第1の端末機器および第1のネットワークと第2の端末機器および第2のネットワークとの間でデータトラフィックを保護する方法
本発明は、第1の端末機器(1)および第1のネットワーク(2)と第2の端末機器(4)および第2のネットワーク(6)との間でデータトラフィックを保護する方法にカンする。ここで第1の端末機器(1)は、1つまたは複数の第1のセッション鍵を使用して第1のネットワーク(2)において通信を行い、第2の端末機器(4)は、1つまたは複数の第2のセッション鍵を使用して第2のネットワーク(6)において通信を行う。本発明による方法は、第1の端末機器(1)において1つまたは複数の第1のセッション鍵を求め、1つまたは複数の第2のセッション鍵を該第1のセッション鍵から導出するステップと、ローカルなインタフェース(3)を介して保護プロトコルを使用して、該1つまたは複数の第2のセッション鍵を第2の端末機器(4)へ伝送するステップと、第2のネットワーク(6)において、該1つまたは複数の第2のセッション鍵および/または該1つまたは複数の第2のセッション鍵から導出された鍵を使用して、認証プロトコルを介して第2の端末機器(4)を認証するステップとを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、第1の端末機器および第1のネットワークと第2の端末機器および第2のネットワークとの間でデータトラフィックを保護する方法に関する。さらに本発明は、本発明による方法を実施するために構成された相応の第1の端末機器および相応の第2の端末機器に関する。
【0002】
現在、移動電話機のユーザに対して、適切なアクセスネットワークを介して移動無線網にアクセスするだけでなく、たとえばインターネット等の別のネットワークにアクセスできるようにする必要性が生じている。インターネットにアクセスする際にはとりわけ、伝送されるデータが移動電話機に表示されるだけでなく、たとえばラップトップ等の別の端末機器でも表示されるのが望ましい。
【0003】
従来技術から次のような方法が公知になっている。すなわち、移動電話機の形態である第1の端末機器がSIMモジュールまたはUSIMモジュール(SIM=Subscriber Identity Module;USIM=Universal Subscriber Identity Module)を有し、ローカルのインタフェースを介してラップトップの形態の第2の端末機器と接続する方法が公知になっている。ここではラップトップは、たとえばWLANネットワークおよび/またはインターネット等の別のネットワークにアクセスすることができる。ここで第2の端末機器は、認証プロトコルを介して別のネットワークで認証される。この認証プロトコルでは、SMモジュールないしはUSIMモジュールに由来する鍵が使用される。適切な認証プロトコルとして、たとえばEAP‐SIM(EAP=Extensible Authentication Protocol;SIM=Subscriber Identity Module;文献[1]参照)またはEAP‐AKA(EAP=Extensible Authentication Protocol;AKA=Authentication Key Agreement;文献[2]参照)というプロトコルが使用される。EAP‐SIMプロトコルはGSM移動電話において使用され、EAP‐AKAプロトコルはUMTS移動電話に使用される。
【0004】
認証プロトコルEAP‐SIMおよびEAP‐AKAでは、ネットワークとの通信接続が必要とされ、認証時にはSIMモジュールまたはUSIMモジュールの関与が必要とされる。したがって、第2の端末機器も第1の端末機器も、認証プロトコルの実行に関与する。それゆえ、第2の端末機器と第1の端末機器との間で、たとえばブルートゥースインタフェース等のローカルなインタフェースを介してデータ交換を行う必要がある。その際には認証を行うために、インタフェースを介して適切なプロフィールによって、認証データが伝送される。従来技術からは、適切なプロフィールとしてとりわけブルートゥースプロフィールが公知となっている。これはたとえば、ブルートゥースSIMアクセスプロフィール(文献[3]参照)である。ローカルなインタフェースを介して、第1のセッション鍵が伝送される。この第1のセッション鍵は本来、移動電話機と相応の移動無線網との通信を行うために使用されるものである。この第1のセッション鍵から、第2の端末機器で新たなセッション鍵が計算される。このセッション鍵によって、認証が認証プロトコルを介して実行される。ここで、第1のセッション鍵が第2の端末機器において既知であることが問題的であると判明している。それゆえ、攻撃者が第2の端末機器に対して管理権を取得すると、第1のセッション鍵にもアクセスすることができ、第1の端末機器のユーザのふりをして、本来のユーザの負担で第1のネットワークで通話を行うことができる。
【0005】
したがって本発明の課題は、第1の端末機器および第1のネットワークと第2の端末機器および第2のネットワークとの間でデータトラフィックを保護する方法において、高くなった保護要件を満たす方法を提供することである。とりわけ本方法では、上記の攻撃から保護を行わなければならない。
【0006】
前記課題は独立請求項によって解決される。本発明の発展形態が、従属請求項に記載されている。
【0007】
本発明による方法では、1つまたは複数のセッション鍵を使用して第1のネットワークで通信するように構成された第1の端末機器と、1つまたは複数のセッション鍵を使用して第2のネットワークで通信するように構成された第2の端末機器とが使用される。本方法では、第1の端末機器は第2の端末機器と、ローカルなインタフェースを介して接続されている。第1の端末機器で第1のセッション鍵を検出し、第2のセッション鍵を第1のセッション鍵から導出する。第2のセッション鍵は、ローカルなネットワークを介して保護プロトコルを使用して、第2の端末機器へ伝送される。最後に第2の端末機器は、第2のセッション鍵および/または第2のセッション鍵から導出された鍵を使用して、認証プロトコルを介して第2のネットワークで認証される。本発明による方法の基礎となっている思想は、第2の端末機器に第1のセッション鍵が供給されないことである。したがって、本来は第2の端末機器によって実施される機能が、第1の端末機器に移される。とりわけ、第1の端末機器ですでに、第2のセッション鍵が第1のセッション鍵から導出される。それゆえ、第2の端末機器に対して管理権を取得した攻撃者は、第1のセッション鍵にアクセスできなくなり、第1のネットワークにアクセスすることはできない。
【0008】
有利な変形形態では認証プロトコルは、該認証プロトコルの一部として、第2のセッション鍵から導出される鍵が生成され、これを使用して第2のネットワークにおいて認証プロトコルのメッセージの保護および/または通信の保護が行われるように構成されている。
【0009】
1つの実施形態では、第1のネットワークはGSMネットワークであり、第1のセッション鍵は第1の端末機器上のSIMモジュールで生成される。この場合、認証プロトコルは有利にはEAP‐SIMプロトコル(EAP=Extensible Authentication Protocol;SIM=Subscriber Identity Module)である。択一的な実施形態では、第1のネットワークはUMTSネットワークであり、第1のセッション鍵は第1の端末機器上のUSIMモジュール(USIM=Universal Subscriber Identity Module)で生成される。この場合、認証プロトコルは有利にはEAP‐AKA(EAP=Extensible Authentication Protocol;AKA=Authentication Key Agreement)である。
【0010】
第1の端末機器と第2の端末機器との間のローカルなインタフェースは、有利には無線インタフェースを介して実現される。ここではとりわけ、ブルートゥースインタフェースおよび/または赤外線インタフェースが考えられる。
【0011】
本発明による方法において第2の端末機器と通信する第2のネットワークは、有利にはローカルなネットワークであり、とりわけLANネットワークおよび/またはWLANネットワークである。このローカルなネットワークは、たとえばインターネット等の別のネットワークに接続することもできる。
【0012】
本発明の別の有利な変形形態では、情報を第1の端末機器と第2の端末機器との間で交換するために使用される保護プロトコルは、以下のように構成されている:
・第2の端末機器からの第1の指示メッセージが第1の端末機器へ送信され、第1の指示メッセージにより、第1の端末機器において第1のセッション鍵から第2のセッション鍵の導出が開始される。
【0013】
・第1の指示メッセージに対する応答で、第2の指示メッセージが第1の端末機器から第2の端末機器へ送信される。この第2の指示メッセージによって、第2のセッション鍵が転送される。
【0014】
このような構成によって、第2のセッション鍵が第1の端末機器から第2の端末機器へ簡単に転送される。有利な変形形態では、ここで第1の指示メッセージによって、認証プロトコルからのパラメータが伝送される。有利にはこの保護プロトコルは、拡張されたブルートゥースSIMアクセスプロフィールプロトコルであり、これは第1の指示メッセージおよび第2の指示メッセージを含む。本明細書では、このような拡張されたプロトコルに関する詳細な仕様および要件を特定する。
【0015】
本発明によるデータトラフィック保護方法の他に、本発明はさらに、本発明によるデータトラフィック保護方法において第1の端末機器として使用可能に構成された端末機器も含む。この端末機器は有利には、第1のセッション鍵を求めるための手段と、該第1のセッション鍵から第2のセッション鍵を導出するための手段とを有する。
【0016】
さらに本発明は、本発明によるデータトラフィック保護方法において第2の端末機器として使用可能に構成された端末機器も含む。
【0017】
本発明の実施例を以下で、添付図面に基づいて詳述する。
【0018】
図面
図1 本発明によるデータトラフィック保護方法が適用されるシナリオの一例を示している。
【0019】
図1に、移動電話機の形態の第1の端末機器1が示されている。この端末機器1は、ローカルのブルートゥースインタフェース3を介して、ラップトップ4の形態の第2の端末機器4に接続されている。この第2の端末機器4はまた、別の無線インタフェース5を介して、第2のネットワーク6にも接続されている。このネットワーク6は、図1ではWLANネットワークである。WLANネットワークで認証を行うためには、ラップトップ4とネットワーク6との間で認証プロトコルが実行される。WLANネットワーク6は別のネットワーク7にも接続されており、このネットワーク7は、たとえばインターネットである。移動電話機1は、エアインタフェースを介して移動無線網2にも接続されている。この移動無線網2は、たとえばGSMネットワークまたはUMTSネットワークである。移動電話機は移動無線網において、識別モジュールを介して識別される。この識別モジュールは、GSMの場合にはSIMモジュールであり、UMTSの場合にはUSIMモジュールである。移動電話機と移動無線網との通信を行うために、1つまたは複数の第1のセッション鍵が使用される。このセッション鍵は、移動電話機の識別モジュールで生成される。同様に、ラップトップ4とWLANネットワーク6との間で通信を行うために、1つまたは複数の第2のセッション鍵が使用される。
【0020】
図1のシナリオでは、移動電話機のユーザがラップトップ4を介して、該移動電話機の識別モジュールで生成された第1のセッション鍵を使用して、WLANネットワークにおいて認証されるようにしなければならない。こうするために第2のセッション鍵は、第1のセッション鍵から導出される。ここで、第1のセッション鍵がブルートゥースインタフェース3を介してラップトップ4へ伝送され該ラップトップで取り出される場合、攻撃者がラップトップ4に対して管理権を有する攻撃が問題になる。この場合、攻撃者は第1のセッション鍵に関する知識を得て、移動無線網2においてユーザのふりをすることができるようになる。このような攻撃を回避するため、本発明によるデータ保護方法では、第2のセッション鍵をラップトップ4で導出するのではなく、移動電話機1においてすでに、第1のセッション鍵から導出する。導出された第2のセッション鍵はその後、ブルートゥースインタフェース3を介して保護プロトコルを使用して、ラップトップへ転送される。ラップトップは、この第2のセッション鍵または第2のセッション鍵から導出された別の鍵を使用して、WLANネットワークにおいて認証プロトコルを使用して認証を行う。このようにして、第1のセッション鍵はラップトップに記憶されなくなるので、ラップトップの管理権を有する攻撃者が、第1のセッション鍵を使用して移動無線接続を確立する可能性はない。
【0021】
以下で本発明を、2つの実施例に基づいて詳細に説明する。第1の実施例では、SIMモジュールを有するGSM移動電話機を第1の端末機器とし、第2の実施例では、USIMモジュールを有するUMTS移動電話機を第1の端末機器とする。
【0022】
第1の実施例では、WLANネットワークにおいて認証を行うための認証プロトコルとして、従来技術から公知のEAP‐SIMプロトコル(文献[1]参照)が使用される。ここでは、移動電話機のSIMモジュールはいわゆる「全認証(Full Authentication)」(文献[1]第3パラグラフを参照されたい)にのみ関与し、いわゆる「再認証(Re-Authentication)」(文献[1]第4.3パラグラフを参照されたい)には関与しないことが前提とされる。認証プロセスの詳細なメッセージフローは、文献[1]の第3パラグラフ(とりわけ図1を参照されたい)に記載されている。認証時には、以下のステップが実施される。
【0023】
移動電話機1はラップトップ4から、プロトコル識別子(EAP‐SIM)と、2つまたは3つのGSMチャレンジRANDと、パラメータ "Identity"、"NONCE_MT"、"Version List" および "Selected Version" とを受信する。パラメータ "Identity"、"NONCE_MT"、"Version List" および "Selected Version" は、文献[1]に詳述されている。移動電話機1は連続して、受信された各RANDを所属のSIMモジュールへ伝送する。次のRANDは、SIMモジュールによって先行するRANDに対して応答が完了された際に初めて、SIMモジュールへ伝送される。
【0024】
SIMモジュール上では、各RANDごとに次の機能が実行される:
文献[4]に記載されているような、GSMアルゴリズムA3/A8の実行、すなわち、レスポンスSRESおよびGSMセッション鍵Kcの導出。パラメータSRESおよびKcは、SIMによって移動電話機へ伝送される。このようにして移動電話機は、SIMとの通信の終了後には、受信されたRANDの数に応じて、2つまたは3つのレスポンスSRESと2つまたは3つのセッション鍵Kcとを有する。セッション鍵Kcは、請求項の記載によれば第1のセッション鍵である。
【0025】
これに基づいて移動電話機は、文献[1]の第4.6パラグラフに記載されたようなEAP‐SIMマスタキーMKを、以下の数式にしたがって算出する(ここでMKは、請求項よれば第2のセッション鍵である):
MK = SHA1 (Identity|n*Kc| NONCE_MT| Version List| Selected Version)
その後、移動電話機はMKおよびレスポンスSRESをラップトップへ送信する。
【0026】
上記の式において、「|」は結合を意味する。Identityは、最後にゼロシンボルを有さないストリングのピア識別子を意味する。これはここでは、最後のEAP‐レスポンス/SIM/スタート‐パケットのAT_IDENTITY属性の識別子であるか、またはAT_IDENTITYが使用されなかった場合には、EAP‐レスポンス/識別子‐パケットの識別子である。この識別子ストリングは変更なしで使用され、可能な識別子修飾部(Dekoration)を有する。n*KC という表記は、結合されたn個のKc値を示す。Kc鍵は、AT_RAND属性においてRANDチャレンジと同じ順序で使用される。NONCE_MT は、NONCE_MT値(AT_NONCE_MT属性ではなく、NONCE値のみである)を示す。"Version List" は、AT_VERSION_LISTの2バイトのバージョン番号を含む。しかもこのバージョン番号は、属性と同じ順序になっている。"Selected Version" は、AT_SELECTED_VERSIONの2バイトのバージョンである。ネットワークのバイトのオーダは、属性と同じように使用される。ハッシュ関数SHA‐1は、文献[5]において詳述されている。複数のEPA/SIM/スタート‐ループがEAP/SIM交換で使用される場合、パラメータNONCE_MT、"Version List" および "Selected Version" は最後のEAP/SIM/スタート‐ループによって使用され、先行のEAP/SIM/スタート‐ループは無視される。
【0027】
ここでラップトップは、MK、とりわけいわゆる「セッションキー(session key)」から、別のすべての鍵を算出する。ラップトップはまた、文献[1]の第3パラグラフの図1に示されたテスト "verifies AT_MAC" を実行する。ラップトップがセッション鍵Kcを推定できるようになるのを阻止するためには、セッション鍵KcからMKを計算するための鍵導出で十分である。
【0028】
移動電話機1においてマスタキーを計算するために必要とされるパラメータを伝送するためには、拡張されたブルートゥースSIMアクセスプロフィールが使用される。ここでは、既存のSIMアクセスプロフィールで使用されるメッセージ "TRANSFER_APDU_REQ" が、パラメータ "AuthProt"、"EAP-Id"、"NONCE_MT"、"Version List" および "Selected Version" によって拡張される。EAP‐Idの伝送は、移動電話機がEAP‐Idを固有のデータから導出できる場合には、オプションである。さらに、2つまたは3つのGSMチャレンジRANDが伝送される。このGSMチャレンジの伝送は、文献[3]ですでに考察されている。
【0029】
以下で、拡張されたブルートゥースSIMアクセスプロフィールにおいて使用されるパラメータを詳細に記述する。
【0030】
パラメータ:AuthProt
このパラメータは、使用される認証プロトコルを示す。
長さ:1バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP‐SIM値=0x01
パラメータ:EAP‐Id
このパラメータは、マスタキーの導出で使用されるユーザのEAP識別子(文献[1]の第4.6パラグラフに記載されているような、永続的な識別子または仮の識別子)を含む。
長さ:可変
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP識別子の適切な符号化(符号化は本発明では重要でない)
パラメータ:"NONCE_MT"
このパラメータは、マスタキーの導出で使用されるEAPピアのNONCE_MT値を含む(文献[1]第4.6パラグラフに記載されたようなもの)。
長さ:16バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:NONCE_MT値の適切な符号化(符号化は本発明では重要でない)
パラメータ:"Version List"
このパラメータは、マスタキーの導出で使用されるバージョンリスト(文献[1]第4.6パラグラフに記載されたようなもの)を含む。
長さ:2バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:バージョンリストの適切な符号化(符号化は本発明では重要でない)
パラメータ:"Selected Version"
このパラメータは、マスタキーの導出で使用されるEAPピアの選択されたバージョンを含む(文献[1]第4.6パラグラフに記載されたようなもの)。
長さ:2バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:選択されたバージョンの適切な符号化(符号化は本発明では重要でない)
メッセージ "TRANSFER_APDU_RESP" は、SIMアクセスプロフィールの現在の仕様に含まれている(文献[3]第5.2パラグラフを参照されたい)。このメッセージは、パラメータ "MK" によって拡張される。さらに、2つまたは3つのGSMレスポンスSRESが伝送される。このGSMレスポンスの伝送は、文献[3]ですでに考察されている。
【0031】
パラメータ:MK
このパラメータは、文献[1]第4.6パラグラフに記載のように移動電話機で算出されたマスタキーを含む。
長さ:20バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:マスタキーMKの適切な符号化(符号化は本発明では重要でない)
UMTS移動電話機が使用される場合、WLANネットワーク6において認証を行うための認証プロトコルとして、従来技術から公知のEAP‐AKAプロトコルが使用される(文献[2]を参照されたい)。この認証はここでは、文献[2]第3パラグラフ(ここでは、とりわけ図を参照されたい)に記載のように行われる。ここでは、USIMモジュールおよび移動電話機は「全認証(Full Authentication)」(文献[2]第3パラグラフを参照されたい)にのみ関与し、「再認証(Re-Authentication)」(文献[2]第3パラグラフを参照されたい)には関与しないことが前提とされる。この移動電話機は、以下のような機能を実行する。以下のパラメータは、文献[2]に詳細に記載されている。
【0032】
移動電話機はラップトップから、プロトコル識別子(EAP‐AKA)と、AKAチャレンジ RAND|AUTNと、パラメータ "Identity" とを受け取り、RANDおよびAUTNをUSIMモジュールへ伝送する。パラメータ "Identity" はここでは、ユーザによってEAPにおいて使用される識別子を示す。この識別子は、文献[2]第4.2パラグラフに詳細に記載されている。
【0033】
USIM上では、以下の機能が実行される:
文献[6]に記載されているようなUMTSアルゴリズムのf1〜f5*の実行。とりわけ、AUTNおよびMACの確認、ならびにレスポンスRESおよびAKAセッション鍵CKおよびIKの導出。これらの鍵は、請求項の記載によれば第1のセッション鍵である。パラメータRES、CKおよびIKは、USIMモジュールから移動電話機へ伝送される。
【0034】
移動電話機はこれに基づいて、文献[2]第4.5パラグラフに記載されたようなEAP‐AKAマスタキーMKを、以下の数式にしたがって算出する(MKはここでは、請求項によれば第2のセッション鍵である):
MK=SHA1(Identity|IK|CK)
移動電話機はこのMKおよびRESを、ラップトップへ送信する。
【0035】
上記の数式において、「|」は結合を意味する。Identityは、最後にゼロシンボルを有さないピア識別子ストリングを表す。この識別子は、最後のEAP‐レスポンス/AKA‐識別子パケットのAT_IDENTITY属性の識別子であるか、または、AT_IDENTITYが使用されなかった場合にはEAP‐レスポンス/識別子‐パケットの識別子である。この識別子ストリングは変更なしで使用され、可能な識別子修飾部のみを有する。ハッシュ関数SHA‐1は、文献[5]に詳述されている。
【0036】
ラップトップはその後、MKからすべての別の鍵を計算し、とりわけ、文献[2]の第3パラグラフ中の図で言及されている「セッション鍵(session keys)」を計算する。ラップトップがCKおよびIKを推定するのが可能になるのを阻止するためには、MKをCKおよびIKから計算するための鍵導出を行うので十分である。
【0037】
移動電話機においてマスタキーを計算するのに必要とされるパラメータを伝送するためには、ローカルのブルートゥースインタフェースを介してパラメータを伝送するために使用される拡張されたブルートゥースSIMアクセスプロトコルが定義される。以下で、拡張されたブルートゥースSIMアクセスプロフィールで使用されるパラメータを詳細に定義する:
メッセージ "TRANSFER_APDU_REQ" は、SIMアクセスプロフィールの現在の仕様に含まれている。ここで、文献[3]第5.2パラグラフを参照されたい。このメッセージは、パラメータ "AuthProt" および "EAP-Id" によって拡張される。EAP-Idの伝送は、移動電話機が固有のデータからEAP-Idを導出できる場合には、オプションである。さらに、AKAチャレンジRAND|AUTNが伝送される。AKAチャレンジの伝送は、文献[3]ですでに考察されている。
【0038】
パラメータ:AuthProt
このパラメータは、使用される認証プロトコルを示す。
長さ:1バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP‐AKA:値=0x00
パラメータ:EAP-Id
このパラメータは、マスタキーの導出で使用されるユーザのEAP識別子を含む(文献[2]第4.5パラグラフによれば、持続的な識別子または仮の識別子)。
長さ:可変
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP識別子の適切な符号化(符号化はここでは重要でない)
メッセージ "TRANSFER_APDU_RESP" は、SIMアクセスプロフィールの現在の仕様に含まれている。ここで、文献[3]第5.2パラグラフを参照されたい。このメッセージは、パラメータ "MK" によって拡張される。さらに、AKAレスポンスRESが伝送される。このAKAレスポンスの伝送は、文献[3]ですでに考察されている。
【0039】
パラメータ:MK
このパラメータは、文献[2]第4.5パラグラフの記載にしたがって移動電話機において計算されたマスタキーを含む。
長さ:20バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:マスタキーMKの適切な符号化(符号化は本発明では重要でない)
文献リスト:
[1]H.Haverinen, J.Salowey "EAP SIM Authentication", Internet Draft, draft-haverinen-pppext-eap-sim-12, October 2003;
http://www.ietf.org/internet-drafts/draft-haverinen-pppext-eap-sim-12.txt
[2]J.Arkko, H.Haverinen, "EAP AKA Authentication", Internet Draft, draft-arkko-pppext-eap-aka-11, October 2003;
http://www.ietf.org/internet-drafts/draft-arkko-pppext-eap-aka-11.txt
[3]"SIM access via 'SIM Access Profile' and Bluetooth link", 3GPP meeting SA3#29に対する寄稿, San Francisco, 15.-18. July 2003;
ftp://ftp.3gpp.org/TSG_SA/WG3_Security/TSGS3_29_SanFran/Docs/ZIP/S3-030436.zip; Version 0.95VD_d、付録att2の改訂版
[4]GSM Technical Specification GSM 03.20 (ETSI TS 100 929): "Digital cellular telecommunication system (Phase 2+); Security related network functions", European Telecommunications Standards Institute, July 1999
[5]Federal Information Processing Standard (FIPS) Publication 180-1, "Secure Hash Standard", National Institute of Standards and Technology, U.S. Department of Commerce, April 17, 1995
[6]3GPP Technical Specification 3GPP TS 33.102 V5.3.0: "Technical Specification Group Services and System Aspects; 3G Security; Security Architecture (Release 5)", 3rd Generation Partnership Project, September 2003;
ftp://ftp.3gpp.org/Specs/latest/Rel-5/33_series/
【図面の簡単な説明】
【0040】
【図1】本発明によるデータトラフィック保護方法が適用されるシナリオの一例を示している。
【技術分野】
【0001】
本発明は、第1の端末機器および第1のネットワークと第2の端末機器および第2のネットワークとの間でデータトラフィックを保護する方法に関する。さらに本発明は、本発明による方法を実施するために構成された相応の第1の端末機器および相応の第2の端末機器に関する。
【0002】
現在、移動電話機のユーザに対して、適切なアクセスネットワークを介して移動無線網にアクセスするだけでなく、たとえばインターネット等の別のネットワークにアクセスできるようにする必要性が生じている。インターネットにアクセスする際にはとりわけ、伝送されるデータが移動電話機に表示されるだけでなく、たとえばラップトップ等の別の端末機器でも表示されるのが望ましい。
【0003】
従来技術から次のような方法が公知になっている。すなわち、移動電話機の形態である第1の端末機器がSIMモジュールまたはUSIMモジュール(SIM=Subscriber Identity Module;USIM=Universal Subscriber Identity Module)を有し、ローカルのインタフェースを介してラップトップの形態の第2の端末機器と接続する方法が公知になっている。ここではラップトップは、たとえばWLANネットワークおよび/またはインターネット等の別のネットワークにアクセスすることができる。ここで第2の端末機器は、認証プロトコルを介して別のネットワークで認証される。この認証プロトコルでは、SMモジュールないしはUSIMモジュールに由来する鍵が使用される。適切な認証プロトコルとして、たとえばEAP‐SIM(EAP=Extensible Authentication Protocol;SIM=Subscriber Identity Module;文献[1]参照)またはEAP‐AKA(EAP=Extensible Authentication Protocol;AKA=Authentication Key Agreement;文献[2]参照)というプロトコルが使用される。EAP‐SIMプロトコルはGSM移動電話において使用され、EAP‐AKAプロトコルはUMTS移動電話に使用される。
【0004】
認証プロトコルEAP‐SIMおよびEAP‐AKAでは、ネットワークとの通信接続が必要とされ、認証時にはSIMモジュールまたはUSIMモジュールの関与が必要とされる。したがって、第2の端末機器も第1の端末機器も、認証プロトコルの実行に関与する。それゆえ、第2の端末機器と第1の端末機器との間で、たとえばブルートゥースインタフェース等のローカルなインタフェースを介してデータ交換を行う必要がある。その際には認証を行うために、インタフェースを介して適切なプロフィールによって、認証データが伝送される。従来技術からは、適切なプロフィールとしてとりわけブルートゥースプロフィールが公知となっている。これはたとえば、ブルートゥースSIMアクセスプロフィール(文献[3]参照)である。ローカルなインタフェースを介して、第1のセッション鍵が伝送される。この第1のセッション鍵は本来、移動電話機と相応の移動無線網との通信を行うために使用されるものである。この第1のセッション鍵から、第2の端末機器で新たなセッション鍵が計算される。このセッション鍵によって、認証が認証プロトコルを介して実行される。ここで、第1のセッション鍵が第2の端末機器において既知であることが問題的であると判明している。それゆえ、攻撃者が第2の端末機器に対して管理権を取得すると、第1のセッション鍵にもアクセスすることができ、第1の端末機器のユーザのふりをして、本来のユーザの負担で第1のネットワークで通話を行うことができる。
【0005】
したがって本発明の課題は、第1の端末機器および第1のネットワークと第2の端末機器および第2のネットワークとの間でデータトラフィックを保護する方法において、高くなった保護要件を満たす方法を提供することである。とりわけ本方法では、上記の攻撃から保護を行わなければならない。
【0006】
前記課題は独立請求項によって解決される。本発明の発展形態が、従属請求項に記載されている。
【0007】
本発明による方法では、1つまたは複数のセッション鍵を使用して第1のネットワークで通信するように構成された第1の端末機器と、1つまたは複数のセッション鍵を使用して第2のネットワークで通信するように構成された第2の端末機器とが使用される。本方法では、第1の端末機器は第2の端末機器と、ローカルなインタフェースを介して接続されている。第1の端末機器で第1のセッション鍵を検出し、第2のセッション鍵を第1のセッション鍵から導出する。第2のセッション鍵は、ローカルなネットワークを介して保護プロトコルを使用して、第2の端末機器へ伝送される。最後に第2の端末機器は、第2のセッション鍵および/または第2のセッション鍵から導出された鍵を使用して、認証プロトコルを介して第2のネットワークで認証される。本発明による方法の基礎となっている思想は、第2の端末機器に第1のセッション鍵が供給されないことである。したがって、本来は第2の端末機器によって実施される機能が、第1の端末機器に移される。とりわけ、第1の端末機器ですでに、第2のセッション鍵が第1のセッション鍵から導出される。それゆえ、第2の端末機器に対して管理権を取得した攻撃者は、第1のセッション鍵にアクセスできなくなり、第1のネットワークにアクセスすることはできない。
【0008】
有利な変形形態では認証プロトコルは、該認証プロトコルの一部として、第2のセッション鍵から導出される鍵が生成され、これを使用して第2のネットワークにおいて認証プロトコルのメッセージの保護および/または通信の保護が行われるように構成されている。
【0009】
1つの実施形態では、第1のネットワークはGSMネットワークであり、第1のセッション鍵は第1の端末機器上のSIMモジュールで生成される。この場合、認証プロトコルは有利にはEAP‐SIMプロトコル(EAP=Extensible Authentication Protocol;SIM=Subscriber Identity Module)である。択一的な実施形態では、第1のネットワークはUMTSネットワークであり、第1のセッション鍵は第1の端末機器上のUSIMモジュール(USIM=Universal Subscriber Identity Module)で生成される。この場合、認証プロトコルは有利にはEAP‐AKA(EAP=Extensible Authentication Protocol;AKA=Authentication Key Agreement)である。
【0010】
第1の端末機器と第2の端末機器との間のローカルなインタフェースは、有利には無線インタフェースを介して実現される。ここではとりわけ、ブルートゥースインタフェースおよび/または赤外線インタフェースが考えられる。
【0011】
本発明による方法において第2の端末機器と通信する第2のネットワークは、有利にはローカルなネットワークであり、とりわけLANネットワークおよび/またはWLANネットワークである。このローカルなネットワークは、たとえばインターネット等の別のネットワークに接続することもできる。
【0012】
本発明の別の有利な変形形態では、情報を第1の端末機器と第2の端末機器との間で交換するために使用される保護プロトコルは、以下のように構成されている:
・第2の端末機器からの第1の指示メッセージが第1の端末機器へ送信され、第1の指示メッセージにより、第1の端末機器において第1のセッション鍵から第2のセッション鍵の導出が開始される。
【0013】
・第1の指示メッセージに対する応答で、第2の指示メッセージが第1の端末機器から第2の端末機器へ送信される。この第2の指示メッセージによって、第2のセッション鍵が転送される。
【0014】
このような構成によって、第2のセッション鍵が第1の端末機器から第2の端末機器へ簡単に転送される。有利な変形形態では、ここで第1の指示メッセージによって、認証プロトコルからのパラメータが伝送される。有利にはこの保護プロトコルは、拡張されたブルートゥースSIMアクセスプロフィールプロトコルであり、これは第1の指示メッセージおよび第2の指示メッセージを含む。本明細書では、このような拡張されたプロトコルに関する詳細な仕様および要件を特定する。
【0015】
本発明によるデータトラフィック保護方法の他に、本発明はさらに、本発明によるデータトラフィック保護方法において第1の端末機器として使用可能に構成された端末機器も含む。この端末機器は有利には、第1のセッション鍵を求めるための手段と、該第1のセッション鍵から第2のセッション鍵を導出するための手段とを有する。
【0016】
さらに本発明は、本発明によるデータトラフィック保護方法において第2の端末機器として使用可能に構成された端末機器も含む。
【0017】
本発明の実施例を以下で、添付図面に基づいて詳述する。
【0018】
図面
図1 本発明によるデータトラフィック保護方法が適用されるシナリオの一例を示している。
【0019】
図1に、移動電話機の形態の第1の端末機器1が示されている。この端末機器1は、ローカルのブルートゥースインタフェース3を介して、ラップトップ4の形態の第2の端末機器4に接続されている。この第2の端末機器4はまた、別の無線インタフェース5を介して、第2のネットワーク6にも接続されている。このネットワーク6は、図1ではWLANネットワークである。WLANネットワークで認証を行うためには、ラップトップ4とネットワーク6との間で認証プロトコルが実行される。WLANネットワーク6は別のネットワーク7にも接続されており、このネットワーク7は、たとえばインターネットである。移動電話機1は、エアインタフェースを介して移動無線網2にも接続されている。この移動無線網2は、たとえばGSMネットワークまたはUMTSネットワークである。移動電話機は移動無線網において、識別モジュールを介して識別される。この識別モジュールは、GSMの場合にはSIMモジュールであり、UMTSの場合にはUSIMモジュールである。移動電話機と移動無線網との通信を行うために、1つまたは複数の第1のセッション鍵が使用される。このセッション鍵は、移動電話機の識別モジュールで生成される。同様に、ラップトップ4とWLANネットワーク6との間で通信を行うために、1つまたは複数の第2のセッション鍵が使用される。
【0020】
図1のシナリオでは、移動電話機のユーザがラップトップ4を介して、該移動電話機の識別モジュールで生成された第1のセッション鍵を使用して、WLANネットワークにおいて認証されるようにしなければならない。こうするために第2のセッション鍵は、第1のセッション鍵から導出される。ここで、第1のセッション鍵がブルートゥースインタフェース3を介してラップトップ4へ伝送され該ラップトップで取り出される場合、攻撃者がラップトップ4に対して管理権を有する攻撃が問題になる。この場合、攻撃者は第1のセッション鍵に関する知識を得て、移動無線網2においてユーザのふりをすることができるようになる。このような攻撃を回避するため、本発明によるデータ保護方法では、第2のセッション鍵をラップトップ4で導出するのではなく、移動電話機1においてすでに、第1のセッション鍵から導出する。導出された第2のセッション鍵はその後、ブルートゥースインタフェース3を介して保護プロトコルを使用して、ラップトップへ転送される。ラップトップは、この第2のセッション鍵または第2のセッション鍵から導出された別の鍵を使用して、WLANネットワークにおいて認証プロトコルを使用して認証を行う。このようにして、第1のセッション鍵はラップトップに記憶されなくなるので、ラップトップの管理権を有する攻撃者が、第1のセッション鍵を使用して移動無線接続を確立する可能性はない。
【0021】
以下で本発明を、2つの実施例に基づいて詳細に説明する。第1の実施例では、SIMモジュールを有するGSM移動電話機を第1の端末機器とし、第2の実施例では、USIMモジュールを有するUMTS移動電話機を第1の端末機器とする。
【0022】
第1の実施例では、WLANネットワークにおいて認証を行うための認証プロトコルとして、従来技術から公知のEAP‐SIMプロトコル(文献[1]参照)が使用される。ここでは、移動電話機のSIMモジュールはいわゆる「全認証(Full Authentication)」(文献[1]第3パラグラフを参照されたい)にのみ関与し、いわゆる「再認証(Re-Authentication)」(文献[1]第4.3パラグラフを参照されたい)には関与しないことが前提とされる。認証プロセスの詳細なメッセージフローは、文献[1]の第3パラグラフ(とりわけ図1を参照されたい)に記載されている。認証時には、以下のステップが実施される。
【0023】
移動電話機1はラップトップ4から、プロトコル識別子(EAP‐SIM)と、2つまたは3つのGSMチャレンジRANDと、パラメータ "Identity"、"NONCE_MT"、"Version List" および "Selected Version" とを受信する。パラメータ "Identity"、"NONCE_MT"、"Version List" および "Selected Version" は、文献[1]に詳述されている。移動電話機1は連続して、受信された各RANDを所属のSIMモジュールへ伝送する。次のRANDは、SIMモジュールによって先行するRANDに対して応答が完了された際に初めて、SIMモジュールへ伝送される。
【0024】
SIMモジュール上では、各RANDごとに次の機能が実行される:
文献[4]に記載されているような、GSMアルゴリズムA3/A8の実行、すなわち、レスポンスSRESおよびGSMセッション鍵Kcの導出。パラメータSRESおよびKcは、SIMによって移動電話機へ伝送される。このようにして移動電話機は、SIMとの通信の終了後には、受信されたRANDの数に応じて、2つまたは3つのレスポンスSRESと2つまたは3つのセッション鍵Kcとを有する。セッション鍵Kcは、請求項の記載によれば第1のセッション鍵である。
【0025】
これに基づいて移動電話機は、文献[1]の第4.6パラグラフに記載されたようなEAP‐SIMマスタキーMKを、以下の数式にしたがって算出する(ここでMKは、請求項よれば第2のセッション鍵である):
MK = SHA1 (Identity|n*Kc| NONCE_MT| Version List| Selected Version)
その後、移動電話機はMKおよびレスポンスSRESをラップトップへ送信する。
【0026】
上記の式において、「|」は結合を意味する。Identityは、最後にゼロシンボルを有さないストリングのピア識別子を意味する。これはここでは、最後のEAP‐レスポンス/SIM/スタート‐パケットのAT_IDENTITY属性の識別子であるか、またはAT_IDENTITYが使用されなかった場合には、EAP‐レスポンス/識別子‐パケットの識別子である。この識別子ストリングは変更なしで使用され、可能な識別子修飾部(Dekoration)を有する。n*KC という表記は、結合されたn個のKc値を示す。Kc鍵は、AT_RAND属性においてRANDチャレンジと同じ順序で使用される。NONCE_MT は、NONCE_MT値(AT_NONCE_MT属性ではなく、NONCE値のみである)を示す。"Version List" は、AT_VERSION_LISTの2バイトのバージョン番号を含む。しかもこのバージョン番号は、属性と同じ順序になっている。"Selected Version" は、AT_SELECTED_VERSIONの2バイトのバージョンである。ネットワークのバイトのオーダは、属性と同じように使用される。ハッシュ関数SHA‐1は、文献[5]において詳述されている。複数のEPA/SIM/スタート‐ループがEAP/SIM交換で使用される場合、パラメータNONCE_MT、"Version List" および "Selected Version" は最後のEAP/SIM/スタート‐ループによって使用され、先行のEAP/SIM/スタート‐ループは無視される。
【0027】
ここでラップトップは、MK、とりわけいわゆる「セッションキー(session key)」から、別のすべての鍵を算出する。ラップトップはまた、文献[1]の第3パラグラフの図1に示されたテスト "verifies AT_MAC" を実行する。ラップトップがセッション鍵Kcを推定できるようになるのを阻止するためには、セッション鍵KcからMKを計算するための鍵導出で十分である。
【0028】
移動電話機1においてマスタキーを計算するために必要とされるパラメータを伝送するためには、拡張されたブルートゥースSIMアクセスプロフィールが使用される。ここでは、既存のSIMアクセスプロフィールで使用されるメッセージ "TRANSFER_APDU_REQ" が、パラメータ "AuthProt"、"EAP-Id"、"NONCE_MT"、"Version List" および "Selected Version" によって拡張される。EAP‐Idの伝送は、移動電話機がEAP‐Idを固有のデータから導出できる場合には、オプションである。さらに、2つまたは3つのGSMチャレンジRANDが伝送される。このGSMチャレンジの伝送は、文献[3]ですでに考察されている。
【0029】
以下で、拡張されたブルートゥースSIMアクセスプロフィールにおいて使用されるパラメータを詳細に記述する。
【0030】
パラメータ:AuthProt
このパラメータは、使用される認証プロトコルを示す。
長さ:1バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP‐SIM値=0x01
パラメータ:EAP‐Id
このパラメータは、マスタキーの導出で使用されるユーザのEAP識別子(文献[1]の第4.6パラグラフに記載されているような、永続的な識別子または仮の識別子)を含む。
長さ:可変
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP識別子の適切な符号化(符号化は本発明では重要でない)
パラメータ:"NONCE_MT"
このパラメータは、マスタキーの導出で使用されるEAPピアのNONCE_MT値を含む(文献[1]第4.6パラグラフに記載されたようなもの)。
長さ:16バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:NONCE_MT値の適切な符号化(符号化は本発明では重要でない)
パラメータ:"Version List"
このパラメータは、マスタキーの導出で使用されるバージョンリスト(文献[1]第4.6パラグラフに記載されたようなもの)を含む。
長さ:2バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:バージョンリストの適切な符号化(符号化は本発明では重要でない)
パラメータ:"Selected Version"
このパラメータは、マスタキーの導出で使用されるEAPピアの選択されたバージョンを含む(文献[1]第4.6パラグラフに記載されたようなもの)。
長さ:2バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:選択されたバージョンの適切な符号化(符号化は本発明では重要でない)
メッセージ "TRANSFER_APDU_RESP" は、SIMアクセスプロフィールの現在の仕様に含まれている(文献[3]第5.2パラグラフを参照されたい)。このメッセージは、パラメータ "MK" によって拡張される。さらに、2つまたは3つのGSMレスポンスSRESが伝送される。このGSMレスポンスの伝送は、文献[3]ですでに考察されている。
【0031】
パラメータ:MK
このパラメータは、文献[1]第4.6パラグラフに記載のように移動電話機で算出されたマスタキーを含む。
長さ:20バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:マスタキーMKの適切な符号化(符号化は本発明では重要でない)
UMTS移動電話機が使用される場合、WLANネットワーク6において認証を行うための認証プロトコルとして、従来技術から公知のEAP‐AKAプロトコルが使用される(文献[2]を参照されたい)。この認証はここでは、文献[2]第3パラグラフ(ここでは、とりわけ図を参照されたい)に記載のように行われる。ここでは、USIMモジュールおよび移動電話機は「全認証(Full Authentication)」(文献[2]第3パラグラフを参照されたい)にのみ関与し、「再認証(Re-Authentication)」(文献[2]第3パラグラフを参照されたい)には関与しないことが前提とされる。この移動電話機は、以下のような機能を実行する。以下のパラメータは、文献[2]に詳細に記載されている。
【0032】
移動電話機はラップトップから、プロトコル識別子(EAP‐AKA)と、AKAチャレンジ RAND|AUTNと、パラメータ "Identity" とを受け取り、RANDおよびAUTNをUSIMモジュールへ伝送する。パラメータ "Identity" はここでは、ユーザによってEAPにおいて使用される識別子を示す。この識別子は、文献[2]第4.2パラグラフに詳細に記載されている。
【0033】
USIM上では、以下の機能が実行される:
文献[6]に記載されているようなUMTSアルゴリズムのf1〜f5*の実行。とりわけ、AUTNおよびMACの確認、ならびにレスポンスRESおよびAKAセッション鍵CKおよびIKの導出。これらの鍵は、請求項の記載によれば第1のセッション鍵である。パラメータRES、CKおよびIKは、USIMモジュールから移動電話機へ伝送される。
【0034】
移動電話機はこれに基づいて、文献[2]第4.5パラグラフに記載されたようなEAP‐AKAマスタキーMKを、以下の数式にしたがって算出する(MKはここでは、請求項によれば第2のセッション鍵である):
MK=SHA1(Identity|IK|CK)
移動電話機はこのMKおよびRESを、ラップトップへ送信する。
【0035】
上記の数式において、「|」は結合を意味する。Identityは、最後にゼロシンボルを有さないピア識別子ストリングを表す。この識別子は、最後のEAP‐レスポンス/AKA‐識別子パケットのAT_IDENTITY属性の識別子であるか、または、AT_IDENTITYが使用されなかった場合にはEAP‐レスポンス/識別子‐パケットの識別子である。この識別子ストリングは変更なしで使用され、可能な識別子修飾部のみを有する。ハッシュ関数SHA‐1は、文献[5]に詳述されている。
【0036】
ラップトップはその後、MKからすべての別の鍵を計算し、とりわけ、文献[2]の第3パラグラフ中の図で言及されている「セッション鍵(session keys)」を計算する。ラップトップがCKおよびIKを推定するのが可能になるのを阻止するためには、MKをCKおよびIKから計算するための鍵導出を行うので十分である。
【0037】
移動電話機においてマスタキーを計算するのに必要とされるパラメータを伝送するためには、ローカルのブルートゥースインタフェースを介してパラメータを伝送するために使用される拡張されたブルートゥースSIMアクセスプロトコルが定義される。以下で、拡張されたブルートゥースSIMアクセスプロフィールで使用されるパラメータを詳細に定義する:
メッセージ "TRANSFER_APDU_REQ" は、SIMアクセスプロフィールの現在の仕様に含まれている。ここで、文献[3]第5.2パラグラフを参照されたい。このメッセージは、パラメータ "AuthProt" および "EAP-Id" によって拡張される。EAP-Idの伝送は、移動電話機が固有のデータからEAP-Idを導出できる場合には、オプションである。さらに、AKAチャレンジRAND|AUTNが伝送される。AKAチャレンジの伝送は、文献[3]ですでに考察されている。
【0038】
パラメータ:AuthProt
このパラメータは、使用される認証プロトコルを示す。
長さ:1バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP‐AKA:値=0x00
パラメータ:EAP-Id
このパラメータは、マスタキーの導出で使用されるユーザのEAP識別子を含む(文献[2]第4.5パラグラフによれば、持続的な識別子または仮の識別子)。
長さ:可変
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:EAP識別子の適切な符号化(符号化はここでは重要でない)
メッセージ "TRANSFER_APDU_RESP" は、SIMアクセスプロフィールの現在の仕様に含まれている。ここで、文献[3]第5.2パラグラフを参照されたい。このメッセージは、パラメータ "MK" によって拡張される。さらに、AKAレスポンスRESが伝送される。このAKAレスポンスの伝送は、文献[3]ですでに考察されている。
【0039】
パラメータ:MK
このパラメータは、文献[2]第4.5パラグラフの記載にしたがって移動電話機において計算されたマスタキーを含む。
長さ:20バイト
パラメータID:ブルートゥーススペシャルインタレストグループ(SIG)によって定義される(本発明では重要でない)
パラメータ値:マスタキーMKの適切な符号化(符号化は本発明では重要でない)
文献リスト:
[1]H.Haverinen, J.Salowey "EAP SIM Authentication", Internet Draft, draft-haverinen-pppext-eap-sim-12, October 2003;
http://www.ietf.org/internet-drafts/draft-haverinen-pppext-eap-sim-12.txt
[2]J.Arkko, H.Haverinen, "EAP AKA Authentication", Internet Draft, draft-arkko-pppext-eap-aka-11, October 2003;
http://www.ietf.org/internet-drafts/draft-arkko-pppext-eap-aka-11.txt
[3]"SIM access via 'SIM Access Profile' and Bluetooth link", 3GPP meeting SA3#29に対する寄稿, San Francisco, 15.-18. July 2003;
ftp://ftp.3gpp.org/TSG_SA/WG3_Security/TSGS3_29_SanFran/Docs/ZIP/S3-030436.zip; Version 0.95VD_d、付録att2の改訂版
[4]GSM Technical Specification GSM 03.20 (ETSI TS 100 929): "Digital cellular telecommunication system (Phase 2+); Security related network functions", European Telecommunications Standards Institute, July 1999
[5]Federal Information Processing Standard (FIPS) Publication 180-1, "Secure Hash Standard", National Institute of Standards and Technology, U.S. Department of Commerce, April 17, 1995
[6]3GPP Technical Specification 3GPP TS 33.102 V5.3.0: "Technical Specification Group Services and System Aspects; 3G Security; Security Architecture (Release 5)", 3rd Generation Partnership Project, September 2003;
ftp://ftp.3gpp.org/Specs/latest/Rel-5/33_series/
【図面の簡単な説明】
【0040】
【図1】本発明によるデータトラフィック保護方法が適用されるシナリオの一例を示している。
【特許請求の範囲】
【請求項1】
第1の端末機器(1)および第1のネットワーク(2)と第2の端末機器(4)および第2のネットワーク(6)との間でデータトラフィックを保護する方法であって、
該第1の端末機器(1)は、1つまたは複数の第1のセッション鍵を使用して第1のネットワーク(2)において通信し、
該第2の端末機器(4)は、1つまたは複数の第2のセッション鍵を使用して第2のネットワーク(6)において通信する形式の方法において、
・該第1の端末機器(1)と第2の端末機器(4)とを、ローカルなインタフェース(3)を介して接続するステップと、
・該第1の端末機器(1)において1つまたは複数の第1のセッション鍵を求め、該1つまたは複数の第1のセッション鍵から、1つまたは複数の第2のセッション鍵を導出するステップと、
・前記ローカルなインタフェース(3)を介して保護プロトコルを使用して、該1つまたは複数の第2のセッション鍵を第2の端末機器(4)へ伝送するステップと、
・該1つまたは複数の第2のセッション鍵および/または該1つまたは複数の第2のセッション鍵から導出された鍵を使用して、認証プロトコルを介して、該第2の端末機器(4)を該第2のネットワーク(6)において認証するステップ
とを有することを特徴とする方法。
【請求項2】
認証プロトコルの一部として、前記1つまたは複数の第1のセッション鍵から導出される鍵を生成し、該鍵を使用して、第2のネットワークにおいて認証プロトコルのメッセージの保護および/または通信の保護を行う、請求項1記載の方法。
【請求項3】
第1のネットワーク(2)はGSMネットワークであり、
1つまたは複数の第1のセッション鍵を、該第1の端末機器(1)上のSIM(SIM=Subscriber Identity Module)で生成する、請求項1または2記載の方法。
【請求項4】
認証プロトコルは、EAP‐SIM(EAP=Extensible Authentication Protocol; SIM=Subscriber Identity Module)である、請求項3記載の方法。
【請求項5】
第1のネットワーク(1)はUMTSネットワークであり、
1つまたは複数の第1のセッション鍵を、第1の端末機器(1)上のUSIM(USIM=Universal Subscriber Identity Module)で生成する、請求項1または2記載の方法。
【請求項6】
認証プロトコルはEAP‐AKA(EAP=Extensible Authentication Protocol; AKA=Authentication Key Agreement)である、請求項5記載の方法。
【請求項7】
ローカルなインタフェース(3)は無線インタフェースであり、たとえばブルートゥースインタフェースおよび/または赤外線インタフェースである、請求項1から6までのいずれか1項記載の方法。
【請求項8】
第2のネットワーク(6)の一部は、ローカルなネットワークであり、たとえばLANネットワークおよび/またはWLANネットワークである、請求項1から7までのいずれか1項記載の方法。
【請求項9】
保護プロトコルは、
・第1の指示メッセージが第2の端末機器(4)から第1の端末機器(1)へ送信され、第1の端末機器(1)において該第1の指示メッセージによって、第1のセッション鍵から第2のセッション鍵の導出が開始され、
・該第1の指示メッセージに対する応答で、第2の指示メッセージが第1の端末機器(1)から第2の端末機器(4)へ送信され、該第2の指示メッセージによって第2のセッション鍵が伝送される
ように構成されている、請求項1から8までのいずれか1項記載の方法。
【請求項10】
第1の指示メッセージによって、認証プロトコルからのパラメータを伝送する、請求項1から9までのいずれか1項記載の方法。
【請求項11】
保護プロトコルは、前記第1の指示メッセージおよび第2の指示メッセージを含む拡張されたブルートゥースSIMアクセスプロフィールプロトコルである、請求項9または10記載の方法。
【請求項12】
端末機器において、
請求項1から11までのいずれか1項記載の方法において第1の端末機器(1)として使用可能であるように構成されていることを特徴とする端末機器。
【請求項13】
1つまたは複数のセッション鍵を求めるための手段と、1つまたは複数の第2のセッション鍵を該第1のセッション鍵から導出するための手段とを有する、請求項12記載の端末機器。
【請求項14】
端末機器において、
請求項1から11までのいずれか1項記載の方法において第2の端末機器として使用可能であるように構成されていることを特徴とする端末機器。
【請求項1】
第1の端末機器(1)および第1のネットワーク(2)と第2の端末機器(4)および第2のネットワーク(6)との間でデータトラフィックを保護する方法であって、
該第1の端末機器(1)は、1つまたは複数の第1のセッション鍵を使用して第1のネットワーク(2)において通信し、
該第2の端末機器(4)は、1つまたは複数の第2のセッション鍵を使用して第2のネットワーク(6)において通信する形式の方法において、
・該第1の端末機器(1)と第2の端末機器(4)とを、ローカルなインタフェース(3)を介して接続するステップと、
・該第1の端末機器(1)において1つまたは複数の第1のセッション鍵を求め、該1つまたは複数の第1のセッション鍵から、1つまたは複数の第2のセッション鍵を導出するステップと、
・前記ローカルなインタフェース(3)を介して保護プロトコルを使用して、該1つまたは複数の第2のセッション鍵を第2の端末機器(4)へ伝送するステップと、
・該1つまたは複数の第2のセッション鍵および/または該1つまたは複数の第2のセッション鍵から導出された鍵を使用して、認証プロトコルを介して、該第2の端末機器(4)を該第2のネットワーク(6)において認証するステップ
とを有することを特徴とする方法。
【請求項2】
認証プロトコルの一部として、前記1つまたは複数の第1のセッション鍵から導出される鍵を生成し、該鍵を使用して、第2のネットワークにおいて認証プロトコルのメッセージの保護および/または通信の保護を行う、請求項1記載の方法。
【請求項3】
第1のネットワーク(2)はGSMネットワークであり、
1つまたは複数の第1のセッション鍵を、該第1の端末機器(1)上のSIM(SIM=Subscriber Identity Module)で生成する、請求項1または2記載の方法。
【請求項4】
認証プロトコルは、EAP‐SIM(EAP=Extensible Authentication Protocol; SIM=Subscriber Identity Module)である、請求項3記載の方法。
【請求項5】
第1のネットワーク(1)はUMTSネットワークであり、
1つまたは複数の第1のセッション鍵を、第1の端末機器(1)上のUSIM(USIM=Universal Subscriber Identity Module)で生成する、請求項1または2記載の方法。
【請求項6】
認証プロトコルはEAP‐AKA(EAP=Extensible Authentication Protocol; AKA=Authentication Key Agreement)である、請求項5記載の方法。
【請求項7】
ローカルなインタフェース(3)は無線インタフェースであり、たとえばブルートゥースインタフェースおよび/または赤外線インタフェースである、請求項1から6までのいずれか1項記載の方法。
【請求項8】
第2のネットワーク(6)の一部は、ローカルなネットワークであり、たとえばLANネットワークおよび/またはWLANネットワークである、請求項1から7までのいずれか1項記載の方法。
【請求項9】
保護プロトコルは、
・第1の指示メッセージが第2の端末機器(4)から第1の端末機器(1)へ送信され、第1の端末機器(1)において該第1の指示メッセージによって、第1のセッション鍵から第2のセッション鍵の導出が開始され、
・該第1の指示メッセージに対する応答で、第2の指示メッセージが第1の端末機器(1)から第2の端末機器(4)へ送信され、該第2の指示メッセージによって第2のセッション鍵が伝送される
ように構成されている、請求項1から8までのいずれか1項記載の方法。
【請求項10】
第1の指示メッセージによって、認証プロトコルからのパラメータを伝送する、請求項1から9までのいずれか1項記載の方法。
【請求項11】
保護プロトコルは、前記第1の指示メッセージおよび第2の指示メッセージを含む拡張されたブルートゥースSIMアクセスプロフィールプロトコルである、請求項9または10記載の方法。
【請求項12】
端末機器において、
請求項1から11までのいずれか1項記載の方法において第1の端末機器(1)として使用可能であるように構成されていることを特徴とする端末機器。
【請求項13】
1つまたは複数のセッション鍵を求めるための手段と、1つまたは複数の第2のセッション鍵を該第1のセッション鍵から導出するための手段とを有する、請求項12記載の端末機器。
【請求項14】
端末機器において、
請求項1から11までのいずれか1項記載の方法において第2の端末機器として使用可能であるように構成されていることを特徴とする端末機器。
【公表番号】特表2007−511151(P2007−511151A)
【公表日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願番号】特願2006−538857(P2006−538857)
【出願日】平成16年11月10日(2004.11.10)
【国際出願番号】PCT/EP2004/052909
【国際公開番号】WO2005/046157
【国際公開日】平成17年5月19日(2005.5.19)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
【公表日】平成19年4月26日(2007.4.26)
【国際特許分類】
【出願日】平成16年11月10日(2004.11.10)
【国際出願番号】PCT/EP2004/052909
【国際公開番号】WO2005/046157
【国際公開日】平成17年5月19日(2005.5.19)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
[ Back to top ]