場合)と見なされているために、キーのみの所有は(メッセージを暗号化するのには十分な)送出者の特定の独自の本人であることの証拠ではなく、受領者の本人であることを確立するために十分な、それ自身による対応する解読キーの所有でもないので若干の他の機構が認証を与えるために必要とされる。
【0031】
一つの解決法は、リストされたキーは実際に与えたエンティティのそれであることを保証する、時には信頼された機関(trusted authority)、証明書機関(certificate authority)、あるいは第三者証書代理人(third part escrow agent)と呼ばれるキー配送機能を開発することである。この機関は典型的には実際にキーを発生せず、しかし送出者および受信者によって参照のために保存されそして広告された、キーのリストおよび組み合わせられた(本人であることの)証拠が正しくそして断固としたものであることを保証する。他の方法は、ユーザがお互いのキーを配送しそして追跡することを信頼し、そして略式の配送された様式を信頼することである。RSAのもとにおいては、もしもユーザが、暗号化されたメッセージに加えてそれらの本人であることの証拠を送ることを願う場合は、個人キーを用いてサインは暗号化される。受信者は、送出者のみが秘密キーの使用によって平文を暗号化してきていることが可能であるように、情報を解読することを確認するために、RSAアルゴリズムを逆に使用することが可能である。典型的には、暗号化された‘サイン’は、秘密のメッセージの唯一の数学的な‘要約’を含む‘メッセージ要約’である(もしもサインが複数のメッセージに亙って変わらなかった場合は、一度知った前の受信者はそれを不正に使用することができた)。このようにして、理論的にのみメッセージの送出者は、それによって受信者に対してその認証を立てて、そのメッセージに対する正しいサインを発生することが可能であった。
【0032】
メッセージ要約は、暗号を用いたハッシュ関数(hash function)を用いてしばしば計算される。暗号を用いたハッシュ関数は、任意の入力から入力の長さには関係なく値(一定したビットの数の)を計算する。暗号を用いたハッシュ関数の一つの特性は次のとおりである。出力値を与えて、その出力に帰着するであろう入力を決定することは計算機的に困難である。暗号を用いたハッシュ関数の例は、連邦情報処理標準発行機関(FIPS PUBS: Federal Information Processing Standards Publication)によって公表され、そして米国標準および技術会National Institute of Standards and Technology)によって発行された“安全なハッシュ標準(Secure Hash Standard)”、FIPS PUB 180−1、の中に記述されるように、SHA−1である。
【0033】
図2は、いくつかのユーザをサポートし、そして本発明の少なくともいくつかの観点および実施例を実行することが可能な通信システム100の例として有効である。アルゴリズムおよび方法の任意の変形は、システム100内における伝送を予定するために使用することが可能である。システム100は、それらの各々は対応する基地局104Aから104Gによってそれぞれ取り扱われる、いくつかのセル102Aから102Gに対する通信を与える。典型的な実施例においては、基地局104のいくつかは複数の受信アンテナを有し、そして他はただ1個の受信アンテナを有する。同様に、基地局104のいくつかは複数の送信アンテナを有し、そして他は1個の送信アンテナを有する。送信アンテナおよび受信アンテナの組み合わせに制約はない。その結果、基地局104に対して複数の送信アンテナおよび1個の受信アンテナを有すること、あるいは複数の受信アンテナおよび1個の送信アンテナを有すること、あるいはともに1個のあるいは複数の送信および受信アンテナを有することが可能である。
【0034】
カバレッジエリア内の端末106は固定され(すなわち静止した)あるいは移動体であることが可能である。図2内に示されたように、種々の端末106がシステムを通じて分散されている。各端末106は、下りリンクおよび上りリンク上で任意の与えられた瞬間において、たとえばソフトハンドオフが使用されているか否か、あるいは、端末が複数の基地局からの複数の伝送を(同時にあるいは順次に)受信するように設計されそして動作されるか否かによって異なる、少なくとも1個の、そして多分それ以上の基地局104と通信する。CDMA通信システムにおけるソフトハンドオフは、当業界においてよく知られ、そして“CDMAセルラ電話システムにおいてソフトハンドオフを与えるための方法および装置”と題された、本発明の譲受人に譲渡された、米国特許5,101,501の中に詳細に記述されている。
【0035】
下りリンクは基地局から端末への伝送に関連し、そして上りリンクは端末から基地局への伝送に関連する。典型的な実施例においては、端末106のいくつかは、複数の受信アンテナを有し、そして他は1個のみの受信アンテナを有する。図2において基地局104Aは、データを端末106Aおよび106Jに、下りリンク上に送信する。基地局104Bは、データを端末106Bおよび106Jに送信し、基地局104Cはデータを端末106Cに送信する等である。
【0036】
無線データ伝送に対する増加している要求と、そして無線通信技術によって利用可能なサービスの拡大は、特別なデータサービスの開発に帰着している。一つのこのようなサービスは高データレート(HDR:High Data Rate)として参照される。典型的なHDRサービスは“HDR規格”として参照される“EIA/TIA−IS856cdma2000高レートパケットデータエアインタフェース規格”の中に提案されている。HDRサービスは一般的に、無線通信システムにおいてデータのパケットを送信する効率的な方法を与える音声通信システムに対するオーバーレイである。送信されるデータの量および伝送の数の増加につれて、無線電話伝送に利用可能な限定された帯域幅は危機的な資源になってきている。その結果、利用可能な帯域幅の使用を最適化する、通信システムにおける伝送を予定する効率的なそして公正な方法に対するニーズが存在する。典型的な実施例においては、図2に示されたシステム100は、HDRサービスを有するCDMA形式システムと矛盾していない。
【0037】
一つの実施例に従って、システム100は、高速度放送サービス(HSBS:High-Speed Broadcast Service)として参照される高速度マルチメディア放送サービスをサポートする。HSBSに対する例となる応用は、映画、スポーツイベント等のビデオストリーミングである。HSBSサービスはインターネットプロトコル(IP)に基づいたパケットデータサービスである。典型的な実施例に従ってサービスプロバイダは、ユーザに対してこのような高速度放送サービスの利用可能性を示す。HSBSサービスを希望するユーザはサービスを受けるために加入し、そして広告、ショートマネージメントシステム(SMS:Short Management System)、無線応用プロトコル(WAP:Wireless Application Protocol)等を通じて放送サービス予定を見出すことが可能である。移動ユーザは、移動局(MS)として参照される。基地局(BS)は、オーバーヘッドメッセージの中にHSBSに関係したパラメータを送信する。MSが放送セションを受信することを希望する場合は、MSはオーバーヘッドメッセージを読み、そして適切な構成を学ぶ。MSはそこでHSBSチャネルを含む周波数に同調し、そして放送サービス内容を受信する。
【0038】
考慮されているサービスは高速度マルチメディア放送サービスである。このサービスは、この書類の中では、高速度放送サービス(HSBS)として参照される。一つのこのような例は、映画、スポーツイベント等のビデオストリーミングである。このサービスは多分インターネットプロトコル(IP)に基づいたパケットデータサービスであろう。
【0039】
サービスプロバイダは、ユーザに対してこれらの高速度放送サービスの利用可能性を示すであろう。このようなサービスを希望する移動局ユーザは、このサービスを受けるために加入し、そして、広告、SMS、WAP等を通じて放送サービス予定を見出すであろう。基地局はオーバーヘッドメッセージ内に放送サービスに関係したパラメータを送信するであろう。放送セションを聴くことを希望する移動体は、適切な構成を決定するために、これらのメッセージを読み、高速度放送チャネルを含む周波数に同調し、そして放送サービス内容の受信を開始する。
【0040】
HSBSサービスに対しては、自由なアクセス、制御されたアクセス、および部分的に制御されたアクセスを含む、いくつかの可能な加入/収入モデルが存在する。自由なアクセスに対しては、サービスを受けるために移動体によっての加入は必要とされない。BSは、内容を暗号化することなしに放送し、そして関心のある移動体は内容を受信することが可能である。サービスプロバイダに対する収入は、放送チャネル内にまた送信されるかも知れない広告を経て発生されることが可能である。たとえば、それに対して撮影所がサービスプロバイダに支払うであろう、間もなく現れる映画の一部分の送信されることが可能である。
【0041】
制御されたアクセスに対しては、MS(移動局)ユーザは、サービスに対して加入し、放送サービスを受けるために対応する料金を支払う。加入していないユーザはHSBSサービスを受けることが不可能である。制御されたアクセスは、加入したユーザのみが内容を解読することが可能であるようにHSBS伝送/内容を暗号化することによって達成されることが可能である。これは、オーバージエア暗号化キー交換手順を使用するかも知れない。この方式は強い安全性を与え、そしてサービスを盗むことを防止する。
【0042】
部分的に制御されたアクセスとして参照される混成アクセス方式は、暗号化された加入に基づいたサービスとして、間欠的な暗号化されない広告伝送とともにHSBSサービスを与える。これらの広告は、暗号化されたHSBSサービスに対する加入を活性化するために目論まれるかも知れない。これらの暗号化されないセグメントの予定は外部的な手段によってMSに対して知られることが可能である。
【0043】
無線通信システム200が図3に示され、ここでビデオ、およびオーディオ情報が内容サーバ(CS:Content Server)201によってパケット化されたデータサービスネットワーク(PDSN:Packetized Data Service Network)202に与えられる。ビデオおよびオーディオ情報は、テレビ放送されたプログラムあるいは無線電話伝送から来るかも知れない。情報はIPパケット内等のパケット化されたデータとして与えられる。PDSN202はアクセスネットワーク(ANAccess Network)内における配送のためにIPパケットを処理する。示されるように、ANは複数のMS206と通信中のBS204を含むシステムの部分として定義される。PDSN202はBS204に結合される。HSBSサービスに対しては、BS204はPDSN202からの情報のストリームを受信し、そして情報をシステム200内の加入者に対する選定されたチャネル上に与える。アクセスを制御するために、内容はPDSN202に与えられる前にCS201によって暗号化される。加入したユーザはIPパケットが解読されうるように解読キーとともに与えられる。
【0044】
図4は、図3におけるMS206と同様にMS300を詳細に示している。MS300は受信回路304に結合されたアンテナ302を有する。MS300は図3におけるBS204と同様にBS(図示せず)からの伝送を受信する。MS300はユーザ識別モジュール(UIM:User Identification Module)308および移動装置(ME:Mobile Equipment)306を含む。受信回路はUIM308およびME306に結合されている。UIM308はHSBS伝送の安全性のために確認手順を適用し、そして種々のキーをME306に与える。ME306は処理ユニット312に結合することが可能である。ME306は、HSBS内容ストリームの解読を含む、しかし限定はされない、実質的な処理を実行する。ME306はメモリ記憶ユニット(MEM:memory storage unit)310を含む。典型的な実施例においては、ME306処理(図示せず)内のデータ、およびMEメモリ記憶ユニットMEM310内のデータは限定された資源の使用によって、非加入者によって容易にアクセスされることが可能であり、そしてその結果ME306は不安全であるといわれる。ME306に通された、あるいはME306によって処理されたいかなる情報も、短時間の間のみは安全に秘密にとどまる。その結果、 ME306と共有されたキー等のいかなる秘密の情報もしばしば変更されることが望まれる。
【0045】
UIM308は、長い期間の間秘密にとどまるべき秘密の情報(暗号化キー等の)を記憶しそして処理するためには信用されている。UIM308は安全なユニットであるために、その中に記憶された秘密はシステムに対して秘密情報をしばしば変更することを必ずしも必要としない。UIM308は、安全なUIM処理ユニット(SUPU:Secure UIM Processing Unit)316として参照される処理ユニット、および安全であると信用される安全なUIMメモリユニット(SUMU:Secure UIM Memory Unit)314として参照されるメモリ記憶ユニットを含む。UIM308の中に、SUMU314は、情報に対する不許可のアクセスを妨害するようなやり方で秘密の情報を記憶する。もしも秘密の情報がUIM308から得られる場合は、アクセスは意味を持って大量の資源を要求するであろう。また、UIM308の中で、SUPU316は、UIM308にとって外側であり、そして/あるいはUIM308にとって内側であるかも知れない値について計算を実行する。計算の結果は、SUMU314の中に記憶され、あるいはME306に通されることが可能である。SUPU316とともに実行された計算は、UIM308から、意味を持って大量の資源を持ったエンティティによって得られることのみが可能である。同様に、SUMU314の中に記憶されるべく指定されたSUPU316からの出力(しかしME306への出力ではない)は、認証されていない傍受者が有意義な大量の資源を要求するように設計されている。一つの実施例においては、UIM308はMS300内の固定ユニットである。UIM308における安全な記憶および処理に加えて、UIM308はまた、電話番号、Eメールアドレス情報、ウエブページあるいはURLアドレス情報および/あるいは予定関数等を含む情報の記憶に対して安全でない記憶、および処理(図示せず)を含むかも知れないことは記憶すべきである。
【0046】
他の実施例は、取り外し可能な、および/あるいは再プログラムが可能なUIMを与える。典型的な実施例においては、SUPU316は、HSBSの放送内容の暗号化を可能とするような、安全性およびキー手順を超えた機能に対する十分な処理力を有していない。代わりの実施例は、より強力な処理力を有しているUIMを実現することが可能である。
【0047】
UIMは特定のユーザと組み合わせられており、そして本来はMS300がそのユーザに与えられた、移動電話ネットワークにアクセスする等の特権を有するかを確認するために使用される。その結果、MS300というよりはむしろUIM308と組み合わせられている。同じユーザは複数のUIM308と組み合わせられることが可能である。
【0048】
放送サービスは加入したユーザに対してキーを如何に配送するかを決定する問題に直面している。特定の時刻において放送内容を解読するために、MEは現在の解読キーを知らなければならない。サービスが盗まれるのを防止するために、解読キーは頻繁にたとえば毎分ごとに交換されるべきである。これらの解読キーは短期間キー(SK:Short-term Keys)と称される。SKは、短時間の間放送内容を解読するために使用され、そこで、SKはユーザに対する固有の金額(monetary value)の若干の量を有していると仮定されることが可能である。たとえば、この固有の金額は、登録コストの一部であるかも知れない。加入者のメモリ記憶ユニットMEM310からSKを得ている非加入者のコストがSKの固有の金額を超えると仮定しよう。それは、SKを(違法に)得ているコストが収入を超えるということでありそこで利益はない。したがってメモリ記憶ユニットMEM310の中のSKを防護する必要はない。しかしながら、もしも秘密キーがSKのそれよりもより長い寿命期間を有する場合は、そこでこの秘密キーを(違法に)得ているコストは収入よりも少ない。この状況においてはメモリ記憶ユニットMEM310からこのようなキーを得ることの利益が存在する。したがってメモリ記憶ユニットMEM310は、理想的にはSKのそれよりもより長い寿命期間で秘密を記憶しないであろう。
【0049】
SKを種々の加入者ユニットに配送するためにCS(図示せず)によって使用されるチャネルは安全ではないと見なされる。その結果、与えられたSKを配送する場合に、CSは非加入のユーザからSKの値を隠す技術を使用することを希望する。さらに、CSはそれぞれのMEにおける処理のために、比較的短い時間フレームのうちに潜在的に多数の加入者の各々に対してSKを配送する。キー伝送に関する既知の安全な方法は遅く、そして多数のキーの伝送を必要とし、そして必要とされる基準に対して一般的に実行可能ではない。典型的な実施例は、非加入者は解読キーを得ることができないような方法で、短い時間フレームのうちに加入者の大きい組に解読キーを配送する実行可能な方法である。
【0050】
典型的な実施例においては、MS300は無線通信システムにおけるHSBSをサポートする。HSBSへのアクセスを得るために、ユーザは登録しそしてその後サービスに加入する。一度加入が可能になるときは、種々のキーは周期的に更新される。登録処理において、CSおよびUIM308はユーザおよびCS間のセキュリティアソシエーションとして役立つ登録キー(RK:Registration Key)に関して一致する。CSはそこでRKを用いて暗号化されたさらなる秘密情報をUIMに送出することが可能になる。RKは秘密としてUIM308の中に保管され、そして与えられたUIMに対して唯一である。すなわち各ユーザは異なったRKを割り当てられる。登録処理のみはHSBSに対するユーザアクセスを与えない。この中で以上に述べたように、登録の後にユーザはサービスに加入する。加入処理中、CSはUIM308に共通の放送アクセスキー(BAK:Broadcast Access Key)の値を送出する。CSは、MS300そしてとくにUIM308に対して、UIM308に対する唯一のRKを用いて暗号化されたBAKの値を送出する。UIM308は、RKを用いて暗号化されたバージョンからもとのBAKの値を回復することが可能である。BAKは、CSおよび加入したユーザのグループ間のセキュリティアソシエーションとして役立つ。CSはそこで、SKを導出するためにUIM308内でBAKと結合される、SK情報(SKI:SK Information)と呼ばれるデータを放送する。UIM308はそこでSKをME306に通す。このようにして、CSはSKの新しい値を加入したユーザのMEに対して効率的に配送することが可能である。
【0051】
次のパラグラフは、登録処理をさらに詳細に論じる。ユーザが与えられたCSをもって登録するときに、UIM308およびCS(図示せず)は、セキュリティアソシエーションを構築する。それは、UIM308およびCSが秘密キーRKに関して一致することである。RKは、もしも1個のユーザが複数のUIMを有する場合は、そこでこれらのUIMは、CSのポリシーによって異なる同じRKを共有するかも知れないが、各UIM308に対して唯一のものである。この登録は、CSによって提供される放送チャネルにユーザが加入する場合に生起するかも知れず、あるいは加入に先立って生起するかも知れない。1個のCSが複数の放送チャネルを提供するかも知れない。CSは、すべてのチャネルに対して同じRKをもつユーザと組むか、あるいはユーザに各チャネルに対して登録し、そして異なったチャネル上の異なったRKをもつ同じユーザと組むことを要求するか、を選定することが可能である。複数のCSは同じ登録キーを使用するか、あるいはユーザに登録し、そして各CSに対して異なったRKを得ることを要求することを選択するかも知れない。
【0052】
このセキュリティアソシエーションを構築するための二つの共通したシナリオは、認証されたキー一致(AKA:Authenticated Key Agreement)方法(3GPPにおいて使用されるように)および、IPsecにおいて使用されるような、インターネットキー交換(IKE:Internet Key Exchange)方法を含む。いずれの場合においても、UIMメモリユニットSUMU314は、Aキーとして参照される秘密キーを含む。一つの例として、AKA方法が記述される。AKA方法においては、Aキーは、UIMおよび信用された第三者(TTP:trusted third party)のみに知られた秘密である。TTPは、1個以上のエンティティを含むことが可能である。TTPは典型的には、それとともにユーザが登録される移動体サービスプロバイダである。CSおよびTTP間のすべての通信は安全であり、そしてCSはTTPが放送サービスに対する無許可のアクセスを援助しないであろうことを信用している。ユーザが登録を行う場合、CSはTTPにユーザがサービスに対する登録を希望していることを通知し、そしてユーザの要求に関する確認を与える。TTPは、Aキーおよび登録キー情報(RKI:Registration Key Information)と呼ばれる付加的なデータからRK計算するために関数(暗号を用いたハッシュ関数と同様な)を使用する。TTPはRK、RKIをこの提案とは関係のない他のデータとともに安全なチャネル上をCSに通す。CSはRKIをMS300に送出する。受信機回路304はRKIをUIM308に通し、そして多分RKIをME306に通す。UIM308はRKIおよびUIMメモリユニットSUMU314に記憶されるAキーからRKを計算する。RKは、UIMメモリユニットSUMU314に記憶されそして直接にME306には与えられない。他の実施例はRKを確立するためにIKEシナリオあるいはいくつかの他の方法を使用するかも知れない。RKはCSおよびUIM308間のセキュリティアソシエーションとして役に立つ。
【0053】
AKA方法においてRKはCS、UIM、およびTTP間で共有される秘密である 。その結果、この中に使用されるようにAKA方法は、CSおよびUIM間のいかなるセキュリティアソシエーションも暗黙のうちにTTPを含むことを暗示している。任意のセキュリティアソシエーション内にTTPを含むことは、CSがTTP放送チャネルへの許可されていないアクセスに対して援助しないことを信用している故に、安全性即ち機密性の侵害とは見なされない。この中で以上に述べたように、もしもキーがME306と共有される場合は、そのキーはしばしば変更することが望まれる。これは、メモリ記憶ユニットMEM310内に記憶された情報を非加入者がアクセスすることの、そしてその結果、制御されたあるいは部分的に制御されたサービスへのアクセスを許容することのリスクに起因している。ME306は、メモリ記憶ユニットMEM310内にSK(放送内容を解読するために使用されるキー情報)を記憶する。CSはSKを計算するために加入したユーザに対する十分な情報を送出しなければならない。もしも加入したユーザのME306がこの情報からSKを計算する場合は、そこでSKを計算するために必要とされる付加的な情報は秘密でありえない。この場合は、加入していないユーザのME306はまた、この情報からSKを計算することが可能であると仮定する。このために、SKの値はCSおよびSUMU314によって共有された秘密キーを用いてSUPU316内において計算されなければならない。CSおよびSUMU314は、RKの値を共有し、しかしながら各ユーザはRKの唯一の値を有する。CSにとってRKのすべての値でSKを暗号化し、そしてこれらの暗号化された値を各加入したユーザに送信するためには不十分な時間である。若干の他の技術が必要とされる。
【0054】
次のパラグラフは、加入処理をさらに詳細に論じる。安全情報SKの効率的な配送を保証するために、CSは周期的に各加入者UIM308に共通の放送アクセスキー(BAK)を配送する。各加入者に対してCSはBAKI(BAK情報)と呼ばれる値を得るために、対応するRKを用いてBAKを暗号化する。CSは加入したユーザのMS300に対して対応するBAKIを送出する。たとえば、BAKは各MSに対応するRKを用いて暗号化されたIPパケットとして送信されることが可能である。典型的な実施例においては、BAKIはIPSeqパケットである。典型的な実施例においては、BAKIは、キーとしてRKを用いて暗号化されたBAKを含むIPSecパケットである。RKはユーザごとのキーであるからCSはBAKを各加入者それぞれに送出しなければならない。従って、BAKは放送チャネル上に送出されない。MS300はBAKIをUIM308に通す。SUPU316はSUMU314の中に記憶されたRKの値およびBAKIの値を用いてBAKを計算する。BAKの値はそこでSUMUの中に記憶される。典型的な実施例においては、BAKIは、MS300にBAKIをUIM308に通すことを命令している、そしてUIM308にBAKIを解読するためにRKを用いることを命令している、安全パラメータインデックス(SPI:Security Parameter Index)値を含む。
【0055】
BAKを更新するための期間は、CSがBAKを各加入者それぞれに、意味のあるオーバーヘッドが生起することなしに送出することを可能とするほどに十分であることが望まれる。ME306は長期間の間秘密を保持することは信用されていないので、UIM308はBAKをME306には与えない。BAKはCSおよびHSBSサービスの加入者のグループ間のセキュリティアソシエーションとして役立つ。
【0056】
次のパラグラフは、成功した加入処理に続いて如何にSKが更新されるかを論じる。BAKを更新するための各期間中、その期間中にSKが放送チャネル上に配送される短い期間が与えられる。CSは二つの値SKおよびSKI(SK情報)を、SKがBAKおよびSKIから決定されることが可能なように決定するために暗号関数を使用する。たとえば、SKIはキーとしてBAKを用いたSKの暗号化であるかも知れない。典型的な実施例においては、SKIはキーとしてBAKを用いて暗号化されたSKを含むIPSecパケットである。あるいは、SKはブロックSKIおよびBAKの連鎖に対して暗号を用いたハッシュ関数を適用した結果であるかも知れない。
【0057】
SKIの若干の部分は予測可能である。たとえば、SKIの一部はその期間中このSKIが有効であるシステム時間から導出されることが可能である。SKI_Aで示されるこの部分は、放送サービスの部分としてMS300に送信される必要はない。SKIの残り、SKI_Bは予測不能であるかも知れない。 SKI_Bは、放送サービスの部分であるとしてMS300に送信される必要はない。MS300は、 SKI_AおよびSKI_BからSKIを再構成し、そしてSKIをUIM308に与える。SKIはUIM308の中で再構成されることが可能である。SKIの値は各新しいSKの値に対して変化しなければならない。したがって、新しいSKを計算する場合はSKI_Aおよび/あるいはSKI_Bの何れかは変化しなければならない。CSは放送伝送のために、BSに対してSKI_Bを送出する。BSはSKI_Bを放送し、そしてそれはアンテナ302によって検出されそして受信回路304に通される。受信回路304は、 SKI_BをMS300に与え、ここでMS300はSKIを再構成する。MS300はSKIをUIM308に与え、ここで、UIM308はSUMU314に記憶されたBAKを用いてSKを得る。SKはそこでUIM308によってME306に与えられる。ME306はSKをメモリ記憶ユニットMEM310に記憶する。ME306はCSから受信された放送伝送を解読するためにSKを使用する。
【0058】
典型的な実施例においては、SKIはまた、MS300にSKIをUIM308に通すことを命令する、そしてUIM308にSKIを解読するためにBAKを使用することを命令する、安全パラメータインデックス(SPI;Security Parameter Index)値を含む。解読の後に、UIM308はSKをME306に通し、ここで、ME306は放送内容を解読するためにSKを使用する。
【0059】
CSとBSとはいつSKI_Bが送信されるべきかということに対する若干の基準に対して一致する。CSは、SK周波数を変更することによって各SK内の固有の金額を減らすことを希望するかも知れない。この状態においては、 SKI_Bデータを変更するための希望は利用可能な帯域幅を最適化することに対して比較される。 SKI_Bは、放送チャネル以外のチャネル上に送信されることが可能である。ユーザが放送チャネルに“同調する”場合に、受信回路304は“制御チャネル”から放送チャネルの位置に関する情報を得る。ユーザが放送チャネルに“同調する”場合は、速いアクセスを許可することが望ましいかも知れない。このことは、ME306に短い時間のうちにSKIを得ることを必要とする。ME306はすでにSKI_Aを知っているであろうが、しかしながらBSはこの短い時間量の間にME300にSKI_Bを与えなければならない。たとえば、BSは(放送チャネルの位置に関する情報とともに)制御チャネル上に頻繁にSKI_Bを送信し、あるいは放送チャネル上に頻繁にSKI_Bを送信するかも知れない。BSがより頻繁にSKI_Bの値を“新たにする”ほど、MS300はより速く放送メッセージにアクセスすることが可能である。 SKI_Bデータをあまりに頻繁に送信することは、制御チャネルあるいは放送チャネル内の受け入れられない帯域幅の量を使用するかも知れないために、 SKI_Bデータを新たにする希望は、利用可能な帯域幅を最適化することに対して比較される。
【0060】
このパラグラフは、放送内容に関する暗号化および伝送について論じる。CSは現在のSKを使用して放送内容を暗号化する。典型的な実施例は、進歩した暗号化標準(AES:Advanced Encryption Standard)h暗号アルゴリズム等の暗号化アルゴリズムを使用する。典型的な実施例においては、暗号化された内容はそこで、カプセル化する安全ペイロード(ESP:Encapsulating Security Payload)輸送モードに従ってIPsecパケットによって輸送される。 IPsecパケットはまた、受信された放送内容を解読するために現在のSKを使用することをME306に命令するSPI値を含む。暗号化された内容は放送チャネルを経由して送出される。
【0061】
受信回路304は、RKIおよびBAKIを直接にUIM308に与える。さらに、受信回路304は、 SKI_Bを、そこでそれがSKIを得るためにSKI_Aと結合される、MS300の適切な部分に与える。SKIはMS300の関連した部分によってUIM308に与えられる。UIM308はRKIおよびAキーからRKを計算し、BAKを得るためにRKを用いてBAKIを解読し、そしてME306による使用に対してSKを発生するためにSKIおよびBAKを使用してSKを計算する。ME306はSKを用いて放送内容を解読する。典型的な実施例のUIM308はリアルタイムにおける放送内容に解読に対して十分に強力ではないので、そしてその結果、SKは放送内容の解読のためにME306に通される。
【0062】
図5は、典型的な実施例に従ったキーRK、BAKおよびSKに関する伝送および処理を示す。示されたように、登録のときに、MS300はRKIを受信し、そしてそれをUIM308に通す。ここで、SUPU316はRKIおよびAキーを用いてRKを計算しそしてRKをUIMメモリ記憶SUMU314に記憶する。MS300は周期的に、UIM308に対して特定のRK値を使用して暗号化されたBAKを含むBAKIを受信する。暗号化されたBAKIはBAKを回復するためにSUPU316によって解読されそしてそれはUIMメモリ記憶SUMU314に記憶される。MS300はさらに周期的に、SKIを形成するためにそれがSKI_Aと結合するSKI_Bを受信する。SUPU316はSKIおよびBAKからSKを計算する。SKは放送内容を解読するためにME306に与えられる。
【0063】
典型的な実施例においては、CSキーは必ずしも暗号化されそしてMSに送信される必要はない。CSは代わりの方法を使用するかも知れない。各MSへの伝送のためにCSによって発生されたキー情報は、キーを計算するためのMSに対する十分な情報を与える。図6のシステム350内に示されたようにRKはCSによって発生されるがしかし、RK情報(RKI)はMSに対して送信される。CSはUIMに対してRKを導出するために十分な情報を送出する。ここで、CSから送信された情報からRKを導出するためにあらかじめ設定された関数が使用される。RKIはAキーおよび、あらかじめ設定されたd1と命名された公開関数等の他の値から、もとのRKを決定するためのMSに対する十分な情報を含む。ここで。
【0064】
RK=d1(Aキー,RKI) (3)。
【0065】
典型的な実施例においては、関数d1は暗号化的な形式の関数を定義する。一つの実施例に従ってRKは。
【0066】
RK=SHA’(Aキー‖RKI) (4)
として決定される。
【0067】
ここで、“‖”は、AキーおよびRKIを含むブロックに関する連鎖を表し、そしてSHA’(X)は、入力Xに対して与えられる、安全なハッシュアルゴリズムSHA−1の出力の最後の128ビットを表す。他の実施例においては、RKは。
【0068】
RK=AES(Aキー,RKI) (5)
として決定される。
【0069】
ここで、AES(X,Y)は128ビットAキーを使用する128ビットブロックRKIの暗号化を示す。AKAプロトコルに基づいたさらなる実施例においては、RKは3GPPキー発生関数f3の出力として決定され、ここでRKIは標準によって定義されるように、RANDの値、およびAMFおよびSQNの適切な値を含む。
【0070】
BAKは、異なったRKの値を有する複数のユーザがBAKの同じ値を計算しなければならないために、異なった方法で処理される。CSはBAKを決定するために任意の技術を使用することが可能である。しかしながら、特定のUIM308と組み合わせられたBAKIの値はそのUIM308と組み合わせられた唯一のRKのもとにおけるBAKの暗号化でなければならない。SUPU316は、d2と名付けられた関数に従って。
【0071】
BAK=d2(BAKI,RK) (9)
に従ってSUMU314内に記憶されたRKを用いてBAKIを解読する。
【0072】
他の実施例においては、CSはRKを用いてBAKに対する解読処理を適用することによってBAKIを計算することが可能であり、そしてSUPU316はRKを用いてBAKIに対する解読処理を適用することによってBAKを得る。これは、CSがBAKを暗号化し、そしてSUPU316がBAKIを解読するのと等価であると考えられる。他の実施例は、図6に示されたそれらに加えて、あるいは代わりに任意の数のキー組み合わせを実行するかも知れない。
【0073】
SKはRKに対すると同様な方法で処理される。最初にSKIはSKI_AおよびSKI_Bから導出される( SKI_B はCSからMSに送信された情報である)。そこで、d3と名付けられたあらかじめ設定された関数がSKIおよび(SUMU314内に記憶された) BAKから。
【0074】
SK=d3(BAK,SKI) (6)
に従って導出するために使用される。
【0075】
一つの実施例においては、関数d3は暗号化的な形式の関数である。典型的な実施例においては、SKは。
【0076】
SK=SHA(BAK‖SKI) (7)。
【0077】
一方他の実施例においては、SKは。
【0078】
SK=AES(BAK,SKI) (8)
として計算される。
【0079】
放送メッセージに対して安全性を与えるための方法が図7A〜7Dに示される。図7Aは、登録処理400を示しており、その中で、加入者はステップ402においてCSと登録を取り決める。ステップ404において登録はUIMに唯一のRKを与える。UIMはRKをステップ406において安全なメモリユニット(SUMU)内に記憶する。図7BはCSおよびMS間の加入処理420を示す。ステップ422において、CSはBAK期間T1に対するBAKを発生する。BAKはBAK期間T1を通じて有効であり、ここでBAKは周期的に更新される。ステップ424において、CSはUIMがBAKタイマー期間T1の期間中に、放送内容(BC:Broadcast Content)にアクセスすることを許可する。ステップ426において、CSは各加入者に対する各個別のRKを用いてBAKを暗号化する。暗号化されたBAKはBAKIとして参照される。CSはそこでステップ428においてBAKIをUIMに送信する。UIMはBAKIを受信し、そしてステップ430においてRKを用いて解読を実行する。解読されたBAKIは最初に発生されたBAKに帰着する。UIMはBAKをステップ432においてSUMU内に記憶する。UIMはそこで放送セションを受信しそして、暗号化された放送(EBC:encrypted broadcast)の解読にBAKを適用することによって、BCにアクセスすることが可能である。
【0080】
図7Cは、放送サービスをサポートする無線通信システムにおいて、安全な暗号化のためにキーを更新する方法を示す。方法440は、図7Eに与えられるような期間に実行する。BAKは期間T1を有して周期的に更新される。タイマーt1は、BAKが計算されそしてT1において時間が終了するときに開始する。SKを計算するために、SK_RANDとして参照される変数が使用され、そしてそれは期間T2をもって周期的に更新される。タイマーt2は、 SK_RANDが発生されT2において時間が終了するときに開始する。一つの実施例においては、SKはさらにT3の期間をもって周期的に更新される。タイマーt3は各SKが発生されT3において時間が終了するときに開始する。 SK_RANDがCSにおいて発生されそして周期的にMSに与えられる。MSおよびCSはこの中で以下に詳細に述べられるように、SKを発生するためにSK_RANDを使用する。
【0081】
第1のタイマーt1はBAKの適用可能な値が更新される場合にリセットされる。2個のBAK更新の間の時間は、BAK更新期間である。典型的な実施例においては、BAK更新期間は月であるが、しかしながら他の実施例は、システムの最適な動作に対して必要とされる、あるいは種々のシステム基準を満足させるために任意の期間に実行されることが可能である。
【0082】
図7Cにおいて続けると、方法440はSK_REG期間T2を開始するためにステップ442においてタイマーt2を初期化する。CSはSK_RANDを発生し、そしてステップ444においてシステムを通しての伝送のために送信回路に値を与える。タイマーt3は、ステップ446においてSK期間T3を開始するために初期化される。CSはそこでステップ448において現在のSKを使用してBCを暗号化する。暗号化された結果はEBCであり、ここでCSはシステム内の伝送のために送信回路にEBCを与える。もしもタイマーt2が決定ダイアモンド450において終了している場合は、処理はステップ442に戻る。t2がT2よりも小さい間に、もしもタイマーt3が決定ダイアモンド452において終了している場合は、処理はステップ446に戻り、そうでない場合は処理は450に戻る。
【0083】
図7Dは、放送サービスにアクセスしているMSの動作を示す。方法460は、最初にタイマーt2およびt3をステップ462におけるCSにおける値に同期する。MSのUIMはステップ464においてCSによって発生されたSK_RANDを受信する。ステップ466において、UIMは、 SK_RAND、BAK、および時間の測定値を用いてSKを発生する。UIMはSKをMSのMEに通す。UIMはそこで、ステップ468においてもとのBCを抽出するためにSKを用いて受信されたEBCを解読する。ステップ470においてタイマーt2が終了する場合は、処理はステップ462に戻る。タイマーt2がT2よりも小さい間に、もしもタイマーt3がステップ472において終了する場合は、タイマーt3はステップ474において初期化されそして466に戻る。
【0084】
もしもユーザが特定のBAK更新期間中に放送サービスに加入する場合は、CSは(RKを用いて暗号化されたBAKに対応する)適切な情報BAKIを送出する。これは、典型的に、このBAK更新期間の開始に先立って、あるいはこのBAK更新期間中にMSが放送チャネルに最初に同調する場合に生起する。これは基準の違いに従ってMSあるいはCSによって開始されることが可能である。複数のBAKIが送信されそして同時に解読される。
【0085】
BAK更新期間の終了が差し迫っている場合は、もしもMSが次のBAK更新期間に加入している場合はMSはCSからの更新されたBAKを要求することが可能であることは注意すべきである。代わりの実施例においては、CSによって第1のタイマーt1が使用され、ここでタイマーの終了すなわちBAK更新期間の満足の場合は、CSはBAKを送信する。
【0086】
ユーザにとってBAK更新期間中にBAKを受信することが可能であることは注意すべきである。ここでたとえば、BAK更新が月毎に実行される場合は加入者は半月サービスに加わる。さらに、BAKおよびSK更新の期間は、すべての加入者が与えられた時刻において更新されるように同期されることが可能である。
【0087】
図8Aは、典型的な実施例に従った無線通信システム500における登録処理を示す。CS502は、各加入者すなわちMS512と、加入者の各々に対する特定のRKを発生するために協定する。RKは各MSのUIM内のSUMUユニットに与えられる。示されたように、CS502はUIM1512の中のSUMU1510に記憶されるRK1を発生する。同様に、CS502はUIM2522の中のSUMU2520の中に、そしてUIMN532の中のSUMUN530の中にそれぞれ記憶される、RK2およびRKNを発生する。
【0088】
図8Bは、システム500における加入処理を示す。CS502はさらに複数の符号化器504を含む。符号化器504の各々は唯一のRKの一つおよびCS502内で発生されたBAK値を受信する。各符号化器504の出力は加入者に対して特定的に符号化されたBAKIである。BAKIはUIM1512等の各MSのUIMにおいて受信される。各UIMは、UIM1512のSUPU1514、およびSUMU1510等のSUPUおよびSUMUを含む。SUPUは、UIMに関するRKの適用によってBAKを回復する復号器516等の復号器を含む。処理は各加入者において繰り返される。
【0089】
キーの取り扱いおよび更新は、図8Cに示され、ここで、CSは、SKを計算するためにCSおよびMSによって用いられる、仮の値であるSK_RANDの値を発生するために関数508を適用する。とくに、関数508は、BAK値、SK_RAND、および時間係数を適用する。図8Cに示された実施例は、いつSKを更新するを決定するためにタイマーを適用しているが、代わりの実施例は、周期的な更新を与えるために代わりの尺度、たとえば誤り、あるいは他の事象の生起を使用するかも知れない。CSは、加入者のそれぞれに対してSK_RAND値を与え、ここで、各UIM内にある関数518はCSの関数508にあると同じ関数を適用する。関数518は、ME1540のMEM1542等のME内のメモリ位置に記憶されるSKを発生するためにSK_RAND、BAK、およびタイマー値上で動作する。
【0090】
図8Dは、登録および加入後のBCの処理を示す。CS502は、EBCを発生するために現在のSKを使用してBCを符号化する符号化器560を含む。EBCはそこで加入者に送信される。各MSはSKを使用してEBCからBCを抽出する符号化器544等の符号化器を含む。
【0091】
本発明は、1方向放送サービスをサポートする無線通信システムの典型的な実施例に関して記述されて来ているが一方、この中に以上に記述された暗号化方法およびキーの取り扱いはさらにマルチキャスト形式の放送システムを含む、他のデータ処理システムに対して適用可能である。なお、さらに、そこでは安全でないチャネルを通じて安全な情報の1個の伝送に複数の加入者がアクセスしている、任意のデータ処理システムに対する本発明の適用が可能である。
【0092】
ユーザは、現在の内容サーバ(CS)、内容プロバイダ、および/あるいは現在の放送あるいは伝送に対する内容ソースと異なった第1のエンティティに加入するかも知れないことは注意すべきである。一例として、異なった地理的領域の中に動き回るユーザを考慮しよう。このユーザはCNN等の中央ニュース放送エンティティに対する加入者である。CNNアジア等の中央ニュース放送エンティティの関連会社も地域的に発生されるかも知れない。この場合、中央ニュース放送エンティティたとえばCNNの加入者が地域的に発生された放送エンティティたとえばCNNアジアの地域的領域内に動き回る場合は、許可は地域的に発生された放送エンティティに中央放送エンティティの加入データベースをチェックすることを要求するかも知れない。
【0093】
各放送エンティティは、分離した加入サーバ(SS: Subscription Server )を有するかも知れない。そしてそれは、SSの各々が、動き回る位置にある他のSSと取り決めることを必要とするので認証を複雑にする。同様に、分離したSSの使用は、キー配送に関して混乱を生じるかも知れない。SSの各々は地域的なCSによって所有されるかも知れず、あるいは地域的なCSとの業務協定を有するかも知れない。
【0094】
動き回ること等と組み合わせられた許可問題の若干を避ける種々の他の実施例がこの中に記述されている。論理的エンティティに対する次の定義は、明確化のために、このような実施例を理解することの中に与えられる。HLRあるいはHLR/ACとして参照されるホームシステムあるいはネットワークは、移動体ユーザの加入を維持する。換言すれば、ホームはどこに正常な電話加入がおかれているかをシステムに参照する。(正常な電話加入がおかれているシステムを参照する。)MSC/VLR等のVLRとして参照される訪問されたシステムあるいはネットワークは、そこで動き回ること等によって入られたシステムである。ユーザが動き回らない場合は、VLRシステムはHLRシステムと同様である。内容サーバ(CS)はそのCSが訪問したネットワークに内容を与える場合は、地域的な/訪問されたものとして参照される。CSは、内容ソースおよび放送アクセスキー(BAK)発生器を含む。BAK暗号化器は、UIMへの準備のためにBAKを暗号化する。BAK暗号化器は、1個だけのCSと組み合わせられるかも知れず、あるいは複数のCSを取り扱うかも知れない。加入サーバ(SS)は、ユーザに少なくとも1個の放送マルチキャストサービス(BCMCS:Broad Cast Multi Cast Service)を許可している加入データを維持する。SSは地域的なCSによって所有されるかも知れず、あるいは地域的なCSとの業務協定の部分であるかも知れない。
【0095】
BCMCSの目的は放送およびマルチキャストサービスを与えることである。内容サーバ(CS)と呼ばれるエンティティは、内容を参加している移動体サービスプロバイダ(SP)に与えるであろう。内容は可聴可視(audiovisual)データであると想定される。CSは取り扱いネットワークの部分であるかも知れず、しかしそれはそうである必要はない。SPはこの内容を特定の物理チャネルに送信するであろう。もしも内容が無料で提供される場合は、そこで任意のユーザがこのチャネルに内容を見て/処理(view/process) するためにアクセスすることが可能である。もしもチャネルへのアクセスが加入ベースである場合は、そこで任意のユーザが物理チャネルに同調することが可能である一方で、内容は、加入したユーザのみが内容を見て処理することが可能であろうように、暗号化されるであろう。
【0096】
放送システムに対する安全性の脅威が、主要な設計考慮である。放送およびマルチキャストサービスを与えるシステムは図18内に示される。安全性の脅威は加入費用(ここでは必要とされる)を払うことなしに内容にアクセスを得ているユーザを含むかも知れない。このような脅威に対抗するために、内容は暗号化され、そして解読キーは加入して来ているこれらのユーザのみに与えられる。キー管理がそこで決定的に重要になって来る。
【0097】
放送内容は輸送モードにある、IPSecカプセル封入安全ペイロード(ESP:Encapsulating Security Payload)を用いてエンドツーエンド暗号化によって保護することが可能である。暗号化キー、および暗号化アルゴリズム等の安全パラメータは、セキュリティアソシエーションとして記憶される。そしてそれは、宛先アドレスおよび安全パラメータインデックス(SPI:Security Parameter Index)と呼ばれる32ビット値によって指示される。
【0098】
この議論の目的のために、移動局(MS)は二つの分離したエンティティ、ユーザ識別モジュール(UIM)および移動体装置(ME)として考慮される。UIMは安全なメモリを含む低電力処理装置である。UIMは取り外し可能であるか(SIMカードのように)、あるいはMSそれ自身の部分であるかも知れない。MEは高電力処理装置を含むが安全なメモリは含まない。
【0099】
内容は頻繁に変化する短期間キー(SK)を用いて暗号化される。MEはSKを用いて内容を解読する。“詐欺砲弾(rogue shell)”を防止するために、送出するSKから他の端末までの放送を受信するときの使用のために頻繁に変化し、それによって1個の支払いをしている加入のみに多くのサービスを与える。SKは送信されず、特定の放送パケットを暗号化するために使用されたSKの値はそのIPSecパケットのヘッダ内の放送アクセスキー(BAK)およびSPIから導出される。BAKは、放送サービスを受信するためにUIMの存在を必要としてUIMの中におかれる。現在のBAKはそのチャネルに対するすべての加入者に対して同じであり、そしてBAKは操作者によって決定された期間に対してアクセスを与える。したがって、一度UIMがBAKを得ていればUIMは放送を解読するためにMEに対して必要とされるSK値を計算することが可能である。“スペクトル拡散システムにおいて移動局の準備をするオーバージエアサービス”と題された2001年12月に発行されたTIA/EIA/IS−683−B、C.S0016−A、SP−4742−RV2−Aの中に記述されたように“安全なモード(Secure Mode)”に似た方法が、BAKを用いてUIMを準備するために使用される。
【0100】
以下は、理解の明確化のために与えられた定義に関するリストである。
AAA 認証、許可、および課金処理。AAAはユーザに関する基本キーを保有する。
AC 認証センタ。これは、AAAによって実行されるそれと同様な認証およびキー取り扱い機能を実行するANS−41エンティティ。
BAK 放送アクセスキー。ある時間の間(たとえば1日、1週間、1月)内容へのアクセスを与える。
BAKUE 放送アクセスキー更新エンティティ。BAKUEはBAKを更新することが可能な、取り扱いネットワーク内にあるエンティティ。
CS 内容サーバ。サービスのためのデータを与える。
MS 移動局。本文書の目的に対してMSは2個の分離したエンティティ、UIMおよびMEとして考慮される。
UIM ユーザ識別モジュール(UIM)。UIMは安全なメモリを含む低電力処理装置である。UIMは取り外し可能であるか(SIMカードのように)あるいはMSそれ自身の部分である。
ME 移動体装置。MEは高電力処理装置を含むが安全なメモリは含まない。
SA セキュリティアソシエーション。IPSecパケットを処理するために必要とされるパラメータ(キー等)のリスティング。各SAは宛先アドレスおよび安全パラメータインデックス(SPI)によるインデックスである。
SDP セションデータパラメータ。現在の内容を処理するために必要とされるパラメータ。
SK 短期間キー。CSは内容をSKを用いて暗号化し、そしてMEはSKを用いて解読する。
SMCK 安全モード暗号キー。IS−683−B内で使用された通り。BCMCSにおいては、SMCKはUIMに送出される場合にBAKを暗号化するために使用される。
SP サービスプロバイダ。その中にMSが現在位置している取り扱いネットワーク。
SPI 安全パラメータインデックス。セキュリティアソシエーション(SA)を示すために使用される。
PDSN パケットデータサービングノード。インターネットおよびRAN間のインタフェース。
RAN ラジオアクセスネットワーク。
RANDSM IS−683−BにおいてSMCKを発生するためにAC/AAAによって発生されたランダムな数。
【0101】
加入処理はこの議論の範囲外にある。しかしながら、CSおよびSPが、認証およびキー取り扱いの両者に対して使用することが可能な加入当たりの基本キーの準備を含む加入処理に関して一致すると仮定しよう。この基本キーはACあるいはAAA−Hによって保有されると仮定しよう。
【0102】
放送加入はCSあるいはAAA−H内、あるいはACと組み合わせられたHLR内に保有されるであろう無線アクセスに対する加入から分離された、他のエンティティ内に保有されるかも知れないことは可能である。この場合、無線アクセス加入は放送サービス加入が確立される前に確立されると仮定しよう。加入データの位置は、どのようにBAKが準備されるかに影響するであろう。もしもそれが正しいBAKを有する場合は、MSが検出のために使用することが可能な二つの方法がある。
【0103】
ユーザが放送サービスに同調する場合に、第1のステップはCSからセションデータパラメータ(SDP:Session Data Parameters)を得ることである。SDPは、もしもあるなら識別子(シーケンス数)および終了時刻等の、BAKに関する関連したデータを含む。これらの値は、MSにそれがBAKを更新することを必要とするか否かを決定することを可能にする。伝送期間中にもしもBAK更新が必要とされる場合は、伝送はSDP更新を実行することのMSに対する通知(それから、MSはそれがBAKを更新する必要があることを決定することが可能である)を含むであろう。
【0104】
BAKから導出されたSK値で暗号化されたIPSecパケットは、そのBAKに対応するBAK_IDに対するSPIセットに関する、4個の最も意味のあるビット(MSB:(most significant bit))を有する。そこでMEはUIMが正しいBAKを有しているかをチェックするために4個のMSBを抽出することが可能である。
【0105】
CSはどのくらい頻繁にBAKが変更されるかを決定する。頻繁なBAK変更はより安全性を与えるであろう。頻繁なBAK変更はまた、請求におけるより大きな柔軟性を与えるであろう。次の例を考慮しよう。一度ユーザがBAKを有するときは、彼等はBAKの寿命期間中内容にアクセスすることが可能である。BAKは毎月の初めに変更されると仮定しよう。もしもユーザの加入がBAKの寿命期間を通して中間で終了する場合は、ユーザはBAKが終了するまでは、なおSKを発生することが(そしてその結果内容を見ることが)可能であろう。そこでBAKを月毎にのみ変更することによって、CSは、月の始まりから月の終わりまで加入請求することが可能である。ユーザは月の半ばから次の月の半ばまで加入することはできない。しかしながら、もしもBAKが毎日変更される場合は、そこで、ユーザは、月の期間中の任意の日の初めから加入することが可能である。BAK変更の頻度を増加することは、移動局が新しいBAK値を引き出さなければならない回数の、可能性のある増加に対して評価されるべきである。
【0106】
この議論は、それがBAKを更新することを必要とするかを如何にMSが決定するかを定義するものではない。そのBAKが終了間近であるかあるいは終了しているか、BAK更新を実行するためのトリガリング動作を決定するための手段がMSに対して与えられるであろうと仮定しよう。その結果、いくつかの方法が利用可能である。MSがBAK更新を実行することを決定する場合、IS−683−B安全モードと同様な方法が、UIMにBAKを与えるために使用される。これが行われることが可能な、二つの方法が存在する。
【0107】
第1に、図19にあるように、CSはUIMにBAKを準備することが可能である。MSがBAKを更新することを必要とすると決定した場合、MSはCSと接触する。
【0108】
CSはユーザが加入しているかをチェックする。もしもユーザが加入している場合は、そこでCSはIS−683−Bにあるように一時的なSMCKを得るためにユーザのAC/AAAに接触する。AC/AAAはランダムな数RANDSMを発生し、そしてこれをSMCKを得るために、移動局の現在のSSD−B(あるいは基本キー)と結合する。SHA−1に基づいた関数f3がこの目的に用いられる。 AC/AAAはRANDSMおよびSMCKをCSに送出する。
【0109】
CSはEBAKを得るためにSMCKを用いてBAKを暗号化する。CSはそこで、移動局に対してRANDSM、BAK_ID、およびEBAKを送出する。UIMはSMCKを得るためにRANDSMを基本キーK(あるいは現在のSSD−B )と結合する。
【0110】
UIMはそこでBAKを得るために、EBAKを解読するためにSMCKを使用し、そしてBAKを安全なメモリ内に記憶する。
【0111】
もしもCSがHLR/ACあるいはAAA−Hの上へ加入データを通す場合は、そこで、SPは、図20に示したように、CSの代わりにUIMにBAKを準備することが可能である。このシナリオにおいては、SPはUIMにBAKを準備することが可能な1個あるいはそれ以上のBAK更新エンティティ(BAKUE:BAK Update Entities)を有する。
【0112】
CSは現在のBAKをBAKUEに供給する。MSがBAKを更新することを必要とすると決定した場合は、MSはBAKUEと接触する。 BAKUEは、IS−683−Bにおけるように一時的な安全モード暗号キー(SMCK;Secure Mode Cipher Key)を得るためにユーザのAC/AAAと接触する。
【0113】
AC/AAAは、ユーザが加入しているかをチェックする。ユーザが加入している場合は、そこで、AC/AAAはランダムな数RANDSMを発生しそして、SMCKを得るためにこれを移動局の現在のSSD−B(あるいは基本キーK)と結合する。SHA−1に基づいた関数f3がこの目的に対して使用される。AC/AAAはRANDSMおよびSMCKをBAKUEに送出する。
【0114】
BAKUEは、EBAKを得るためにSMCKを用いてBAKを暗号化する。CSはそこで移動局に対してRANDSM、BAK_ID、およびEBAKを送出する。UIMは、SMCKを得るためにRANDSMを基本キーK(あるいは現在のSSD−B)と結合する。UIMはそこでBAKを得るために、EBAKを解読するためにSMCKを使用し、そしてBAKを安全なメモリ内に記憶する。
【0115】
もしもCSが加入データをHLR/ACあるいはAAA−Hの上へ通す場合は、そこでSPは図20に示されるようにCSの代わりにUIMにBAKを準備することが可能である。このシナリオにおいてはSPは、UIMにBAKを準備することが可能な1個あるいはそれ以上のBAK更新エンティティ(BAKUE)を有する。
1.CSは現在のBAKをBAKUEに供給する。
2.MSがBAKを更新する必要があると決定する場合は、MSはBAKUEと接触する。
3.BAKUEは、IS−683−Bにおけるように、一時的な安全モード暗号キー(SMCK)を得るためにユーザのAC/AAAと接触する。
4.AC/AAAはそのユーザが加入しているかをチェックする。もしもユーザが加入している場合は、そこでAC/AAAはランダムな数RANDSMを発生し、そしてSMCKを得るためにこれを移動局の現在のSSD−B(あるいは基本キーK)と結合する。SHA−1に基づいた関数f3がこの目的に対して使用される。AC/AAAはRANDSMおよびSMCKをBAKUEに送出する。
5.BAKUEは、EBAKを得るためにSMCKを用いてBAKを暗号化する。CSはそこで、RANDSM、BAK_ID、およびEBAKを移動局に対して送信する。
6.UIMはSMCKを得るためにRANDSMを基本キーK(あるいは現在のSSD−B)と結合する。UIMはそこでBAKを得るために、EBAKを解読するためにSMCKを使用し、そしてBAKを安全なメモリの中に記憶する。
【0116】
競争相手は、加入したユーザをまねている間にBAK要求を実行することによって何も達成していない。加入したユーザのみが、RANDSMからSMCKを導出し、そしてしたがって、BAKを抽出することが可能であろう。これらの理由のために、CS/BAKUEは、BAK要求を認証する必要がないことが可能である。典型的な実施例に従って、UIMはBAKを示さない。もしも1個のUIMがBAKを示せば、そこですべての秘密はCSがBAKを変更するまでは失われる。
【0117】
UIMはもしあれば、BAKおよび識別子(シーケンス数)および終了時間等のBAKに関する関係したデータを記憶すべきである。 BAKがSK値を導出するために使用されることを開始する僅か前に、UIMがBAKを準備することが有利であることは立証可能である。そうでない場合は、一度CSが、新しいBAKから導出されたSKをもったパケットの送出を開始すると、ユーザはMSがBAK更新を実行するときに遅延を経験するであろう。もしも多くのユーザが同調する場合は、そこで、MSのすべてがBAK更新を実行するときにトラフィックのバーストが存在するであろう。
【0118】
このような問題を避けるために、この中に記述したように、放送マルチキャストサービス(BCMCS)が、BAK変更の少し前にMSが新しいBAKを得ることを可能にするかも知れない。MS、SP、あるいはCSはBAK取得処理を開始することが可能である。異なったMSは、余りに多くのMSが一度にBAK更新を実行することを防止するために、BAK更新を実行するための異なった予定を有することが可能である。
【0119】
安全性の理由のために、BAKは使用の時間に対して可能な限り近接して配送されるべきである。MEはUIMからのこの情報の要求を減らすために、BAKに関連したデータを記憶することが可能である。
【0120】
もしもCSが現在のSPIに対応するSKをすでに計算している場合は、そこで、CSは、輸送モードにおけるIPSecESPに従って暗号化キーとしてSKを用いて、放送内容を暗号化する。新しいキーSKを作成するためにCSは次のステップを実行する。CSはランダムな28ビット値SPI_RANDを選定する。CSはSPI=(BAK_ID‖ SPI_RAND )形態の32ビットSPIを形成する。ここで、4ビットのBAK_IDは、現在のBAK値を識別する。CSはSPI_RANDを128ビットに引き伸ばす。CSはキーとしてBAKを用いてこの128ビット値を暗号化する。128ビット出力はSKである。CSはSKの新しい値をSPIおよび放送パケットの宛先アドレスによって示されたSAの中に置く。
【0121】
SPI_RANDの値は、SPIのいかなる値が将来使用されるであろうかをユーザが予測できないようにランダムであるべきである。そうでない場合は、誰かがある日に対して使用されるべきSK値をあらかじめ計算し、そしてこれらのキーをその日の始まるときに配送することが可能となる。キーを配送することを欲している誰かに対しては、この処理はキーをリアルタイムで配送するよりもより容易で(そしてより少ない支出で)あろう。
【0122】
BCMCSIPSecパケットを与えると、MEは次のステップを実行する。MEはSPIを取得する。MEはSPIからBAK_IDを抽出する。MEはそこでUIMが正しいBAKを有しているかを決定する。もしもUIMが正しいBAKを有していない場合は、そこでMSは上に論じられたようにBAKを更新する。(あるいはMEは、それが現在のBAKを有しているかを見るためにSDPをチェックするかも知れない)。
【0123】
MEは、それがSPIおよび放送パケットの宛先アドレスに対応するセキュリティアソシエーション(SA)を有するかをチェックする。もしもMEがこのSPIに伴ったSAを有する場合は、そこでMEは、SA内の解読キーSKを用いてブロックを解読(輸送モードにおけるIPSecESPによって)する。もしもMEがこのSPIに伴ったSAを有していない場合は、そこでMEはUIMがSKを計算できるようにSPIをUIMに通す。UIMはSKを次のようにして計算する。UIMは、SPIの4個の最も意味を持つビットからBAK_IDを抽出し、そしてそのメモリから(BAK_ID に対応する)BAKの値を回収する。UIMは28ビットのSPI_RANDを抽出しそしてSPI_RANDを128ビットに引き伸ばす。
【0124】
UIMは、キーとしてBAKを用いてこの128ビット値を暗号化する。128ビット出力はSKである。UIMはSKをMEに通す。MEはSKの新しい値を、SPIおよび放送パケットの宛先アドレスによって示されたSA内に置く。MEは今度はキーとしてSKを用い、輸送モードにおけるIPSecESPによってブロックを解読する。
【0125】
SKの同じ値は、1個以上のIPSecパケットに対して使用可能である。CSは、いつ、そしてどのくらいの頻度でSKを変更するかを決定する。SKの寿命期間を減少することは安全性を増加する。SKは通常は5〜10分毎に変更することが可能であるがしかし、どの位頻繁に彼らがSKを変更することを望んでいるかを決定することはCSの仕事である。ピーク使用の期間中CSはさらなる安全のためにSKをより頻繁に変更することを選定することが可能である。SKの値はSPIを変更することによって変更され、そこでCSおよびMSは動的なSPIに順応するように設計されなければならないことに注目されたい。
【0126】
SKの同じ値は1個以上のIPSecパケットに対して使用されるであろう。CSは、いつ、そしてどのくらいの頻度でSKを変更するかを決定する。SKの寿命期間を減少することは安全性を増加する。SKは通常は5〜10分毎に変更することが可能であるが、どの位頻繁に彼らがSKを変更することを望んでいるかを決定することはCSの仕事である。ピーク使用の期間中、CSはさらなる安全のためにSKをより頻繁に変更することを選定することができる。SKの値はSPIを変更することによって変更され、そこでCSおよびMSは動的なSPIに順応するように設計されなければならないことに注目されたい。SKの同じ値は、1個以上のIPSecパケットに対して使用可能である。CSは、いつ、そしてどのくらいの頻度でSKを変更するかを決定する。SKの寿命期間を減少することは安全性を増加する。SKは通常は5〜10分毎に変更することが可能であるがしかし、どの位頻繁に彼らがSKを変更することを望んでいるかを決定することはCSの仕事である。ピーク使用の期間中CSはさらなる安全のためにSKをより頻繁に変更することを選定することが可能である。SKの値はSPIを変更することによって変更され、そこでCSおよびMSは動的なSPIに順応するように設計されなければならない。
表1は、MS内のキーの使用、計算および記憶に関する手早い参考資料として有用であるかも知れない。表1は移動局におけるキーの使用、計算、および記憶に関する要約である。
【表1】
【0127】
BCMCSは、標準的でない解(non-standard solution)を必要とするキー取り扱いに対する新しい課題を提供する。もしも解がIPSecを使用する場合は、SKのいかなる値が解読のために使用されるべきかを決定するために、可変のSPIがBCMCSのために必要とされる。一つの実施例に対しては、キーの取り扱い(その中で、SKはBAKおよびSPIから導出される)はBCMCSに対して十分に安全であり、BCMCSに対してとくに実用的な解を可能にする。
【0128】
BCMCSの中で発生している二つの“交換”が存在する。
・CSから(SPを経由して)放送内容を受信するために、ユーザはCSに代金を支払う。
・SPからの伝送時間を受信するために、CSはSPに代金を支払う。
【0129】
システムの安全目標は、次の脅威を避けることを含む。
脅威1:SPが支払われた伝送代金を伝送時間を与えることなしに受け取る。典型的には、これは主要な関心事ではない。伝送時間を与えることに失敗したいかなるSPも容易に捕まえられるであろう。SPは、さらなる事業を促進するような方法で行動するであろうと予期される。そうでなければ、違法なSPは悪い評判の結果を受けるであろう。
脅威2:CS(あるいは他のパーティ)は伝送費用を支払わずに伝送時間を得る。誰かが合法的なCSをまねる場合のように、あたかもそれがCSによって与えられた内容であったかのようにメッセージをSPに送出する。一つの解は脅威を防ぐためにCSおよびSK間のリンク上に認証ヘッダ(AH:Authentication Header)を付加することである。
脅威3:費用を支払わずにユーザが放送内容にアクセスする。解はIPSecに基づくことを必要とされた。放送内容にアクセスするために、ユーザは現在の解読キーを持たなければならない。UIMは、内容を解読するのに十分なほどに力がないので、そしてその結果、MEが解読を実行する。これは、解読キーがMEの中に記憶されることを意味する。結局、誰かがMEから現在の解読キーを抽出する方法を解くであろう。加入したユーザはそこで、他の加入していないユーザに解読キーを配送することが可能になるであろう。そこで、加入していないユーザがデータにアクセス不可能であるような方式を設計することは困難であろう。
【0130】
目標は、潜在的な市場(サービスが目標としているこれらのユーザ)が内容にアクセスするために違法の手段を用いることを思いとどまらせることであることに注意すべきである。
【0131】
MEは、長期のキーを記憶しあるいは計算することを信用され得ない。長期のキーは、UIMの中に記憶されそして計算されるべきである。UIMは公開キー暗号操作を実行するに十分なほどに強力でなく、そこですべてのキー取り扱いは対称暗号を基にすべきである。SPおよび他のエンティティは若干の対称キーにアクセスを有するであろうし、そしてこれらを解読キーを導出するために使用することが可能である。真の脅威は、解読キーを非加入のユーザに配送する加入したユーザであると思われる。一つの解は、予想できない方法で解読キーを頻繁に変更することである。課題は、キー配送に対して必要とされる伝送オーバーヘッドを最小にしながらこれを達成することである。
【0132】
一つの解は、各ユーザ個々に放送アクセスキー(BAK)を配送する。ここで多くの解読キーがBAKおよび放送で送出された公開情報を用いて導出される。一例が図21に示される。この例においては、3個だけの解読キーが各BAKから導出される。実際問題として1個のBAKから導出された数百個あるいは数千個の解読キーが存在することが可能である。
【0133】
図21は放送チャネル上に送出された情報と組み合わせることによって、一つのBAKから多くの解読キーを導出する一例である。もしも加入したユーザがBAKを抽出し、そしてそれを他のユーザに配送することができれば、そこでこれは他のユーザが多くのSKを導出することを可能にするであろう。これを避けるために、ユーザがBAKを抽出できないように、BAKはUIMの中の安全なメモリ内に保管されなければならない。UIMがBAKを準備するための種々のオプションが存在する。提案されたオプションは(IS−683−B安全モードに似て)最も単純な解であるように見える。
【0134】
IPSecを用いる標準の場合においては、2個のパーティーはキーを交換するときに標準的に取り決める。一度パーティーが新しいキーに関して一致すれば、SPIは変化しない。パーティーは単に古いセキュリティアソシエーションの中に新しいキーをおきSPIをそれがそうであったように残す。BCMCSにおいては、そこには複数の受信機がありそして通信はCSからユーザにのみ流れるために、異なった状況が存在する。CSはユーザがSKの正しい値を有するかを識別する位置にはない。同様に、ユーザは彼らがSKの正しい値を有するかを識別することが困難である。SKが変化する場合にSPIを変化することはこの問題を解決する。この方法は、SKが変化していることをユーザが承知しているかをCSは知っている。これは、IPSecの標準の実行でないことに注意すべきである。
【0135】
SKを配送するための二つの主要なオプションは:1)内容ストリームとは分離したパケット内でSKを送出すること、あるいは 2)内容を含むIPSecパケット内に含まれる情報からSKを導出することを含む。ハイブリッド方式もまた考慮されるかも知れない。
【0136】
ユーザは、放送の期間中いつでも“同調する”ことが可能である。ユーザは、ほとんど瞬間的に内容にアクセスすることを希望するであろう。したがって、もしもSKを導出するための情報が内容と分離したパケット内で送出される場合(たとえば、そしてSKの暗号化された値あるいはランダムな速度)は、そこでCSは、SKを導出するための情報を数秒毎に再送出しなければならない。一つの欠点は、この方法は帯域幅を多く使用することである。主要な欠点は、SK情報を含むパケットを、内容を含むパケットから識別するための標準方法がないことである。
【0137】
SKが変化しているときにSPIが変化していることを与えるとBAKおよびSPIから独占的にSKを導出する余分なステップをとることが可能となる。BAKの正しい値が使用されることを保証するためにSPIは4ビットのBAK_IDを含み、そして将来他のBAKの値に対してBAK_IDが再使用されることが可能なように、そのBAKに対する終了時間があるであろう。これは、228のSKの可能な値に対応して変化することが可能なSPIの28ビットを残す。MEが新しいSPIを見つける(超えてくる)場合は、MEはこのSPIをUIMに通し、そしてUIMはSPIおよびBAKからSKを計算する。MEは、無視できる時間の内に新しいSKを戻すであろうしそして解読を継続することが可能である。SPIの変化する部分はランダムであろう、そうでない場合は加入したユーザが必要なSK値をあらかじめ計算し、そしてそれらを配送するためにUIMを得ることが可能である。
【0138】
このような方法は、SKをユーザに配送するための余分な帯域幅を必要とすることがなく、そしてUIMが、BAKを有するとすぐにSKを計算することを可能とし、そしてMEは、IPSecパケットの受信を開始している。ユーザはSKに対する情報を含むパケットを待つ必要がない。これは、とくにユーザが数秒あるいは数分毎にチャネルを変更している場合に相当な利点であり、ユーザは彼等がチャネルを変更する度にSKを導出するための情報を待つ間の数秒の遅延を欲しないであろう。
【0139】
しかしながら、この方式は1個のBAKから導出されるべき比較的小さい数のSK値を可能とする。とくに、記述された例においては、他の方法を使用するときの2128個の値に比較して(SPI_RANDの228個の値に対応する)228個の値が存在する。加入したユーザのグループは、すべての228個の可能なSPI値を入力することによって、現在のBAKに対するSKのすべての228個の値をあらかじめ計算するために、それらのUIMを得ることが可能である。一つのUIMはすべてのキーを、大略、1時間のうちにあらかじめ計算することが可能であろう。このグループはそこでこれらの値を配送することが可能となろう。キーのセットはメモリの約4ギガバイトを必要とするであろう。しかしながら、現在の考慮はパーソナルディジタルアシスタント(PDA)あるいは電話を経由してアクセスするユーザに対するものであるから、すべての4ギガバイトに対する十分な記憶に対してアクセスしているであろうということは、ほとんどありそうにない。さらにユーザは、多分大量のデータ、たとえば4ギガバイトをBAKが変化する度毎にダウンロードすることは行いたくないであろう。また、現在の例は品質サービスを欲するユーザを考慮している。すべてのこのキーなしにはユーザは内容のすべてを解読可能とするところではなく、そして品質サービスを受けないであろう。
【0140】
次の議論は、BCMCSおよび同様な放送形式にサービスの安全性を高めるためのいくつかのオプションを提供する。とくに考慮されたことは:1)リンクレイヤ暗号化およびエンドツーエンド暗号化を含む暗号化レイヤ;2)SSにおける暗号化およびローカルネットワークにおける暗号化等のBAK更新手順;3)1個のCSと組み合わせられ、あるいは複数のCSに対する準備のために集中化されたような、BAK暗号化器あるいはBAK配送サーバの位置、および4)SK輸送、ここでSKはSPIから導出されあるいは暗号化された形態で送出されることが可能である。典型的なアーキテクチャは次の議論において使用されるであろう図9に与えられる。
【0141】
種々のオプションおよび実施例が考慮される一方で、典型的な実施例は、最初に登録キー(RK)あるいは基本キーを、HLRとして参照されるホームシステムあるいはネットワーク、および遠隔ユニット、UIM内の安全なモジュール間に安全に確立するための方法を与える。AKA手順、あるいは修正されたAKA手順が、HLRおよび与えられたユーザに対するUIMの両者に対して、同じRKを与えるために使用される。一度UIMおよびHLRの両者が同じRK値を有するときは、VLRとして参照されるローカルシステムはこれらの情報を用いて放送アクセスキー(BAK)をUIMに与えることが可能である。とくに、VLRはBAKを発生する。VLRはそこで:1) HLRにBAKを与える。そしてそこでHLRはBAKを暗号化しそして暗号化されたBAK(EBAK)をVLRに与える。あるいは2)VLRは一時的なキー(TK)要求をHLRに送出する、の何れかを行う。第1の例においては、HLRはHLRおよびUIMによってのみ知られるRKを用いてBAKを暗号化する。EBAKはVLRを経由してUIMに与えられる。UIMはEBAKを受信し、そしてBAKを解読するためにRKを使用する。実行にあたって、その度ごとにBAKは変化し、VLRはそのBAKをHLR生起オーバーヘッドに送出しなければならない。方法2)に対しては、HLRは複数のTK値および組み合わせられたランダムな値を発生する。TK値はランダムな数およびRKを用いて発生される。TK値すなわち、TK1、TK2等、およびランダムな値すなわちTK_RAND1,TK_RAND2等はVLRに与えられる。その度ごとにVLRはBAKを更新し(安全な伝送の維持のためにBAKを変更し)、VLRはTKiを使用してBAKを暗号化する。VLRはそこでEBAKおよびTKiあるいは( TKi 、 TK_RAND i)対をUIMに送出する。各々の状態において、UIMはRKを有しているためにUIMはEBAKを解読し、BAKを回復することが可能である。
【0142】
BCMCSをサポートする、図22におけるシステム1000を考えよう。種々のエンティティの機能は、
・ホームBCMCS制御:
−BCMCSサービス加入を与えること
−BCMCSサービスに対する課金処理情報
−UIM内に基本キー(RK)確立を要求
−BAKの暗号化に対して一時的なキー(TK)を発生
・ローカルBCMCS制御:
−BCMCSサービスに対するBAKを発生
−TKを用いることによってBAKを暗号化
−暗号化されたBAKをUIMにダウンロード
−SKを発生するためにBAKをRANに配送、そしてまたSK寿命期間の表示
・BCMCS内容サーバ:
−BCMCS内容を与える。
として定義される。システム1000内に示されたインタフェースは、
・B1インタフェース(HLR/AC−ホームBCMCS制御):
−ホームBCMCS制御からのUIM内にRK確立要求に対して使用
−HLR/ACからホームBCMCS制御へのRKの配送
・B2インタフェース(ローカルBCMCS制御−PDSN):
−暗号化されたBAKをIPプロトコルを経由してUIMにダウンロード
・B3インタフェース(ローカルBCMCS制御−BSC/PCF):
−BAKをRANに配送
−SKリフト時間をRANに送出
・B4インタフェース(ローカルBCMCS制御−ホームBCMCS制御)
−TKのセットをローカルBCMCS制御に配送
として定義される。
【0143】
図23は、RK確立を示すタイミング線図である。垂直軸が時刻を示す。RK確立あるいは準備は、ユーザがホームBCMCS AAA内のBCMCSサービスに加入する場合に生起する。各BCMCS内容プロバイダは各加入者に対する一つの対応するRKを有する。RKはUIMおよびホームサービスプロバイダ/ホーム内容サービスプロバイダのみによって知られる。図23に示されたRK確立手順は次のように記述される。
【0144】
−ステップa:ユーザから加入を受信する場合は、ホームBCMCS制御は、加入者の身元(SUB_ID)およびその自身のBCMCS内容プロバイダの身元を示してRK確立要求を、加入者のホームサービスプロバイダのHLR/ACに送出する。
−ステップb:HLR/ACは、現存のAKA手順をUIM内にRKを確立するために使用する。
−ステップc:UIM内におけるRK確立成功の場合は、HLR/ACはRKをホームBCMCS制御に送出する。MSがそれを要求する場合はBAKダウンロードが生起する。各BAKと組み合わせられたBAK寿命期間が存在する。ここで各BAKはBAK識別子あるいはシーケンス数によって識別される。内容IDによって識別された各BCMCSプログラムはその自身のBAKを有している。ホーム内容プロバイダIDおよび内容IDは各BCMCSプログラムに対して唯一である。BCMCS_IDおよび(ホーム内容プロバイダID+内容ID)対間のマッピングは、ローカルにローカルBCMCS制御内で実行される。BAKはローカルBCMCS制御およびUIMによってのみ知られる。BAKダウンロード手順は次のように与えられる。
−ステップa:加入者のBCMCSサービスへの加入のときあるいはBAK寿命期間の終了のときは、UIMはBAKダウンロードを要求し、そしてMSは要求をローカルBCMCS制御に通す。
−ステップb:ローカルBCMCS制御エンティティは、ホームBCMCS制御に一時的なキー要求を、それがキーをBAKの暗号化に対して使用できるように送出する。
−ステップc:ホームBCMCSキー暗号化器は、TK_RANDを発生し、そしてそこで、ある関数[TK=f( TK_RAND ,RK)]を用いることによってRKおよびTK_RANDの入力を用いてTKを計算する。ホームBCMCSキー暗号化器は、ホームBCMCS制御およびローカルBCMCS制御間の取り扱いが必ずしも必要とされないように、将来の使用のために対のいくつかのセットを発生することが可能である。ホームBCMCS制御はそこで、いくつかのTKをローカルBCMCS制御に戻す。
−ステップd:ローカルBCMCSキー暗号化器は、TKの一つで暗号化されたBAKを発生しそしてBAK_RANDを発生する。ローカルBCMCS暗号化器はそこで若干の関数[BAK_AUTH=f( BAK_RAND,BAK)]を使用することによって、BAKおよびBAK_RANDの入力を用いてBAK_AUTHを計算する。そこで、ローカルBCMCSキー暗号化器は、対応するBAK_IDおよびBAK寿命期間、BCMCS_ID、TK_RAND、BAK_AUTH、およびBAK_RANDを用いて暗号化されたBAKを、MSを経由してUIMに送出する。UIMはTK_RANDおよびその自身の記憶されたRKの入力を用いてTKを計算し、そしてそこでTKを用いることによってBAKを解読する。
BAKおよびBAK_RANDの入力を用いてのBAK_AUTHの計算は、受信されたBAK_AUTHと比較される。もしも整合がない場合はステップaに戻る。図24は、内容サーバを有するホームサービスプロバイダに対するBCMCSアーキテクチャを示す。システム1100は、次のように定義されるエンティティを有する。
・ホームHLR/AC:
−BCMCSサービス加入を与える
−BCMCSサービスに対する課金処理情報
−BAKの暗号化のために一時的なキー(TK)を発生
・ローカルBCMCS制御
−BCMCSサービスのためにBAKを発生
−TKを用いることによってBAKを暗号化
−B2インタフェースを経由してUIMに暗号化されたBAKをダウンロード
−SKを発生するためにBAKをRANに発送、そしてまたSK寿命期間の表示
・BCMCS内容サーバ
−BCMCS内容を与える
図24に示されるようにインタフェースは次のように定義される。
・B2インタフェース(ローカルBCMCS制御−PDSN)
−IPプロトコルを経由して暗号化されたBAKをUIMにダウンロード
・B3インタフェース(ローカルBCMCS制御−BSC/PCF)
−BAKをRANに配送
−SK寿命期間をRANに送出
・B5インタフェース(ローカルBCMCS制御−BSC/PCF)
−TKのセットをローカルBCMCS制御に配送
システム1100においては、ホームサービスプロバイダが自身のBCMCS内容サーバを所有するためにAキー交換手順と同様にAキーはRKに対して使用される。
【0145】
システム1100に関しては、MSがBAKあるいは更新を要求する場合にBAKダウンロードが生起する。各BAKと組み合わせられたBAK寿命期間が存在する。内容IDによって識別された各BCMCSプログラムは、その自身のBAKを有する。BAKは、ローカルBCMCS制御およびUIMによってのみ知られる。BAKダウンロード手順は次のように与えられる。
−ステップa:加入者がBCMCSサービスに加入するとき、あるいはBAK寿命期間が終了するときUIMはBAKダウンロードを要求し、そしてMSは要求をローカルBCMCS制御に通す。
−ステップb:ローカルBCMCS制御は一時的なキーの要求を、それがキーをBAKの暗号化のためにキーを使用可能なようにBSC/VLRに送出する。
−ステップc:BSC/PCFは、一時的なキーの要求をMSC/VLRを経由してHLR/ACに通す。
−ステップd:HLR/ACは、TK_RANDを発生し、そしてそこである関数[TK=f(TK_RAND,Aキー)]を使用することによって、AキーおよびTK_RANDの入力を用いてTKを計算する。それ(HLR/AC)は、MSC/VLRを経由してのHLR/ACおよびBSC/PCF間の移動が必ずしも必要とされないように、将来の使用のためにこの対のいくつかのセットを発生することが可能である。HLR/ACはそこで、いくつかのTKをMSC/VLRを経由してBSC/PCFに戻す。
−ステップe:BSC/PCFはTKをローカルBCMCS制御に通す。
−ステップf:ローカルBCMCS制御はBAKを発生し、そして一つのTKで暗号化する。それはまたBAK_RANDを発生し、そしてそこで、ある関数[BAK_AUTH=f( BAK_RAND ,BAK)]を使用することによってBAKおよびBAK_RANDの入力を用いてBAK_AUTHを計算する。そこで、ローカルBCMCS制御は、暗号化されたBAKを対応するBAK_ID、およびBAK寿命期間、BCMCS_ID、TK_RAND、BAK_AUTH、およびBAK_RANDとともにMSを経由してUIMに送出する。UIMはTK_RANDおよびその所有する記憶されたAキーの入力を用いてTKを計算し、そしてそこで、TKを使用することによってBAKを解読する。そしてそこで、それはその自身のBAK_AUTHをBAKおよびBAK_RANDの入力を用いて計算する。それは、その計算したBAK_AUTHを受信したBAK_AUTHと比較する。もしもそれが整合しない場合は、それはステップaから再び出発するであろう。リンクレイヤにおいて暗号化を与える実施例に対しては、このような暗号化形態は、IPレベルでの暗号化を防止しないことに注意すべきである。リンクレイヤにおける暗号化はもしもIPレベルでの暗号化が可能である場合は無力にされるべきである。短期間キー(SK)ダウンロード手順は次のように与えられる。
−ステップa:BCMCS制御は、BAKおよびBAK寿命期間をBSC/PCFに送出し、そしてSK寿命期間を示された寿命期間でSKを発生した要求BSC/PCFに送出する。
−ステップb:BSC/PCFは、BAKで暗号化されたSKをMSを経由してUIMに送出する。
−ステップc:UIMはBAKを用いてSKを解読し、MSに返送する。
−ステップd:BCMCS内容サーバは平文の放送内容をPDSNを経由してBSC/PCFに送出する。
−ステップe:BSC/PCFは放送内容をSKで暗号化し、そしてそこでそれを、オーバージエアに送出する。要約すると、BCMCSは帯域外で見出される。ユーザはBCMCSサービスに帯域外(SUB ID)で加入する。もしもホームサービスプロバイダが内容サーバを所有していない場合は、基本キーあるいは登録キー(RK)がAKA経由で確立され、そうでない場合はAキーはRKのために使用されるであろう。TKはローカルBCMCS制御ノードに送出される。TKによって暗号化されたBAKは、特別なUDPポート数を使用して訪問したネットワーク(PDSN)経由でUIMにダウンロードされる。MSはオーバーヘッドメッセージによって特定のセクタに対して放送サービスが利用可能かを見出す。MSは登録(BCMCS_ID)を実行する。
【0146】
図25は、CSおよびPDSN間のマルチキャストサービスに対する準備によるベアラーパスセットアップ(bearer path set-up)を示している。図26は、CSおよびPDSN間のユニキャストサービスに対する準備によるベアラーパスセットアップを示している。図27は、CSおよびPDSN間のマルチキャストサービスに対するMS登録および登録解除(deregistration)によるベアラーパスセットアップおよびティアーダウンを示している。
【0147】
・BCMCSベアラーパスがセットアップされる(そこにない場合)。
【0148】
・MSはBCMCSチャネルのモニタを開始。
【0149】
図9は、一つの実施例に従った安全性に対する高レベルアーキテクチャを示す。CS602は内容暗号化器(CE)604に対して内容情報を与える。CE604はSKの発生に使用され、そしてSKの暗号化に対して使用されることが可能である。内容暗号化器604は、:1)SKで暗号化された内容;2)SPI;あるいは3)暗号化されたSK(この中で以下に論じられる)を放送受信機606に与える。さらに、CE604はBAK発生器612からBAK、BAKseq(何れのBAK値かを識別する)およびSK寿命期間(どのくらい長くSKが有効であるかを定義する)を受信する。これらの値はCE604内における処理のために与えられる。CE604は内容を暗号化し、そして暗号化された製品を放送受信機606に与える。CE604はまたBAKseqを放送受信機606に与える。BAKが更新されるときに、BAKseq値はそれぞれのBAKを識別する。内容暗号化器604がSKを発生することに注意すべきである。SK発生はSPIに基づいているかも知れず、あるいは暗号化されたSK(ESK)であるかも知れない。
【0150】
SPIに基づいたSKの発生に対しては、SPIは4ビットBAKseqおよび28ビットSPI_RANDから形成されることが可能である。
【0151】
SPI=(BAKseq, SPI_RAND )がSPI_RANDをBAKで暗号化することによって発生される場合に、SKはパケットに対する。ここで、“X_RAND”は、Xの値を求めるために使用されるランダムな数である。SPIの変更はSKにおける変更を示す。内容暗号化器604は、 SPI_RANDを選定し、SKを発生し、そしてSPI(BAKseq, SPI_RAND )を形成する。内容暗号化器(CE)604は、SKを用いて内容を暗号化し、そして暗号化された内容とともにSPIを放送受信機606に送出する。放送受信機606は、SPIを抽出しSPIを、SPI_RANDおよびBAKからSKを計算するUIM608に通す。UIM608はSKを、SKを用いて内容を解読する放送受信機606に通す。
【0152】
ESKに対しては、内容暗号化器604はESKを発生するためにBAKを用いてSKを暗号化する。内容暗号化器604はSKを選定しそれらから(BAKSeq,ESK)を形成するためにESKを計算する。内容暗号化器604は、内容をSKを用いて暗号化し、そして周期的に(BAKSeq,ESK)を暗号化された内容とともに放送受信機606に送出する。放送受信機606は、(BAKseq,ESK)を、SKを計算し、そのSKを放送受信機606に戻し通すところのUIM608に通す。放送受信機606は、そこでSKを用いて内容を解読する。(BAKseq,ESK)は、独自のポート数をもったパケットに送出することが可能であり、そしてそれは同期化問題を導入するかも知れない。
【0153】
放送受信機606は、内容解読およびシグナリングを与える。放送受信機606はCE604から暗号化された内容、SPIあるいはESK、およびBAKseqを受信する。放送受信機606は、SPIあるいはESKおよびBAKseqをUIM608に与え、そしてUIM608からSK要求および/あるいはBAK要求を受信する。さらに、放送受信機606はRKで暗号化されたBAKを与え、あるいはTK_RANDで暗号化されたBAKをUIM608に与える。
【0154】
UIM608は、端末基本キーK、SS基本キーRK、およびアクセスキーBAKを記憶する。UIM608はRKおよびTKの値を決定する。UIM608はBAKを解読し、そしてSPIおよびBAKからSKを決定する。あるいは、UIM608はまた、SKを形成するためにBAKを用いてESKを解読するために用いられるかも知れない。UIM608は、SKをMEに通す(図示せず)。
【0155】
内容アクセスマネージャ610はBAK発生器612にBAK更新命令を与える。BAK発生器612はBAKおよびBAKシーケンス数すなわちBAKseqを発生する。BAK発生器612は、BAK、BAKseq、およびSK寿命期間を内容暗号化器604に与える。BAK発生器612は、BAK、BAKseq、BAK寿命期間(どのくらい長くBAKが有効であろうかを定義する)をBAK配送サーバ616に与える。認証はサービス認証ユニット614によってBAK配送サーバ616に与えられる。BAK配送サーバ616は、放送受信機606からBAK要求を受信する。BAK配送サーバ616は、ランダムなBAK更新時間、RKあるいはRK_RANDを用いて暗号化されたBAK、およびTKを用いて暗号化されたBAKを放送受信機606に与えるために適応している。
【0156】
第1の場合、BAK配送サーバ616は、どのBAKが要求されているかの識別すなわちBAKseqとともに、放送受信機606からBAK要求を受信する。対応して、BAK配送サーバ616は加入サーバ(SS)618にTK要求を与える。SS618は、SSおよびUIMに対するRK独自のキーを保持する。SS618は基本キーおよびTK_RANDから一時的なキー(TK)を形成する。SS618はそこで、BAK配送サーバ616にTK_RAND値を送出する。
【0157】
第2の場合、 BAK配送サーバ616は、BAK要求によって定義されたBAKおよび放送受信機606から受信されたBAKseqをSS618に送出する。対応して、SS618はBAKをRKで暗号化し、そして暗号化されたBAKをBAK配送サーバ616に戻す。
【0158】
なお他の場合、BAK配送サーバ616は、認証サーバ620にTK要求を送出する。認証サーバ620は端末基本キーKを保持し、そして基本キーおよびランダムな数からTKおよび/あるいはRKを形成する。認証サーバ620はそこで、TK_RANDをBAK配送サーバ616に送出する。この中で以下に記述されるように、BAK配送サーバ616はまた、BAK暗号化器として参照されるかも知れないことに注意すべきである。
【0159】
UIM608は、認証サーバ620によって与えられたRK_RANDからRKを計算する。認証サーバ620は、UIM608からのRK要求に応じてRK_RANDを与える。認証サーバ620はまたRK値をSS618に与える。
【0160】
BAK配送サーバ616はUIM608にランダムなBAK更新期間を与える。ランダムなBAK更新期間は、UIM608に、いつBAK更新を要求すべきかを命令する。このような更新のランダムなタイミングはすべてのユーザが同時に更新を要求しそしてシステムに負担をかけることをしないことを保証する。
【0161】
図10、11、および12は、種々のシステム配列に対する、暗号化および安全適用の種々の実施例を示す。各図面は、信号、キー、およびシステム内の情報の流れを示す凡例を含む。凡例は、図の右下側の隅におかれている。これらの例によって示されるように暗号化は、この中で暗号化は基地局制御器(BSC:Base Station Controller)、パケット制御機能(PCF:Packet Control Function)ノード、他の同様なノード、あるいはこれらの組み合わせにおいて実行されるようにリンクレイヤにおいて実行されることが可能である。リンクレイヤ暗号化方法の一つの実施例は図10に示されている。暗号化はまた、エンドツーエンド基準で与えられることが可能であり、ここで一つの実施例は図11に示される。エンドツーエンド暗号化方法は、この中で以上にIPsecの使用を通じて記述されている。図11に示された実施例は、アプリケーションレイヤで暗号化を実行する。
【0162】
BAKは、周期的にあるいはそうでなければ時々更新されることに注意すべきである。BAK更新はSS暗号化されるかも知れない。そこでは、BAK暗号化器はBAKをSSに送出し、SSはBAKを暗号化し、暗号化されたBAKをBAK暗号化器に返す。特別には、BAK暗号化器はBAKをSSに送出する。SSはBAKを、暗号化されたBAK(EBAK)にRKを用いて暗号化する。SSはEBAKをBAK暗号化器に返す。BAK暗号化器は、BAKを回復するためにRKを用いてEBAKを解読する、UIMにEBAKを送出する。
【0163】
あるいは、BAKはローカルに暗号化されるかもしれない。この場合、SSは一時的なキー(TK)をローカルBAK暗号化器に与える。もしもBAK暗号化器がローカルネットワークの中にある場合は、そこでBAK暗号化器は、CKをTKとして使用することが可能である。ここで、CKは認証ベクトル(AV:Authentication Vector)から導出される。
【0164】
BAK暗号化器の位置は、システムのニーズおよび目標に従って設計されることが可能である。BAK暗号化器はSSから(TK_RAND,TK)対を得る。一つの実施例においては、TKは、
TK=f( TK_RAND,RK) (11)
として与えられる。BAK暗号化器は、(TK_RAND,TK)対を再使用することが可能である。SSは複数の対を送出することが可能である。BAK暗号化器は、そこでEBAKを形成するためにTKを用いてBAKを暗号化する。BAK暗号化器はそこで、UIMに(TK_RAND,EBAK)を送出する。UIMは上に与えられた式(11)を用いてTKを形成する。UIMはBAKを回復するためにTKを用いてEBAKを解読する。
【0165】
代わりの実施例においては、BAK更新は、認証、課金処理および許可(AAA)ユニットHLR/AAAからのTKを用いてローカルに暗号化される。この場合、SSはHLR/AAAである。MSは特別なAKA交渉を実行する。認証ベクトルはCKを含み、ここで、CKは
CK=f(CK_RAND,K) (12)
として定義される。ここでKは、HLRあるいはホームネットワークにおける基本キーであるAキーに等しい。BAK暗号化器は(CK_RAND,CK)対を再使用することが可能である。HLR/AAAは、複数の対を送出可能である。CKおよびCK_RANDは、EBAKを形成するためにCKを用いてBAKを暗号化するBAK暗号化器に通される。BAK暗号化器はそこで、UIMに(CK_RAND,EBAK)対を送出する。これに応じてUIMは式(12)に定義されたようにCKを形成する。UIMはBAKを形成するためにCKを用いてEBAKを解読する。
【0166】
一つの実施例においては、BAK暗号化器は、1個の内容サーバ(CS)と組み合わせられる。他の実施例においては、図12に示したように、複数のCSと組み合わせられることが可能な、集中化されたBAK暗号化器が使用される。
【0167】
SKは周期的にあるいは時々更新される。一つの実施例においては、SKはSPIから導出される。他の実施例においては、SKは暗号化された形態で与えられる。特別なポート数がSKを含むパケットを表示するために使用されることが可能である。たとえば、BSR_ID等の放送フレーム識別子が、SKを含むパケットを表示するために、“000”等のあらかじめ設定された値にセットされることが可能である。
【0168】
図10は、リンクレイヤ内容暗号化を与える一つの実施例を示す。システム700は、ME704に結合されたUIM702を含む。UIM702は、ME704に暗号化されていないBAKを与える。ME704はUIM702に、暗号化されたBAKを与える。同様にME704は、UIM702にRK−AKAを与える。示されたように、SK発生、SK暗号化、および内容暗号化は、基地局制御器/パケット制御機能(BSC/PCF)ノード708によって内容プロバイダを所有するローカルネットワークにおいて実行される。暗号化されていない内容は、内部内容ソース(internal content source)(CS2)722からパケットデータサービスノード(PDSN)710に与えられる。PDSN710はそこで、暗号化されていない内容をBSC/PCF708に通す。CS2BAK発生器724は、暗号化されていないBAK値をPDSN710に与え、そしてCS2BAK暗号化器726はPDSN710からBAK要求を受信し、そして暗号化されたBAKを代わりに与える。PDSN710はそこで、暗号化されていない内容、暗号化されていないBAK、および暗号化されたBAKをBSC/PCF708に進める。
【0169】
ローカルネットワークは、VLRとして動作するMSC706を含む。BSC/PCF708は、RK要求に対応してMSC706からRKを受信する。ホームネットワーク728の中に位置するAC730はHLRとして動作する。MSCはRKを与えることによって応答するAC730からRKを要求する。MSC706は、RKをME704に与えるBSC/PCF708にRKを与える。さらに、BSC/PCF708は、暗号化された内容および暗号化されたBAKをME704に与える。
【0170】
ローカルな第三者内容プロバイダ720は、外部内容ソース(external content source)(CS1)714、CS1 BAK発生器716、およびCS1 BAK暗号化器718を含む。暗号化されたBAKはBAK暗号化器718からPDSN710に与えられる。外部内容ソースCS1 714は、PDSN710に、暗号化されていない内容および暗号化されていないBAKを与える。
【0171】
加入を記憶するエンティティ732は、加入サーバ734を含む。MSC706はRKを加入サーバ734に与える。TK要求およびTK_RAND対は、加入サーバ734およびBAK暗号化器718および726の間で通信される。信号シーケンスは図10の凡例に与えられた通りであり、ここで、信号はRK要求で開始される少なくなる順序で示される。
【0172】
図11は、エンドツーエンド内容暗号化を与える他の実施例を示す。システム800の配置はシステム700のそれと同様であるが、しかしながらシステム800においては、内容ソース(CS2)822はSK発生、SK暗号化、および内容暗号化を与える。内容ソース822は、PDSN810に暗号化された内容を与え、そしてBAK暗号化器826は、BAKを暗号化し、そしてBAK要求に対応してPDSN810に暗号化されたBAKを与える。PDSNはさらにローカル第三者内容プロバイダ820の中の外部内容ソース(CS1)814から暗号化された内容を受信する。内容ソース822におけるように、外部内容ソース814はSK発生、SK暗号化、および内容暗号化を実行する。BAK暗号化器818は、暗号化されたBAKをPDSN810に与える。PDSN810はそこで、暗号化された内容および暗号化されたBAKをBSC/PCF808に与える。
【0173】
図12は、エンドツーエンド内容暗号化を有する集中化されたBAK暗号化を与える実施例を示す。システム900の配置はシステム800のそれと同様である。ここで、SK発生、SK暗号化、および内容暗号化は内容ソース(CS2)922および外部内容ソース(CS1)914によって実行される。システム900は、CS2 BAK発生器924およびCS1 BAK発生器916からの暗号化されていないBAKを受信する集中化されたBAK暗号化器912を含む。集中化されたBAK暗号化器912は、暗号化されたBAKを、BAK要求に対応してPDSN910に与える。集中化されたBAK暗号化器912は、さらに、TK要求およびTK_RAND/対と協定するために加入サーバ932と通信する。
【0174】
図13は、RKを準備するためのタイミング線図である。垂直軸は時間軸を与える。そしてシステムエレメントは上部水平軸上に与えられる。MEはVLRとして動作しているMSCにメッセージを送出することによって認証されたキー協定(AKA)手順を開始する。AKA手順は、そのように命名されたブロックの中で識別される。MSCはそこで、HLRに認証ベクトル(AV)要求を送出する。HLRはRAND値を選択し、そしてそれからAVを発生する。AVは
AUTH=f1(RAND,K) (13)
XRES=f2(RAND,K) (14)
CK=f3(RAND,K) (15)
として示される変数と同様にランダムな数RANDを含むかも知れない。ここで、f1、f2、f3等は変数の各々を計算するための異なった関数を示すために定められる。
【0175】
HLRは、AVをMSCあるいはVLRに与える。もしもMSCが余分のAVを有する場合は、この余備品が使用され、そしてHLRからAVを要求する必要はない。AVからの情報は認証を確認し処理変数を計算するUIMに進められる。このような処理はそこでMSCによって識別される。MSCは、式(13)に示されたようにAUTHを計算することによって、そしてさらに、次の変数を計算することによって認証を確認する。
【0176】
RES=f2(RAND,K) (16)
RK=CK=f3(RAND,K) (17)
RK値は確認処理を進めるSSに送出される。SSはそこで、ランダムな数RAND2を選択し、そして
AUTH2=f1(VER_RAND2,RK) (18)
を計算することによってさらなる確認を実行する。SSは、MEに対して認証を確認し、そして承認する(あるいは否定的に承認する)UIMに認証情報を与える。
【0177】
図14は、SS暗号化されたBAK値の発生を示すタイミング線図である。図9を参照すると、たとえば、BAK配送サーバ(あるいは暗号化器)616はBAK要求をSS618に送出し、そしてSS618はEBAKを形成するためにRKを用いてBAKを暗号化する。SS618はEBAKをBAK配送サーバ616に送出する。図14に示したようにMEは、BAK暗号化器を経由してSSからBAKを要求する。MEはBAK要求メッセージをBAK暗号化器に送出する。BAK暗号化器はそこでBAKおよび組み合わせられた情報をSSに送出する。SSはBAKを受信し、そして暗号化されたBAK(EBAK)を発生する。EBAKは、BAKを回復するためにEBAKを解読するUIMに進められる。ここで、このような計算は、
BAK=D[EBAK,RK] (19)
として与えられる。ここでD[]は、解読演算子である。UIMはさらに
AUTH_BAK=f1(RAND_BAK,BAK) (20)
を計算することによってBAKを確認する。UIMは、承認あるいは失敗のメッセージをこの確認に対応して送出する。失敗の場合は、失敗処理がMEによって実行されあるいは開始される。与えられた期間中変数を計算するための種々の関数は同じ関数であるかも知れずあるいは各々は個別に割り当てられる(指定される)かも知れない。
【0178】
図15は、ローカルに暗号化されたBAK処理を示すタイミング線図である。図9を参照するとたとえば、BAK配送サーバ(あるいは暗号化器)616は、TK要求をSS618に送出し、そしてSS618は、基本キーおよびランダムな数TK_RANDからTKを形成する。SS618はTK_RANDをBAK配送サーバ616に送出する。BAK配送サーバ616はそこでBAKをTK_RANDで暗号化する。図15に示されたように、MEはBAK暗号化器にBAK要求メッセージを送出する。もしもBAK暗号化器が現在の加入データをもっていない場合は、BAK暗号化器はSSからこのようなものを要求する。もしもBAK暗号化器がTK対を有していない場合は、SSはランダムな数TK_RANDを選定し、そしてTKを
TK=f( TK_RAND ,RK) (21)
として計算する。SSはいくつかの( TK_RAND ,RK)対をBAK暗号化器に送出する。BAK暗号化器は、TKを用いてBAKを暗号化することによってEBAKを計算する。BAK暗号化器はそこで他のBAK情報と同様にEBAK、TK_RANDを、このような情報をUIMに進めるところのMEに与える。UIMは式(21)に従ってTKを計算し、式(19)に従ってEBAKを計算し、そして式(20)に従ってAUTH_BAKを計算する。UIMはBAKを確認し、それに従って認可、あるいは失敗メッセージをMEに送出する。失敗の場合は、MEによって失敗処理が実行され、あるいは開始される。
【0179】
図16は、最初の認証手順期間中にローカルBAKがAVを受信してしまっており、そしてそこでTKを発生するためにそのAVからのランダムな値を使用する場合の安全処理を示す。この状況においては、BAK暗号化器はVLRである。BAK暗号化器はSS(これはHLRと見なされる)に対してAV要求を送出する。対応して、SSはランダムな数RANDを選定し、そして式(13)、(14)、および(15)にそれぞれ与えられたように、AUTH、XRES、およびCKを計算する。SSはAVを、EBAKを形成するためにBAKを暗号化するBAK暗号化器に送出する。BAK暗号化器はそこでRAND、EBAK、およびBAK情報を、このような情報をUIMに進めるMEに送出する。UIMは、式(21)に従ってTKを計算し、式(19)に従ってEBAKを計算し、そして式(20)に従ってAUTH_BAKを計算する。UIMは、BAKを確認し、そしてそれに従って認可あるいは失敗メッセージをMEに送出する。失敗の場合は、MEによって失敗処理が実行されあるいは開始される。
【0180】
図17は、リンクレイヤ暗号化を示すタイミング線図である。ここで、BSCはSKおよび内容を暗号化する。図9および10を参照するとここで、BSC708は、SK発生、SK暗号化、および内容暗号化を実行する。図17に示したように、BAK暗号化器はBAKおよびSK情報と同様に、BAKをBSCに与える。BSCはSKを選定しそしてESKを形成するためにBAKを用いてSKを暗号化する。BSCはさらにランダムな数SK_RANDを選定し、そして
AUTH_SK=f1( SK_RAND ,SK) (22)
として与えられる認証変数AUTH_SKを計算する。BSCは、ESK、SK_RAND、AUTH_SK、およびBAK情報を、これらの情報をUIMに進めるところのMEに与える。UIMはSKを
SK=D[ESK,BAK] (23)
として計算し、 そしてAUTH_SKを式(22)で与えられるとして計算する。UIMはそこで、SKあるいは失敗メッセージをMEに送出する。失敗に対しては、MEは失敗処理を実行し、あるいは開始する。SKの識別に対して暗号化されたリンクが現在安全な通信に対して利用可能である。
【0181】
キー識別は通信システムにおけるさらなる安全考慮である。もしも通信および/あるいはSS、BAK暗号化等の処理において若干の混乱が存在して来ている場合は、正しくない値のキーがUIM内に導出されているかも知れない。その結果、UIMに対して、RK、BAK、およびSKが正しく準備されているかを 決定するためのニーズが存在する。一つの実施例に従って、与えられたキーと組み合わせられたランダムな数を用い、そしてそのランダムな数を用いて与えられたキーに対する識別演算を実行することによって識別が実行される。識別の結果はそこでUIMに送出される。UIMは識別結果をチェックする。たとえば、KxはRK、BAK、SKあるいは通信システムにおいて暗号化のために設計された任意の他のキーを表すとしよう。キーKxを確立しているエンティティは、最初にランダムな数RAND_Kxを選定する。エンティティはそこで、
VERIF_Kx=f( RAND_Kx ,Kx) (24)
として与えられる識別結果を計算する。エンティティはそこで、( RAND_Kx ,VERIF_Kx)対をUIMに送出する。UIMはそこで式(24)に定義された識別結果をチェックすることによってKxが正しいかどうかを決定する。もしも識別結果が正しい場合は、UIMはキーを受け入れる。そうでない場合はUIMはキー識別誤り処理を実行する。そしてそれは、キーが正しくないことにかかわるエンティティ、あるいは複数のエンティティを発表することを含むかも知れない。もしもエンティティがUIMから応答を受信しない場合は、エンティティはキーが正しく受信されたと仮定する。
【0182】
同様に、BAK識別は実行されることが可能である。ここで、UIMにEBAKを送出するのに先立って、BAK暗号化器は識別手順を実行する。BAK暗号化器はランダムな数RAND_BAKを選定し、そして識別結果を
VERIF_BAK=f1( RAND_BAK ,BAK) (25)
として計算する。ここで、BAKは識別されたキーである。BAK暗号化器は、UIMに、(EBAK,RAND_BAK,VERIF_BAK)を送出する。BAK暗号化器は、付加的な情報をその上に送出することが可能である。UIMはEBAKを解読しそして式(25)を確認する。確認した場合は、UIMは導出されたBAK値を用い、そうでない場合は、UIMはBAKが正しくないBAK暗号化器を発表する。
【0183】
キー識別において、RAND_Kxは時間に対する値を含むことが可能であることは注意すべきである。この場合VERIF_KxはいつKxがUIMに送られたかを識別する “タイムスタンプ”となる。これは、誰かがキーがすでに使用されてしまっているときに、ある時刻だけ遅れて同じパケットを送出することによってUIMを混乱させることを試みる、再生攻撃(replay attack)を防止する。UIMは時刻が違っていることを検出するであろう。攻撃者は、それがまたVERIF_Kxの値を変更するであろうために時刻を変更することができない。
【0184】
当業界において熟練した人々は、情報および信号は種々の異なった技術および手法の任意のものを使用して表すことが可能であることを理解するであろう。たとえば、上の記述を通して参照されることが可能な、データ、指令、命令、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁場あるいは粒子、光学場あるいは粒子あるいはこれらの任意の組み合わせによって示されることが可能である。
【0185】
熟練した人々はさらに、この中に開示された実施例に関連して記述された、種々の例証となる論理ブロック、モジュール、回路、およびアルゴリズムステップは電子的ハードウエア、計算機ソフトウエア、あるいは両者の組み合わせとして実現可能であることを正しく評価するであろう。ハードウエアおよびソフトウエアのこの互換性を明らかに示すために、種々の例証的なコンポーネント、ブロック、モジュール、回路、およびステップが一般的にそれらの機能の形で上に記述されてきている。これらの機能が、ハードウエア、あるいはソフトウエアとして実現されるかは、特定の応用およびシステム全体に課せられた設計制約によって異なる。熟練した技術者は、記述された機能を各特定の応用に対して、種々の方法で実現することが可能であるが、しかしこれらの実現の決定は本発明の範囲からの逸脱の原因となると解釈されるべきではない。
【0186】
この中に開示された実施例と結合して記述された、種々の例証的な論理ブロック、モジュール、および回路は、汎用処理装置、ディジタル信号処理装置(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、あるいは他のプログラム可能な論理デバイス、ディスクリートゲートあるいはトランジスタ論理、ディスクリートハードウエアコンポーネント、あるいはこの中に記述された機能を実行するために設計されたこれらの任意の組み合わせを用いて実現され、あるいは実行されることが可能である。汎用処理装置はマイクロ処理装置であるかも知れず、しかし代わりに処理装置は、任意の従来の処理装置、制御器、マイクロ制御器、あるいはステートマシンであるかも知れない。処理装置はまた、計算デバイスたとえばDSPおよびマイクロ処理装置の組み合わせ、複数のマイクロ処理装置、DSPコアと結合した1個あるいはそれ以上のマイクロ処理装置、あるいは、任意の他のこのような配置として実現されるかも知れない。
【0187】
この中に開示された実施例に関連して記述された方法のステップあるいはアルゴリズムは、直接にハードウエア内で、処理装置によって実行されるソフトウエア内で、あるいはこの二つの組み合わせ内で実行されることが可能である。ソフトウエアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、抵抗器、ハードディスク、取り外し可能なディスク、CD−ROM、あるいは当業界において知られる記憶媒体の任意の他の形態の中に置かれるかも知れない。典型的な記憶媒体は、その処理装置が記憶媒体から情報を読み取り、それに情報を書き込むことが可能なように処理装置と結合される。あるいは記憶媒体は、処理装置に合体されるかも知れない。処理装置および記憶媒体はASIC内に置かれるかも知れない。ASICはユーザ端末内に置かれるかも知れない。あるいは、処理装置および記憶媒体はディスクリートコンポーネントとしてユーザ端末の中に置かれるかも知れない。
【0188】
開示された実施例に関する以上の記述は、当業界において熟練したいかなる人も本発明を作成しあるいは使用することを可能とするために与えられる。これらの実施例に関する種々の変形が、当業界において熟練した人々には容易に明白であろうし、そしてこの中に定義された一般的な原理は、本発明の精神および範囲から逸脱することなしに、他の実施例に適用することが可能である。したがって、本発明はこの中に示された実施例に限定されることを意図したものではなく、しかしこの中に開示された原理および新規な特徴に矛盾のない最も広い範囲に一致されるべきものである。
【特許請求の範囲】
【請求項1】
放送サービスをサポートする通信システムにおける、暗号化キー取り扱いのための方法であって、
ホームネットワーク内容プロバイダから遠隔局に対して基本キーを要求し、
基本キーを遠隔局に配送するための認証手順を適用し、そして
基本キーをユーザ識別モジュール(UIM)の中に記憶する
ことを含む方法。
【請求項2】
放送サービスをサポートする通信システムにおける、暗号化キー取り扱いのための方法であって、
基本キーを遠隔局のユーザ識別モジュール(UIM)の中に記憶し、
放送サービスのための暗号化された放送アクセスキー(EBAK)を受信し、
基本キーに基づいてEBAKを解読することを含む方法。
【請求項3】
ここで、EBAKは、一時的なキー(TK)を使用して暗号化されており、方法はさらに、
一時的なキー(TK)と組み合わせられたランダムな数を受信し、
基本キーを使用してランダムな数からTKを発生し、
TKを使用してEBAKを解読する
ことを含む、請求項2記載の方法。
【請求項4】
ここで、EBAKは周期的に更新され、そして各EBAKは組み合わせられたBAK識別子を有しており、ここで、各EBAKは組み合わせられたTKおよびランダムな数を有している、請求項3記載の方法。
【請求項5】
ここで、EBAKは、訪問した内容サーバにおいて暗号化される、請求項2記載の方法。
【請求項6】
ここで、TKおよびランダムな数は、ホーム内容サーバによって発生される、請求項5記載の方法。
【請求項7】
放送サービスをサポートする通信システムにおける、暗号化キー取り扱いのための方法であって、
暗号化された短期間キー(SK)を受信し、ここで、SKは、
放送アクセスキー(BAK)を使用して暗号化されており、
BAKを使用してSKを解読する、
ことを含む方法。
【請求項8】
安全な伝送のための方法であって、方法は
安全な伝送に対する要求を受信し、
放送アクセスキーを要求し、
暗号化された放送アクセスキーを受信し、
放送アクセスキーの関数として短期間キーを発生し、そして
安全な伝送に対する内容を暗号化する
ことを含む方法。
【請求項1】
放送サービスをサポートする通信システムにおける、暗号化キー取り扱いのための方法であって、
ホームネットワーク内容プロバイダから遠隔局に対して基本キーを要求し、
基本キーを遠隔局に配送するための認証手順を適用し、そして
基本キーをユーザ識別モジュール(UIM)の中に記憶する
ことを含む方法。
【請求項2】
放送サービスをサポートする通信システムにおける、暗号化キー取り扱いのための方法であって、
基本キーを遠隔局のユーザ識別モジュール(UIM)の中に記憶し、
放送サービスのための暗号化された放送アクセスキー(EBAK)を受信し、
基本キーに基づいてEBAKを解読することを含む方法。
【請求項3】
ここで、EBAKは、一時的なキー(TK)を使用して暗号化されており、方法はさらに、
一時的なキー(TK)と組み合わせられたランダムな数を受信し、
基本キーを使用してランダムな数からTKを発生し、
TKを使用してEBAKを解読する
ことを含む、請求項2記載の方法。
【請求項4】
ここで、EBAKは周期的に更新され、そして各EBAKは組み合わせられたBAK識別子を有しており、ここで、各EBAKは組み合わせられたTKおよびランダムな数を有している、請求項3記載の方法。
【請求項5】
ここで、EBAKは、訪問した内容サーバにおいて暗号化される、請求項2記載の方法。
【請求項6】
ここで、TKおよびランダムな数は、ホーム内容サーバによって発生される、請求項5記載の方法。
【請求項7】
放送サービスをサポートする通信システムにおける、暗号化キー取り扱いのための方法であって、
暗号化された短期間キー(SK)を受信し、ここで、SKは、
放送アクセスキー(BAK)を使用して暗号化されており、
BAKを使用してSKを解読する、
ことを含む方法。
【請求項8】
安全な伝送のための方法であって、方法は
安全な伝送に対する要求を受信し、
放送アクセスキーを要求し、
暗号化された放送アクセスキーを受信し、
放送アクセスキーの関数として短期間キーを発生し、そして
安全な伝送に対する内容を暗号化する
ことを含む方法。
【図1A】
【図1B】
【図1C】
【図1D】
【図1E】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【図7D】
【図7E】
【図8A】
【図8B】
【図8C】
【図8D】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図1B】
【図1C】
【図1D】
【図1E】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
【図7C】
【図7D】
【図7E】
【図8A】
【図8B】
【図8C】
【図8D】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【公開番号】特開2012−70426(P2012−70426A)
【公開日】平成24年4月5日(2012.4.5)
【国際特許分類】
【外国語出願】
【出願番号】特願2011−258929(P2011−258929)
【出願日】平成23年11月28日(2011.11.28)
【分割の表示】特願2004−531597(P2004−531597)の分割
【原出願日】平成15年8月26日(2003.8.26)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
【公開日】平成24年4月5日(2012.4.5)
【国際特許分類】
【出願番号】特願2011−258929(P2011−258929)
【出願日】平成23年11月28日(2011.11.28)
【分割の表示】特願2004−531597(P2004−531597)の分割
【原出願日】平成15年8月26日(2003.8.26)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
[ Back to top ]