認証および鍵合意プロトコルを安全にするための方法
本発明は、第三世代移動システムにおける認証および鍵合意AKA手続きにおいて使用するために、ランダムおよび秘密鍵Kに基づいて派生鍵素材を生成する、認証サーバと、セキュアサーバとを含む通信ネットワークにおける移動端末装置のためのパーソナルトークンにおいて、受け取られたランダム、およびパーソナルトークンの中に格納された秘密鍵Kに基づき、派生鍵素材Ck、Ikを再計算するためのプログラム命令を含むパーソナルトークンであって、受け取られたさらなるデータを解釈するために、派生鍵素材の再計算された一部を使用するためのプログラム命令を含むことを特徴とするパーソナルトークンに関する。標準のAKA手続きのこの変更は、パーソナルトークンが、鍵素材を移動端末装置が利用できないままにすることを可能にする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークに関し、より詳細には、そのようなネットワークにおける認証および鍵合意プロトコルに関する。
【背景技術】
【0002】
認証および鍵合意(AKA、Authentication and Key Agreement)プロトコルは、2つの接続されたエンティティの間において鍵素材(key material)および身元の証拠を提供するのに、有線環境および無線環境において広く使用されている。典型的な例は、ネットワークにおける認証サーバに対して認証される、セルラーネットワークにアクセスする無線加入者である。
【0003】
異なるエンティティまたはデバイスが、AKA手続きにかかわっている。
【0004】
パーソナルトークンをホストする端末装置HT(例えば、移動電話機)と認証サーバ(AS)が、互いに通信する。パーソナルトークンとセキュアサーバは、マスタキーとしても知られる、同一の秘密鍵Kを格納する。
【0005】
通常のAKAプロトコル(例えば、セキュアデータ転送を実施するための)では、認証サーバとホスト端末装置HTはともに、マスタキーから派生させられた鍵、すなわち、完全性鍵Ikおよび暗号化鍵Ckを使用することができる。そのような鍵、IkおよびCkは、一方でセキュアサーバにより、他方でパーソナルトークンにより共有されるマスタキーから導出される。
【0006】
他の状況、すなわち、特別なAKA手続きにおいて、ホスト端末装置は、完全性鍵Ikと暗号化鍵Ckの使用をともに奪われることがあり、すなわち、それらの派生鍵は、ホスト端末装置に開示されてはならない取り扱いに注意を要する(sensitive)データと見なされるべきである。
【0007】
通常のAKA手続きを実行するための手続きを、図1に関連して以下に説明する。
【0008】
通常、セキュアサーバSSは、ランダム化されたアレイRANDを選択する。RANDを、AKAAlgと呼ばれるアルゴリズム、およびセキュアサーバSSとパーソナルトークンとだけによって共有される秘密鍵Kをとともに使用して、セキュアサーバSSは、認証ベクトル(AV)を生成する。
【0009】
認証ベクトルAVは、少なくとも以下の構成要素から成る。すなわち、初期RAND、結果値(RES)、何らかの派生鍵素材(DKM)、すなわち、通常、派生鍵IkおよびCk、およびメッセージ認証コード(MAC)である。認証ベクトルAVは、次に、認証サーバASに送られる。
【0010】
認証サーバASは、値RAND、MAC値、および場合によりその他のデータを、ホスト端末装置HTに送る。ホスト端末装置は、次に、それらをパーソナルトークンSEに送る。
【0011】
パーソナルトークンSEは、格納された秘密鍵K、および受け取られたパラメータ(少なくともRAND、MAC)を使用して、AKAAlgアルゴリズムを実行する。
【0012】
パーソナルトークンSEは、共有される秘密鍵Kに基づき、かつ受け取られたRANDにも基づき、MACTを再計算する。
【0013】
次に、パーソナルトークンSEは、何らかの完全性チェック、および場合により、認証サーバの認証手続きを実行するために、再計算されたMACT値を、受け取られたMAC値と比較する(MAC=MACTか)。
【0014】
次に、パーソナルトークンSEは、RESを計算する。
【0015】
ホスト端末装置は、RESを認証サーバに送信して、パーソナルトークンが、サーバによって認証されるようにする。最後に、認証サーバASが、ホスト端末装置から受け取られたRESを、セキュアサーバSSから受け取られたXRED値と比較することにより、パーソナルトークンを認証する。
【0016】
また、パーソナルトークンSEは、派生鍵IkおよびCkも計算して、それらの鍵をRESと一緒にホスト端末装置に送信する。ホスト端末装置は、それらの派生鍵を使用して、ASに対するさらなるセキュリティ動作を実行する。
【0017】
この基本的な認証AKA手続きの例が、3GPP TS33.102において規定されたUMTS AKAである。
【発明の開示】
【発明が解決しようとする課題】
【0018】
説明されるAKA通常手続きは、ホスト端末装置HTと認証サーバASとの両方の間で、セキュア認証をもたらしかつ鍵素材を共有するためによく適合されている。しかし、一部の特別な状況では、アルゴリズムAKAAlgが、パーソナルトークン内で異なる形で処理されることが必要とされる。例えば、一部の特定の状況下で、派生鍵IkおよびCk、またはそれらの鍵の一部が、取り扱いに注意を要するデータと見なされ、したがって、ホスト端末装置に開示されることが防止されること、すなわち、派生鍵IkおよびCkが、ホスト端末装置に送られる代わりに、パーソナルトークン内部に保持されることが要求される。
【0019】
それらの特別のケースでは、多くの状況に関する基本的な要件は、ホスト端末装置が、標準のAKAまたは他の任意の手続きを使用して、派生鍵を取得することができないことである。
【課題を解決するための手段】
【0020】
本発明の目的は、派生鍵のホスト端末装置への開示を回避するための問題解決法を提供することである。
【0021】
より一般的には、通常のAKA手続きに基づくが、任意の種類であることが可能ないくつかの態様において異なる、ある特定の認証手続きが存在する。同一のパーソナルトークンが、パーソナルトークンの寿命の間に出会う可能な様々なAKA手続きに応じて、異なる反応を受ける可能性がある。
【0022】
本発明の第2の目的は、ある特定の認証手続きが要求されることをパーソナルトークンに効率的に信号通知する仕方を提案することである。
【0023】
本発明のその他の目的、特徴、および利点は、限定的ではない例として与えられ、添付の図面を参照する、本発明の好ましい実装、およびその実装のために構成されたシステムの実施形態の、以下の説明を読むことで、明らかとなろう。
【発明を実施するための最良の形態】
【0024】
図2で見られる本発明によるシステムは、AKA手続きにかかわるエンティティまたはデバイスと同一の、様々なエンティティまたはデバイスを含む。
【0025】
システムは、パーソナルトークンSEをホストする端末装置HTを含む。ある特定の実施形態では、ホスト端末装置HTは、移動電話機、または、より一般的にパーソナルトークン受け入れデバイスであることが可能であり、パーソナルトークン受け入れデバイスは、パーソナルトークンを受けるアパーチャまたはスロットを備えた筐体の形態を有することが可能であるが、パーソナルトークンが、パーソナルトークン受け入れデバイスと通信することを可能にする任意の形態であることも可能である。
【0026】
システムは、認証サーバASと、認証サーバが通信するセキュアサーバSSとを含み、そのセキュアサーバの中に、秘密鍵またはマスタキーKが保持される。
【0027】
パーソナルトークン、つまりセキュア要素SEは、端末装置HTにホストされる。ホスト端末装置HTは、トークンと通信する。
【0028】
秘密鍵Kは、トークンの中にも保持されるが、ホスト端末装置HTには開示されない。よく知られているとおり、秘密鍵Kは、パーソナルトークンとセキュアサーバとの間で共有される秘密である。
【0029】
ある特定の実施形態では、パーソナルトークン(SE)は、スマートカードとも呼ばれる、集積回路を有するカードである。
【0030】
本発明は、認証および鍵合意(AKA)手続き、すなわち、2つの接続されたエンティティの間で鍵素材を確立し、かつ身元の証拠を提供することを可能にする手続きを、安全にすることにある。
【0031】
この実施形態は、完全性鍵Ikまたは暗号化鍵Ckなどの派生鍵の、ホスト端末装置HTへの開示を回避すること、すなわち、派生鍵素材または鍵素材の一部の、ホスト端末装置HTへの開示を回避することを可能にする。
【0032】
この実施形態による手続きは、以下のステップを含む。すなわち、
ホスト端末装置HTが、認証サーバに向けてHTTP要求を送信して、AKA手続きを要求する。また、AKA手続きは、認証サーバによって要求されることも可能である。
【0033】
ASが、セキュアサーバ(SS)から標準の認証ベクトル(AV)を供給される(図2のステップ1)。
【0034】
認証ベクトル(AV)は、少なくとも以下の構成要素から成る。すなわち、初期RAND、結果値RES、以降DKMと表される派生鍵素材、すなわち、通常、派生鍵IkおよびCk、およびメッセージ認証コード(MAC)である。
【0035】
有利な実施形態では、認証サーバASは、出会ったパーソナルトークン(認証トークンとも呼ばれる)の性質に応じて、特に、出会ったパーソナルトークンに関連するユーザセキュリティ設定(USS)に基づき、MACの変更が必要であるか否かを判定する。そのような設定は、認証サーバ側にあらかじめ格納されていても、端末装置HTを介してパーソナルトークンから受け取られてもよい。
【0036】
IkおよびCkが取り扱いに注意を要するデータと考えられない、いくつかのタイプのパーソナルトークンの場合、通常のAKA手続きが、適用される、すなわち、変更されていないMACが、RAND値と一緒にトークンに伝送され、派生鍵が、次に、パーソナルトークンによってホスト端末装置HTに伝送される。
【0037】
しかし、派生鍵が、ユーザセキュリティ設定に従って隠される場合、認証サーバASは、認証ベクトルAVからMAC値を取り、派生鍵の1つを使用することにより、前記MACの変更を計算する。このため、Macは、派生鍵素材DKMの少なくとも一部を使用することにより、変更される。
【0038】
派生鍵素材を使用するMACのそのような変更の例として、その変更は、MAC*=M(MAC,DKM*)であることが可能であり、ただし、DKM*は、派生鍵素材DKMの変更された部分、例えば、完全性鍵Ikの値に基づく変更された値Ik*である。
【0039】
完全性鍵Ikと暗号化鍵Ckはともに、セキュアサーバによって実行される計算によってマスタキーKおよびRANDから派生させられる。
【0040】
後段で説明されるとおり、前記秘密マスタキーKは、パーソナルトークンSEの中にも格納され、そのような派生は、パーソナルトークンが、RANDを受け取っている限り、パーソナルトークンにおいても可能である。したがって、マスタキーKは、パーソナルトークンとセキュアサーバとの間における共有される秘密を構成する。
【0041】
セキュアサーバSSから受け取られた派生鍵IkおよびCkのどちらかに基づき、認証サーバASは、派生鍵素材の少なくとも一部の変更を計算する、すなわち、前述したDKM*パラメータを計算する。例えば、認証サーバASは、以下のとおり、完全性鍵Ikに適用される、よく知られた関数(sha−1)の最初の64ビットを取る。すなわち、
Ik*=Trunc(SHA−1(IK))
Truncは、(SHA−1)のビット出力の切り捨てを表し、(SHA−1)は、完全性鍵Ikに適用された、よく知られたハッシュ関数である。
【0042】
MAC*は、以下の形で計算されることが可能である(図2のステップ3)。すなわち、
MAC*=MAC XOR Trunc(SHA−1(IK))
MACの変更は、式MAC*=MAC XOR DKM*における、派生鍵素材の前記変更された部分DKM*の知識に応じて、好ましくは、可逆性である。
【0043】
一旦変更された値MAC*が、認証サーバASによって計算されると、認証サーバASは、RANDを、MAC*と一緒に、さらにSQN、AK、AMFなどの値と一緒に、ホスト端末装置HTに送信する(図2のステップ4)。それらの異なるデータを送信するために、例えば、同一のメッセージが使用される。
【0044】
値RESは、認証サーバの中に格納されたままである。
【0045】
ホスト端末装置HTが、次に、RAND、MAC*、SQN、AK、AMF(および、場合により、その他の値)をパーソナルトークンSEに送信する(図2のステップ5)。
【0046】
さらなるアルゴリズムAKAAlgが、パーソナルトークンSEにおいて以下の形で実行される。すなわち、
パーソナルトークンSEは、派生鍵Ck、Ik、および値RESを計算し、これらの計算は、パーソナルトークンが、マスタキーKを格納しており、CkおよびIkを計算することとおよびRESを計算することの両方のために必要であるRANDを受け取ったばかりであるために、パーソナルトークンにおいて可能である。
【0047】
その時点で、CkおよびIkは、認証サーバASの中、およびパーソナルトークンSEの中に存在するが、ホスト端末装置HTの中には存在しない。その時点まで、したがって、そのような鍵CkおよびIkは、ホスト端末装置HTに開示されないために、取り扱いに注意を要するデータと考えられることが可能である。
【0048】
この例では、パーソナルトークンは、次に、受け取られたMAC*に基づき、さらに、再計算されたIkに基づき、変更されていないMACの計算を実行する。
【0049】
その目的で、パーソナルトークンSEは、変更された完全性鍵Ik*、すなわち、派生鍵素材DKMの変更された部分DKM*を計算する。
Ik*=Trunc(sha−1(Ik))
【0050】
次に、パーソナルトークンは、受け取られ変更された値MAC*に対応するMAC値を以下のとおり計算する。すなわち、
MACC=M’(MAC*,Ik*)、すなわち、MACC=M’(MAC*,DKM*)、ただし、M’は、ASによって使用されるMの逆関数、すなわち、このケースでは、MACC=MAC* XOR Ik*である(図2のステップ6)。可逆関数M’は、パーソナルトークンSEと認証サーバASの両方によって事前に知られている。
【0051】
M’計算は、前述した詳細な例では、以下の計算である。すなわち、MACC=MAC* XOR Trunc(SHA−1(IK))である。
【0052】
また、トークンは、MACT、すなわち、RANDとマスタキーKの両方に基づいて計算されるMAC値も計算する。通常、MACは、伝送されたパラメータSQNおよびAMFにも応じる。
【0053】
MACTが、次に、MACCと比較される(図2のステップ7)。
【0054】
前述したとおり、Mは、好ましくは、可逆関数であるのに対して、変更されたMACの計算において使用される派生鍵は、両方の側で知られている。
【0055】
本発明の別の実施形態では、Mは、可逆性ではない可能性がある。そのようなケースでは、パーソナルトークンは、MAC値を再計算し、次に、MAC値の変更を再計算し、次に、受け取られ変更されたMAC値を、再計算され再変更されたMAC値と比較する。
【0056】
MACCをMACTと比較する仕方は、MACTと他の値の連結(concatenation)を比較すること、例えば、
【数1】
を、MACTと他の値の連結、例えば、
【数2】
と比較することであり、この数式において、
【数3】
は、連結記号である。
【0057】
MAC比較が不成功であったケース、すなわち、MACTが、MACCと異なるように見えるケースでは、パーソナルトークンは、MAC比較が不成功であったことをホスト端末装置HTに知らせる。
【0058】
MAC比較が成功したケースでは、パーソナルトークンSEは、RESを計算して、ホスト端末装置に送り(図2のステップ8)、他のデータ(DKM、すなわち、この例では、IkおよびCk)、またはそのデータの一部分をトークンの中に隠されたままにする。ホスト端末装置は、次に、認証サーバASによるパーソナルトークンSEの認証のために、RESを認証サーバASに送信する(図2のステップ9)。
【0059】
この例では、パーソナルトークンSEと認証サーバASはともに、Ksと名付けられたIkとCkの連結を使用して、内部NAF固有鍵Ks_int_NAFおよび外部NAF固有鍵Ks_ext_NAFを派生させる。
【0060】
内部NAF固有鍵Ks_int_NAFは、端末装置HTを介してパーソナルトークンとリモートサーバとの間でセキュアチャネルを確立するために使用されるが、端末装置HTには隠される。
【0061】
外部NAF固有鍵Ks_ext_NAFは、ホスト端末装置HTとリモートサーバとの間でセキュアチャネルを確立するために使用される。
【0062】
MACが、端末装置を介してパーソナルトークンSEに送られる前に、認証サーバASによって変更されないケースでは、パーソナルトークンSEは、通常の手続きに従って動作する、すなわち、MACの値を再計算して、チェックし、認証の後、派生鍵IkおよびCkを端末装置に提供する。
【0063】
派生鍵素材、または素材の一部の使用による、認証手続きにおけるMAC、またはRANDに関連する他の任意のデータのそのような変更は、提供される2つの手続きのうち1つの特別な手続きをトリガする可能性とは無関係に、それ自体で多くの利点をもたらす。
【0064】
これが、MACが変更されるか否かに応じる異なる手続きの可能性なしに、MACの変更が系統立って適用される理由である。
【0065】
MACの変更は、MACの真の値を隠して、不正なエンティティによって、関連するRANDを使用してMACが解釈されて、そのエンティティが、取り扱いに注意を要するデータの何らかの値を推測できることを防止するという利点を有する。
【0066】
そのような変更によって隠されてはいるものの、MACは、それでも、パーソナルトークンによって解釈されることが可能なままであり、すなわち、トークンは、依然、MACの有効性をチェックすることができる。というのは、パーソナルトークンは、そのような有効性をチェックするのに必要な派生鍵素材を埋め込むからである。
【0067】
また、MACの変更は、不正なエンティティが、伝送された(RAND,MAC)対をピックアップすることができ、その対をトークンに再生して、それと引き替えにCkおよびIkの値を得ることができることを防止するという利点も有する。
【0068】
以上すべての利点は、RANDとともに伝送される他のデータに関しても当てはまる。
【0069】
以上に説明した、隠す利点とは無関係に、MACの変更、および認証手続きにおいてRANDとともに伝送される別のデータの変更について選択する、または選択しない可能性は、そのような変更に応答してカードによって実行されるべき特別な手続きを効率的に信号通知するという利点を有する。
【0070】
このケースでは、MACのそのような変更は、取り扱いに注意を要するデータIkおよびCkをカード内に保つ必要性を信号通知する。派生鍵素材を隠すこととは異なることが可能な、いずれの手続きであれ、トークンにおいて実行されるべき特定の手続きを示すために、同一の信号通知が適用されることが可能である。変更されたMACは、前記信号通知に応答して、トークンによって実行されるべき特別な動作をトリガするものとして、トークンによって解釈されることが可能である。
【0071】
また、派生鍵素材を隠すケースにおいても、変更を介する信号通知は、RANDと一緒にトークンに送られるAMFパラメータなどのフラグを、トークンが調べるように誘導することに存することが可能である。すると、AMFの特別な値が、トークンによって、例えば、トークンまたは他の任意の手続きによってCkおよびIkが隠されることを命令している、特定の意味として読み取られることが可能である。そのような変更されたMACが存在せず、したがって、AMFフラグへのリダイレクトが存在しない場合、スマートカードは、Ck値およびIk値を開示することを許される。
【0072】
そのような例では、変更されているまたは変更されていないMACの意味と、変更されているMACによってトークンがリダイレクトされるAMFフラグの特定の値との間で、多くの組み合わせが存在する。
【0073】
前述したのと同一の手続きが、RANDとともに伝送される任意の値の変更を使用することにより、適用されることが可能である。MACと同様な別の値は、MACの計算において使用される値であることが可能である。しかし、そのような値は、好ましくは、いずれの派生鍵素材の計算においても使用されない。
【0074】
変更されることが可能なそのような他のデータは、例としてSQNであることが可能である。SQNは、以下の形で変更されることが可能である。すなわち、
認証サーバが、例えば、以下のとおり、SQNを変更する。すなわち、SQN*=SQN XOR DKM*であるようにし、次に、RAND、SQN*、および変更されていないMAC(SSによって、変更されていないSQN値およびRandから計算された)を伝送する。次に、トークンが、以下の動作を実行する。
【0075】
第1に、トークンは、受け取られたSQN(変更されていないSQN、または変更されたSQN*)が、SQN管理規則に従って正しい範囲に入っていることをチェックする。
【0076】
第2に、トークンは、可能な2つのケースを扱う。第1のケースで、トークンは、SQNが変更されていないと想定する。
【0077】
次に、トークンは、SQNが、正しい範囲に入っていることをチェックする。SQNが、正しい範囲に入っている場合、トークンは、RAND、マスタキー、ならびに通常、SQNおよびAMFに応じて、MACTを計算し、MACTを、受け取られたMACと比較する。MAC値は、好ましくは、変更されていないデータ、すなわち、変更されていないRAND、SQN、およびAMFを使用して計算される。
【0078】
MAC=MACTであった場合、トークンは、通常のAKAが行われていることを識別し、そのため、CKおよびDKが、開示される。
【0079】
MAC=MACTではなかった場合、トークンは、第2のケースを扱う。
【0080】
トークンは、SQNが変更されており、そのため、SQN*が、受け取られた値であるものと想定する。
【0081】
次に、トークンは、DKMを計算し、DKM*を計算し、SQN=SQN* XOR DKM*を計算し、マスタキー、RAND、ならびに通常、SQNおよびAMFフラグに応じて、MACTを計算し、次に、MACTを、受け取られたMACと比較する。
【0082】
MACTが、MACとは異なる場合、認証は、拒否される。
【0083】
異ならない場合、トークンは、SQNが、正しい範囲に入っていることを検証し、その後、CKおよびIKを開示しない。
【0084】
SQNまたはSQN*は、AKによって隠されて送られることが可能である(このため、SQN xor AK、またはSQN xor DKM* xor AKが送られる)。
【0085】
AMFは、例えば、
【数4】
を実行して、SQNと同時に変更されることが可能である。
【0086】
また、SQN、AMF、およびMACが、同時に変更されることも可能である。
【数5】
【0087】
しかし、RANDは、DKMを計算するのに使用されるので、変更されてはならない。
【0088】
同一の信号通知が、いくらかの取り扱いに注意を要するデータに関して、通常、派生鍵素材に関して、特定の使用方法が実施される必要があることを、カードを介してホスト端末装置に示すために適用されることが可能である。そのケースでは、派生鍵素材がSEを出ても、ホスト端末装置は、AKAAlgがパーソナルトークンにおいて行われた後に、前述したMAC手続きを実行することができる。
【図面の簡単な説明】
【0089】
【図1】知られているAKA手続きの様々なステップを示す概略図である。
【図2】AKAに基づく本発明による手続きの様々なステップを示す概略図である。
【技術分野】
【0001】
本発明は、通信ネットワークに関し、より詳細には、そのようなネットワークにおける認証および鍵合意プロトコルに関する。
【背景技術】
【0002】
認証および鍵合意(AKA、Authentication and Key Agreement)プロトコルは、2つの接続されたエンティティの間において鍵素材(key material)および身元の証拠を提供するのに、有線環境および無線環境において広く使用されている。典型的な例は、ネットワークにおける認証サーバに対して認証される、セルラーネットワークにアクセスする無線加入者である。
【0003】
異なるエンティティまたはデバイスが、AKA手続きにかかわっている。
【0004】
パーソナルトークンをホストする端末装置HT(例えば、移動電話機)と認証サーバ(AS)が、互いに通信する。パーソナルトークンとセキュアサーバは、マスタキーとしても知られる、同一の秘密鍵Kを格納する。
【0005】
通常のAKAプロトコル(例えば、セキュアデータ転送を実施するための)では、認証サーバとホスト端末装置HTはともに、マスタキーから派生させられた鍵、すなわち、完全性鍵Ikおよび暗号化鍵Ckを使用することができる。そのような鍵、IkおよびCkは、一方でセキュアサーバにより、他方でパーソナルトークンにより共有されるマスタキーから導出される。
【0006】
他の状況、すなわち、特別なAKA手続きにおいて、ホスト端末装置は、完全性鍵Ikと暗号化鍵Ckの使用をともに奪われることがあり、すなわち、それらの派生鍵は、ホスト端末装置に開示されてはならない取り扱いに注意を要する(sensitive)データと見なされるべきである。
【0007】
通常のAKA手続きを実行するための手続きを、図1に関連して以下に説明する。
【0008】
通常、セキュアサーバSSは、ランダム化されたアレイRANDを選択する。RANDを、AKAAlgと呼ばれるアルゴリズム、およびセキュアサーバSSとパーソナルトークンとだけによって共有される秘密鍵Kをとともに使用して、セキュアサーバSSは、認証ベクトル(AV)を生成する。
【0009】
認証ベクトルAVは、少なくとも以下の構成要素から成る。すなわち、初期RAND、結果値(RES)、何らかの派生鍵素材(DKM)、すなわち、通常、派生鍵IkおよびCk、およびメッセージ認証コード(MAC)である。認証ベクトルAVは、次に、認証サーバASに送られる。
【0010】
認証サーバASは、値RAND、MAC値、および場合によりその他のデータを、ホスト端末装置HTに送る。ホスト端末装置は、次に、それらをパーソナルトークンSEに送る。
【0011】
パーソナルトークンSEは、格納された秘密鍵K、および受け取られたパラメータ(少なくともRAND、MAC)を使用して、AKAAlgアルゴリズムを実行する。
【0012】
パーソナルトークンSEは、共有される秘密鍵Kに基づき、かつ受け取られたRANDにも基づき、MACTを再計算する。
【0013】
次に、パーソナルトークンSEは、何らかの完全性チェック、および場合により、認証サーバの認証手続きを実行するために、再計算されたMACT値を、受け取られたMAC値と比較する(MAC=MACTか)。
【0014】
次に、パーソナルトークンSEは、RESを計算する。
【0015】
ホスト端末装置は、RESを認証サーバに送信して、パーソナルトークンが、サーバによって認証されるようにする。最後に、認証サーバASが、ホスト端末装置から受け取られたRESを、セキュアサーバSSから受け取られたXRED値と比較することにより、パーソナルトークンを認証する。
【0016】
また、パーソナルトークンSEは、派生鍵IkおよびCkも計算して、それらの鍵をRESと一緒にホスト端末装置に送信する。ホスト端末装置は、それらの派生鍵を使用して、ASに対するさらなるセキュリティ動作を実行する。
【0017】
この基本的な認証AKA手続きの例が、3GPP TS33.102において規定されたUMTS AKAである。
【発明の開示】
【発明が解決しようとする課題】
【0018】
説明されるAKA通常手続きは、ホスト端末装置HTと認証サーバASとの両方の間で、セキュア認証をもたらしかつ鍵素材を共有するためによく適合されている。しかし、一部の特別な状況では、アルゴリズムAKAAlgが、パーソナルトークン内で異なる形で処理されることが必要とされる。例えば、一部の特定の状況下で、派生鍵IkおよびCk、またはそれらの鍵の一部が、取り扱いに注意を要するデータと見なされ、したがって、ホスト端末装置に開示されることが防止されること、すなわち、派生鍵IkおよびCkが、ホスト端末装置に送られる代わりに、パーソナルトークン内部に保持されることが要求される。
【0019】
それらの特別のケースでは、多くの状況に関する基本的な要件は、ホスト端末装置が、標準のAKAまたは他の任意の手続きを使用して、派生鍵を取得することができないことである。
【課題を解決するための手段】
【0020】
本発明の目的は、派生鍵のホスト端末装置への開示を回避するための問題解決法を提供することである。
【0021】
より一般的には、通常のAKA手続きに基づくが、任意の種類であることが可能ないくつかの態様において異なる、ある特定の認証手続きが存在する。同一のパーソナルトークンが、パーソナルトークンの寿命の間に出会う可能な様々なAKA手続きに応じて、異なる反応を受ける可能性がある。
【0022】
本発明の第2の目的は、ある特定の認証手続きが要求されることをパーソナルトークンに効率的に信号通知する仕方を提案することである。
【0023】
本発明のその他の目的、特徴、および利点は、限定的ではない例として与えられ、添付の図面を参照する、本発明の好ましい実装、およびその実装のために構成されたシステムの実施形態の、以下の説明を読むことで、明らかとなろう。
【発明を実施するための最良の形態】
【0024】
図2で見られる本発明によるシステムは、AKA手続きにかかわるエンティティまたはデバイスと同一の、様々なエンティティまたはデバイスを含む。
【0025】
システムは、パーソナルトークンSEをホストする端末装置HTを含む。ある特定の実施形態では、ホスト端末装置HTは、移動電話機、または、より一般的にパーソナルトークン受け入れデバイスであることが可能であり、パーソナルトークン受け入れデバイスは、パーソナルトークンを受けるアパーチャまたはスロットを備えた筐体の形態を有することが可能であるが、パーソナルトークンが、パーソナルトークン受け入れデバイスと通信することを可能にする任意の形態であることも可能である。
【0026】
システムは、認証サーバASと、認証サーバが通信するセキュアサーバSSとを含み、そのセキュアサーバの中に、秘密鍵またはマスタキーKが保持される。
【0027】
パーソナルトークン、つまりセキュア要素SEは、端末装置HTにホストされる。ホスト端末装置HTは、トークンと通信する。
【0028】
秘密鍵Kは、トークンの中にも保持されるが、ホスト端末装置HTには開示されない。よく知られているとおり、秘密鍵Kは、パーソナルトークンとセキュアサーバとの間で共有される秘密である。
【0029】
ある特定の実施形態では、パーソナルトークン(SE)は、スマートカードとも呼ばれる、集積回路を有するカードである。
【0030】
本発明は、認証および鍵合意(AKA)手続き、すなわち、2つの接続されたエンティティの間で鍵素材を確立し、かつ身元の証拠を提供することを可能にする手続きを、安全にすることにある。
【0031】
この実施形態は、完全性鍵Ikまたは暗号化鍵Ckなどの派生鍵の、ホスト端末装置HTへの開示を回避すること、すなわち、派生鍵素材または鍵素材の一部の、ホスト端末装置HTへの開示を回避することを可能にする。
【0032】
この実施形態による手続きは、以下のステップを含む。すなわち、
ホスト端末装置HTが、認証サーバに向けてHTTP要求を送信して、AKA手続きを要求する。また、AKA手続きは、認証サーバによって要求されることも可能である。
【0033】
ASが、セキュアサーバ(SS)から標準の認証ベクトル(AV)を供給される(図2のステップ1)。
【0034】
認証ベクトル(AV)は、少なくとも以下の構成要素から成る。すなわち、初期RAND、結果値RES、以降DKMと表される派生鍵素材、すなわち、通常、派生鍵IkおよびCk、およびメッセージ認証コード(MAC)である。
【0035】
有利な実施形態では、認証サーバASは、出会ったパーソナルトークン(認証トークンとも呼ばれる)の性質に応じて、特に、出会ったパーソナルトークンに関連するユーザセキュリティ設定(USS)に基づき、MACの変更が必要であるか否かを判定する。そのような設定は、認証サーバ側にあらかじめ格納されていても、端末装置HTを介してパーソナルトークンから受け取られてもよい。
【0036】
IkおよびCkが取り扱いに注意を要するデータと考えられない、いくつかのタイプのパーソナルトークンの場合、通常のAKA手続きが、適用される、すなわち、変更されていないMACが、RAND値と一緒にトークンに伝送され、派生鍵が、次に、パーソナルトークンによってホスト端末装置HTに伝送される。
【0037】
しかし、派生鍵が、ユーザセキュリティ設定に従って隠される場合、認証サーバASは、認証ベクトルAVからMAC値を取り、派生鍵の1つを使用することにより、前記MACの変更を計算する。このため、Macは、派生鍵素材DKMの少なくとも一部を使用することにより、変更される。
【0038】
派生鍵素材を使用するMACのそのような変更の例として、その変更は、MAC*=M(MAC,DKM*)であることが可能であり、ただし、DKM*は、派生鍵素材DKMの変更された部分、例えば、完全性鍵Ikの値に基づく変更された値Ik*である。
【0039】
完全性鍵Ikと暗号化鍵Ckはともに、セキュアサーバによって実行される計算によってマスタキーKおよびRANDから派生させられる。
【0040】
後段で説明されるとおり、前記秘密マスタキーKは、パーソナルトークンSEの中にも格納され、そのような派生は、パーソナルトークンが、RANDを受け取っている限り、パーソナルトークンにおいても可能である。したがって、マスタキーKは、パーソナルトークンとセキュアサーバとの間における共有される秘密を構成する。
【0041】
セキュアサーバSSから受け取られた派生鍵IkおよびCkのどちらかに基づき、認証サーバASは、派生鍵素材の少なくとも一部の変更を計算する、すなわち、前述したDKM*パラメータを計算する。例えば、認証サーバASは、以下のとおり、完全性鍵Ikに適用される、よく知られた関数(sha−1)の最初の64ビットを取る。すなわち、
Ik*=Trunc(SHA−1(IK))
Truncは、(SHA−1)のビット出力の切り捨てを表し、(SHA−1)は、完全性鍵Ikに適用された、よく知られたハッシュ関数である。
【0042】
MAC*は、以下の形で計算されることが可能である(図2のステップ3)。すなわち、
MAC*=MAC XOR Trunc(SHA−1(IK))
MACの変更は、式MAC*=MAC XOR DKM*における、派生鍵素材の前記変更された部分DKM*の知識に応じて、好ましくは、可逆性である。
【0043】
一旦変更された値MAC*が、認証サーバASによって計算されると、認証サーバASは、RANDを、MAC*と一緒に、さらにSQN、AK、AMFなどの値と一緒に、ホスト端末装置HTに送信する(図2のステップ4)。それらの異なるデータを送信するために、例えば、同一のメッセージが使用される。
【0044】
値RESは、認証サーバの中に格納されたままである。
【0045】
ホスト端末装置HTが、次に、RAND、MAC*、SQN、AK、AMF(および、場合により、その他の値)をパーソナルトークンSEに送信する(図2のステップ5)。
【0046】
さらなるアルゴリズムAKAAlgが、パーソナルトークンSEにおいて以下の形で実行される。すなわち、
パーソナルトークンSEは、派生鍵Ck、Ik、および値RESを計算し、これらの計算は、パーソナルトークンが、マスタキーKを格納しており、CkおよびIkを計算することとおよびRESを計算することの両方のために必要であるRANDを受け取ったばかりであるために、パーソナルトークンにおいて可能である。
【0047】
その時点で、CkおよびIkは、認証サーバASの中、およびパーソナルトークンSEの中に存在するが、ホスト端末装置HTの中には存在しない。その時点まで、したがって、そのような鍵CkおよびIkは、ホスト端末装置HTに開示されないために、取り扱いに注意を要するデータと考えられることが可能である。
【0048】
この例では、パーソナルトークンは、次に、受け取られたMAC*に基づき、さらに、再計算されたIkに基づき、変更されていないMACの計算を実行する。
【0049】
その目的で、パーソナルトークンSEは、変更された完全性鍵Ik*、すなわち、派生鍵素材DKMの変更された部分DKM*を計算する。
Ik*=Trunc(sha−1(Ik))
【0050】
次に、パーソナルトークンは、受け取られ変更された値MAC*に対応するMAC値を以下のとおり計算する。すなわち、
MACC=M’(MAC*,Ik*)、すなわち、MACC=M’(MAC*,DKM*)、ただし、M’は、ASによって使用されるMの逆関数、すなわち、このケースでは、MACC=MAC* XOR Ik*である(図2のステップ6)。可逆関数M’は、パーソナルトークンSEと認証サーバASの両方によって事前に知られている。
【0051】
M’計算は、前述した詳細な例では、以下の計算である。すなわち、MACC=MAC* XOR Trunc(SHA−1(IK))である。
【0052】
また、トークンは、MACT、すなわち、RANDとマスタキーKの両方に基づいて計算されるMAC値も計算する。通常、MACは、伝送されたパラメータSQNおよびAMFにも応じる。
【0053】
MACTが、次に、MACCと比較される(図2のステップ7)。
【0054】
前述したとおり、Mは、好ましくは、可逆関数であるのに対して、変更されたMACの計算において使用される派生鍵は、両方の側で知られている。
【0055】
本発明の別の実施形態では、Mは、可逆性ではない可能性がある。そのようなケースでは、パーソナルトークンは、MAC値を再計算し、次に、MAC値の変更を再計算し、次に、受け取られ変更されたMAC値を、再計算され再変更されたMAC値と比較する。
【0056】
MACCをMACTと比較する仕方は、MACTと他の値の連結(concatenation)を比較すること、例えば、
【数1】
を、MACTと他の値の連結、例えば、
【数2】
と比較することであり、この数式において、
【数3】
は、連結記号である。
【0057】
MAC比較が不成功であったケース、すなわち、MACTが、MACCと異なるように見えるケースでは、パーソナルトークンは、MAC比較が不成功であったことをホスト端末装置HTに知らせる。
【0058】
MAC比較が成功したケースでは、パーソナルトークンSEは、RESを計算して、ホスト端末装置に送り(図2のステップ8)、他のデータ(DKM、すなわち、この例では、IkおよびCk)、またはそのデータの一部分をトークンの中に隠されたままにする。ホスト端末装置は、次に、認証サーバASによるパーソナルトークンSEの認証のために、RESを認証サーバASに送信する(図2のステップ9)。
【0059】
この例では、パーソナルトークンSEと認証サーバASはともに、Ksと名付けられたIkとCkの連結を使用して、内部NAF固有鍵Ks_int_NAFおよび外部NAF固有鍵Ks_ext_NAFを派生させる。
【0060】
内部NAF固有鍵Ks_int_NAFは、端末装置HTを介してパーソナルトークンとリモートサーバとの間でセキュアチャネルを確立するために使用されるが、端末装置HTには隠される。
【0061】
外部NAF固有鍵Ks_ext_NAFは、ホスト端末装置HTとリモートサーバとの間でセキュアチャネルを確立するために使用される。
【0062】
MACが、端末装置を介してパーソナルトークンSEに送られる前に、認証サーバASによって変更されないケースでは、パーソナルトークンSEは、通常の手続きに従って動作する、すなわち、MACの値を再計算して、チェックし、認証の後、派生鍵IkおよびCkを端末装置に提供する。
【0063】
派生鍵素材、または素材の一部の使用による、認証手続きにおけるMAC、またはRANDに関連する他の任意のデータのそのような変更は、提供される2つの手続きのうち1つの特別な手続きをトリガする可能性とは無関係に、それ自体で多くの利点をもたらす。
【0064】
これが、MACが変更されるか否かに応じる異なる手続きの可能性なしに、MACの変更が系統立って適用される理由である。
【0065】
MACの変更は、MACの真の値を隠して、不正なエンティティによって、関連するRANDを使用してMACが解釈されて、そのエンティティが、取り扱いに注意を要するデータの何らかの値を推測できることを防止するという利点を有する。
【0066】
そのような変更によって隠されてはいるものの、MACは、それでも、パーソナルトークンによって解釈されることが可能なままであり、すなわち、トークンは、依然、MACの有効性をチェックすることができる。というのは、パーソナルトークンは、そのような有効性をチェックするのに必要な派生鍵素材を埋め込むからである。
【0067】
また、MACの変更は、不正なエンティティが、伝送された(RAND,MAC)対をピックアップすることができ、その対をトークンに再生して、それと引き替えにCkおよびIkの値を得ることができることを防止するという利点も有する。
【0068】
以上すべての利点は、RANDとともに伝送される他のデータに関しても当てはまる。
【0069】
以上に説明した、隠す利点とは無関係に、MACの変更、および認証手続きにおいてRANDとともに伝送される別のデータの変更について選択する、または選択しない可能性は、そのような変更に応答してカードによって実行されるべき特別な手続きを効率的に信号通知するという利点を有する。
【0070】
このケースでは、MACのそのような変更は、取り扱いに注意を要するデータIkおよびCkをカード内に保つ必要性を信号通知する。派生鍵素材を隠すこととは異なることが可能な、いずれの手続きであれ、トークンにおいて実行されるべき特定の手続きを示すために、同一の信号通知が適用されることが可能である。変更されたMACは、前記信号通知に応答して、トークンによって実行されるべき特別な動作をトリガするものとして、トークンによって解釈されることが可能である。
【0071】
また、派生鍵素材を隠すケースにおいても、変更を介する信号通知は、RANDと一緒にトークンに送られるAMFパラメータなどのフラグを、トークンが調べるように誘導することに存することが可能である。すると、AMFの特別な値が、トークンによって、例えば、トークンまたは他の任意の手続きによってCkおよびIkが隠されることを命令している、特定の意味として読み取られることが可能である。そのような変更されたMACが存在せず、したがって、AMFフラグへのリダイレクトが存在しない場合、スマートカードは、Ck値およびIk値を開示することを許される。
【0072】
そのような例では、変更されているまたは変更されていないMACの意味と、変更されているMACによってトークンがリダイレクトされるAMFフラグの特定の値との間で、多くの組み合わせが存在する。
【0073】
前述したのと同一の手続きが、RANDとともに伝送される任意の値の変更を使用することにより、適用されることが可能である。MACと同様な別の値は、MACの計算において使用される値であることが可能である。しかし、そのような値は、好ましくは、いずれの派生鍵素材の計算においても使用されない。
【0074】
変更されることが可能なそのような他のデータは、例としてSQNであることが可能である。SQNは、以下の形で変更されることが可能である。すなわち、
認証サーバが、例えば、以下のとおり、SQNを変更する。すなわち、SQN*=SQN XOR DKM*であるようにし、次に、RAND、SQN*、および変更されていないMAC(SSによって、変更されていないSQN値およびRandから計算された)を伝送する。次に、トークンが、以下の動作を実行する。
【0075】
第1に、トークンは、受け取られたSQN(変更されていないSQN、または変更されたSQN*)が、SQN管理規則に従って正しい範囲に入っていることをチェックする。
【0076】
第2に、トークンは、可能な2つのケースを扱う。第1のケースで、トークンは、SQNが変更されていないと想定する。
【0077】
次に、トークンは、SQNが、正しい範囲に入っていることをチェックする。SQNが、正しい範囲に入っている場合、トークンは、RAND、マスタキー、ならびに通常、SQNおよびAMFに応じて、MACTを計算し、MACTを、受け取られたMACと比較する。MAC値は、好ましくは、変更されていないデータ、すなわち、変更されていないRAND、SQN、およびAMFを使用して計算される。
【0078】
MAC=MACTであった場合、トークンは、通常のAKAが行われていることを識別し、そのため、CKおよびDKが、開示される。
【0079】
MAC=MACTではなかった場合、トークンは、第2のケースを扱う。
【0080】
トークンは、SQNが変更されており、そのため、SQN*が、受け取られた値であるものと想定する。
【0081】
次に、トークンは、DKMを計算し、DKM*を計算し、SQN=SQN* XOR DKM*を計算し、マスタキー、RAND、ならびに通常、SQNおよびAMFフラグに応じて、MACTを計算し、次に、MACTを、受け取られたMACと比較する。
【0082】
MACTが、MACとは異なる場合、認証は、拒否される。
【0083】
異ならない場合、トークンは、SQNが、正しい範囲に入っていることを検証し、その後、CKおよびIKを開示しない。
【0084】
SQNまたはSQN*は、AKによって隠されて送られることが可能である(このため、SQN xor AK、またはSQN xor DKM* xor AKが送られる)。
【0085】
AMFは、例えば、
【数4】
を実行して、SQNと同時に変更されることが可能である。
【0086】
また、SQN、AMF、およびMACが、同時に変更されることも可能である。
【数5】
【0087】
しかし、RANDは、DKMを計算するのに使用されるので、変更されてはならない。
【0088】
同一の信号通知が、いくらかの取り扱いに注意を要するデータに関して、通常、派生鍵素材に関して、特定の使用方法が実施される必要があることを、カードを介してホスト端末装置に示すために適用されることが可能である。そのケースでは、派生鍵素材がSEを出ても、ホスト端末装置は、AKAAlgがパーソナルトークンにおいて行われた後に、前述したMAC手続きを実行することができる。
【図面の簡単な説明】
【0089】
【図1】知られているAKA手続きの様々なステップを示す概略図である。
【図2】AKAに基づく本発明による手続きの様々なステップを示す概略図である。
【特許請求の範囲】
【請求項1】
セキュアサーバと、認証サーバと、パーソナルトークン(SE)をホストする少なくとも1つの端末装置(HT)とを含むネットワークにおける認証方法であって、
a. セキュアサーバにおいて、ランダム(RAND)および秘密鍵に基づく計算を実行して、派生鍵素材(Ck、Ik)を生成するステップと、
b. 前記派生鍵素材(Ck、Ik)を、前記ランダムと一緒に、さらに、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)と一緒に、セキュアサーバ(SS)から認証サーバ(AS)に送るステップと、
c. 前記認証サーバにおいて、前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップと、
d. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、ホスト端末装置を介して前記パーソナルトークンに送るステップと、
e. パーソナルトークンにおいて、さらなるデータの前記一部を変更するために認証サーバにおいて使用された、前記派生鍵素材(Ck、Ik)の前記少なくとも一部を再計算するために、受け取られたランダム(RAND)に基づく計算を実行するステップと、
f. パーソナルトークンにおいて、受け取られたさらなるデータの変更された一部を解釈するために、派生鍵素材の前記再計算された少なくとも一部を使用するステップとを含む方法。
【請求項2】
受け取られたさらなるデータの変更された一部を前記解釈することは、受け取られたさらなるデータの前記一部が、そのようなさらなるデータをパーソナルトークンに送るのに先立って変更されているか否かを識別することを含むことを特徴とする、請求項1に記載の方法。
【請求項3】
受け取られたさらなるデータの変更された一部を前記解釈することは、受け取られたさらなるデータの予期される値の有効性をチェックすることを含むことを特徴とする、請求項1に記載の方法。
【請求項4】
派生鍵素材の前記再計算された一部が、パーソナルトークンの中に保持されることを特徴とする、請求項1に記載の方法。
【請求項5】
パーソナルトークンが、前記受け取られたランダムに基づいてさらなるデータの前記一部の再計算を実行し、前記派生鍵素材に基づいてさらなるデータの前記一部の再変更を実行し、かつ再計算し再変更されたさらなるデータ部分と、さらなるデータの受け取られ変更された一部との比較を実行することを含むことを特徴とする、請求項1に記載の方法。
【請求項6】
パーソナルトークンが、セキュアサーバによって最初に生成されたさらなるデータの変更されていない一部を取得するように、さらなるデータの受け取られ変更された一部の逆変更を実行し、パーソナルトークンにおいて、前記受け取られたランダムに基づきさらに秘密鍵に基づき、さらなるデータの前記一部を再計算し、セキュアサーバによって最初に生成されたさらなるデータの変更されていない一部と、さらなるデータの再計算された一部との比較を実行することを含むことを特徴とする、請求項1に記載の方法。
【請求項7】
さらなるデータの前記変更された一部が、パーソナルトークンに対してサーバを認証するために通常、使用されるMAC(メッセージ認証コード)であることを特徴とする、請求項1から6のいずれか一項に記載の方法。
【請求項8】
パーソナルトークンが、MACの再計算を実行することを特徴とする、請求項7に記載の方法。
【請求項9】
パーソナルトークンが、派生鍵素材に基づき、再計算されたMACの変更を実行し、前記変更され再計算されたMACを、ホスト端末装置を介して認証サーバから受け取られ変更されたMACと比較することを特徴とする、請求項8に記載の方法。
【請求項10】
パーソナルトークンが、派生鍵素材を使用して、受け取られ変更されたMACの逆変更を実行し、再計算されたMACを、逆変更され受け取られたMACと比較することを特徴とする、請求項7から9のいずれか一項に記載の方法。
【請求項11】
派生鍵素材が、暗号化鍵(Ck)の少なくとも一部分を含むことを特徴とする、請求項1から10のいずれか一項に記載の方法。
【請求項12】
派生鍵素材の前記少なくとも一部が、完全性鍵(Ik)を含むことを特徴とする、請求項1から11のいずれか一項に記載の方法。
【請求項13】
g1) さらなるデータの前記一部が、派生鍵素材の前記少なくとも一部を使用して変更されている場合、派生鍵素材の少なくとも一部分をパーソナルトークンの中に保持する代替のステップと、
g2) さらなるデータの前記一部が、変更されていない場合、派生鍵素材の前記一部をパーソナルトークンから端末装置に伝送する代替のステップとを含むことを特徴とする、請求項1から12のいずれか一項に記載の方法。
【請求項14】
パーソナルトークンが、前記受け取られたランダムに基づいてさらなるデータの前記一部の再計算を実行すること、およびさらなるデータの前記受け取られた一部が、さらなるデータの再計算された一部にも、派生鍵素材を使用して再変更されたさらなるデータの前記再計算された一部にも対応しない場合、パーソナルトークンが、派生鍵素材の前記一部をパーソナルトークン内部に保持することを含むことを特徴とする、請求項13に記載の方法。
【請求項15】
パーソナルトークンが、端末装置を介して、認証サーバに応答(RES)を送り、認証サーバが、前記応答を使用してパーソナルトークンを認証すること、および認証サーバとパーソナルトークンが相互に認証されると、パーソナルトークンが、内部鍵(KsNAFint)および外部鍵(KsNAFext)を派生鍵素材(Ck、Ik)から派生させ、前記内部鍵(KsNAFint)が、端末装置を介してパーソナルトークンとリモートサーバとの間でセキュアチャネルを確立するために使用されるが、端末装置には隠され、前記外部鍵(KsNAFext)が、端末装置とリモートサーバとの間でセキュアチャネルを確立するために使用されることを特徴とする、請求項1から14のいずれか一項に記載の方法。
【請求項16】
セキュアサーバと、認証サーバと、パーソナルトークンをホストする少なくとも1つの端末装置とを含むネットワークにおける認証方法であって、
a. セキュアサーバにおいて、派生鍵素材(Ck、Ik)を生成するためにランダム(RAND)および秘密鍵に基づく計算を実行するステップと、
b. 前記派生鍵素材(Ck、Ik)を、前記ランダムと一緒に、さらに、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)と一緒に、セキュアサーバ(SS)から認証サーバ(AS)に送るステップと、
b’. 前記認証サーバにおいて、認証されるべきパーソナルトークンが、第1のタイプのパーソナルトークンであるか、または第2のタイプのパーソナルトークンであるかを判定するために、ネットワークにおいてパーソナルトークンのデータベーシスを使用するステップとを含み、
パーソナルトークンが、第1のタイプのパーソナルトークンである場合、
c1. 前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップと、
d1. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、ホスト端末装置を介して前記パーソナルトークンに送るステップと、
e1. パーソナルトークンにおいて、受け取られたRANDおよび秘密鍵Kに基づいて、前記派生鍵素材(Ck、Ik)の前記少なくとも一部を再計算するステップと、
f1. パーソナルトークンにおいて、受け取られたさらなるデータの変更された一部を解釈するために派生鍵素材の前記再計算された少なくとも一部を使用するステップと、
g1. パーソナルトークンの中に、派生鍵素材の再計算された一部を保持するステップとを含み、
パーソナルトークンが、第2のタイプのパーソナルトークンである場合、
c2. 派生鍵素材の前記一部に基づく前記変更を実行することなしに、前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN)および前記ランダム(RAND)を、ホスト端末装置を介して前記パーソナルトークンに送るステップと、
d2. パーソナルトークンにおいて、受け取られたRANDおよび秘密鍵Kに基づいて、前記派生鍵素材(Ck、Ik)の少なくとも一部を再計算して、派生鍵素材の前記少なくとも一部をパーソナルトークンから端末装置に伝送するステップとを含む方法。
【請求項17】
ランダムおよび秘密鍵(K)に基づいて派生鍵素材を生成する、認証サーバと、セキュアサーバとを含む通信ネットワークにおける端末装置のためのパーソナルトークンであって、前記パーソナルトークンは、受け取られたランダム、およびパーソナルトークンの中に格納された秘密鍵(K)に基づき、派生鍵素材(Ck、Ik)を再計算するためのプログラム命令を含み、受け取られたさらなるデータを解釈するために、派生鍵素材の再計算された一部を使用するためのプログラム命令を含むことを特徴とするパーソナルトークン。
【請求項18】
再計算された派生鍵素材をパーソナルトークンの中に保持するためのプログラム命令を含むことを特徴とする、請求項17に記載のパーソナルトークン。
【請求項19】
前記受け取られたランダムに基づいてさらなるデータの前記一部の再計算を実行し、派生鍵素材の前記一部に基づいてさらなるデータの前記一部を再変更し、かつ再計算されかつ再変更されたさらなるデータ部分を、さらなるデータの受け取られ変更された一部と比較するためのプログラム命令を含むことを特徴とする、請求項17に記載のパーソナルトークン。
【請求項20】
セキュアサーバによって最初に生成されたさらなるデータの変更されていない一部を取得するように、さらなるデータの受け取られ変更された一部の逆変更を実行し、前記受け取られたランダムに基づきさらに秘密鍵(K)に基づき、さらなるデータの前記一部を再計算し、かつセキュアサーバによって最初に生成されたさらなるデータの変更されていない一部を、さらなるデータの再計算された一部と比較するためのプログラム命令を含むことを特徴とする、請求項17に記載のパーソナルトークン。
【請求項21】
さらなるデータの前記変更される一部が、パーソナルトークンにサーバを認証するために通常、使用される、MAC(メッセージ認証コード)であることを特徴とする、請求項17に記載のパーソナルトークン。
【請求項22】
MACの再計算を実行することを特徴とする、請求項21に記載のパーソナルトークン。
【請求項23】
派生鍵素材の前記一部に基づいて、再計算されたMACの変更を実行し、かつ前記再計算されかつ再変更されたMACを、ホスト端末装置を介して認証サーバから受け取られた、変更されたMACと比較することを特徴とする、請求項21に記載のパーソナルトークン。
【請求項24】
派生鍵素材の前記一部を使用して、受け取られ変更されたMACの逆変更を実行し、かつ再計算されたMACを、逆に変更され受け取られたMACと比較することを特徴とする、請求項21に記載のパーソナルトークン。
【請求項25】
派生鍵素材が、暗号化鍵(Ck)の少なくとも一部分を含むことを特徴とする、請求項17から24のいずれか一項に記載のパーソナルトークン。
【請求項26】
派生鍵素材が、完全性鍵(Ik)の少なくとも一部分を含むことを特徴とする、請求項17から25のいずれか一項に記載のパーソナルトークン。
【請求項27】
受け取られたさらなるデータを前記解釈することは、受け取られたさらなるデータの前記一部が、前記派生鍵素材を使用して変更されているか否かを識別することを含み、パーソナルトークンが、
g1) さらなるデータの前記一部が、派生鍵素材の前記少なくとも一部を使用して変更されている場合、派生鍵素材の少なくとも所与の一部を保持する代替のステップ、および
g2) さらなるデータの前記一部が、変更されていない場合、派生鍵素材の前記所与の一部を端末装置に伝送する代替のステップを実行することを特徴とする、請求項17に記載のパーソナルトークン。
【請求項28】
受け取られたランダムに基づきさらに秘密鍵(K)に基づき、さらなるデータの前記一部の再計算を実行し、さらなるデータの前記受け取られた一部が、さらなるデータの再計算された一部にも、派生鍵素材を使用して変更された、前記再計算された一部にも対応しない場合、派生鍵素材の所与の一部をパーソナルトークン内部に保持することを特徴とする、請求項27に記載のパーソナルトークン。
【請求項29】
パーソナルトークンが、端末装置を介して応答(RES)を認証サーバに送り、認証サーバが、前記応答を使用してパーソナルトークンを認証すること、および認証サーバと認証サーバが相互に認証されると、パーソナルトークンが、内部鍵(KsNAFint)および外部鍵(KsNAFext)を派生鍵素材(Ck、Ik)の前記一部から派生させ、前記内部鍵(KsNAFint)が、端末装置を介してパーソナルトークンとリモートサーバとの間でセキュアチャネルを確立するために使用されるが、端末装置には隠され、前記外部鍵(KsNAFext)が、端末装置とリモートサーバとの間でセキュaチャネルを確立するために使用されることを特徴とする、請求項17から28のいずれか一項に記載のパーソナルトークン。
【請求項30】
パーソナルトークンをそれぞれがホストする端末装置を認証する、通信ネットワークにおける認証サーバであって、
a. ランダムと、前記ランダムに基づいて生成された派生鍵素材(Ck、Ik)と、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)とを、セキュアサーバから受け取るステップ、
b. 前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップ、および
c. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、端末装置を介して、端末装置においてホストされるパーソナルトークンに送るステップを実行する認証サーバ。
【請求項31】
パーソナルトークンをそれぞれがホストする端末装置を認証する、通信ネットワークにおける認証サーバのためのコンピュータプログラムであって、
a. ランダムと、前記ランダムに基づいて生成された派生鍵素材(Ck、Ik)と、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)とを、セキュアサーバから受け取るステップ、
b. 前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップ、および
c. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、端末装置を介して、端末装置においてホストされるパーソナルトークンに送るステップを実行するためのプログラム命令を含むコンピュータプログラム。
【請求項1】
セキュアサーバと、認証サーバと、パーソナルトークン(SE)をホストする少なくとも1つの端末装置(HT)とを含むネットワークにおける認証方法であって、
a. セキュアサーバにおいて、ランダム(RAND)および秘密鍵に基づく計算を実行して、派生鍵素材(Ck、Ik)を生成するステップと、
b. 前記派生鍵素材(Ck、Ik)を、前記ランダムと一緒に、さらに、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)と一緒に、セキュアサーバ(SS)から認証サーバ(AS)に送るステップと、
c. 前記認証サーバにおいて、前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップと、
d. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、ホスト端末装置を介して前記パーソナルトークンに送るステップと、
e. パーソナルトークンにおいて、さらなるデータの前記一部を変更するために認証サーバにおいて使用された、前記派生鍵素材(Ck、Ik)の前記少なくとも一部を再計算するために、受け取られたランダム(RAND)に基づく計算を実行するステップと、
f. パーソナルトークンにおいて、受け取られたさらなるデータの変更された一部を解釈するために、派生鍵素材の前記再計算された少なくとも一部を使用するステップとを含む方法。
【請求項2】
受け取られたさらなるデータの変更された一部を前記解釈することは、受け取られたさらなるデータの前記一部が、そのようなさらなるデータをパーソナルトークンに送るのに先立って変更されているか否かを識別することを含むことを特徴とする、請求項1に記載の方法。
【請求項3】
受け取られたさらなるデータの変更された一部を前記解釈することは、受け取られたさらなるデータの予期される値の有効性をチェックすることを含むことを特徴とする、請求項1に記載の方法。
【請求項4】
派生鍵素材の前記再計算された一部が、パーソナルトークンの中に保持されることを特徴とする、請求項1に記載の方法。
【請求項5】
パーソナルトークンが、前記受け取られたランダムに基づいてさらなるデータの前記一部の再計算を実行し、前記派生鍵素材に基づいてさらなるデータの前記一部の再変更を実行し、かつ再計算し再変更されたさらなるデータ部分と、さらなるデータの受け取られ変更された一部との比較を実行することを含むことを特徴とする、請求項1に記載の方法。
【請求項6】
パーソナルトークンが、セキュアサーバによって最初に生成されたさらなるデータの変更されていない一部を取得するように、さらなるデータの受け取られ変更された一部の逆変更を実行し、パーソナルトークンにおいて、前記受け取られたランダムに基づきさらに秘密鍵に基づき、さらなるデータの前記一部を再計算し、セキュアサーバによって最初に生成されたさらなるデータの変更されていない一部と、さらなるデータの再計算された一部との比較を実行することを含むことを特徴とする、請求項1に記載の方法。
【請求項7】
さらなるデータの前記変更された一部が、パーソナルトークンに対してサーバを認証するために通常、使用されるMAC(メッセージ認証コード)であることを特徴とする、請求項1から6のいずれか一項に記載の方法。
【請求項8】
パーソナルトークンが、MACの再計算を実行することを特徴とする、請求項7に記載の方法。
【請求項9】
パーソナルトークンが、派生鍵素材に基づき、再計算されたMACの変更を実行し、前記変更され再計算されたMACを、ホスト端末装置を介して認証サーバから受け取られ変更されたMACと比較することを特徴とする、請求項8に記載の方法。
【請求項10】
パーソナルトークンが、派生鍵素材を使用して、受け取られ変更されたMACの逆変更を実行し、再計算されたMACを、逆変更され受け取られたMACと比較することを特徴とする、請求項7から9のいずれか一項に記載の方法。
【請求項11】
派生鍵素材が、暗号化鍵(Ck)の少なくとも一部分を含むことを特徴とする、請求項1から10のいずれか一項に記載の方法。
【請求項12】
派生鍵素材の前記少なくとも一部が、完全性鍵(Ik)を含むことを特徴とする、請求項1から11のいずれか一項に記載の方法。
【請求項13】
g1) さらなるデータの前記一部が、派生鍵素材の前記少なくとも一部を使用して変更されている場合、派生鍵素材の少なくとも一部分をパーソナルトークンの中に保持する代替のステップと、
g2) さらなるデータの前記一部が、変更されていない場合、派生鍵素材の前記一部をパーソナルトークンから端末装置に伝送する代替のステップとを含むことを特徴とする、請求項1から12のいずれか一項に記載の方法。
【請求項14】
パーソナルトークンが、前記受け取られたランダムに基づいてさらなるデータの前記一部の再計算を実行すること、およびさらなるデータの前記受け取られた一部が、さらなるデータの再計算された一部にも、派生鍵素材を使用して再変更されたさらなるデータの前記再計算された一部にも対応しない場合、パーソナルトークンが、派生鍵素材の前記一部をパーソナルトークン内部に保持することを含むことを特徴とする、請求項13に記載の方法。
【請求項15】
パーソナルトークンが、端末装置を介して、認証サーバに応答(RES)を送り、認証サーバが、前記応答を使用してパーソナルトークンを認証すること、および認証サーバとパーソナルトークンが相互に認証されると、パーソナルトークンが、内部鍵(KsNAFint)および外部鍵(KsNAFext)を派生鍵素材(Ck、Ik)から派生させ、前記内部鍵(KsNAFint)が、端末装置を介してパーソナルトークンとリモートサーバとの間でセキュアチャネルを確立するために使用されるが、端末装置には隠され、前記外部鍵(KsNAFext)が、端末装置とリモートサーバとの間でセキュアチャネルを確立するために使用されることを特徴とする、請求項1から14のいずれか一項に記載の方法。
【請求項16】
セキュアサーバと、認証サーバと、パーソナルトークンをホストする少なくとも1つの端末装置とを含むネットワークにおける認証方法であって、
a. セキュアサーバにおいて、派生鍵素材(Ck、Ik)を生成するためにランダム(RAND)および秘密鍵に基づく計算を実行するステップと、
b. 前記派生鍵素材(Ck、Ik)を、前記ランダムと一緒に、さらに、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)と一緒に、セキュアサーバ(SS)から認証サーバ(AS)に送るステップと、
b’. 前記認証サーバにおいて、認証されるべきパーソナルトークンが、第1のタイプのパーソナルトークンであるか、または第2のタイプのパーソナルトークンであるかを判定するために、ネットワークにおいてパーソナルトークンのデータベーシスを使用するステップとを含み、
パーソナルトークンが、第1のタイプのパーソナルトークンである場合、
c1. 前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップと、
d1. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、ホスト端末装置を介して前記パーソナルトークンに送るステップと、
e1. パーソナルトークンにおいて、受け取られたRANDおよび秘密鍵Kに基づいて、前記派生鍵素材(Ck、Ik)の前記少なくとも一部を再計算するステップと、
f1. パーソナルトークンにおいて、受け取られたさらなるデータの変更された一部を解釈するために派生鍵素材の前記再計算された少なくとも一部を使用するステップと、
g1. パーソナルトークンの中に、派生鍵素材の再計算された一部を保持するステップとを含み、
パーソナルトークンが、第2のタイプのパーソナルトークンである場合、
c2. 派生鍵素材の前記一部に基づく前記変更を実行することなしに、前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN)および前記ランダム(RAND)を、ホスト端末装置を介して前記パーソナルトークンに送るステップと、
d2. パーソナルトークンにおいて、受け取られたRANDおよび秘密鍵Kに基づいて、前記派生鍵素材(Ck、Ik)の少なくとも一部を再計算して、派生鍵素材の前記少なくとも一部をパーソナルトークンから端末装置に伝送するステップとを含む方法。
【請求項17】
ランダムおよび秘密鍵(K)に基づいて派生鍵素材を生成する、認証サーバと、セキュアサーバとを含む通信ネットワークにおける端末装置のためのパーソナルトークンであって、前記パーソナルトークンは、受け取られたランダム、およびパーソナルトークンの中に格納された秘密鍵(K)に基づき、派生鍵素材(Ck、Ik)を再計算するためのプログラム命令を含み、受け取られたさらなるデータを解釈するために、派生鍵素材の再計算された一部を使用するためのプログラム命令を含むことを特徴とするパーソナルトークン。
【請求項18】
再計算された派生鍵素材をパーソナルトークンの中に保持するためのプログラム命令を含むことを特徴とする、請求項17に記載のパーソナルトークン。
【請求項19】
前記受け取られたランダムに基づいてさらなるデータの前記一部の再計算を実行し、派生鍵素材の前記一部に基づいてさらなるデータの前記一部を再変更し、かつ再計算されかつ再変更されたさらなるデータ部分を、さらなるデータの受け取られ変更された一部と比較するためのプログラム命令を含むことを特徴とする、請求項17に記載のパーソナルトークン。
【請求項20】
セキュアサーバによって最初に生成されたさらなるデータの変更されていない一部を取得するように、さらなるデータの受け取られ変更された一部の逆変更を実行し、前記受け取られたランダムに基づきさらに秘密鍵(K)に基づき、さらなるデータの前記一部を再計算し、かつセキュアサーバによって最初に生成されたさらなるデータの変更されていない一部を、さらなるデータの再計算された一部と比較するためのプログラム命令を含むことを特徴とする、請求項17に記載のパーソナルトークン。
【請求項21】
さらなるデータの前記変更される一部が、パーソナルトークンにサーバを認証するために通常、使用される、MAC(メッセージ認証コード)であることを特徴とする、請求項17に記載のパーソナルトークン。
【請求項22】
MACの再計算を実行することを特徴とする、請求項21に記載のパーソナルトークン。
【請求項23】
派生鍵素材の前記一部に基づいて、再計算されたMACの変更を実行し、かつ前記再計算されかつ再変更されたMACを、ホスト端末装置を介して認証サーバから受け取られた、変更されたMACと比較することを特徴とする、請求項21に記載のパーソナルトークン。
【請求項24】
派生鍵素材の前記一部を使用して、受け取られ変更されたMACの逆変更を実行し、かつ再計算されたMACを、逆に変更され受け取られたMACと比較することを特徴とする、請求項21に記載のパーソナルトークン。
【請求項25】
派生鍵素材が、暗号化鍵(Ck)の少なくとも一部分を含むことを特徴とする、請求項17から24のいずれか一項に記載のパーソナルトークン。
【請求項26】
派生鍵素材が、完全性鍵(Ik)の少なくとも一部分を含むことを特徴とする、請求項17から25のいずれか一項に記載のパーソナルトークン。
【請求項27】
受け取られたさらなるデータを前記解釈することは、受け取られたさらなるデータの前記一部が、前記派生鍵素材を使用して変更されているか否かを識別することを含み、パーソナルトークンが、
g1) さらなるデータの前記一部が、派生鍵素材の前記少なくとも一部を使用して変更されている場合、派生鍵素材の少なくとも所与の一部を保持する代替のステップ、および
g2) さらなるデータの前記一部が、変更されていない場合、派生鍵素材の前記所与の一部を端末装置に伝送する代替のステップを実行することを特徴とする、請求項17に記載のパーソナルトークン。
【請求項28】
受け取られたランダムに基づきさらに秘密鍵(K)に基づき、さらなるデータの前記一部の再計算を実行し、さらなるデータの前記受け取られた一部が、さらなるデータの再計算された一部にも、派生鍵素材を使用して変更された、前記再計算された一部にも対応しない場合、派生鍵素材の所与の一部をパーソナルトークン内部に保持することを特徴とする、請求項27に記載のパーソナルトークン。
【請求項29】
パーソナルトークンが、端末装置を介して応答(RES)を認証サーバに送り、認証サーバが、前記応答を使用してパーソナルトークンを認証すること、および認証サーバと認証サーバが相互に認証されると、パーソナルトークンが、内部鍵(KsNAFint)および外部鍵(KsNAFext)を派生鍵素材(Ck、Ik)の前記一部から派生させ、前記内部鍵(KsNAFint)が、端末装置を介してパーソナルトークンとリモートサーバとの間でセキュアチャネルを確立するために使用されるが、端末装置には隠され、前記外部鍵(KsNAFext)が、端末装置とリモートサーバとの間でセキュaチャネルを確立するために使用されることを特徴とする、請求項17から28のいずれか一項に記載のパーソナルトークン。
【請求項30】
パーソナルトークンをそれぞれがホストする端末装置を認証する、通信ネットワークにおける認証サーバであって、
a. ランダムと、前記ランダムに基づいて生成された派生鍵素材(Ck、Ik)と、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)とを、セキュアサーバから受け取るステップ、
b. 前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップ、および
c. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、端末装置を介して、端末装置においてホストされるパーソナルトークンに送るステップを実行する認証サーバ。
【請求項31】
パーソナルトークンをそれぞれがホストする端末装置を認証する、通信ネットワークにおける認証サーバのためのコンピュータプログラムであって、
a. ランダムと、前記ランダムに基づいて生成された派生鍵素材(Ck、Ik)と、さらなるデータ(AUTN、XRES、MAC、SQN、Ak、AMF)とを、セキュアサーバから受け取るステップ、
b. 前記派生鍵素材(Ck、Ik)の少なくとも一部を使用して、前記さらなるデータ(MAC*、SQN*)の少なくとも一部を変更するステップ、および
c. 前記さらなるデータ(AUTN、AUTN*、XRES、MAC、SQN、Ak、AMF、Mac*、SQN*)および前記ランダム(RAND)を、端末装置を介して、端末装置においてホストされるパーソナルトークンに送るステップを実行するためのプログラム命令を含むコンピュータプログラム。
【図1】
【図2】
【図2】
【公表番号】特表2008−503800(P2008−503800A)
【公表日】平成20年2月7日(2008.2.7)
【国際特許分類】
【出願番号】特願2007−516067(P2007−516067)
【出願日】平成17年6月20日(2005.6.20)
【国際出願番号】PCT/IB2005/001746
【国際公開番号】WO2006/000875
【国際公開日】平成18年1月5日(2006.1.5)
【出願人】(506321414)
【Fターム(参考)】
【公表日】平成20年2月7日(2008.2.7)
【国際特許分類】
【出願日】平成17年6月20日(2005.6.20)
【国際出願番号】PCT/IB2005/001746
【国際公開番号】WO2006/000875
【国際公開日】平成18年1月5日(2006.1.5)
【出願人】(506321414)
【Fターム(参考)】
[ Back to top ]