認証能力のセキュアなネゴシエーション
【課題】認証能力、及び、認証が行われる前に通知する必要があり得る他の「基本的な」能力の競り下げに対する、簡単かつ効率的な(共有鍵ベースの)保護
【解決手段】ネットワーク(20)は、認証ノード(22)と、AAA(認証、許可、及び課金)サーバ等のサーバ(24)と、を含む。方法は、端末(30)がネットワークアクセスインタフェース(32)を介してネットワークに認証能力情報(AC)を送信することを含む(認証能力情報は端末の認証能力の指示を与える)。次いでネットワーク(20)は、認証能力情報を用いて第1の暗号値を決定する。次いで端末(30)は認証能力情報を用いて第2の暗号値を決定する。ネットワーク(20)は第1の暗号値及び第2の暗号値を比較して端末を認証する。
【解決手段】ネットワーク(20)は、認証ノード(22)と、AAA(認証、許可、及び課金)サーバ等のサーバ(24)と、を含む。方法は、端末(30)がネットワークアクセスインタフェース(32)を介してネットワークに認証能力情報(AC)を送信することを含む(認証能力情報は端末の認証能力の指示を与える)。次いでネットワーク(20)は、認証能力情報を用いて第1の暗号値を決定する。次いで端末(30)は認証能力情報を用いて第2の暗号値を決定する。ネットワーク(20)は第1の暗号値及び第2の暗号値を比較して端末を認証する。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2008年9月5日に出願された「SECURE NEGOTIATION OF AUTHENTICATION CAPABILITIES」と題する米国仮出願61/094,715号の優先権及び利益を主張する。この出願は引用によりその全体が本願に含まれるものとする。
【0002】
本発明は電気通信に関し、更に具体的には通信の認証に関する。
【背景技術】
【0003】
[0001] 典型的なセル式無線システムにおいて、無線端末(移動局及び/又はユーザ装置ユニット(UE)としても知られる)は、無線アクセスネットワーク(RAN)を介して1つ以上のコアネットワークと通信を行う。無線端末は、無線能力を有する移動電話(「セル式」電話)及びラップトップ(例えば移動終端器)等の移動局又はユーザ装置ユニット(UE)とすることができるので、例えば、無線アクセスネットワークと音声及び/又はデータの通信を行う携帯型、ポケット用、ハンドヘルド型、コンピュータ内蔵、又は車載型の移動デバイスとすることができる。
【0004】
[0002] 無線アクセスネットワーク(RAN)は、通常は複数のセル領域に分割された地理的領域をカバーする。各セル領域は、例えば無線基地局(RBS)のような基地局によって対応される。いくつかのネットワークにおいて、RBSは、WiMAXでは「BS]と呼ばれ、WLANでは「AP」と呼ばれ、また第3世代移動ネットワークでは「NodeB」又は「Bnode」としても知られている。セルは、基地局サイトにおける無線基地局装置によって無線サービスエリアが提供される地理的領域である。各セル及び/又は基地局は、ローカル無線領域内のアイデンティティによって識別され、これはセル内で同報通信される。基地局は、基地局の範囲内のユーザ装置ユニット(UE)と、無線周波数で動作するエアインタフェースを介して通信を行う。
【0005】
[0003] 無線アクセスネットワークのいくつかのバージョン(特に初期のバージョン)においては、いくつかの基地局は通常、(例えば地上通信線又はマイクロ波によって)無線ネットワークコントローラ(RNC)に接続される。無線ネットワークコントローラは、基地局コントローラ(BSC)と称されることもあり、接続された複数の基地局の様々なアクティビティを監視し調整する。無線ネットワークコントローラは通常、1つ以上のコアネットワークに接続される。また、基地局は、コアネットワークによって補助されて、又は直接的な基地局相互接続を用いて、基地局間で無線端末のハンドオーバを可能とするための手段を有する場合がある。
【0006】
[0004] UMTS(Universal Mobile Telecommunications System)は、GSM(Global System for Mobile Communications)から発展した第3世代移動通信システムであり、広帯域符号分割多元接続(WCDMA)アクセス技術に基づいて改良された移動通信サービスを提供することを目的とする。UTRANは、本質的に、ユーザ装置ユニット(UE)のための広帯域符号分割多元接続を用いた無線アクセスネットワークである。3GPP(Third Generation Partnership Project)は、更に別のUTRAN及びGSMベースの無線アクセスネットワーク技術の開発に取り組んでいる。
【0007】
[0005] 3GPPにおいて、E−UTRAN(次世代ユニバーサル地上無線アクセスネットワーク:Evolved Universal Terrestrial Radio Access Network)のための規定が進行中である。E−UTRANは、LTE(Long Term Evolution)を含み、SAE(System Architecture Evolution)の一部である。
【0008】
[0006] LTEは、3GPP無線アクセス技術の変形であり、無線基地局ノードが無線ネットワークコントローラ(RNC)ノードでなく直接コアネットワークに接続されるものである。一般に、LTEにおいては、無線ネットワークコントローラ(RNC)ノードの機能は無線基地局ノードによって実行される。このため、LTEシステムの無線アクセスネットワーク(RAN)は、無線ネットワークコントローラ(RNC)ノードの監督下にあるのではない無線基地局ノードを含む本質的に「フラットな」アーキテクチャを有する。従って、E−UTRAN(evolved UTRAN)は、例えば発展型ノードB又はeNBのような発展型基地局ノードを含み、無線端末に対して発展型のUTRANユーザプレーン及び無線リソース制御プレーンプロトコル終端器を提供する。
【0009】
[0007] WiMAXすなわちマイクロ波アクセスのための世界的相互運用性は、二地点間リンクから完全移動セル式アクセスまでの範囲にわたる様々な方法で無線データ伝送を提供する電気通信技術である。この技術は、配線も大きなネットワーク構造も実際に必要とすることなく広帯域速度を利用するというアイディアをユーザに提供する。この技術はIEEE802.16規格(WirelessMANとも呼ばれる)に基づいている。「WiMAX」という名前はWiMAXフォーラムによって生成された。
【発明の概要】
【発明が解決しようとする課題】
【0010】
[0008] 無線端末等のノードがネットワークに接続すると、多くの場合、無線インタフェース上で認証及び暗号化の使用の設定を含むセキュリティハンドシェークが実行される。このために、無線端末は、サポートするセキュリティ能力(例えばセキュリティアルゴリズム及びプロトコル)についてネットワークに通知して、ネットワークが適切な選択を実行できるようにしなければならない。しかしながら、以下に記載するように、この通知は、いわゆる競り下げ攻撃に対して影響を受けやすい恐れがある。
【0011】
[0009] 例えば、無線端末が、認証アルゴリズムS(「セキュア」)及び認証アルゴリズムL(「低セキュア」)をサポートすると仮定する。更に、図1に示すように、悪質なパーティが無線端末の能力シグナルに介入して、これを認証アルゴリズムのセット{S,L}からセット{L}に変更したと仮定する。ネットワークは、無線端末(UE)が認証アルゴリズムL(「低セキュア」)のみをサポートすると考え、従ってネットワークは低セキュアLを選択させられることになる。これは、無線端末に対して得られるセキュリティが、得られるはずであったよりも低いことを意味する。更に悪いことには、システムがセキュリティ能力なしの端末を許可すれば、攻撃者は、例えば{ }のような空の認証アルゴリズムセットを転送することができ、無線端末はセキュリティを全くサポートしないということになる。従って、無線端末のセキュリティに関連した能力を(おそらくは他の能力も)含むメッセージを保護する必要がある。
【0012】
[00010] セキュリティの脅威に対する通常の又は当然の手法は、無線端末のセキュリティ能力をネットワークに知らせる通知メッセージの完全性を保護することである。しかしながら、通知メッセージは一般に認証前に実行されなければならないので、通常この目的のために暗号鍵は利用可能でない。なぜなら暗号鍵は認証の後(又は認証と同時)に生成されるからである。公開鍵技術を用いることは1つの選択肢であるが、効率が低く、ほとんどの無線規格において公開鍵インフラストラクチャ(PKI)はサポートされていない。
【0013】
[00011] WIMAXのための解決策は、能力シグナル(SBC能力)を認証ステップの後に移すことである。
【0014】
[00012] 初期のIEEE802.16規格では、多くの極めて重要な欠点を有するPKM(Privacy and Key Management)プロトコルが用いられた。IEEE802.16eは、PKMv2としてリリースされたPKMプロトコルの新しいバージョンを含む。PKMv2は、以前のバージョンに比べて、ナンス、メッセージ認証コード、鍵ID、証明書等のセキュリティフィーチャを含む大きな変更が行われている。このため、WIMAXにおけるPKMV2は、PKM要求メッセージにおいていくつかのセキュリティ能力を伝達する。これらの能力はセキュリティ関連のものであり、また認証能力にも関連する場合があり、かかる能力も保護する必要がある。
【0015】
[00013] 図2に、別の一般的な技法(例えば3GPP UMTS及びLTEにおいて用いられる)を示す。図2はネットワーク接続手順の無線端末実行部分を示す。基本的な無線接続確立(図示せず)はすでに行われていると仮定する。この技法は以下のステップを含む。
【0016】
[00014] ステップ2−1:無線端末(UE)はそのセキュリティ能力をネットワーク(VPLMN)に送信する。ここでのセキュリティ能力とは、認証(の成功)の後に用いられる暗号化アルゴリズム等を指す。
【0017】
[00015] ステップ2−2:ネットワーク(VPLMN)は、HPLMNのAAA(認証、許可、及び課金)サーバ又は一部から認証データをフェッチする。UMTSにおいて、AAAサーバはHSS(ホーム加入者サーバ)として知られる。
【0018】
[00016] ステップ2−3:チャレンジ−レスポンス手順(以下で更に詳細に説明する)による認証を実行し、鍵kを生成する。
【0019】
[00017] ステップ2−4:VPLMNは、ステップ2−1のメッセージにおいて無線端末(UE)から受信したセキュリティ能力を「エコーする」が、ここでは完全性は鍵kによって保護されている(認証されている)。
【0020】
[00018] ステップ2−5:無線端末(UE)は、同じ鍵kを用い、完全性を検証すると共に能力がメッセージ1で送信したものと同一であることをチェックする。
【0021】
[00019] 図2によって例示された技法は、セキュリティ能力に関する上述の問題を解決するが、セキュリティ機能を認証してイネーブルした後になってから偽の能力メッセージが検出されるという好ましくない特性がある。更に、セキュリティ能力が信頼性高く保護されるのは認証手順がセキュアな方法で実行された場合のみである。なぜなら、そうでない場合には、鍵kが他のパーティに知られてステップ2−4でメッセージの偽造を可能とする恐れがあるからである。
【0022】
[00020] 図2の手順の一部を形成するチャレンジ−レスポンスプロトコルは、従来技術において存在しており、認証のために用いられる(例えばGSM/UMTS認証及び鍵合意(AKA)、拡張認証プロトコル(EAP)、ダイジェスト認証等)。かかるプロトコルにおいては、無線端末及びAAAサーバは予め共有された鍵(又はパスワード)Kを有すると仮定される。かかるチャレンジ−レスポンスプロトコルの基本的な態様について、以下に列挙した例示的なステップによって示す。
【0023】
[00021] (1)AAAサーバはランダム値RANDを選択する。
【0024】
[00022] (2)AAAサーバは予想レスポンスXRES=F(K,RAND)を計算する。ここで、Fは合意された暗号化関数である(また、FはRANDでなく他のパラメータに依存することも可能である)。RAND及びKに基づいて、例えば鍵のような他のパラメータも計算することができる。
【0025】
[00023] (3)AAAサーバはRANDを無線端末に送信する。
【0026】
[00024] (4)無線端末はレスポンスRES=F(K,RAND)を計算し、これを(AAAサーバ又はアクセスネットワークにおける何らかの認証者ノードに対して)返信する。
【0027】
[00025] (5)AAAサーバ/認証者はRES=XRESであるか否かをチェックし、これが成り立つならば無線端末が認証されていると見なす。
【0028】
[00026] かかるチャレンジ−レスポンスプロトコルにおいては、必然的にステップ(2)はステップ(1)の後かつステップ(5)の前に実行しなければならないが、任意にステップ(3)及びステップ(4)の後に実行することも可能である。これによって可能な認証手順セットに制限が加わる。
【0029】
[00027] 一般に、UMTS又はLTE等のシステムはセキュリティ能力を保護するが、認証能力は保護しない。近い将来、かかるシステムは複数の認証能力をサポートする可能性があり、従って認証能力の保護がないことは認証手順に対する根本的な脅威を生じ、更に「ドミノ効果」を生む。なぜなら、副作用としてセキュリティ能力が脅かされる恐れがあるからである。認証能力が保護されない理由は、部分的には、かかる保護を提供しようとする全ての直接的な手法に関連した固有の「因果関係のわからない」問題によるものである。
【0030】
[00028] 更に、上述した従来技術の構成(例えばUMTS)におけるセキュリティ関連能力は、移動先の公衆陸上移動ネットワーク(VPLMN:visited public land mobile network)と無線端末との間で保護されるだけである。これはVPLMNに強い信頼が必要であることを意味する。そうでない場合には、VPLMNが無線端末から転送された無線端末能力を「偽造」する可能性があるからである。特に、認証能力は時に、無線端末と認証及び課金(AAA)機能/サーバとの間の「エンドツーエンド」の問題となる場合があり、同様にエンドツーエンド保護を行わなければならない。
【課題を解決するための手段】
【0031】
[00029] 本明細書に開示する技術は、その態様の1つにおいて、インタフェースを介して無線端末と通信を行う通信ネットワークを動作させる方法に関する。このネットワークは、認証ノードと、AAAサーバ等のサーバと、を備える。この方法は、その最も基本的な形態において、端末がインタフェースを介してネットワークに認証能力情報を送信することを含む(認証能力情報は端末の認証能力の指示を与える)。次いでネットワークは、受信した認証能力情報を用いて、端末による認証及び鍵合意手順内で用いられる第1の暗号値を決定する。次いで端末は、認証能力情報を用いて、認証及び鍵合意手順内で用いられる第2の暗号値を決定する。第1及び第2の暗号値が異なる場合、認証及び鍵合意手順の少なくとも一部が失敗する。この失敗は、ネットワーク、端末、又はその双方によって検出することができる。
【0032】
[00030] 例示的な実施において、認証能力情報は、端末によってサポートされる認証アルゴリズム、認証/プロトコル、又は認証信用証明書の識別(例えばリスト)を含む。
【0033】
[00031] 第1の暗号値及び第2の暗号値を用いた認証手順の検証の取得は、様々な方法で行うことができる。例えば、検証の取得は、第1の暗号値及び第2の暗号値を比較することによって、認証手順が成功であるか否かを明示的に判定することを含むことができる(例えば、第1の暗号値が第2の暗号値と等しい場合に認証手順は成功であると判定される)。いくつかの例示的な実施形態において、第1の暗号値及び第2の暗号値のこのような比較はネットワークによって実行可能である。他の例示的な実施形態において、第1の暗号値及び第2の暗号値のこのような比較は端末によって実行可能である。更に別の例示的な実施形態では、検証の取得は本質的に、ネットワークと端末との間のセキュアな(例えば暗号化された)通信に関連付けて、ネットワークが第1の暗号値の使用を試み、端末が第2の暗号値の使用を試みることを含む。かかる実施形態は、暗号化/復号化動作通信が失敗しない場合に認証手順の成功を判定することを含む。この場合、検証は暗黙的比較の一例である。すなわち、これは、明示的な比較「x==y?」に基づいておらず、何らかの暗号関数h、gについての「h(x)はg(y)と一致するか?」の形態の基準の評価に基づいている。
【0034】
[00032] 従って、1つの例示的な実施形態において、ネットワークは端末に第1の暗号値を提供する。端末は、ネットワークを認証するために第1の暗号値及び第2の暗号値を比較し、それらが異なる場合には認証及び鍵合意手順を拒絶する。
【0035】
[00033] 別の例示的な実施形態において、端末はネットワークに、暗号値として用いられる第2の暗号値を提供する。ネットワークは、端末を検証するために第1の暗号値及び第2の暗号値を比較し、それらが異なる場合には認証及び鍵合意手順を拒絶する。
【0036】
[00034] 更に別の実施形態においては、第1及び第2の暗号値は、端末とネットワークとの間のセキュアな通信(例えば暗号化及び/又はデータ完全性保護)に用いられるセッション鍵材料を含む。ネットワーク又は端末のいずれかがセキュアな通信に関連した通信エラーを検出した場合、認証及び鍵合意手順は拒絶される。
【0037】
[00035] この方法の例示的なサーバベースのモードにおいて、端末はインタフェースを介して認証ノード及びサーバに認証能力情報を送信する。サーバは、認証能力情報を用いて第1の暗号値を決定する。端末は、認証能力情報を用いて第2の暗号値を決定する。認証ノードは、第1の暗号値及び第2の暗号値を比較して端末を認証する。
【0038】
[00036] サーバベースのモードの更に詳細な実施において、端末は無線インタフェースを介して認証ノードに認証能力情報を送信する。次いで認証ノードは、認証能力情報をサーバに送信する。サーバは、受信した認証能力情報、ランダム数、及び鍵(鍵は端末及びサーバによって予め共有されている)の関数として第1の暗号値を発生する。サーバは、ランダム数及び第1の暗号値を認証ノードに送信する。認証ノードはランダム数を端末に送信する。端末は、ランダム数、鍵、及び認証能力情報を用いて、第2の暗号値を計算する。端末は第2の暗号値を認証ノードに送信する。
【0039】
[00037] サーバベースのモードの入力を変更した変形においては、端末はインタフェースを介して認証ノードに認証能力情報を送信する。認証ノードは認証能力情報をサーバに送信する。サーバは二次ランダム数を選択し、更に、この二次ランダム数及び受信した認証能力情報を用いて、一次ランダム数を決定する。サーバは、一次ランダム数及び鍵の関数として第1の暗号値を発生する。鍵は、端末及びサーバによって予め共有されている。サーバは、二次ランダム数及び第1の暗号値を認証ノードに送信する。認証ノードは二次ランダム数を端末に送信する。端末は、二次ランダム数及び認証能力情報を用いて、第2の一次ランダム数を決定する。端末は、第2の一次ランダム数及び鍵を用いて、第2の暗号値を計算する。
【0040】
[00038] サーバベースのモードの入力を変更した変形では、サーバはサーバ第1関数を用いて第1の暗号値を決定し、サーバ第1関数に対する入力は認証能力情報に依存する。
【0041】
[00039] 例示的な実施において、第1の暗号値は認証トークン(AUTN)である。別の実施形態において、第1の暗号値は暗号鍵(CK)及び/又は完全性鍵(IK)である。別の実施形態では、第1の暗号値は予想レスポンス(XRES)であり、第2の暗号値はレスポンス(RES)である。別の例示的な実施形態においては、第1の暗号値は、UMTS認証及び鍵合意のための拡張認証プロトコル方法(EAP−AKA)のマスタセッション鍵(MSK)の鍵である。
【0042】
[00040] 本明細書において記載する実施形態のいくつかは、明示的なチェック値を利用する。例えば、第1の認証能力が攻撃者によって変更された場合、端末において導出される結果(RES)値は、ネットワークによって発生される対応する予想結果(XRES)とは異なり、RES及びXRESの比較はネットワークにおいて失敗する。また、AUTNが暗号値として機能する実施形態も明示的なチェック値の一例であるが、この実施形態では、失敗は端末において検出される。他の場合、例えば鍵(MSK及び/又はCK/IK)をチェック値として用いる場合には、変更されたセキュリティ能力の検出は、例えば暗号の失敗によるものなので、チェック値は暗黙的である。
【0043】
[00041] この方法の例示的な共有モードにおいて、端末は、インタフェースを介してネットワークの認証ノードに認証能力情報を送信する。認証ノードは、ネットワークのサーバから第3の暗号値を要求する。サーバは、ランダム数及び鍵の関数として第3の暗号値を発生する。鍵は、端末及びサーバによって予め共有されている。サーバは、ランダム数及び第3の暗号値を認証ノードに送信する。認証ノードは、ランダム数、第3の暗号値、及び認証能力情報を用いて、第1の暗号値を決定する。認証ノードは、ランダム数を端末に送信する。端末は、ランダム数、鍵、及び認証能力情報を用いて、第2の暗号値を決定する。端末は第2の暗号値を認証ノードに送信する。共有モードの例示的な実施においては、認証ノードは、VPLMNにおけるSGSN(Serving GPRS Support Node)又はMME(Mobility Management Entity)ノードであり、サーバは、ホーム公衆陸上移動ネットワーク(HPLMN:home public land mobile network)におけるAAAサーバ又はHSSである。
【0044】
[00042] 本明細書に開示する技術は、その別の態様において、通信ネットワークのノードに関する。このノードは、端末の認証能力情報を用いて端末のための暗号値を決定するように構成されている(認証能力情報は端末の認証能力の指示を与える)。例えば、認証能力情報は、端末によってサポートされる認証アルゴリズム、認証プロトコル、及び/又は認証信用証明書の識別(例えばリスト)を含む。
【0045】
[00043] 例示的な実施形態において、ノードは、認証能力情報、ランダム数、及び鍵の関数として暗号値を決定するように構成されたサーバを含む。鍵は、端末及びサーバによって予め共有されている。
【0046】
[00044] ノードの別の実施形態は、二次ランダム数を選択してこの二次ランダム数及び認証能力情報を用いて一次ランダム数を決定するように構成されたサーバを含む。このサーバは、一次ランダム数及び鍵の関数として暗号値を発生するように更に構成されている。鍵は、端末及びサーバによって予め共有されている。この実施形態は、サーバがサーバ第1関数を用いて暗号値を決定するように構成されている実施形態の一例であり、サーバ第1関数に対する入力は認証能力情報に依存する。
【0047】
[00045] 例示的な実施において、ノードは、VPLMNにおける認証ノード(例えばMMEノード又はSGSN)である。別の例示的な実施において、ノードは、HPLMNにおけるAAAサーバ又はHSSノードを含む。
【0048】
[00046] 本明細書に開示する技術は、その別の態様において、第1のノード及び第2のノードを含む通信ネットワークに関する。第1のノードは、端末の認証能力情報を受信すると共に第2のノードから第3の暗号値を要求するように構成されている。第2のノードは、ランダム数及び鍵の関数として第3の暗号値を発生するように構成されている。鍵は、端末及び第2のノードによって予め共有されている。第1のノードは、ランダム数、第3の暗号値、及び認証能力情報を用いて第1の暗号値を決定すると共に、端末から受信した第2の暗号値を第1の暗号値と比較して端末を認証するように構成されている。例示的な実施において、第1のノードは、VPLMNにおけるSGSN又はMMEノードを含み、第2のノードは、HPLMNにおけるAAAサーバ又はHSSノードを含む。
【0049】
[00047] 本明細書に開示する技術は、その別の態様において、インタフェースを介して通信ネットワークに認証能力情報を送信すると共に認証能力情報を用いて暗号値を決定するように構成された端末に関する。この暗号値は、端末の認証のために、インタフェースを介して通信ネットワークに送信される。例示的な実施において、認証能力情報は、端末によってサポートされる認証アルゴリズムの識別を含む。
【0050】
[00048] 本明細書に開示する技術は、その別の態様において、インタフェースを介して通信ネットワークに認証能力情報を送信すると共に認証能力情報を用いて第1の暗号値を決定するように構成された端末に関する。端末は、更に、第1の暗号値と、認証手順の一部として通信ネットワークから受信した第2の暗号値とを比較すると共に、この比較が失敗した場合には認証手順を拒絶するように構成されている。例示的な実施において、認証能力情報は、端末によってサポートされる認証アルゴリズムの識別を含む。
【0051】
[00049] 本発明の前述及びその他の目的、フィーチャ、及び利点は、添付図面に示したような以下の好適な実施形態の具体的な記載から明らかとなろう。添付図面において、参照符号は様々な図を通して同一の部品を示す。図面は必ずしも一定の縮尺通りではなく、本発明の原理を例示する際には強調している。
【図面の簡単な説明】
【0052】
【図1】[00050] 端末とネットワークとの間の通信に対する悪質なパーティによる潜在的な攻撃を示す図である。
【図2】[00051] 一般的な認証技法に伴うステップの図である。
【図3A】[00052] 本明細書に開示する技術の背景を述べるのに適した第1の例示的な通信ネットワークの関連部分の概略図である。
【図3B】[00053] 本明細書に開示する技術の背景を述べるのに適した第2の例示的な通信ネットワークの関連部分の概略図である。
【図4】[00054] 図3の通信ネットワークと組み合わせた方法の一般モードで実行される例示的な行為又はステップを示す図である。
【図5A】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5B】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5C】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5D】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5E】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図6】[00056] サーバベースの認証方法の例示的な実施形態の例示的又は代表的な基本的行為又はステップを示す。
【図7】[00057] 図6のサーバベースのモードの更に詳細な実施において実行される基本的又は代表的な例示的行為又はステップを示す。
【図8】[00058] 本明細書に開示する技術の別の例示的な方法によって実行される基本的又は代表的な例示的行為又はステップを示す図である。
【図9】[00059] AUTNパラメータが認証能力に依存するようになっているUMTS AKAに関連したモードにおいて実行される基本的又は代表的な例示的行為又はステップを示す図である。
【図10】[00060] MSKが認証能力に依存するようになっている拡張認証プロトコル方法に関連したモードにおいて実行される基本的又は代表的な例示的行為又はステップを示す図である。
【図11】[00061] 本明細書に開示する技術の別の例示的な方法によって実行される基本的又は代表的な例示的行為又はステップを示す図である。
【発明を実施するための形態】
【0053】
[00062] 以下の記載において、限定でなく説明の目的で、本発明の完全な理解を提供するために、特定のアーキテクチャ、インタフェース、技法等の具体的な詳細事項について述べる。しかしながら、本発明はこれらの具体的な詳細事項から逸脱する他の実施形態において実施可能であることは当業者には明らかであろう。すなわち、当業者は、本明細書において明示的に記載又は図示されていないが本発明の原理を具現化しその精神及び範囲内に含まれる様々な構成を考案することができる。いくつかの例においては、不必要な詳細事項によって本発明の記載を不明瞭にしないために、周知のデバイス、回路、及び方法の詳細な記載は省略する。本発明の原理、態様、及び実施形態を述べる本明細書における全ての記述は、その構造的均等物及び機能的均等物の双方を包含することが意図されている。更に、かかる均等物は、現在知られている均等物及び将来開発される均等物すなわち構造に関わらず同一の機能を実行する開発された要素の双方を含むことが意図されている。
【0054】
[00063] このため、例えば、本明細書におけるブロック図は技術の原理を具現化する例示的な回路の概念図を表すことができることは当業者には認められよう。同様に、あらゆるフローチャート、状態遷移図、擬似コード等が表す様々なプロセスは、コンピュータ読み取り可能媒体において実質的に表現されてコンピュータ又はプロセッサによって実行することができ、かかるコンピュータ又はプロセッサは明示的に図示する場合もしない場合もあることは認められよう。
【0055】
[00064] 「プロセッサ」又は「コントローラ」と標示又は記載した機能ブロックを含む様々な要素の機能は、専用ハードウェア及びソフトウェアを実行可能なコンピュータ等のハードウェアを用いることによって提供可能である。プロセッサによって提供される場合、これらの機能は、単一の専用プロセッサによって、単一の共有プロセッサによって、又は一部が共有もしくは分散される場合がある複数の個別プロセッサによって提供することができる。更に、「プロセッサ」又は「コントローラ」という言葉の明示的な使用は、ソフトウェアを実行可能なハードウェアを排他的に示すものとして解釈されるのではなく、限定なしに、デジタル信号プロセッサ(DSP)ハードウェア、ソフトウェアを記憶するための読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、及び不揮発性記憶装置を含むことができる。
【0056】
[00065] 図3Aは、本明細書に開示した技術の背景を述べるのに適した例示的な通信ネットワーク20の関連部分を示す。通信ネットワーク20は、認証ノード22及びAAAサーバ24を含む。認証ノード22はアクセスネットワーク26に接続されている。アクセスネットワーク26は、無線基地局としても知られる少なくとも1つの基地局28を含む。基地局28は、インタフェース32を介して端末30と通信を行う。このため、図3Aの例示的な実施形態においては、アクセスネットワーク26は無線アクセスネットワークであり、端末30はエア又は無線インタフェース32を介して通信を行う無線端末である。
【0057】
[00066] 図3Bは、本明細書において開示される技術が無線アクセスネットワーク又は無線端末との使用に限定されないことを示す。図3Bは、アクセスネットワークを、例えば無線ベース以外にすることが可能であることを示し、更に、端末30’を無線以外のものにすることが可能であることを示す(例えば電話線、光ファイバ、同軸ケーブル等を用いた有線又はケーブル接続)。以下の実施形態は主として図3Aの無線の状況を参照して記載するが、かかる実施形態は図3Bに示すもの等のいっそう一般的な状況において実施可能であることは認められよう。
【0058】
[00067] 認証ノード22は、SGSN、MSC、又はMME等の通信ネットワーク20のいずれかの適切なノードとすることができる。また、AAAサーバ24は通信ネットワーク20のノードに位置することができ、この理由でAAAサーバ24もノードであると考えることができる。この点で、AAAサーバ24は、(Radius又はDiameter)AAAサーバ、HLR/AuC(ホーム位置レジスタ/認証センタ)、又はHSSに位置することができる。
【0059】
[00068] その基本的な態様の1つにおいて、本明細書に開示する技術は、図1を参照して記載した問題等の認証プロトコル能力の競り下げ問題を解決する。これを行うために、本明細書において開示する技術は、認証プロトコル能力に関する情報を認証手順自体に関連させて統合する。このため、認証ノード22は認証ユニット34を含み、AAAサーバ24は認証ユニット36を含み、端末30は認証ユニット38を含む。本明細書において記載するいくつかの実施形態において、認証能力情報に対する認証手順の依存性は認証ノード22に対して本質的にトランスペアレントである。他の実施形態においては、かかる依存性はAAAサーバ24に対してトランスペアレントである。
【0060】
[00069] 図3Aに示したタイプの例示的な実施において、認証ノード22は、VPLMN40に配置されているか、又はVPLMN40を備える。VPLMN40は無線アクセスネットワーク(RAN)26に備えることができる。例示的な実施において、AAAサーバ24は、HPLMN(ホームPLMN)42に配置されているか、又はHPLMNを備える。
【0061】
[00070] 図4は、図3の通信ネットワーク20のための認証手順の一般モードで実行される例示的な行為又はステップを示す。行為4−1は、端末30が、インタフェース32を介してネットワーク20に認証能力情報(AC)メッセージを送信することを含む。
【0062】
[00071] 本明細書において記載した実施形態において、認証能力情報(AC)は、端末の認証能力の指示を与える。従って、認証能力はセキュリティ能力とは異なる。セキュリティ能力は本質的に、認証手順が成功して完了した際に利用される暗号化アルゴリズム等に関連するものである。認証能力情報(AC)は、例えば、認証アルゴリズム(複数のアルゴリズム)、認証プロトコル(複数のプロトコル)、及び/又は端末30が適格であるか又は可能である認証信用証明書の識別(例えばリスト又は記述)とすることができる。端末のタイプ及び性質に応じて、行為4−1として送信される認証能力情報(AC)メッセージには、様々な異なるタイプの認証アルゴリズムを含ませることができる。例示的な認証能力情報(AC)メッセージに含ませることができるタイプの例示的な端末用認証アルゴリズムの網羅的でないサンプルは、Milenage、RSA(R)等を含む。認証プロトコルの例は、UMTS AKA、EAP AKA、EAP TLS等とすることができる。信用証明書の例は、IMSI(複数のIMSI)、公開鍵証明書等を含むことができる。
【0063】
[00072] 認証機構の完全な規定には、認証アルゴリズム、アルゴリズムを使用するための認証プロトコル、及び認証の実行に関連した信用証明書(例えば鍵及び/又は識別子)の各々の規定が必要である場合があることは理解できよう。場合によっては、これらの3つのパラメータの1つ以上は暗黙的であり、能力に明示的に含ませる必要はない。例えば、LTEネットワークにおいてはUMTS AKAプロトコルのみがサポートされ、この事実を明示的に通知する必要はない。しかしながら、明示的な通知を必要とするパラメータはいずれも、競り下げ攻撃を受ける場合があり、従って本明細書に述べる技術によって提供される保護から利益を得ることができる。
【0064】
[00073] 行為4−2は、通信ネットワーク20が認証能力情報を用いて第1の暗号値(CV1)を決定することを含む。行為4−3として、端末30はその認証能力情報を用いて第2の暗号値(CV2)を決定する。また、第1の暗号値(CV1)及び第2の暗号値(CV2)は、それぞれ第1の認証チェック値及び第2の認証チェック値と考えることができる。行為4−4は、認証手順が成功である(例えばネットワーク20と端末30との間で認証された通信を許可する)か否かの検証を取得する(第1の暗号値(CV1)及び第2の暗号値(CV2)を用いて)ことを含む。
【0065】
[00074] 図4は、限定ではないが本明細書に記載した他のモードを含む、この方法の他のモードに従って、様々な方法で認証ノード22とAAAサーバ24との間で行為4−2を分散/共有することが可能であるという意味で一般的な動作モードを示す。また、図4は、端末30、ネットワーク20、又は共に機能するネットワーク及び端末30の組み合わせによって行為4−4を実行可能であるという観点からも一般的である。例えば、以下で更に詳細に記載するが、行為4−4は、第1の暗号値(CV1)及び第2の暗号値(CV2)を比較し、これによって認証手順が成功であるか否かを明示的に判定することを含むことができる(例えば、第1の暗号値(CV1)が第2の暗号値(CV2)と等しい場合に認証手順が成功であると判定される)。いくつかの例示的な実施形態においては、かかる第1の暗号値(CV1)及び第2の暗号値(CV2)の比較はネットワーク20によって実行可能である。他の例示的な実施形態では、かかる第1の暗号値(CV1)及び第2の暗号値(CV2)の比較は端末30によって実行可能である。更に別の例示的な実施形態では、行為4−4は本質的に、ネットワーク20と端末30との間の暗号通信(認証後に実行される)に関連付けて、ネットワーク20が第1の暗号値(CV1)の使用を試み端末30が第2の暗号値(CV2)の使用を試みることで検証を取得し、セキュアな通信(例えば暗号化/復号化)動作通信が失敗でない場合に認証手順の成功を判定することを含む(なぜなら、第1の暗号値(CV1)及び第2の暗号値(CV2)の値が等しくないことで通信上の問題が生じた場合、通信は失敗するからである)。
【0066】
[00075] 図5Aは、限定でない例示的な実施形態に従った認証ノード22、AAAサーバ24、及び端末30の例示的な構成ユニット及び機能性を更に詳細に示す。図5Aに示すように、認証ノード22は、他の例示していない構成要素及び機能性の中でも、認証ノードプロセッサ50、AAAサーバ24に対するインタフェース52、及び無線アクセスネットワーク(RAN)26に対するインタフェース54(これを介して端末30に対する通信が行われる)を含む。例示した実施形態においては、認証ノードプロセッサ50は、少なくとも部分的に認証ユニット34の役割を実行し、従って暗号値比較器56を更に含む。
【0067】
[00076] AAAサーバ24は、AAAサーバ認証ユニット36及びAAAサーバプロセッサ60と図示されたコンピュータ又はプロセッサを含む。更に、加入者アイデンティティ回路としても知られるAAAサーバ認証ユニット36は、第1の暗号値発生器62及び鍵メモリ63を含む。AAAサーバ認証ユニット36は通常、セキュアな改ざん防止ユニットである。AAAサーバプロセッサ60は、ランダム数発生器64、認証ノードインタフェース66、認証能力依存ユニット(ACDU)67、及び認証能力メモリ68を含む。AAAサーバ認証ユニット36は、プロセッサ60とは別個の集積回路又はプロセッサ等の回路の形態を取ることができる。このため、例示的な実施形態においては、AAAサーバ認証ユニット36は、メモリ(例えば不揮発性メモリ)だけでなく、コンピュータ読み取り可能又は機械読み取り可能命令を実行するプロセッサも含むことができる。従って、例えばそのプロセッサを考慮すると、AAAサーバ認証ユニット36は、コンピュータ実施又は回路実施による認証ユニットとも称される。同様に、AAAサーバプロセッサ60によって実現又は具現化されるので、認証能力依存ユニット(ACDU)67は、コンピュータ実施による認証能力依存ユニットとも称される。
【0068】
[00077] このため、認証能力に対する依存性は認証能力依存ユニット(ACDU)67によって生成され、ACDU66は一般に、認証能力に対する依存性を含むことによって、AAAサーバ認証ユニット36への入力又はこれからの出力に対して動作する。現在の例示的な実施形態では、ACDU67はAAAサーバ認証ユニット36への入力に対して動作する。ACDU67は、ランダム数発生器64及び認証能力メモリ68によって提供されるランダム数を組み合わせることによって入力を形成する。ACDUはAAAサーバ認証ユニット36の入力/出力に対して直接動作するので、ACDUはあるいは、AAAサーバ認証ユニット36に全体的に又は部分的に統合することも可能である(この場合、これはコンピュータ実施又は回路実施による認証能力依存ユニットとして表すことができる)。しかしながら、通常はAAAサーバ認証ユニット36の変更は避けることが好ましく、これが、図5A等の図の少なくとも一部に示すような機能分割の理由である。
【0069】
[00078] ACDU67がAAAサーバ認証ユニット36への入力に対してのみ動作する実施形態においては、第1の暗号値(CV1)は、AAAサーバ認証ユニット36の出力によって直接識別することができる。ACDU67がAAAサーバ認証ユニット36への出力に対して少なくとも部分的に動作する実施形態(後述する)においては、第1の暗号値(CV1)は代わりにACDU67の出力によって識別される。
【0070】
[00079] 図5Aの端末30は、他の例示しない構成要素及び機能性の中でも、認証ユニット38、端末コンピュータ又は端末プロセッサ70、及びトランシーバ71を含む。トランシーバ71は、従来から知られている方法でインタフェース32を介して基地局28とのアップリンク通信及びダウンリンク通信の双方を行うために用いられる。更に、端末認証ユニット38は、第2の暗号値発生器72及び鍵メモリ73を含む。また、端末認証ユニット38は通常セキュアなユニットである。端末プロセッサ70は、ランダム数発生器74、認証ノードインタフェース76、端末認証能力依存ユニット(ACDU)77、及び認証能力メモリ78を含む。AAA認証ユニット36と同様、端末認証ユニット38は集積回路等の回路の形態を取ることができ、特に、加入者アイデンティティモジュール(SIM又はUSIM)タイプのカード等の集積回路カードの形態を取ることができる。このため、例示的な実施形態では、認証ユニット38は、メモリ(例えば不揮発性メモリ)だけでなくコンピュータ読み取り可能又は機械読み取り可能命令を実行するプロセッサも含むことができる。このため、例えばそのプロセッサを考慮すると、端末認証ユニット38は、コンピュータ実施又は回路実施による端末認証ユニットとも称される。同様に、端末プロセッサ70によって実現又は具現化されるので、認証能力依存ユニット(ACDU)67は、コンピュータ実施による認証能力依存ユニットとも称される。
【0071】
[00080] 端末30の端末認証能力依存ユニット(ACDU)77は本質的に、端末認証ユニット38からの入力及び/又は出力に対して動作することによって、AAAサーバの対応するACDU67を「ミラーリング」する。あるいは、ACDU77は、端末認証ユニット38に全体的に又は部分的に統合することも可能であり、この場合でもこれはコンピュータ実施又は回路実施による認証能力依存ユニットである。しかしながら、通常ここでも、端末認証ユニット38を変更なしの状態に維持したいということは同じである。
【0072】
[00081] サーバ側と同様に、ACDU77が端末認証ユニット36への入力に対してのみ動作する実施形態においては、第2の暗号値(CV2)は、端末認証ユニット38の出力によって直接識別することができる。ACDU67が端末認証ユニット38への出力に対して少なくとも部分的に動作する実施形態(これも後述する)においては、第2の暗号値(CV2)は代わりにACDU77の出力によって識別される。
【0073】
[00082] 本明細書において記載する実施形態においては、端末30のための鍵又はパスワードは、AAAサーバ認証ユニット36の鍵メモリ63及び端末認証ユニット38の鍵メモリ73の双方において/双方に対して予め記憶、設定、又はダウンロードする。端末30は、それ自身の認証能力(例えば端末30が動作することができる認証アルゴリズム)を知っており、認証能力メモリ78に記憶されたそれを示す認証能力情報(AC)を有する。端末30の認証能力が時間と共に変わる場合、それに応じて認証能力情報(AC)は認証能力メモリ78において更新される。
【0074】
[00083] 図6は、本明細書に記載する技術に従った、認証方法の例示的なサーバベースのモードの例示的又は代表的な基本的行為又はステップを示す。図6において、行為6−1として、端末30は、インタフェース32を介して認証ノード22及びAAAサーバ24に、認証能力情報メッセージ内で認証能力情報(AC)を送信する。図6に示すように、認証能力情報(AC)は通常、最初に認証ノード22に送信され、認証能力情報(AC)を24に中継する。行為6−2は、AAAサーバ24が認証能力情報を用いて第1の暗号値(CV1)を決定することを含む。行為6−3は、端末30が認証能力情報を用いて第2の暗号値(CV2)を決定することを含む。行為6−4は、認証ノード22が第1の暗号値(CV1)及び第2の暗号値(CV2)を比較して、認証手順が成功であるか否かを明示的に判定し、更に、(成功である場合)これによって端末を認証することを含む。
【0075】
[00084] 図7は、サーバベースのモードのいっそう詳細な実施において実行される基本的又は代表的な例示的行為又はステップを示す。行為7−0は、端末30がその認証能力を認証能力情報メッセージの形態でAAAサーバ24に送信することを含む。図7に示すように、端末30はその認証能力情報を、インタフェース32を介して認証ノード22に送信し、認証ノード22は認証能力情報をAAAサーバ24に送信する。
【0076】
[00085] 端末30の認証能力情報(AC)は、AAAサーバ24の認証ノードインタフェース66を介して受信され、AAAサーバ認証ユニット36に適用される。図7の行為7−1は、AAAサーバプロセッサ60がランダム値(RAND)を選択することを含む。この点で、行為7−1として、プロセッサ60はランダム数発生器64を呼び出す。ランダム数発生器64からランダム数RANDを取得したら、ランダム数RANDを認証能力ACと共にACDU67に提供する。ACDU67は、それらを組み合わせてRAND││ACとし、この値を入力としてAAAサーバ認証ユニット36に提供する。行為7−2として、第1の暗号チェック値発生器62は暗号関数Fを計算して、例えばXRESのような、第1の暗号値として用いられる第1の結果又は第1のチェック値を生成する。特に、図7の例示的な実施形態においては、第1の暗号値(CV1)はXRES=F(K,RAND)││AC)として計算され、ここでFは合意された暗号関数であり、ACは認証能力情報である。暗号関数FはRAND及びK以外のパラメータに依存することが可能であることは理解されよう。従って、行為7−2として、暗号値XRESは認証能力(AC)に依存するものとして計算される。所望の場合、例えば鍵のような他のパラメータも行為7−2の一部として計算することができる。
【0077】
[00086] 行為7−3は、AAAサーバ24が選択したランダム値(RAND)を端末30に送信することを含む。更に具体的には、図7に示すように、AAAサーバ24はランダム数RAND及び第1の暗号値XRESを認証ノード22に送信し、次いで認証ノード22はランダム数RANDを端末30に送信する。
【0078】
[00087] 行為7−4は、端末30の第2の暗号チェック値発生器72が、例えばRES(例えば「結果」)のような第2の暗号値を計算することを含む。図7の例示的な実施形態において、第2の暗号は、第2の暗号チェック値発生器72によってRES=F(K,RAND││AC)として計算される。換言すると、端末30は、行為7−3においてAAAサーバ24から受信したランダム数(RAND)を用い、認証能力メモリ78に記憶された認証能力情報(AC)を用いて、ACDU77によって、端末認証ユニット38に提供される入力RAND││ACを計算する。端末認証ユニット38は、暗号関数F及び鍵メモリ73に記憶されたような鍵(K)を、提供された入力に適用して、第2の暗号値RESを計算する。図7は、更に、端末30が第2の暗号値RESを認証ノード22に送信することを示す。従って、行為7−4は、端末30が、行為7−0のメッセージにおいて送信した(と考える)認証能力情報(AC)値をRESの計算に含ませることを含む。
【0079】
[00088] 行為7−5は、認証ノード22が、RES=XRESであるか否かを明示的にチェックし、もしそうならば端末が適切に認証されたと見なすことによって、認証手順が成功であるか否かを判定することを含む。換言すると、認証ノード22の暗号値比較器56は、第1の暗号値XRESを第2の暗号値RESと比較し、RES=XRESである場合、認証ノード22は端末30を認証する。もしもステップ7−0において端末から与えられた第1の認証能力が攻撃者によって変更されたならば、この比較は失敗し(RES及びXRESが異なる入力から計算されたからである)、認証ノード22によって検出されることになる。行為7−5で認証成功を判定した後、認証ノード22は典型的に成功/失敗メッセージの形態の通知を端末に送信し、これによって端末に認証成功の事実を通知する。従って、この場合、いかなる攻撃も最初に認証ノード22によって検出され、この検出は明示的である。
【0080】
[00089] このため、関数Fは、端末の認証能力の一部と見なすことができる(例えば異なる端末が異なるF関数をサポートすることができる)。典型的に、Fは、加入者アイデンティティモジュール機能(SIM又はUMTS SIM)を実施すると共に鍵(複数の鍵)のセキュアな記憶を提供するスマートカードによって提供される。しかしながら、本明細書において記載する技術は、セキュリティ能力のこの側面を変更する攻撃者に対する保護も提供する。なぜなら、この能力が変更されるということは、ネットワーク及び端末のそれぞれが異なる認証能力(AC)入力を用いることが少なくとも暗示されるからである。また、この能力が変更されるということは、ネットワーク及び端末が異なるF関数を用いるが、これは通常RES及びXRESが異なる可能性をいっそう高くするだけであることを意味する場合がある。
【0081】
[00090] 図7に例示したモードにおいて、ネットワークが、例えば認証ならびに無線受信及び送信等の異なる機能性を実行する2つ以上のノードを含む場合があることは理解されよう。関数Fの計算でさえも2つ以上のノードにわたって分散する場合があるが、鍵(上でKと示した)は通常、AAAサーバの(セキュアな)鍵メモリ63から出ることはない。更に、AAAサーバ24及び認証ノード22の機能、及び本明細書に記載した行為を実行するユーザ装置ユニット又は端末30の機能性は、プロセッサ又はコントローラによって実現することができる。これらの言葉は本明細書において包括的に記載されているので、コンピュータ実施によるものと考えることができる。かかるプロセッサ/コントローラは、いずれかの適切なコンピュータ読み取り可能媒体上に記憶された命令を実行することによって、本明細書に記載された行為を実行することができる。
【0082】
[00091] 誰かがAC’を代わりに送信することによって認証能力(AC)を改ざん(又は偽造)した場合、これは、(行為7−2において)AAAサーバ24が計算するXRESが、(ローカルAC値に基づいて)端末によって計算されたものとは異なる(AC’に基づいたものであるから)ということを意味する。そしてこれは、端末が拒絶されること、例えば上述したように認証されないことを意味する。
【0083】
[00092] これは、悪質なパーティが端末に対してサービス使用不能(DoS)攻撃を行うためだけに認証能力(AC)を変更する場合があるという問題を残したままである。しかしながら、この特性は上述した3GPPの現在の手法と共有される。例えば、攻撃者が、端末によって提供されたRES値を変更して認証を失敗させることは常に起こり得る。また、これは「基本的な」チャレンジ−レスポンス認証パラダイムと共有される。なぜなら、RESはサードパーティによって途中で変更される可能性があるからである。いずれの場合であっても、攻撃者はネットワーク及び端末を「だまして」次善のセキュリティレベルを用いることが妨げられる。
【0084】
[00093] 他の態様において、本明細書に開示する技術は前述のものの様々な変形を包含する。例えば図8に示す一例の実施形態において、行為8−xは、図7の同様に付番した行為7−xに本質的に対応する。図8の実施形態においては、RESをACに依存させる更に間接的な方法として、RANDを認証能力(AC)に依存させる(図8の行為8−1に反映されるように)。この点で、AAAサーバ24はランダムRAND’を選択して、RAND=G(RAND’││AC)を設定することができる。行為8−3として、RANDでなくRAND’を端末に送信し、端末はローカルにRANDを計算する。これは、暗号関数Fを暗号関数F’(K,RAND’││AC)=F(K,G(RAND’││AC))に変更することと同等であることに留意すべきである。このため、これは同じ効果を有するので、先に述べた実施形態によってカバーされる。すなわち、認証能力(AC)値が変更されるとRES及びXRESの比較が失敗する。しかしながら、図8の実施形態は、すでに定義及び/又は実施された暗号関数を再使用するための特に簡単な方法を提供する。これが適切であるのは、言及したF関数が典型的に「ハードコード」であり(例えば端末30のSIMカード等のスマートカードにおいて)、この実施形態が関数Fの実施だけでなく完了した入力/出力挙動も影響されないままとするからである。
【0085】
[00094] また、図7及び図8のモードは、本明細書において、入力を変更したサーバベースのモードの変形としても知られる。図7及び図8の変形は双方ともF関数に対する入力を変更するが、これを異なる方法で行う。ここで図8の例示的な行為を更に詳しく説明すると、行為8−0は、端末30が、インタフェース32を介して認証ノード22に認証能力情報(AC)を送信することを含む。次いで認証ノード22は、認証能力情報を24に送信する。行為8−1は、AAAサーバ24がそのランダム数発生器64から二次ランダム数(RAND’)を選択し、この二次ランダム数(RAND’)及び行為8−0によって取得した認証能力情報(AC)を用いて、ACDU67によって一次ランダム数(RAND)を決定することを含む。一次ランダム数(RAND)は第1の暗号値XRESを決定するために用いられるが、二次ランダム数(RAND’)は端末30に送信される。行為8−2は、AAAサーバ24が、一次ランダム数(RAND)及び鍵(K)(鍵メモリ63から取得され端末30及びAAAサーバ24によって予め共有されている)の関数として、第1の暗号値XRESを発生することを含む。行為8−3は、AAAサーバ24が二次ランダム数(RAND’)及び第1の暗号値(XRES)を認証ノード22に送信することを含む。次いで認証ノード22は、二次ランダム数(RAND’)を端末30に送信する。行為8−4は、端末30が、二次ランダム数(RAND’)及び認証能力メモリ78に記憶された認証能力情報(AC)を用いてACDU77によってまず一次ランダム数(RAND)を決定し、次いで一次ランダム数(RAND)及び鍵(K)を用いて第2の暗号値RESを計算することを含む。端末30は第2の暗号値RESを認証ノード22に送信し、その暗号値比較器56は第1の暗号値XRES及び第2の暗号値RESの値を比較して、端末30が認証可能であるか否かを判定する。
【0086】
[00095] 図5Bは図9と共に、別の例示的な実施形態を示し、UMTS AKAの具体的な例に関連している。図9の実施形態においては、いわゆるAUTNパラメータ(ネットワーク認証のための認証トークン)が認証能力(AC)に依存するようになっており、端末30は認証プロセスが成功であるか否かを明示的に判定する。特に、図5Bの実施形態について、認証ノード22は暗号値比較器を含まず、暗号値比較の機能は端末30に配置されている。図5Bは、端末30の端末認証ユニット38が第2の暗号チェック値発生器72及び鍵メモリ73を含むものとして示す。端末30のプロセッサ70は、ランダム数発生器74、認証ノードインタフェース76、端末認証能力依存ユニット(ACDU)77、認証能力メモリ78、及び暗号値比較器80を含む。上述したように、端末認証ユニット38の機能性の全て又は一部は加入者アイデンティティモジュール(SIM)カードによって実現又は容易にすることができる。
【0087】
[00096] 図5B及び図9に示す例示的な実施形態においては、認証トークン(AUTN)をランダム数と共に認証要求メッセージ内で端末に送信する。更に、本明細書において記載するこの実施形態及び他の様々な実施形態において、鍵シーケンスインジケータ(KSI)も端末に送信することができる。鍵の値は送信せず、鍵の名前すなわちKSIだけを送信する。AUTN内の変数は、移動体がネットワークと共に実行する認証プロセスにおいて、この移動体によって用いられる。特に、AAAサーバ24において、第1の暗号値(CV1)をXAUTN=H(K,RAND││AC)として求め、端末30は第2の暗号値(CV2)をAUTN=H(K,RAND││AC)として求める。同様に、図9において末尾に同様の文字が付された行為は図7のものと同様であり、例外は第1の暗号値(CV1)としてXRESの代わりにXAUTNを用い、第2の暗号値(CV2)としてRESの代わりにAUTNを用いることである。行為9−5は、端末の暗号値比較器80がXAUTN及びAUTNを比較することを含む。このモードは特に有益である。なぜなら、端末がRESにより応答する前にAUTNが端末によってチェックされ、このため改ざんされた認証能力情報ACの場合には「早期アボート」が行われるからである。従って、この実施形態は認証能力の明示的なチェックを提供するが、この場合チェックはネットワークでなく端末によって実行される。実際、AUTN及びXAUTNの比較は、(X)AUTN値の一部にのみ、すなわち3GPP TS33.102に指定されたようないわゆるMAC部分にのみ基づくものとすることができる。3GPP TS33.102は、引用により本願にも含まれるものとし、この場合に比較をどのように実行するかについて詳細に記載する。
【0088】
[00097] 図5C及び図10は別の例示的な実施形態を示し、これは、EAP−AKAの使用に関する。UMTS認証及び鍵合意のための拡張認証プロトコル方法すなわちEAP−AKAは、UMTS加入者アイデンティティモジュール(USIM)を用いた認証及びセッション鍵配布のためのEAP方法である。EAP−AKAはRFC4187に記載されており、これは引用により本願にも含まれるものとする。MSKは、マスタ鍵を記載するいくつかのセキュリティ技法及び手順において用いられる言葉であり、ここから認証及び暗号鍵等の多数の他の鍵が導出される。
【0089】
[00098] 図5Cに示すように、EAP−AKAの例示的な実施形態においては、認証ノードも端末30Cも暗号値比較器を含まない。図5Cは、ネットワークが暗号化/復号化ユニット81を含み、端末30Cが暗号化/復号化ユニット82を含むことを示す。典型的に、暗号化/復号化ユニット81は基地局28に配置されている。暗号化/復号化ユニット81及び暗合化/復号化ユニット82は双方とも、MSK又はこれから導出された鍵を、端末30Cと認証ノード22Cとの間で送信されるメッセージの暗号化/復号化に関連付けて用いる。暗号化/復号化ユニット81は通常、基地局28に配置されている及び/又は基地局28を備える。他の実施形態も同様に暗号化/復号化ユニットを含む場合があるが、様々な他の実施形態においては、暗号化/復号化ユニットは認証手順を有効にする際に必ずしも役割を果たさない。しかしながら、図5C及び図10の実施形態においては、ネットワーク及び端末30Cが同一の認証能力依存マスタセッション鍵(XMSK及びMSK)を用意するか否かが、暗号化/復号化が失敗するか又は成功するかを決定し、このため認証手順が成功する(例えば有効になる)か否かの指標である。
【0090】
[00099] MSKは、例えばWiMAXセッティングにおいて鍵材料として用いられる。この代わりに、ネーティブのUMTS AKA鍵(Ck、Ik)(EAP AKAを用いる場合、ここからMSKを導出する)に、認証能力に対する依存性を追加することによって、UMTS又はLTEセッティングにおいて同様の実施形態を容易に実施することができる。
【0091】
[00100] 図10の例においては、MSKは認証能力(AC)に依存するようになっている。上述のように、この実施形態においては通常、認証能力の明示的な検証がない。攻撃者が端末の認証能力(AC)を変更すると、端末及びネットワークはMSKについて異なる値を用いることになる。しかしながら、この事実の検証は暗黙的である。例えば、端末がMSKに基づいてメッセージを暗号化すると、ネットワークにおける復号プロセスは誤ったMSK値を用いて復号を行う。同様に、MSKに基づいたデータ完全性保護が用いられると、これはエラーを生成する。これによって端末とネットワークとの間の通信が「失敗」する。このため、検証(例えば認証手順が成功であるか否かを判定する)は暗黙的であり、この実施形態ではいずれかの特定ノードによって明示的に実行されることはない。換言すると、図10における行為10−5は、認証手順の間に求めた暗号値MSK及びXMSKを用いて暗号化/復号化/データ完全性手順を後に実行することに依存して認証手順の検証を取得することを含む。その効果は、通信を試みる場合に端末及びネットワークにインコンパチブルな「言語」を使用させることにたとえることができる。
【0092】
[00101] 図8は、図7のサーバベースのモードの入力を変更した変形を示す。これは、AAAサーバ24がサーバ第1関数を用いて第1の暗号値(CV1、例えばXRES’)を求め、サーバ第1関数に対する入力が認証能力情報(AC)に依存するいくつかの実施形態の一例を示す。これによって包含される変形/実施形態のいくつかに共通するのは、能力(認証能力(AC))の依存性は、関数の出力に影響を及ぼすのではなく様々な関数(例えば関数F、G、及びH)に対する入力に影響を及ぼす可能性があるという事実である。例えば、認証能力(AC)に対する依存性が例えばXRES=F(K,RAND)││AC)のような入力によって反映される方法でXRESを計算する代わりに、いくつかの適切な関数F’についてXRES=F’(F(K,RAND)││AC)を計算することができ、このため関数Fの出力は認証能力(AC)によって影響される。これは、上述した基本的な形態で暗号関数Fを暗号関数F’’(K,RAND││AC)=F’(K,RAND)││(AC)に変更することと同等であるが、この更に別の形態はF及びF’を異なるノードで計算することを可能とし、この場合はF’を計算するノードのみがACを知る必要があり、Fを計算するノードのみが共有鍵を知る必要がある。
【0093】
[00102] 関数FはAAAサーバ24によって計算することができるだけなので、認証能力情報(AC)がかかる関数Fの出力に影響する上述の技法は、図5Dに示すもの等の端末30がローミング中の状況において、すなわち、VPLMN40において動作するが端末30のHPLMN42と共有される秘密鍵(K)を有する場合に、特に有利である。図5Dの状況において、AAAサーバ24が望む場合(例えばAAAサーバ24がVPLMNに対して適度に強い信頼を有する場合)、関数F’の計算は、VPLMNに(例えばVPLMN40の認証ノード22に)「委任する」ことができる。認証ノード22による関数F’の利用を容易にするために、認証ノード認証ユニット34は、認証ノード認証能力依存ユニット(ACDU)57及び認証能力メモリ58を含む。そして、認証能力依存ユニット(ACDU)57は、第1の暗号チェック値発生器59を含む。それらはプロセッサ50によって実現することができるか、又はプロセッサ50を含むことができるので、認証ノード認証能力依存ユニット(ACDU)57及びその第1の暗号チェック値発生器59は、コンピュータ実施によるデバイス、例えばコンピュータ実施による認証ノード認証能力依存ユニットとも称される。端末認証能力依存ユニット(ACDU)77は、第2の暗号チェック値(CV2)発生器79を含む。それらはプロセッサ70によって実現することができるか、又はプロセッサ70を含むことができるので、端末認証能力依存ユニット(ACDU)77及びその第2の暗号チェック値発生器89は、コンピュータ実施によるデバイス、例えばコンピュータ実施による端末認証能力依存ユニットとも称される。
【0094】
[00103] 図11に、かかる状況の一例を示す。図11は、この方法の例示的な共有モードにおける例示的な行為又はステップを示す。行為11−0は、端末30がインタフェースを介して認証ノード22に認証能力情報(AC)を送信することと、認証ノード22がAAAサーバ24からの本明細書において第3の暗号値(FRES)と称するものを要求することと、を含む。行為11−1は、AAAサーバ24が第3の暗号値(FRES)の計算の準備としてランダム値(RAND)を選択又は取得することを含む。行為11−2aは、AAAサーバ24がランダム数(RAND)及び鍵(K)の関数として第3の暗号値(FRES)を発生することを含み、この鍵は端末30及びAAAサーバ24によって予め共有されている。次いでAAAサーバ24は、ランダム数(RAND)及び第3の暗号値(FRES)をAAAサーバ24に送信する。行為11−2bは、認証ノード22及び特に認証ノード認証能力依存ユニット(ACDU)57の第1の暗号チェック値発生器59が、ランダム数(RAND)、第3の暗号値(FRES)、及び認証能力情報(AC)を用いて、例えばRES=F’(FRES||AC)のように第1の暗号チェック値(XRES)を決定することを含む。行為11−2bの一部として、認証能力メモリ58から認証能力情報(AC)をフェッチする。行為11−3は、認証ノード22がランダム数(RAND)を端末30に送信することを含む。行為11−4は、端末30が、ランダム数(RAND)、鍵(K)、及び認証能力情報(AC)を用いて第2の暗号値(RES)を決定することを含む。次いで、端末30は第2の暗号値(RES)を認証ノード22に送信する。行為11−5は、認証ノード22が、端末30を認証するための前提条件として第1の暗号値(XRES)及び第2の暗号値(RES)を比較することを含む。
【0095】
[00104] 従って、図11の例示的な実施形態は、本明細書に開示し(例えば)図5Aによって表された、HPLMN(AAAサーバ24)が鍵(K)及び認証能力情報(AC)の双方を知っている必要がある技術の基本的な形態とは対照的である。図11の実施形態においては、認証ノード22は認証能力情報(AC)を知っている必要があるが、AAAサーバ24は認証能力情報(AC)を知っている必要はない。これに対し、認証ノード22は鍵Kを知っている必要はなく、AAAサーバ24は鍵Kを知っている必要はない。また、図11の実施形態で実行されたものと同じ又は同様のアクションの共有/分配/委任は、認証手順の成功の検証方法とは無関係に他の実施形態においても実行することができる。例えば、端末又は認証ノードのいずれかによる明示的な検証がある実施形態において、及び、後の暗号化/復号化動作における第1の暗号値の利用による暗黙的な検証がある実施形態において実行可能である。
【0096】
[00105] 図5Dが例示する状況では、認証能力情報(AC)は認証ノード22によって用いられて関数Fの出力に影響を及ぼすが、認証能力(AC)の出力に影響する利用はAAAサーバ24においても実施可能であることは認められよう。例えば、図5Eが示す例示的な実施形態においては、XRES=F’(F(K,RAND)||AC)等の関数は、認証ノード22ではなくAAAサーバ24によって計算される。図5Eの状況において、AAAサーバ認証ユニット36はここでも暗号値発生器62Eを含み、認証能力(AC)を用いてXRES=F’(F(K,RAND)||AC)の計算を実行するのは認証能力依存ユニット(ACDU)67Eであり、このため、認証能力依存ユニット(ACDU)67は、第1の暗号チェック値(CV1)を計算するための第1の暗号チェック値発生器として機能する。
【0097】
[00106] 本明細書において開示した技術は、WiMAX又はLTE認証の状況に特に適しているが、これに対して限定的であるわけではない。後者の場合、本明細書において開示した技術が特に適しているのは、UE認証能力の一部がAAA/HSS及びユーザ装置ユニットで用いられるKDF(鍵導出関数)を含む場合である。
【0098】
[00107] 認証の前及び/又は間に交換する必要がある他の「基本的な」能力(例えば無線/リンク関連)は、本明細書に記載したものと同様の方法で保護することができる。
【0099】
[00108] また、AAAサーバ24は、用いる関数を端末の能力から選択する(すなわちF、G等のどれかを決定する)。AAAサーバ24は、その選択をセキュアな方法で端末に通知する。通常、これは自動的に処理される。なぜなら、AAAサーバ24によって行われた選択を攻撃者が改ざんした場合、端末及びAAAサーバ24は異なるアルゴリズムを用いて認証値を計算し、従って失敗することになるからである。しかしながら、いずれの場合であっても、以下のように何らかの追加の保護を達成することができる(例えば、セキュリティの観点から1つのアルゴリズムが特に好ましくない場合)。すなわち、AAAサーバ24は、認証能力(AC)だけでなく、暗号チェック値の発生において実際に選択したアルゴリズム(複数のアルゴリズム)も含む。例えば、AAAサーバ24が認証アルゴリズムFを選択した場合、FRES値はFRES=F(K,RAND||”F”)として計算される。ここで、”F”は、アルゴリズムFを識別する何らかの所定の方法を示す。次いで、値”F”を、端末に対する通知に含ませる。
【0100】
[00109] 以下に示す考えられる攻撃のタイプについて考慮しなければならない。すなわち、(1)攻撃者が、端末が送信しなかった能力cを追加することによって変更を行う。(2)攻撃者が、端末が送信した能力cを削除することによって変更を行う。タイプ(1)は、おそらくあまり深刻ではない。これは、攻撃者が追加する能力は端末によってサポートされないことを意味するからである。従って、端末はいずれにせよ、正しい第1の暗号値(例えばRES)を計算することができない。いずれにしても、双方のタイプに共通するのは、AAAサーバ24によって用いられる認証能力情報(AC)値が、端末によって用いられるものとは異なるので、それらは一致しない認証値を導出するということである。
【0101】
[00110] 本明細書に開示した技術にはいくつかの利点がある。それらの利点の中に、以下のものがある。
・認証能力、及び、認証が行われる前に通知する必要があり得る他の「基本的な」能力の競り下げに対する、簡単かつ効率的な(共有鍵ベースの)保護。
・端末とAAAサーバ24との間のエンドツーエンドのセキュリティの提供。
・能力の改ざんの「早期」検出(セキュリティが「オン」になる前)の提供。
・潜在的に改良したPKMv2 Wimaxセキュリティプロトコルシグナリング。
【0102】
[00111] アルゴリズム(F、G、H等に対応する)は通常、端末の汎用ICカード(UICC)と同様のものにおいて実施される。本明細書に開示した技術の様々な実施形態においては、F、G、及びHの入力及び/又は出力を変更するだけである。これが意味するのは、UICCは影響を受けず、本明細書に開示した技術はUICCの「ソフトウェア」カプセル化として提供可能であるということである。
【0103】
[00112] 上述の記載は多くの規定を含むが、これらは本発明の範囲を限定するものとしてではなく、単に本発明の現在好適な実施形態のいくつかの例示を与えるものとして解釈されるべきである。本発明の範囲は、当業者に明らかとなり得る他の実施形態を完全に包含し、従って本発明の範囲は過度に限定されるものではない。単数形の要素に対する言及は、明示的に述べていない限り「唯一のもの」を意味することは意図しておらず、むしろ「1つ以上」を意味する。当技術分野において当業者に既知である上述の好適な実施形態の要素に対する全ての構造的、化学的、及び機能的な均等物は、引用により本明細書に明白に含まれ、本明細書によって包含されることが意図される。更に、本発明によって包含されるデバイス又は方法が、本発明によって解決しようとする全ての問題に対処する必要はない。
【技術分野】
【0001】
本出願は、2008年9月5日に出願された「SECURE NEGOTIATION OF AUTHENTICATION CAPABILITIES」と題する米国仮出願61/094,715号の優先権及び利益を主張する。この出願は引用によりその全体が本願に含まれるものとする。
【0002】
本発明は電気通信に関し、更に具体的には通信の認証に関する。
【背景技術】
【0003】
[0001] 典型的なセル式無線システムにおいて、無線端末(移動局及び/又はユーザ装置ユニット(UE)としても知られる)は、無線アクセスネットワーク(RAN)を介して1つ以上のコアネットワークと通信を行う。無線端末は、無線能力を有する移動電話(「セル式」電話)及びラップトップ(例えば移動終端器)等の移動局又はユーザ装置ユニット(UE)とすることができるので、例えば、無線アクセスネットワークと音声及び/又はデータの通信を行う携帯型、ポケット用、ハンドヘルド型、コンピュータ内蔵、又は車載型の移動デバイスとすることができる。
【0004】
[0002] 無線アクセスネットワーク(RAN)は、通常は複数のセル領域に分割された地理的領域をカバーする。各セル領域は、例えば無線基地局(RBS)のような基地局によって対応される。いくつかのネットワークにおいて、RBSは、WiMAXでは「BS]と呼ばれ、WLANでは「AP」と呼ばれ、また第3世代移動ネットワークでは「NodeB」又は「Bnode」としても知られている。セルは、基地局サイトにおける無線基地局装置によって無線サービスエリアが提供される地理的領域である。各セル及び/又は基地局は、ローカル無線領域内のアイデンティティによって識別され、これはセル内で同報通信される。基地局は、基地局の範囲内のユーザ装置ユニット(UE)と、無線周波数で動作するエアインタフェースを介して通信を行う。
【0005】
[0003] 無線アクセスネットワークのいくつかのバージョン(特に初期のバージョン)においては、いくつかの基地局は通常、(例えば地上通信線又はマイクロ波によって)無線ネットワークコントローラ(RNC)に接続される。無線ネットワークコントローラは、基地局コントローラ(BSC)と称されることもあり、接続された複数の基地局の様々なアクティビティを監視し調整する。無線ネットワークコントローラは通常、1つ以上のコアネットワークに接続される。また、基地局は、コアネットワークによって補助されて、又は直接的な基地局相互接続を用いて、基地局間で無線端末のハンドオーバを可能とするための手段を有する場合がある。
【0006】
[0004] UMTS(Universal Mobile Telecommunications System)は、GSM(Global System for Mobile Communications)から発展した第3世代移動通信システムであり、広帯域符号分割多元接続(WCDMA)アクセス技術に基づいて改良された移動通信サービスを提供することを目的とする。UTRANは、本質的に、ユーザ装置ユニット(UE)のための広帯域符号分割多元接続を用いた無線アクセスネットワークである。3GPP(Third Generation Partnership Project)は、更に別のUTRAN及びGSMベースの無線アクセスネットワーク技術の開発に取り組んでいる。
【0007】
[0005] 3GPPにおいて、E−UTRAN(次世代ユニバーサル地上無線アクセスネットワーク:Evolved Universal Terrestrial Radio Access Network)のための規定が進行中である。E−UTRANは、LTE(Long Term Evolution)を含み、SAE(System Architecture Evolution)の一部である。
【0008】
[0006] LTEは、3GPP無線アクセス技術の変形であり、無線基地局ノードが無線ネットワークコントローラ(RNC)ノードでなく直接コアネットワークに接続されるものである。一般に、LTEにおいては、無線ネットワークコントローラ(RNC)ノードの機能は無線基地局ノードによって実行される。このため、LTEシステムの無線アクセスネットワーク(RAN)は、無線ネットワークコントローラ(RNC)ノードの監督下にあるのではない無線基地局ノードを含む本質的に「フラットな」アーキテクチャを有する。従って、E−UTRAN(evolved UTRAN)は、例えば発展型ノードB又はeNBのような発展型基地局ノードを含み、無線端末に対して発展型のUTRANユーザプレーン及び無線リソース制御プレーンプロトコル終端器を提供する。
【0009】
[0007] WiMAXすなわちマイクロ波アクセスのための世界的相互運用性は、二地点間リンクから完全移動セル式アクセスまでの範囲にわたる様々な方法で無線データ伝送を提供する電気通信技術である。この技術は、配線も大きなネットワーク構造も実際に必要とすることなく広帯域速度を利用するというアイディアをユーザに提供する。この技術はIEEE802.16規格(WirelessMANとも呼ばれる)に基づいている。「WiMAX」という名前はWiMAXフォーラムによって生成された。
【発明の概要】
【発明が解決しようとする課題】
【0010】
[0008] 無線端末等のノードがネットワークに接続すると、多くの場合、無線インタフェース上で認証及び暗号化の使用の設定を含むセキュリティハンドシェークが実行される。このために、無線端末は、サポートするセキュリティ能力(例えばセキュリティアルゴリズム及びプロトコル)についてネットワークに通知して、ネットワークが適切な選択を実行できるようにしなければならない。しかしながら、以下に記載するように、この通知は、いわゆる競り下げ攻撃に対して影響を受けやすい恐れがある。
【0011】
[0009] 例えば、無線端末が、認証アルゴリズムS(「セキュア」)及び認証アルゴリズムL(「低セキュア」)をサポートすると仮定する。更に、図1に示すように、悪質なパーティが無線端末の能力シグナルに介入して、これを認証アルゴリズムのセット{S,L}からセット{L}に変更したと仮定する。ネットワークは、無線端末(UE)が認証アルゴリズムL(「低セキュア」)のみをサポートすると考え、従ってネットワークは低セキュアLを選択させられることになる。これは、無線端末に対して得られるセキュリティが、得られるはずであったよりも低いことを意味する。更に悪いことには、システムがセキュリティ能力なしの端末を許可すれば、攻撃者は、例えば{ }のような空の認証アルゴリズムセットを転送することができ、無線端末はセキュリティを全くサポートしないということになる。従って、無線端末のセキュリティに関連した能力を(おそらくは他の能力も)含むメッセージを保護する必要がある。
【0012】
[00010] セキュリティの脅威に対する通常の又は当然の手法は、無線端末のセキュリティ能力をネットワークに知らせる通知メッセージの完全性を保護することである。しかしながら、通知メッセージは一般に認証前に実行されなければならないので、通常この目的のために暗号鍵は利用可能でない。なぜなら暗号鍵は認証の後(又は認証と同時)に生成されるからである。公開鍵技術を用いることは1つの選択肢であるが、効率が低く、ほとんどの無線規格において公開鍵インフラストラクチャ(PKI)はサポートされていない。
【0013】
[00011] WIMAXのための解決策は、能力シグナル(SBC能力)を認証ステップの後に移すことである。
【0014】
[00012] 初期のIEEE802.16規格では、多くの極めて重要な欠点を有するPKM(Privacy and Key Management)プロトコルが用いられた。IEEE802.16eは、PKMv2としてリリースされたPKMプロトコルの新しいバージョンを含む。PKMv2は、以前のバージョンに比べて、ナンス、メッセージ認証コード、鍵ID、証明書等のセキュリティフィーチャを含む大きな変更が行われている。このため、WIMAXにおけるPKMV2は、PKM要求メッセージにおいていくつかのセキュリティ能力を伝達する。これらの能力はセキュリティ関連のものであり、また認証能力にも関連する場合があり、かかる能力も保護する必要がある。
【0015】
[00013] 図2に、別の一般的な技法(例えば3GPP UMTS及びLTEにおいて用いられる)を示す。図2はネットワーク接続手順の無線端末実行部分を示す。基本的な無線接続確立(図示せず)はすでに行われていると仮定する。この技法は以下のステップを含む。
【0016】
[00014] ステップ2−1:無線端末(UE)はそのセキュリティ能力をネットワーク(VPLMN)に送信する。ここでのセキュリティ能力とは、認証(の成功)の後に用いられる暗号化アルゴリズム等を指す。
【0017】
[00015] ステップ2−2:ネットワーク(VPLMN)は、HPLMNのAAA(認証、許可、及び課金)サーバ又は一部から認証データをフェッチする。UMTSにおいて、AAAサーバはHSS(ホーム加入者サーバ)として知られる。
【0018】
[00016] ステップ2−3:チャレンジ−レスポンス手順(以下で更に詳細に説明する)による認証を実行し、鍵kを生成する。
【0019】
[00017] ステップ2−4:VPLMNは、ステップ2−1のメッセージにおいて無線端末(UE)から受信したセキュリティ能力を「エコーする」が、ここでは完全性は鍵kによって保護されている(認証されている)。
【0020】
[00018] ステップ2−5:無線端末(UE)は、同じ鍵kを用い、完全性を検証すると共に能力がメッセージ1で送信したものと同一であることをチェックする。
【0021】
[00019] 図2によって例示された技法は、セキュリティ能力に関する上述の問題を解決するが、セキュリティ機能を認証してイネーブルした後になってから偽の能力メッセージが検出されるという好ましくない特性がある。更に、セキュリティ能力が信頼性高く保護されるのは認証手順がセキュアな方法で実行された場合のみである。なぜなら、そうでない場合には、鍵kが他のパーティに知られてステップ2−4でメッセージの偽造を可能とする恐れがあるからである。
【0022】
[00020] 図2の手順の一部を形成するチャレンジ−レスポンスプロトコルは、従来技術において存在しており、認証のために用いられる(例えばGSM/UMTS認証及び鍵合意(AKA)、拡張認証プロトコル(EAP)、ダイジェスト認証等)。かかるプロトコルにおいては、無線端末及びAAAサーバは予め共有された鍵(又はパスワード)Kを有すると仮定される。かかるチャレンジ−レスポンスプロトコルの基本的な態様について、以下に列挙した例示的なステップによって示す。
【0023】
[00021] (1)AAAサーバはランダム値RANDを選択する。
【0024】
[00022] (2)AAAサーバは予想レスポンスXRES=F(K,RAND)を計算する。ここで、Fは合意された暗号化関数である(また、FはRANDでなく他のパラメータに依存することも可能である)。RAND及びKに基づいて、例えば鍵のような他のパラメータも計算することができる。
【0025】
[00023] (3)AAAサーバはRANDを無線端末に送信する。
【0026】
[00024] (4)無線端末はレスポンスRES=F(K,RAND)を計算し、これを(AAAサーバ又はアクセスネットワークにおける何らかの認証者ノードに対して)返信する。
【0027】
[00025] (5)AAAサーバ/認証者はRES=XRESであるか否かをチェックし、これが成り立つならば無線端末が認証されていると見なす。
【0028】
[00026] かかるチャレンジ−レスポンスプロトコルにおいては、必然的にステップ(2)はステップ(1)の後かつステップ(5)の前に実行しなければならないが、任意にステップ(3)及びステップ(4)の後に実行することも可能である。これによって可能な認証手順セットに制限が加わる。
【0029】
[00027] 一般に、UMTS又はLTE等のシステムはセキュリティ能力を保護するが、認証能力は保護しない。近い将来、かかるシステムは複数の認証能力をサポートする可能性があり、従って認証能力の保護がないことは認証手順に対する根本的な脅威を生じ、更に「ドミノ効果」を生む。なぜなら、副作用としてセキュリティ能力が脅かされる恐れがあるからである。認証能力が保護されない理由は、部分的には、かかる保護を提供しようとする全ての直接的な手法に関連した固有の「因果関係のわからない」問題によるものである。
【0030】
[00028] 更に、上述した従来技術の構成(例えばUMTS)におけるセキュリティ関連能力は、移動先の公衆陸上移動ネットワーク(VPLMN:visited public land mobile network)と無線端末との間で保護されるだけである。これはVPLMNに強い信頼が必要であることを意味する。そうでない場合には、VPLMNが無線端末から転送された無線端末能力を「偽造」する可能性があるからである。特に、認証能力は時に、無線端末と認証及び課金(AAA)機能/サーバとの間の「エンドツーエンド」の問題となる場合があり、同様にエンドツーエンド保護を行わなければならない。
【課題を解決するための手段】
【0031】
[00029] 本明細書に開示する技術は、その態様の1つにおいて、インタフェースを介して無線端末と通信を行う通信ネットワークを動作させる方法に関する。このネットワークは、認証ノードと、AAAサーバ等のサーバと、を備える。この方法は、その最も基本的な形態において、端末がインタフェースを介してネットワークに認証能力情報を送信することを含む(認証能力情報は端末の認証能力の指示を与える)。次いでネットワークは、受信した認証能力情報を用いて、端末による認証及び鍵合意手順内で用いられる第1の暗号値を決定する。次いで端末は、認証能力情報を用いて、認証及び鍵合意手順内で用いられる第2の暗号値を決定する。第1及び第2の暗号値が異なる場合、認証及び鍵合意手順の少なくとも一部が失敗する。この失敗は、ネットワーク、端末、又はその双方によって検出することができる。
【0032】
[00030] 例示的な実施において、認証能力情報は、端末によってサポートされる認証アルゴリズム、認証/プロトコル、又は認証信用証明書の識別(例えばリスト)を含む。
【0033】
[00031] 第1の暗号値及び第2の暗号値を用いた認証手順の検証の取得は、様々な方法で行うことができる。例えば、検証の取得は、第1の暗号値及び第2の暗号値を比較することによって、認証手順が成功であるか否かを明示的に判定することを含むことができる(例えば、第1の暗号値が第2の暗号値と等しい場合に認証手順は成功であると判定される)。いくつかの例示的な実施形態において、第1の暗号値及び第2の暗号値のこのような比較はネットワークによって実行可能である。他の例示的な実施形態において、第1の暗号値及び第2の暗号値のこのような比較は端末によって実行可能である。更に別の例示的な実施形態では、検証の取得は本質的に、ネットワークと端末との間のセキュアな(例えば暗号化された)通信に関連付けて、ネットワークが第1の暗号値の使用を試み、端末が第2の暗号値の使用を試みることを含む。かかる実施形態は、暗号化/復号化動作通信が失敗しない場合に認証手順の成功を判定することを含む。この場合、検証は暗黙的比較の一例である。すなわち、これは、明示的な比較「x==y?」に基づいておらず、何らかの暗号関数h、gについての「h(x)はg(y)と一致するか?」の形態の基準の評価に基づいている。
【0034】
[00032] 従って、1つの例示的な実施形態において、ネットワークは端末に第1の暗号値を提供する。端末は、ネットワークを認証するために第1の暗号値及び第2の暗号値を比較し、それらが異なる場合には認証及び鍵合意手順を拒絶する。
【0035】
[00033] 別の例示的な実施形態において、端末はネットワークに、暗号値として用いられる第2の暗号値を提供する。ネットワークは、端末を検証するために第1の暗号値及び第2の暗号値を比較し、それらが異なる場合には認証及び鍵合意手順を拒絶する。
【0036】
[00034] 更に別の実施形態においては、第1及び第2の暗号値は、端末とネットワークとの間のセキュアな通信(例えば暗号化及び/又はデータ完全性保護)に用いられるセッション鍵材料を含む。ネットワーク又は端末のいずれかがセキュアな通信に関連した通信エラーを検出した場合、認証及び鍵合意手順は拒絶される。
【0037】
[00035] この方法の例示的なサーバベースのモードにおいて、端末はインタフェースを介して認証ノード及びサーバに認証能力情報を送信する。サーバは、認証能力情報を用いて第1の暗号値を決定する。端末は、認証能力情報を用いて第2の暗号値を決定する。認証ノードは、第1の暗号値及び第2の暗号値を比較して端末を認証する。
【0038】
[00036] サーバベースのモードの更に詳細な実施において、端末は無線インタフェースを介して認証ノードに認証能力情報を送信する。次いで認証ノードは、認証能力情報をサーバに送信する。サーバは、受信した認証能力情報、ランダム数、及び鍵(鍵は端末及びサーバによって予め共有されている)の関数として第1の暗号値を発生する。サーバは、ランダム数及び第1の暗号値を認証ノードに送信する。認証ノードはランダム数を端末に送信する。端末は、ランダム数、鍵、及び認証能力情報を用いて、第2の暗号値を計算する。端末は第2の暗号値を認証ノードに送信する。
【0039】
[00037] サーバベースのモードの入力を変更した変形においては、端末はインタフェースを介して認証ノードに認証能力情報を送信する。認証ノードは認証能力情報をサーバに送信する。サーバは二次ランダム数を選択し、更に、この二次ランダム数及び受信した認証能力情報を用いて、一次ランダム数を決定する。サーバは、一次ランダム数及び鍵の関数として第1の暗号値を発生する。鍵は、端末及びサーバによって予め共有されている。サーバは、二次ランダム数及び第1の暗号値を認証ノードに送信する。認証ノードは二次ランダム数を端末に送信する。端末は、二次ランダム数及び認証能力情報を用いて、第2の一次ランダム数を決定する。端末は、第2の一次ランダム数及び鍵を用いて、第2の暗号値を計算する。
【0040】
[00038] サーバベースのモードの入力を変更した変形では、サーバはサーバ第1関数を用いて第1の暗号値を決定し、サーバ第1関数に対する入力は認証能力情報に依存する。
【0041】
[00039] 例示的な実施において、第1の暗号値は認証トークン(AUTN)である。別の実施形態において、第1の暗号値は暗号鍵(CK)及び/又は完全性鍵(IK)である。別の実施形態では、第1の暗号値は予想レスポンス(XRES)であり、第2の暗号値はレスポンス(RES)である。別の例示的な実施形態においては、第1の暗号値は、UMTS認証及び鍵合意のための拡張認証プロトコル方法(EAP−AKA)のマスタセッション鍵(MSK)の鍵である。
【0042】
[00040] 本明細書において記載する実施形態のいくつかは、明示的なチェック値を利用する。例えば、第1の認証能力が攻撃者によって変更された場合、端末において導出される結果(RES)値は、ネットワークによって発生される対応する予想結果(XRES)とは異なり、RES及びXRESの比較はネットワークにおいて失敗する。また、AUTNが暗号値として機能する実施形態も明示的なチェック値の一例であるが、この実施形態では、失敗は端末において検出される。他の場合、例えば鍵(MSK及び/又はCK/IK)をチェック値として用いる場合には、変更されたセキュリティ能力の検出は、例えば暗号の失敗によるものなので、チェック値は暗黙的である。
【0043】
[00041] この方法の例示的な共有モードにおいて、端末は、インタフェースを介してネットワークの認証ノードに認証能力情報を送信する。認証ノードは、ネットワークのサーバから第3の暗号値を要求する。サーバは、ランダム数及び鍵の関数として第3の暗号値を発生する。鍵は、端末及びサーバによって予め共有されている。サーバは、ランダム数及び第3の暗号値を認証ノードに送信する。認証ノードは、ランダム数、第3の暗号値、及び認証能力情報を用いて、第1の暗号値を決定する。認証ノードは、ランダム数を端末に送信する。端末は、ランダム数、鍵、及び認証能力情報を用いて、第2の暗号値を決定する。端末は第2の暗号値を認証ノードに送信する。共有モードの例示的な実施においては、認証ノードは、VPLMNにおけるSGSN(Serving GPRS Support Node)又はMME(Mobility Management Entity)ノードであり、サーバは、ホーム公衆陸上移動ネットワーク(HPLMN:home public land mobile network)におけるAAAサーバ又はHSSである。
【0044】
[00042] 本明細書に開示する技術は、その別の態様において、通信ネットワークのノードに関する。このノードは、端末の認証能力情報を用いて端末のための暗号値を決定するように構成されている(認証能力情報は端末の認証能力の指示を与える)。例えば、認証能力情報は、端末によってサポートされる認証アルゴリズム、認証プロトコル、及び/又は認証信用証明書の識別(例えばリスト)を含む。
【0045】
[00043] 例示的な実施形態において、ノードは、認証能力情報、ランダム数、及び鍵の関数として暗号値を決定するように構成されたサーバを含む。鍵は、端末及びサーバによって予め共有されている。
【0046】
[00044] ノードの別の実施形態は、二次ランダム数を選択してこの二次ランダム数及び認証能力情報を用いて一次ランダム数を決定するように構成されたサーバを含む。このサーバは、一次ランダム数及び鍵の関数として暗号値を発生するように更に構成されている。鍵は、端末及びサーバによって予め共有されている。この実施形態は、サーバがサーバ第1関数を用いて暗号値を決定するように構成されている実施形態の一例であり、サーバ第1関数に対する入力は認証能力情報に依存する。
【0047】
[00045] 例示的な実施において、ノードは、VPLMNにおける認証ノード(例えばMMEノード又はSGSN)である。別の例示的な実施において、ノードは、HPLMNにおけるAAAサーバ又はHSSノードを含む。
【0048】
[00046] 本明細書に開示する技術は、その別の態様において、第1のノード及び第2のノードを含む通信ネットワークに関する。第1のノードは、端末の認証能力情報を受信すると共に第2のノードから第3の暗号値を要求するように構成されている。第2のノードは、ランダム数及び鍵の関数として第3の暗号値を発生するように構成されている。鍵は、端末及び第2のノードによって予め共有されている。第1のノードは、ランダム数、第3の暗号値、及び認証能力情報を用いて第1の暗号値を決定すると共に、端末から受信した第2の暗号値を第1の暗号値と比較して端末を認証するように構成されている。例示的な実施において、第1のノードは、VPLMNにおけるSGSN又はMMEノードを含み、第2のノードは、HPLMNにおけるAAAサーバ又はHSSノードを含む。
【0049】
[00047] 本明細書に開示する技術は、その別の態様において、インタフェースを介して通信ネットワークに認証能力情報を送信すると共に認証能力情報を用いて暗号値を決定するように構成された端末に関する。この暗号値は、端末の認証のために、インタフェースを介して通信ネットワークに送信される。例示的な実施において、認証能力情報は、端末によってサポートされる認証アルゴリズムの識別を含む。
【0050】
[00048] 本明細書に開示する技術は、その別の態様において、インタフェースを介して通信ネットワークに認証能力情報を送信すると共に認証能力情報を用いて第1の暗号値を決定するように構成された端末に関する。端末は、更に、第1の暗号値と、認証手順の一部として通信ネットワークから受信した第2の暗号値とを比較すると共に、この比較が失敗した場合には認証手順を拒絶するように構成されている。例示的な実施において、認証能力情報は、端末によってサポートされる認証アルゴリズムの識別を含む。
【0051】
[00049] 本発明の前述及びその他の目的、フィーチャ、及び利点は、添付図面に示したような以下の好適な実施形態の具体的な記載から明らかとなろう。添付図面において、参照符号は様々な図を通して同一の部品を示す。図面は必ずしも一定の縮尺通りではなく、本発明の原理を例示する際には強調している。
【図面の簡単な説明】
【0052】
【図1】[00050] 端末とネットワークとの間の通信に対する悪質なパーティによる潜在的な攻撃を示す図である。
【図2】[00051] 一般的な認証技法に伴うステップの図である。
【図3A】[00052] 本明細書に開示する技術の背景を述べるのに適した第1の例示的な通信ネットワークの関連部分の概略図である。
【図3B】[00053] 本明細書に開示する技術の背景を述べるのに適した第2の例示的な通信ネットワークの関連部分の概略図である。
【図4】[00054] 図3の通信ネットワークと組み合わせた方法の一般モードで実行される例示的な行為又はステップを示す図である。
【図5A】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5B】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5C】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5D】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図5E】[00055] 様々な、限定でない、より詳細な例示的な実施形態に従った、認証ノード、AAAサーバ、及び端末の例示的な構成ユニット及び機能性を示す。
【図6】[00056] サーバベースの認証方法の例示的な実施形態の例示的又は代表的な基本的行為又はステップを示す。
【図7】[00057] 図6のサーバベースのモードの更に詳細な実施において実行される基本的又は代表的な例示的行為又はステップを示す。
【図8】[00058] 本明細書に開示する技術の別の例示的な方法によって実行される基本的又は代表的な例示的行為又はステップを示す図である。
【図9】[00059] AUTNパラメータが認証能力に依存するようになっているUMTS AKAに関連したモードにおいて実行される基本的又は代表的な例示的行為又はステップを示す図である。
【図10】[00060] MSKが認証能力に依存するようになっている拡張認証プロトコル方法に関連したモードにおいて実行される基本的又は代表的な例示的行為又はステップを示す図である。
【図11】[00061] 本明細書に開示する技術の別の例示的な方法によって実行される基本的又は代表的な例示的行為又はステップを示す図である。
【発明を実施するための形態】
【0053】
[00062] 以下の記載において、限定でなく説明の目的で、本発明の完全な理解を提供するために、特定のアーキテクチャ、インタフェース、技法等の具体的な詳細事項について述べる。しかしながら、本発明はこれらの具体的な詳細事項から逸脱する他の実施形態において実施可能であることは当業者には明らかであろう。すなわち、当業者は、本明細書において明示的に記載又は図示されていないが本発明の原理を具現化しその精神及び範囲内に含まれる様々な構成を考案することができる。いくつかの例においては、不必要な詳細事項によって本発明の記載を不明瞭にしないために、周知のデバイス、回路、及び方法の詳細な記載は省略する。本発明の原理、態様、及び実施形態を述べる本明細書における全ての記述は、その構造的均等物及び機能的均等物の双方を包含することが意図されている。更に、かかる均等物は、現在知られている均等物及び将来開発される均等物すなわち構造に関わらず同一の機能を実行する開発された要素の双方を含むことが意図されている。
【0054】
[00063] このため、例えば、本明細書におけるブロック図は技術の原理を具現化する例示的な回路の概念図を表すことができることは当業者には認められよう。同様に、あらゆるフローチャート、状態遷移図、擬似コード等が表す様々なプロセスは、コンピュータ読み取り可能媒体において実質的に表現されてコンピュータ又はプロセッサによって実行することができ、かかるコンピュータ又はプロセッサは明示的に図示する場合もしない場合もあることは認められよう。
【0055】
[00064] 「プロセッサ」又は「コントローラ」と標示又は記載した機能ブロックを含む様々な要素の機能は、専用ハードウェア及びソフトウェアを実行可能なコンピュータ等のハードウェアを用いることによって提供可能である。プロセッサによって提供される場合、これらの機能は、単一の専用プロセッサによって、単一の共有プロセッサによって、又は一部が共有もしくは分散される場合がある複数の個別プロセッサによって提供することができる。更に、「プロセッサ」又は「コントローラ」という言葉の明示的な使用は、ソフトウェアを実行可能なハードウェアを排他的に示すものとして解釈されるのではなく、限定なしに、デジタル信号プロセッサ(DSP)ハードウェア、ソフトウェアを記憶するための読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、及び不揮発性記憶装置を含むことができる。
【0056】
[00065] 図3Aは、本明細書に開示した技術の背景を述べるのに適した例示的な通信ネットワーク20の関連部分を示す。通信ネットワーク20は、認証ノード22及びAAAサーバ24を含む。認証ノード22はアクセスネットワーク26に接続されている。アクセスネットワーク26は、無線基地局としても知られる少なくとも1つの基地局28を含む。基地局28は、インタフェース32を介して端末30と通信を行う。このため、図3Aの例示的な実施形態においては、アクセスネットワーク26は無線アクセスネットワークであり、端末30はエア又は無線インタフェース32を介して通信を行う無線端末である。
【0057】
[00066] 図3Bは、本明細書において開示される技術が無線アクセスネットワーク又は無線端末との使用に限定されないことを示す。図3Bは、アクセスネットワークを、例えば無線ベース以外にすることが可能であることを示し、更に、端末30’を無線以外のものにすることが可能であることを示す(例えば電話線、光ファイバ、同軸ケーブル等を用いた有線又はケーブル接続)。以下の実施形態は主として図3Aの無線の状況を参照して記載するが、かかる実施形態は図3Bに示すもの等のいっそう一般的な状況において実施可能であることは認められよう。
【0058】
[00067] 認証ノード22は、SGSN、MSC、又はMME等の通信ネットワーク20のいずれかの適切なノードとすることができる。また、AAAサーバ24は通信ネットワーク20のノードに位置することができ、この理由でAAAサーバ24もノードであると考えることができる。この点で、AAAサーバ24は、(Radius又はDiameter)AAAサーバ、HLR/AuC(ホーム位置レジスタ/認証センタ)、又はHSSに位置することができる。
【0059】
[00068] その基本的な態様の1つにおいて、本明細書に開示する技術は、図1を参照して記載した問題等の認証プロトコル能力の競り下げ問題を解決する。これを行うために、本明細書において開示する技術は、認証プロトコル能力に関する情報を認証手順自体に関連させて統合する。このため、認証ノード22は認証ユニット34を含み、AAAサーバ24は認証ユニット36を含み、端末30は認証ユニット38を含む。本明細書において記載するいくつかの実施形態において、認証能力情報に対する認証手順の依存性は認証ノード22に対して本質的にトランスペアレントである。他の実施形態においては、かかる依存性はAAAサーバ24に対してトランスペアレントである。
【0060】
[00069] 図3Aに示したタイプの例示的な実施において、認証ノード22は、VPLMN40に配置されているか、又はVPLMN40を備える。VPLMN40は無線アクセスネットワーク(RAN)26に備えることができる。例示的な実施において、AAAサーバ24は、HPLMN(ホームPLMN)42に配置されているか、又はHPLMNを備える。
【0061】
[00070] 図4は、図3の通信ネットワーク20のための認証手順の一般モードで実行される例示的な行為又はステップを示す。行為4−1は、端末30が、インタフェース32を介してネットワーク20に認証能力情報(AC)メッセージを送信することを含む。
【0062】
[00071] 本明細書において記載した実施形態において、認証能力情報(AC)は、端末の認証能力の指示を与える。従って、認証能力はセキュリティ能力とは異なる。セキュリティ能力は本質的に、認証手順が成功して完了した際に利用される暗号化アルゴリズム等に関連するものである。認証能力情報(AC)は、例えば、認証アルゴリズム(複数のアルゴリズム)、認証プロトコル(複数のプロトコル)、及び/又は端末30が適格であるか又は可能である認証信用証明書の識別(例えばリスト又は記述)とすることができる。端末のタイプ及び性質に応じて、行為4−1として送信される認証能力情報(AC)メッセージには、様々な異なるタイプの認証アルゴリズムを含ませることができる。例示的な認証能力情報(AC)メッセージに含ませることができるタイプの例示的な端末用認証アルゴリズムの網羅的でないサンプルは、Milenage、RSA(R)等を含む。認証プロトコルの例は、UMTS AKA、EAP AKA、EAP TLS等とすることができる。信用証明書の例は、IMSI(複数のIMSI)、公開鍵証明書等を含むことができる。
【0063】
[00072] 認証機構の完全な規定には、認証アルゴリズム、アルゴリズムを使用するための認証プロトコル、及び認証の実行に関連した信用証明書(例えば鍵及び/又は識別子)の各々の規定が必要である場合があることは理解できよう。場合によっては、これらの3つのパラメータの1つ以上は暗黙的であり、能力に明示的に含ませる必要はない。例えば、LTEネットワークにおいてはUMTS AKAプロトコルのみがサポートされ、この事実を明示的に通知する必要はない。しかしながら、明示的な通知を必要とするパラメータはいずれも、競り下げ攻撃を受ける場合があり、従って本明細書に述べる技術によって提供される保護から利益を得ることができる。
【0064】
[00073] 行為4−2は、通信ネットワーク20が認証能力情報を用いて第1の暗号値(CV1)を決定することを含む。行為4−3として、端末30はその認証能力情報を用いて第2の暗号値(CV2)を決定する。また、第1の暗号値(CV1)及び第2の暗号値(CV2)は、それぞれ第1の認証チェック値及び第2の認証チェック値と考えることができる。行為4−4は、認証手順が成功である(例えばネットワーク20と端末30との間で認証された通信を許可する)か否かの検証を取得する(第1の暗号値(CV1)及び第2の暗号値(CV2)を用いて)ことを含む。
【0065】
[00074] 図4は、限定ではないが本明細書に記載した他のモードを含む、この方法の他のモードに従って、様々な方法で認証ノード22とAAAサーバ24との間で行為4−2を分散/共有することが可能であるという意味で一般的な動作モードを示す。また、図4は、端末30、ネットワーク20、又は共に機能するネットワーク及び端末30の組み合わせによって行為4−4を実行可能であるという観点からも一般的である。例えば、以下で更に詳細に記載するが、行為4−4は、第1の暗号値(CV1)及び第2の暗号値(CV2)を比較し、これによって認証手順が成功であるか否かを明示的に判定することを含むことができる(例えば、第1の暗号値(CV1)が第2の暗号値(CV2)と等しい場合に認証手順が成功であると判定される)。いくつかの例示的な実施形態においては、かかる第1の暗号値(CV1)及び第2の暗号値(CV2)の比較はネットワーク20によって実行可能である。他の例示的な実施形態では、かかる第1の暗号値(CV1)及び第2の暗号値(CV2)の比較は端末30によって実行可能である。更に別の例示的な実施形態では、行為4−4は本質的に、ネットワーク20と端末30との間の暗号通信(認証後に実行される)に関連付けて、ネットワーク20が第1の暗号値(CV1)の使用を試み端末30が第2の暗号値(CV2)の使用を試みることで検証を取得し、セキュアな通信(例えば暗号化/復号化)動作通信が失敗でない場合に認証手順の成功を判定することを含む(なぜなら、第1の暗号値(CV1)及び第2の暗号値(CV2)の値が等しくないことで通信上の問題が生じた場合、通信は失敗するからである)。
【0066】
[00075] 図5Aは、限定でない例示的な実施形態に従った認証ノード22、AAAサーバ24、及び端末30の例示的な構成ユニット及び機能性を更に詳細に示す。図5Aに示すように、認証ノード22は、他の例示していない構成要素及び機能性の中でも、認証ノードプロセッサ50、AAAサーバ24に対するインタフェース52、及び無線アクセスネットワーク(RAN)26に対するインタフェース54(これを介して端末30に対する通信が行われる)を含む。例示した実施形態においては、認証ノードプロセッサ50は、少なくとも部分的に認証ユニット34の役割を実行し、従って暗号値比較器56を更に含む。
【0067】
[00076] AAAサーバ24は、AAAサーバ認証ユニット36及びAAAサーバプロセッサ60と図示されたコンピュータ又はプロセッサを含む。更に、加入者アイデンティティ回路としても知られるAAAサーバ認証ユニット36は、第1の暗号値発生器62及び鍵メモリ63を含む。AAAサーバ認証ユニット36は通常、セキュアな改ざん防止ユニットである。AAAサーバプロセッサ60は、ランダム数発生器64、認証ノードインタフェース66、認証能力依存ユニット(ACDU)67、及び認証能力メモリ68を含む。AAAサーバ認証ユニット36は、プロセッサ60とは別個の集積回路又はプロセッサ等の回路の形態を取ることができる。このため、例示的な実施形態においては、AAAサーバ認証ユニット36は、メモリ(例えば不揮発性メモリ)だけでなく、コンピュータ読み取り可能又は機械読み取り可能命令を実行するプロセッサも含むことができる。従って、例えばそのプロセッサを考慮すると、AAAサーバ認証ユニット36は、コンピュータ実施又は回路実施による認証ユニットとも称される。同様に、AAAサーバプロセッサ60によって実現又は具現化されるので、認証能力依存ユニット(ACDU)67は、コンピュータ実施による認証能力依存ユニットとも称される。
【0068】
[00077] このため、認証能力に対する依存性は認証能力依存ユニット(ACDU)67によって生成され、ACDU66は一般に、認証能力に対する依存性を含むことによって、AAAサーバ認証ユニット36への入力又はこれからの出力に対して動作する。現在の例示的な実施形態では、ACDU67はAAAサーバ認証ユニット36への入力に対して動作する。ACDU67は、ランダム数発生器64及び認証能力メモリ68によって提供されるランダム数を組み合わせることによって入力を形成する。ACDUはAAAサーバ認証ユニット36の入力/出力に対して直接動作するので、ACDUはあるいは、AAAサーバ認証ユニット36に全体的に又は部分的に統合することも可能である(この場合、これはコンピュータ実施又は回路実施による認証能力依存ユニットとして表すことができる)。しかしながら、通常はAAAサーバ認証ユニット36の変更は避けることが好ましく、これが、図5A等の図の少なくとも一部に示すような機能分割の理由である。
【0069】
[00078] ACDU67がAAAサーバ認証ユニット36への入力に対してのみ動作する実施形態においては、第1の暗号値(CV1)は、AAAサーバ認証ユニット36の出力によって直接識別することができる。ACDU67がAAAサーバ認証ユニット36への出力に対して少なくとも部分的に動作する実施形態(後述する)においては、第1の暗号値(CV1)は代わりにACDU67の出力によって識別される。
【0070】
[00079] 図5Aの端末30は、他の例示しない構成要素及び機能性の中でも、認証ユニット38、端末コンピュータ又は端末プロセッサ70、及びトランシーバ71を含む。トランシーバ71は、従来から知られている方法でインタフェース32を介して基地局28とのアップリンク通信及びダウンリンク通信の双方を行うために用いられる。更に、端末認証ユニット38は、第2の暗号値発生器72及び鍵メモリ73を含む。また、端末認証ユニット38は通常セキュアなユニットである。端末プロセッサ70は、ランダム数発生器74、認証ノードインタフェース76、端末認証能力依存ユニット(ACDU)77、及び認証能力メモリ78を含む。AAA認証ユニット36と同様、端末認証ユニット38は集積回路等の回路の形態を取ることができ、特に、加入者アイデンティティモジュール(SIM又はUSIM)タイプのカード等の集積回路カードの形態を取ることができる。このため、例示的な実施形態では、認証ユニット38は、メモリ(例えば不揮発性メモリ)だけでなくコンピュータ読み取り可能又は機械読み取り可能命令を実行するプロセッサも含むことができる。このため、例えばそのプロセッサを考慮すると、端末認証ユニット38は、コンピュータ実施又は回路実施による端末認証ユニットとも称される。同様に、端末プロセッサ70によって実現又は具現化されるので、認証能力依存ユニット(ACDU)67は、コンピュータ実施による認証能力依存ユニットとも称される。
【0071】
[00080] 端末30の端末認証能力依存ユニット(ACDU)77は本質的に、端末認証ユニット38からの入力及び/又は出力に対して動作することによって、AAAサーバの対応するACDU67を「ミラーリング」する。あるいは、ACDU77は、端末認証ユニット38に全体的に又は部分的に統合することも可能であり、この場合でもこれはコンピュータ実施又は回路実施による認証能力依存ユニットである。しかしながら、通常ここでも、端末認証ユニット38を変更なしの状態に維持したいということは同じである。
【0072】
[00081] サーバ側と同様に、ACDU77が端末認証ユニット36への入力に対してのみ動作する実施形態においては、第2の暗号値(CV2)は、端末認証ユニット38の出力によって直接識別することができる。ACDU67が端末認証ユニット38への出力に対して少なくとも部分的に動作する実施形態(これも後述する)においては、第2の暗号値(CV2)は代わりにACDU77の出力によって識別される。
【0073】
[00082] 本明細書において記載する実施形態においては、端末30のための鍵又はパスワードは、AAAサーバ認証ユニット36の鍵メモリ63及び端末認証ユニット38の鍵メモリ73の双方において/双方に対して予め記憶、設定、又はダウンロードする。端末30は、それ自身の認証能力(例えば端末30が動作することができる認証アルゴリズム)を知っており、認証能力メモリ78に記憶されたそれを示す認証能力情報(AC)を有する。端末30の認証能力が時間と共に変わる場合、それに応じて認証能力情報(AC)は認証能力メモリ78において更新される。
【0074】
[00083] 図6は、本明細書に記載する技術に従った、認証方法の例示的なサーバベースのモードの例示的又は代表的な基本的行為又はステップを示す。図6において、行為6−1として、端末30は、インタフェース32を介して認証ノード22及びAAAサーバ24に、認証能力情報メッセージ内で認証能力情報(AC)を送信する。図6に示すように、認証能力情報(AC)は通常、最初に認証ノード22に送信され、認証能力情報(AC)を24に中継する。行為6−2は、AAAサーバ24が認証能力情報を用いて第1の暗号値(CV1)を決定することを含む。行為6−3は、端末30が認証能力情報を用いて第2の暗号値(CV2)を決定することを含む。行為6−4は、認証ノード22が第1の暗号値(CV1)及び第2の暗号値(CV2)を比較して、認証手順が成功であるか否かを明示的に判定し、更に、(成功である場合)これによって端末を認証することを含む。
【0075】
[00084] 図7は、サーバベースのモードのいっそう詳細な実施において実行される基本的又は代表的な例示的行為又はステップを示す。行為7−0は、端末30がその認証能力を認証能力情報メッセージの形態でAAAサーバ24に送信することを含む。図7に示すように、端末30はその認証能力情報を、インタフェース32を介して認証ノード22に送信し、認証ノード22は認証能力情報をAAAサーバ24に送信する。
【0076】
[00085] 端末30の認証能力情報(AC)は、AAAサーバ24の認証ノードインタフェース66を介して受信され、AAAサーバ認証ユニット36に適用される。図7の行為7−1は、AAAサーバプロセッサ60がランダム値(RAND)を選択することを含む。この点で、行為7−1として、プロセッサ60はランダム数発生器64を呼び出す。ランダム数発生器64からランダム数RANDを取得したら、ランダム数RANDを認証能力ACと共にACDU67に提供する。ACDU67は、それらを組み合わせてRAND││ACとし、この値を入力としてAAAサーバ認証ユニット36に提供する。行為7−2として、第1の暗号チェック値発生器62は暗号関数Fを計算して、例えばXRESのような、第1の暗号値として用いられる第1の結果又は第1のチェック値を生成する。特に、図7の例示的な実施形態においては、第1の暗号値(CV1)はXRES=F(K,RAND)││AC)として計算され、ここでFは合意された暗号関数であり、ACは認証能力情報である。暗号関数FはRAND及びK以外のパラメータに依存することが可能であることは理解されよう。従って、行為7−2として、暗号値XRESは認証能力(AC)に依存するものとして計算される。所望の場合、例えば鍵のような他のパラメータも行為7−2の一部として計算することができる。
【0077】
[00086] 行為7−3は、AAAサーバ24が選択したランダム値(RAND)を端末30に送信することを含む。更に具体的には、図7に示すように、AAAサーバ24はランダム数RAND及び第1の暗号値XRESを認証ノード22に送信し、次いで認証ノード22はランダム数RANDを端末30に送信する。
【0078】
[00087] 行為7−4は、端末30の第2の暗号チェック値発生器72が、例えばRES(例えば「結果」)のような第2の暗号値を計算することを含む。図7の例示的な実施形態において、第2の暗号は、第2の暗号チェック値発生器72によってRES=F(K,RAND││AC)として計算される。換言すると、端末30は、行為7−3においてAAAサーバ24から受信したランダム数(RAND)を用い、認証能力メモリ78に記憶された認証能力情報(AC)を用いて、ACDU77によって、端末認証ユニット38に提供される入力RAND││ACを計算する。端末認証ユニット38は、暗号関数F及び鍵メモリ73に記憶されたような鍵(K)を、提供された入力に適用して、第2の暗号値RESを計算する。図7は、更に、端末30が第2の暗号値RESを認証ノード22に送信することを示す。従って、行為7−4は、端末30が、行為7−0のメッセージにおいて送信した(と考える)認証能力情報(AC)値をRESの計算に含ませることを含む。
【0079】
[00088] 行為7−5は、認証ノード22が、RES=XRESであるか否かを明示的にチェックし、もしそうならば端末が適切に認証されたと見なすことによって、認証手順が成功であるか否かを判定することを含む。換言すると、認証ノード22の暗号値比較器56は、第1の暗号値XRESを第2の暗号値RESと比較し、RES=XRESである場合、認証ノード22は端末30を認証する。もしもステップ7−0において端末から与えられた第1の認証能力が攻撃者によって変更されたならば、この比較は失敗し(RES及びXRESが異なる入力から計算されたからである)、認証ノード22によって検出されることになる。行為7−5で認証成功を判定した後、認証ノード22は典型的に成功/失敗メッセージの形態の通知を端末に送信し、これによって端末に認証成功の事実を通知する。従って、この場合、いかなる攻撃も最初に認証ノード22によって検出され、この検出は明示的である。
【0080】
[00089] このため、関数Fは、端末の認証能力の一部と見なすことができる(例えば異なる端末が異なるF関数をサポートすることができる)。典型的に、Fは、加入者アイデンティティモジュール機能(SIM又はUMTS SIM)を実施すると共に鍵(複数の鍵)のセキュアな記憶を提供するスマートカードによって提供される。しかしながら、本明細書において記載する技術は、セキュリティ能力のこの側面を変更する攻撃者に対する保護も提供する。なぜなら、この能力が変更されるということは、ネットワーク及び端末のそれぞれが異なる認証能力(AC)入力を用いることが少なくとも暗示されるからである。また、この能力が変更されるということは、ネットワーク及び端末が異なるF関数を用いるが、これは通常RES及びXRESが異なる可能性をいっそう高くするだけであることを意味する場合がある。
【0081】
[00090] 図7に例示したモードにおいて、ネットワークが、例えば認証ならびに無線受信及び送信等の異なる機能性を実行する2つ以上のノードを含む場合があることは理解されよう。関数Fの計算でさえも2つ以上のノードにわたって分散する場合があるが、鍵(上でKと示した)は通常、AAAサーバの(セキュアな)鍵メモリ63から出ることはない。更に、AAAサーバ24及び認証ノード22の機能、及び本明細書に記載した行為を実行するユーザ装置ユニット又は端末30の機能性は、プロセッサ又はコントローラによって実現することができる。これらの言葉は本明細書において包括的に記載されているので、コンピュータ実施によるものと考えることができる。かかるプロセッサ/コントローラは、いずれかの適切なコンピュータ読み取り可能媒体上に記憶された命令を実行することによって、本明細書に記載された行為を実行することができる。
【0082】
[00091] 誰かがAC’を代わりに送信することによって認証能力(AC)を改ざん(又は偽造)した場合、これは、(行為7−2において)AAAサーバ24が計算するXRESが、(ローカルAC値に基づいて)端末によって計算されたものとは異なる(AC’に基づいたものであるから)ということを意味する。そしてこれは、端末が拒絶されること、例えば上述したように認証されないことを意味する。
【0083】
[00092] これは、悪質なパーティが端末に対してサービス使用不能(DoS)攻撃を行うためだけに認証能力(AC)を変更する場合があるという問題を残したままである。しかしながら、この特性は上述した3GPPの現在の手法と共有される。例えば、攻撃者が、端末によって提供されたRES値を変更して認証を失敗させることは常に起こり得る。また、これは「基本的な」チャレンジ−レスポンス認証パラダイムと共有される。なぜなら、RESはサードパーティによって途中で変更される可能性があるからである。いずれの場合であっても、攻撃者はネットワーク及び端末を「だまして」次善のセキュリティレベルを用いることが妨げられる。
【0084】
[00093] 他の態様において、本明細書に開示する技術は前述のものの様々な変形を包含する。例えば図8に示す一例の実施形態において、行為8−xは、図7の同様に付番した行為7−xに本質的に対応する。図8の実施形態においては、RESをACに依存させる更に間接的な方法として、RANDを認証能力(AC)に依存させる(図8の行為8−1に反映されるように)。この点で、AAAサーバ24はランダムRAND’を選択して、RAND=G(RAND’││AC)を設定することができる。行為8−3として、RANDでなくRAND’を端末に送信し、端末はローカルにRANDを計算する。これは、暗号関数Fを暗号関数F’(K,RAND’││AC)=F(K,G(RAND’││AC))に変更することと同等であることに留意すべきである。このため、これは同じ効果を有するので、先に述べた実施形態によってカバーされる。すなわち、認証能力(AC)値が変更されるとRES及びXRESの比較が失敗する。しかしながら、図8の実施形態は、すでに定義及び/又は実施された暗号関数を再使用するための特に簡単な方法を提供する。これが適切であるのは、言及したF関数が典型的に「ハードコード」であり(例えば端末30のSIMカード等のスマートカードにおいて)、この実施形態が関数Fの実施だけでなく完了した入力/出力挙動も影響されないままとするからである。
【0085】
[00094] また、図7及び図8のモードは、本明細書において、入力を変更したサーバベースのモードの変形としても知られる。図7及び図8の変形は双方ともF関数に対する入力を変更するが、これを異なる方法で行う。ここで図8の例示的な行為を更に詳しく説明すると、行為8−0は、端末30が、インタフェース32を介して認証ノード22に認証能力情報(AC)を送信することを含む。次いで認証ノード22は、認証能力情報を24に送信する。行為8−1は、AAAサーバ24がそのランダム数発生器64から二次ランダム数(RAND’)を選択し、この二次ランダム数(RAND’)及び行為8−0によって取得した認証能力情報(AC)を用いて、ACDU67によって一次ランダム数(RAND)を決定することを含む。一次ランダム数(RAND)は第1の暗号値XRESを決定するために用いられるが、二次ランダム数(RAND’)は端末30に送信される。行為8−2は、AAAサーバ24が、一次ランダム数(RAND)及び鍵(K)(鍵メモリ63から取得され端末30及びAAAサーバ24によって予め共有されている)の関数として、第1の暗号値XRESを発生することを含む。行為8−3は、AAAサーバ24が二次ランダム数(RAND’)及び第1の暗号値(XRES)を認証ノード22に送信することを含む。次いで認証ノード22は、二次ランダム数(RAND’)を端末30に送信する。行為8−4は、端末30が、二次ランダム数(RAND’)及び認証能力メモリ78に記憶された認証能力情報(AC)を用いてACDU77によってまず一次ランダム数(RAND)を決定し、次いで一次ランダム数(RAND)及び鍵(K)を用いて第2の暗号値RESを計算することを含む。端末30は第2の暗号値RESを認証ノード22に送信し、その暗号値比較器56は第1の暗号値XRES及び第2の暗号値RESの値を比較して、端末30が認証可能であるか否かを判定する。
【0086】
[00095] 図5Bは図9と共に、別の例示的な実施形態を示し、UMTS AKAの具体的な例に関連している。図9の実施形態においては、いわゆるAUTNパラメータ(ネットワーク認証のための認証トークン)が認証能力(AC)に依存するようになっており、端末30は認証プロセスが成功であるか否かを明示的に判定する。特に、図5Bの実施形態について、認証ノード22は暗号値比較器を含まず、暗号値比較の機能は端末30に配置されている。図5Bは、端末30の端末認証ユニット38が第2の暗号チェック値発生器72及び鍵メモリ73を含むものとして示す。端末30のプロセッサ70は、ランダム数発生器74、認証ノードインタフェース76、端末認証能力依存ユニット(ACDU)77、認証能力メモリ78、及び暗号値比較器80を含む。上述したように、端末認証ユニット38の機能性の全て又は一部は加入者アイデンティティモジュール(SIM)カードによって実現又は容易にすることができる。
【0087】
[00096] 図5B及び図9に示す例示的な実施形態においては、認証トークン(AUTN)をランダム数と共に認証要求メッセージ内で端末に送信する。更に、本明細書において記載するこの実施形態及び他の様々な実施形態において、鍵シーケンスインジケータ(KSI)も端末に送信することができる。鍵の値は送信せず、鍵の名前すなわちKSIだけを送信する。AUTN内の変数は、移動体がネットワークと共に実行する認証プロセスにおいて、この移動体によって用いられる。特に、AAAサーバ24において、第1の暗号値(CV1)をXAUTN=H(K,RAND││AC)として求め、端末30は第2の暗号値(CV2)をAUTN=H(K,RAND││AC)として求める。同様に、図9において末尾に同様の文字が付された行為は図7のものと同様であり、例外は第1の暗号値(CV1)としてXRESの代わりにXAUTNを用い、第2の暗号値(CV2)としてRESの代わりにAUTNを用いることである。行為9−5は、端末の暗号値比較器80がXAUTN及びAUTNを比較することを含む。このモードは特に有益である。なぜなら、端末がRESにより応答する前にAUTNが端末によってチェックされ、このため改ざんされた認証能力情報ACの場合には「早期アボート」が行われるからである。従って、この実施形態は認証能力の明示的なチェックを提供するが、この場合チェックはネットワークでなく端末によって実行される。実際、AUTN及びXAUTNの比較は、(X)AUTN値の一部にのみ、すなわち3GPP TS33.102に指定されたようないわゆるMAC部分にのみ基づくものとすることができる。3GPP TS33.102は、引用により本願にも含まれるものとし、この場合に比較をどのように実行するかについて詳細に記載する。
【0088】
[00097] 図5C及び図10は別の例示的な実施形態を示し、これは、EAP−AKAの使用に関する。UMTS認証及び鍵合意のための拡張認証プロトコル方法すなわちEAP−AKAは、UMTS加入者アイデンティティモジュール(USIM)を用いた認証及びセッション鍵配布のためのEAP方法である。EAP−AKAはRFC4187に記載されており、これは引用により本願にも含まれるものとする。MSKは、マスタ鍵を記載するいくつかのセキュリティ技法及び手順において用いられる言葉であり、ここから認証及び暗号鍵等の多数の他の鍵が導出される。
【0089】
[00098] 図5Cに示すように、EAP−AKAの例示的な実施形態においては、認証ノードも端末30Cも暗号値比較器を含まない。図5Cは、ネットワークが暗号化/復号化ユニット81を含み、端末30Cが暗号化/復号化ユニット82を含むことを示す。典型的に、暗号化/復号化ユニット81は基地局28に配置されている。暗号化/復号化ユニット81及び暗合化/復号化ユニット82は双方とも、MSK又はこれから導出された鍵を、端末30Cと認証ノード22Cとの間で送信されるメッセージの暗号化/復号化に関連付けて用いる。暗号化/復号化ユニット81は通常、基地局28に配置されている及び/又は基地局28を備える。他の実施形態も同様に暗号化/復号化ユニットを含む場合があるが、様々な他の実施形態においては、暗号化/復号化ユニットは認証手順を有効にする際に必ずしも役割を果たさない。しかしながら、図5C及び図10の実施形態においては、ネットワーク及び端末30Cが同一の認証能力依存マスタセッション鍵(XMSK及びMSK)を用意するか否かが、暗号化/復号化が失敗するか又は成功するかを決定し、このため認証手順が成功する(例えば有効になる)か否かの指標である。
【0090】
[00099] MSKは、例えばWiMAXセッティングにおいて鍵材料として用いられる。この代わりに、ネーティブのUMTS AKA鍵(Ck、Ik)(EAP AKAを用いる場合、ここからMSKを導出する)に、認証能力に対する依存性を追加することによって、UMTS又はLTEセッティングにおいて同様の実施形態を容易に実施することができる。
【0091】
[00100] 図10の例においては、MSKは認証能力(AC)に依存するようになっている。上述のように、この実施形態においては通常、認証能力の明示的な検証がない。攻撃者が端末の認証能力(AC)を変更すると、端末及びネットワークはMSKについて異なる値を用いることになる。しかしながら、この事実の検証は暗黙的である。例えば、端末がMSKに基づいてメッセージを暗号化すると、ネットワークにおける復号プロセスは誤ったMSK値を用いて復号を行う。同様に、MSKに基づいたデータ完全性保護が用いられると、これはエラーを生成する。これによって端末とネットワークとの間の通信が「失敗」する。このため、検証(例えば認証手順が成功であるか否かを判定する)は暗黙的であり、この実施形態ではいずれかの特定ノードによって明示的に実行されることはない。換言すると、図10における行為10−5は、認証手順の間に求めた暗号値MSK及びXMSKを用いて暗号化/復号化/データ完全性手順を後に実行することに依存して認証手順の検証を取得することを含む。その効果は、通信を試みる場合に端末及びネットワークにインコンパチブルな「言語」を使用させることにたとえることができる。
【0092】
[00101] 図8は、図7のサーバベースのモードの入力を変更した変形を示す。これは、AAAサーバ24がサーバ第1関数を用いて第1の暗号値(CV1、例えばXRES’)を求め、サーバ第1関数に対する入力が認証能力情報(AC)に依存するいくつかの実施形態の一例を示す。これによって包含される変形/実施形態のいくつかに共通するのは、能力(認証能力(AC))の依存性は、関数の出力に影響を及ぼすのではなく様々な関数(例えば関数F、G、及びH)に対する入力に影響を及ぼす可能性があるという事実である。例えば、認証能力(AC)に対する依存性が例えばXRES=F(K,RAND)││AC)のような入力によって反映される方法でXRESを計算する代わりに、いくつかの適切な関数F’についてXRES=F’(F(K,RAND)││AC)を計算することができ、このため関数Fの出力は認証能力(AC)によって影響される。これは、上述した基本的な形態で暗号関数Fを暗号関数F’’(K,RAND││AC)=F’(K,RAND)││(AC)に変更することと同等であるが、この更に別の形態はF及びF’を異なるノードで計算することを可能とし、この場合はF’を計算するノードのみがACを知る必要があり、Fを計算するノードのみが共有鍵を知る必要がある。
【0093】
[00102] 関数FはAAAサーバ24によって計算することができるだけなので、認証能力情報(AC)がかかる関数Fの出力に影響する上述の技法は、図5Dに示すもの等の端末30がローミング中の状況において、すなわち、VPLMN40において動作するが端末30のHPLMN42と共有される秘密鍵(K)を有する場合に、特に有利である。図5Dの状況において、AAAサーバ24が望む場合(例えばAAAサーバ24がVPLMNに対して適度に強い信頼を有する場合)、関数F’の計算は、VPLMNに(例えばVPLMN40の認証ノード22に)「委任する」ことができる。認証ノード22による関数F’の利用を容易にするために、認証ノード認証ユニット34は、認証ノード認証能力依存ユニット(ACDU)57及び認証能力メモリ58を含む。そして、認証能力依存ユニット(ACDU)57は、第1の暗号チェック値発生器59を含む。それらはプロセッサ50によって実現することができるか、又はプロセッサ50を含むことができるので、認証ノード認証能力依存ユニット(ACDU)57及びその第1の暗号チェック値発生器59は、コンピュータ実施によるデバイス、例えばコンピュータ実施による認証ノード認証能力依存ユニットとも称される。端末認証能力依存ユニット(ACDU)77は、第2の暗号チェック値(CV2)発生器79を含む。それらはプロセッサ70によって実現することができるか、又はプロセッサ70を含むことができるので、端末認証能力依存ユニット(ACDU)77及びその第2の暗号チェック値発生器89は、コンピュータ実施によるデバイス、例えばコンピュータ実施による端末認証能力依存ユニットとも称される。
【0094】
[00103] 図11に、かかる状況の一例を示す。図11は、この方法の例示的な共有モードにおける例示的な行為又はステップを示す。行為11−0は、端末30がインタフェースを介して認証ノード22に認証能力情報(AC)を送信することと、認証ノード22がAAAサーバ24からの本明細書において第3の暗号値(FRES)と称するものを要求することと、を含む。行為11−1は、AAAサーバ24が第3の暗号値(FRES)の計算の準備としてランダム値(RAND)を選択又は取得することを含む。行為11−2aは、AAAサーバ24がランダム数(RAND)及び鍵(K)の関数として第3の暗号値(FRES)を発生することを含み、この鍵は端末30及びAAAサーバ24によって予め共有されている。次いでAAAサーバ24は、ランダム数(RAND)及び第3の暗号値(FRES)をAAAサーバ24に送信する。行為11−2bは、認証ノード22及び特に認証ノード認証能力依存ユニット(ACDU)57の第1の暗号チェック値発生器59が、ランダム数(RAND)、第3の暗号値(FRES)、及び認証能力情報(AC)を用いて、例えばRES=F’(FRES||AC)のように第1の暗号チェック値(XRES)を決定することを含む。行為11−2bの一部として、認証能力メモリ58から認証能力情報(AC)をフェッチする。行為11−3は、認証ノード22がランダム数(RAND)を端末30に送信することを含む。行為11−4は、端末30が、ランダム数(RAND)、鍵(K)、及び認証能力情報(AC)を用いて第2の暗号値(RES)を決定することを含む。次いで、端末30は第2の暗号値(RES)を認証ノード22に送信する。行為11−5は、認証ノード22が、端末30を認証するための前提条件として第1の暗号値(XRES)及び第2の暗号値(RES)を比較することを含む。
【0095】
[00104] 従って、図11の例示的な実施形態は、本明細書に開示し(例えば)図5Aによって表された、HPLMN(AAAサーバ24)が鍵(K)及び認証能力情報(AC)の双方を知っている必要がある技術の基本的な形態とは対照的である。図11の実施形態においては、認証ノード22は認証能力情報(AC)を知っている必要があるが、AAAサーバ24は認証能力情報(AC)を知っている必要はない。これに対し、認証ノード22は鍵Kを知っている必要はなく、AAAサーバ24は鍵Kを知っている必要はない。また、図11の実施形態で実行されたものと同じ又は同様のアクションの共有/分配/委任は、認証手順の成功の検証方法とは無関係に他の実施形態においても実行することができる。例えば、端末又は認証ノードのいずれかによる明示的な検証がある実施形態において、及び、後の暗号化/復号化動作における第1の暗号値の利用による暗黙的な検証がある実施形態において実行可能である。
【0096】
[00105] 図5Dが例示する状況では、認証能力情報(AC)は認証ノード22によって用いられて関数Fの出力に影響を及ぼすが、認証能力(AC)の出力に影響する利用はAAAサーバ24においても実施可能であることは認められよう。例えば、図5Eが示す例示的な実施形態においては、XRES=F’(F(K,RAND)||AC)等の関数は、認証ノード22ではなくAAAサーバ24によって計算される。図5Eの状況において、AAAサーバ認証ユニット36はここでも暗号値発生器62Eを含み、認証能力(AC)を用いてXRES=F’(F(K,RAND)||AC)の計算を実行するのは認証能力依存ユニット(ACDU)67Eであり、このため、認証能力依存ユニット(ACDU)67は、第1の暗号チェック値(CV1)を計算するための第1の暗号チェック値発生器として機能する。
【0097】
[00106] 本明細書において開示した技術は、WiMAX又はLTE認証の状況に特に適しているが、これに対して限定的であるわけではない。後者の場合、本明細書において開示した技術が特に適しているのは、UE認証能力の一部がAAA/HSS及びユーザ装置ユニットで用いられるKDF(鍵導出関数)を含む場合である。
【0098】
[00107] 認証の前及び/又は間に交換する必要がある他の「基本的な」能力(例えば無線/リンク関連)は、本明細書に記載したものと同様の方法で保護することができる。
【0099】
[00108] また、AAAサーバ24は、用いる関数を端末の能力から選択する(すなわちF、G等のどれかを決定する)。AAAサーバ24は、その選択をセキュアな方法で端末に通知する。通常、これは自動的に処理される。なぜなら、AAAサーバ24によって行われた選択を攻撃者が改ざんした場合、端末及びAAAサーバ24は異なるアルゴリズムを用いて認証値を計算し、従って失敗することになるからである。しかしながら、いずれの場合であっても、以下のように何らかの追加の保護を達成することができる(例えば、セキュリティの観点から1つのアルゴリズムが特に好ましくない場合)。すなわち、AAAサーバ24は、認証能力(AC)だけでなく、暗号チェック値の発生において実際に選択したアルゴリズム(複数のアルゴリズム)も含む。例えば、AAAサーバ24が認証アルゴリズムFを選択した場合、FRES値はFRES=F(K,RAND||”F”)として計算される。ここで、”F”は、アルゴリズムFを識別する何らかの所定の方法を示す。次いで、値”F”を、端末に対する通知に含ませる。
【0100】
[00109] 以下に示す考えられる攻撃のタイプについて考慮しなければならない。すなわち、(1)攻撃者が、端末が送信しなかった能力cを追加することによって変更を行う。(2)攻撃者が、端末が送信した能力cを削除することによって変更を行う。タイプ(1)は、おそらくあまり深刻ではない。これは、攻撃者が追加する能力は端末によってサポートされないことを意味するからである。従って、端末はいずれにせよ、正しい第1の暗号値(例えばRES)を計算することができない。いずれにしても、双方のタイプに共通するのは、AAAサーバ24によって用いられる認証能力情報(AC)値が、端末によって用いられるものとは異なるので、それらは一致しない認証値を導出するということである。
【0101】
[00110] 本明細書に開示した技術にはいくつかの利点がある。それらの利点の中に、以下のものがある。
・認証能力、及び、認証が行われる前に通知する必要があり得る他の「基本的な」能力の競り下げに対する、簡単かつ効率的な(共有鍵ベースの)保護。
・端末とAAAサーバ24との間のエンドツーエンドのセキュリティの提供。
・能力の改ざんの「早期」検出(セキュリティが「オン」になる前)の提供。
・潜在的に改良したPKMv2 Wimaxセキュリティプロトコルシグナリング。
【0102】
[00111] アルゴリズム(F、G、H等に対応する)は通常、端末の汎用ICカード(UICC)と同様のものにおいて実施される。本明細書に開示した技術の様々な実施形態においては、F、G、及びHの入力及び/又は出力を変更するだけである。これが意味するのは、UICCは影響を受けず、本明細書に開示した技術はUICCの「ソフトウェア」カプセル化として提供可能であるということである。
【0103】
[00112] 上述の記載は多くの規定を含むが、これらは本発明の範囲を限定するものとしてではなく、単に本発明の現在好適な実施形態のいくつかの例示を与えるものとして解釈されるべきである。本発明の範囲は、当業者に明らかとなり得る他の実施形態を完全に包含し、従って本発明の範囲は過度に限定されるものではない。単数形の要素に対する言及は、明示的に述べていない限り「唯一のもの」を意味することは意図しておらず、むしろ「1つ以上」を意味する。当技術分野において当業者に既知である上述の好適な実施形態の要素に対する全ての構造的、化学的、及び機能的な均等物は、引用により本明細書に明白に含まれ、本明細書によって包含されることが意図される。更に、本発明によって包含されるデバイス又は方法が、本発明によって解決しようとする全ての問題に対処する必要はない。
【特許請求の範囲】
【請求項1】
端末(30)の認証能力情報を用いて第1の暗号値を決定するように構成されたサーバ(24)であって、前記認証能力情報が前記端末(30)の認証能力の指示を与える前記サーバ(24)と、
前記第1の暗号値を用いて前記端末(30)のための認証手順の検証を行うように構成された認証ノード(22)と、
を含むことを特徴とする、通信ネットワーク(20)。
【請求項2】
前記認証能力情報が、前記端末(30)によってサポートされる認証アルゴリズム、認証プロトコル、又は認証信用証明書の少なくとも1つを含む、請求項1に記載のネットワーク。
【請求項3】
前記認証ノード(22)が、前記第1の暗号値と前記端末(30)から取得された第2の暗号値とを比較することによって、前記端末(30)のための前記認証手順の明示的な検証を行うように構成されている、請求項1に記載のネットワーク。
【請求項4】
前記サーバ(24)が、少なくとも前記認証能力情報及び鍵の関数として前記第1の暗号値を決定するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項1に記載のネットワーク。
【請求項5】
前記サーバ(24)が、二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定するように構成され、前記サーバ(24)が、更に、前記一次ランダム数及び鍵の関数として前記暗号値を発生するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項1に記載のネットワーク。
【請求項6】
前記サーバ(24)がサーバ第1関数を用いて前記暗号値を決定するように構成され、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項1に記載のネットワーク。
【請求項7】
前記認証ノード(22)が、VPLMN(visited public land mobile network)のSGSN、MSC(移動交換局)、又はMME(Mobility Management Entity)を含む、請求項1に記載のネットワーク。
【請求項8】
前記サーバ(24)が、HPLMN(home public land mobile network)のHSS(ホーム加入者サーバ)又はAAA(認証、許可、及び課金)サーバを含む、請求項1に記載のネットワーク。
【請求項9】
前記第1の暗号値が、前記端末(30)と前記ネットワークとの間でセキュアな通信に用いられる暗号セッション鍵であり、前記暗号セッション鍵を用いて暗号化及び復号化動作の少なくとも1つが実行されると、前記認証ノード(22)が前記端末(30)のための前記認証手順の暗黙的な検証を行うように構成されている、請求項1に記載のネットワーク。
【請求項10】
HPLMNのサーバ(24)であって、端末(30)の認証能力情報を用いて第1の暗号値を決定するように構成され、前記第1の暗号値を用いて前記端末(30)のための認証手順の検証が取得され、前記認証能力情報が前記端末(30)の認証能力の指示を与えることを特徴とする、サーバ。
【請求項11】
前記サーバ(24)が、HPLMNのHSS又はAAAサーバを含む、請求項10に記載のサーバ。
【請求項12】
前記サーバ(24)が、少なくとも前記認証能力情報及び鍵の関数として前記第1の暗号値を決定するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項10に記載のサーバ。
【請求項13】
前記サーバ(24)が、二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定するように構成され、前記サーバ(24)が、更に、前記一次ランダム数及び鍵の関数として前記暗号値を発生するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項10に記載のサーバ。
【請求項14】
前記サーバ(24)がサーバ第1関数を用いて前記暗号値を決定するように構成され、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項10に記載のサーバ。
【請求項15】
前記第1の暗号値が認証トークン(AUTN)に含まれる、請求項10に記載のサーバ。
【請求項16】
前記第1の暗号値が、前記端末(30)と前記ネットワークとの間でセキュアな通信に用いられる暗号セッション鍵である、請求項10に記載のサーバ。
【請求項17】
通信ネットワーク(20)のノードであって、端末(30)の認証能力情報を用いて第1の暗号値を決定するように構成され、前記認証能力情報が前記端末(30)の認証能力の指示を与え、更に、前記端末(30)のための認証手順の検証を行うように構成されていることを特徴とする、ノード。
【請求項18】
前記ノードが、前記認証手順の検証の一部として、前記第1の暗号値と前記端末(20)から取得された第2の暗号値とを比較することによって、前記端末(30)のための前記認証能力の明示的な検証を行うように構成されている、請求項17に記載のネットワーク。
【請求項19】
第1のノードと、
第2のノードと、
を含む通信ネットワーク(20)において、前記第1のノードが、端末(30)の認証能力情報を受信すると共に前記第2のノードから第3の暗号値を要求するように構成され、
前記第2のノードが、ランダム数及び鍵の関数として前記第3の暗号値を発生するように構成され、前記鍵が前記端末(30)及び前記第2のノードによって予め共有され、
前記第1のノードが、前記ランダム数、前記第3の暗号値、及び前記認証能力情報を用いて第1の暗号値を決定すると共に、前記端末(30)から受信した前記認証能力に依存した第2の暗号値を前記第1の暗号値と比較して前記端末(30)を認証し、これによって前記端末(30)の前記認証能力を検証するように構成されていることを特徴とする、通信ネットワーク。
【請求項20】
前記第1のノードがVPLMNを含む、請求項19に記載のネットワーク。
【請求項21】
前記第2のノードがHPLMNを含む、請求項19に記載のネットワーク。
【請求項22】
通信ネットワーク(20)を動作させる方法であって、
前記ネットワークが端末(30)の認証能力情報を用いて第1の暗号値を決定し、前記認証能力情報が前記端末(30)の認証能力の指示を与え、
前記ネットワークが前記第1の暗号値を用いて前記端末(30)のための認証手順の検証を行う、
ことを特徴とする、方法。
【請求項23】
前記認証能力情報が、前記端末(30)によってサポートされる認証アルゴリズム、認証プロトコル、又は認証信用証明書の少なくとも1つを含む、請求項22に記載の方法。
【請求項24】
前記ネットワークのノードが、前記第1の暗号値と前記端末(20)から取得された第2の暗号値とを比較することによって、前記端末(30)のための前記認証手順の明示的な検証を行い、これによって前記端末(30)の前記認証能力を検証することを更に含む、請求項22に記載の方法。
【請求項25】
前記ネットワークのサーバ(24)が、二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定することと、
前記サーバ(24)が、前記一次ランダム数及び鍵の関数として前記暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
を更に含む、請求項22に記載の方法。
【請求項26】
前記ネットワークのサーバ(24)がサーバ第1関数を用いて前記暗号値を決定することを更に含み、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項22に記載の方法。
【請求項27】
前記第1の暗号値が、前記端末(30)と前記方法との間でセキュアな通信に用いられる暗号セッション鍵であり、前記方法が、前記暗号セッション鍵を用いて暗号化及び復号化動作の少なくとも1つが実行されると、前記ネットワークの認証ノード(22)が前記端末(30)のための前記認証手順の暗黙的な検証を行うことを更に含む、請求項22に記載の方法。
【請求項28】
前記第1の暗号値が認証トークン(AUTN)に含まれる、請求項22に記載の方法。
【請求項29】
前記第1の暗号値が、前記端末(30)と前記ネットワークとの間でセキュアな通信に用いられる暗号セッション鍵である、請求項22に記載の方法。
【請求項30】
前記端末(30)がネットワークアクセスインタフェースを介して前記ネットワークに認証能力情報を送信し、前記認証能力情報が前記端末(30)の認証能力の指示を与えることと、
前記端末(30)が前記認証能力情報を用いて第2の暗号値を決定することと、
前記ネットワークが前記第1の暗号値及び前記第2の暗号値を用いて前記端末(30)を認証することと、
を更に含む、請求項22に記載の方法。
【請求項31】
前記端末(30)が前記ネットワークアクセスインタフェースを介して前記ネットワークの認証ノード及び前記ネットワークのサーバ(24)に前記認証能力情報を送信することと、
前記サーバ(24)が前記認証能力情報を用いて前記第1の暗号値を決定することと、
前記端末(30)が前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記認証ノードが前記第1の暗号値及び前記第2の暗号値を比較して前記端末(30)を認証することと、
を更に含む、請求項30に記載の方法。
【請求項32】
前記端末(30)が前記ネットワークアクセスインタフェースを介して前記認証ノードに前記認証能力情報を送信することと、
前記認証ノードが前記認証能力情報を前記サーバ(24)に送信することと、
前記サーバ(24)が、前記認証能力情報、ランダム数、及び鍵の関数として前記第1の暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
前記サーバ(24)が前記ランダム数及び前記第1の暗号値を前記認証ノードに送信することと、
前記認証ノードが前記ランダム数を前記端末(30)に送信することと、
前記端末(30)が、前記ランダム数、前記鍵、及び前記認証能力情報を用いて前記第2の暗号値を計算することと、
前記端末(30)が前記第2の暗号値を前記認証ノードに送信することと、
を更に含む、請求項31に記載の方法。
【請求項33】
前記端末(30)がネットワークアクセスインタフェースを介して前記認証ノードに認証能力情報を送信することと、
前記認証ノードが前記認証能力情報を前記サーバ(24)に送信することと、
前記サーバ(24)が二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定することと、
前記サーバ(24)が前記一次ランダム数及び鍵の関数として前記第1の暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
前記サーバ(24)が前記二次ランダム数及び前記第1の暗号値を前記認証ノードに送信することと、
前記認証ノードが前記二次ランダム数を前記端末(30)に送信することと、
前記端末(30)が前記二次ランダム数及び前記認証能力情報を用いて前記一次ランダム数を決定することと、
前記端末(30)が前記一次ランダム数及び鍵を用いて前記第2の暗号値を計算することと、
前記端末(30)が前記第2の暗号値を前記認証ノードに送信することと、
を更に含む、請求項31に記載の方法。
【請求項34】
前記サーバ(24)がサーバ第1関数を用いて前記第1の暗号値を決定し、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項31に記載の方法。
【請求項35】
前記端末(30)が前記ネットワークアクセスインタフェースを介して認証ノード及びサーバ(24)に前記認証能力情報を送信することと、
前記サーバ(24)が前記認証能力情報を用いて前記第1の暗号値を決定することと、
前記端末(30)が前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記端末(30)が前記第1の暗号値及び前記第2の暗号値を比較して前記ネットワークを認証することと、
を更に含む、請求項30に記載の方法。
【請求項36】
前記暗号値の少なくとも1つが認証トークン(AUTN)である、請求項31に記載の方法。
【請求項37】
前記端末(30)が前記ネットワークアクセスインタフェースを介して認証ノード及びサーバ(24)に前記認証能力情報を送信することと、
前記サーバ(24)が前記認証能力情報を用いて前記第1の暗号値を決定することと、
前記端末(30)が前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記端末(30)と前記ネットワークとの間の前記ネットワークアクセスインタフェースを介した通信を暗号化及び復号化するために前記第1の暗号値及び前記第2の暗号値を正常に用いることによって前記端末(30)の認証を取得することと、
を更に含む、請求項30に記載の方法。
【請求項38】
前記暗号値の少なくとも1つが、UMTS認証及び鍵合意のための拡張認証プロトコル方法(EAP−AKA)のマスタセッション鍵(MSK)の鍵である、請求項31に記載の方法。
【請求項39】
前記端末(30)が前記ネットワークアクセスインタフェースを介して前記ネットワークの認証ノードに前記認証能力情報を送信することと、
前記認証ノードが前記ネットワークのサーバ(24)から第3の暗号値を要求することと、
前記サーバ(24)がランダム数及び鍵の関数として前記第3の暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
前記サーバ(24)が前記ランダム数及び前記第3の暗号値を前記認証ノードに送信することと、
前記認証ノードが、前記ランダム数、前記第3の暗号値、及び前記認証能力情報を用いて第1の暗号値を決定することと、
前記認証ノードが前記ランダム数を前記端末(30)に送信することと、
前記端末(30)が、前記ランダム数、前記鍵、及び前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記端末(30)が前記第2の暗号値を前記認証ノードに送信することと、
を更に含む、請求項30に記載の方法。
【請求項40】
前記認証ノードがVPLMNを含み、前記サーバ(24)がHPLMNを含む、請求項39に記載の方法。
【請求項1】
端末(30)の認証能力情報を用いて第1の暗号値を決定するように構成されたサーバ(24)であって、前記認証能力情報が前記端末(30)の認証能力の指示を与える前記サーバ(24)と、
前記第1の暗号値を用いて前記端末(30)のための認証手順の検証を行うように構成された認証ノード(22)と、
を含むことを特徴とする、通信ネットワーク(20)。
【請求項2】
前記認証能力情報が、前記端末(30)によってサポートされる認証アルゴリズム、認証プロトコル、又は認証信用証明書の少なくとも1つを含む、請求項1に記載のネットワーク。
【請求項3】
前記認証ノード(22)が、前記第1の暗号値と前記端末(30)から取得された第2の暗号値とを比較することによって、前記端末(30)のための前記認証手順の明示的な検証を行うように構成されている、請求項1に記載のネットワーク。
【請求項4】
前記サーバ(24)が、少なくとも前記認証能力情報及び鍵の関数として前記第1の暗号値を決定するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項1に記載のネットワーク。
【請求項5】
前記サーバ(24)が、二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定するように構成され、前記サーバ(24)が、更に、前記一次ランダム数及び鍵の関数として前記暗号値を発生するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項1に記載のネットワーク。
【請求項6】
前記サーバ(24)がサーバ第1関数を用いて前記暗号値を決定するように構成され、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項1に記載のネットワーク。
【請求項7】
前記認証ノード(22)が、VPLMN(visited public land mobile network)のSGSN、MSC(移動交換局)、又はMME(Mobility Management Entity)を含む、請求項1に記載のネットワーク。
【請求項8】
前記サーバ(24)が、HPLMN(home public land mobile network)のHSS(ホーム加入者サーバ)又はAAA(認証、許可、及び課金)サーバを含む、請求項1に記載のネットワーク。
【請求項9】
前記第1の暗号値が、前記端末(30)と前記ネットワークとの間でセキュアな通信に用いられる暗号セッション鍵であり、前記暗号セッション鍵を用いて暗号化及び復号化動作の少なくとも1つが実行されると、前記認証ノード(22)が前記端末(30)のための前記認証手順の暗黙的な検証を行うように構成されている、請求項1に記載のネットワーク。
【請求項10】
HPLMNのサーバ(24)であって、端末(30)の認証能力情報を用いて第1の暗号値を決定するように構成され、前記第1の暗号値を用いて前記端末(30)のための認証手順の検証が取得され、前記認証能力情報が前記端末(30)の認証能力の指示を与えることを特徴とする、サーバ。
【請求項11】
前記サーバ(24)が、HPLMNのHSS又はAAAサーバを含む、請求項10に記載のサーバ。
【請求項12】
前記サーバ(24)が、少なくとも前記認証能力情報及び鍵の関数として前記第1の暗号値を決定するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項10に記載のサーバ。
【請求項13】
前記サーバ(24)が、二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定するように構成され、前記サーバ(24)が、更に、前記一次ランダム数及び鍵の関数として前記暗号値を発生するように構成され、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されている、請求項10に記載のサーバ。
【請求項14】
前記サーバ(24)がサーバ第1関数を用いて前記暗号値を決定するように構成され、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項10に記載のサーバ。
【請求項15】
前記第1の暗号値が認証トークン(AUTN)に含まれる、請求項10に記載のサーバ。
【請求項16】
前記第1の暗号値が、前記端末(30)と前記ネットワークとの間でセキュアな通信に用いられる暗号セッション鍵である、請求項10に記載のサーバ。
【請求項17】
通信ネットワーク(20)のノードであって、端末(30)の認証能力情報を用いて第1の暗号値を決定するように構成され、前記認証能力情報が前記端末(30)の認証能力の指示を与え、更に、前記端末(30)のための認証手順の検証を行うように構成されていることを特徴とする、ノード。
【請求項18】
前記ノードが、前記認証手順の検証の一部として、前記第1の暗号値と前記端末(20)から取得された第2の暗号値とを比較することによって、前記端末(30)のための前記認証能力の明示的な検証を行うように構成されている、請求項17に記載のネットワーク。
【請求項19】
第1のノードと、
第2のノードと、
を含む通信ネットワーク(20)において、前記第1のノードが、端末(30)の認証能力情報を受信すると共に前記第2のノードから第3の暗号値を要求するように構成され、
前記第2のノードが、ランダム数及び鍵の関数として前記第3の暗号値を発生するように構成され、前記鍵が前記端末(30)及び前記第2のノードによって予め共有され、
前記第1のノードが、前記ランダム数、前記第3の暗号値、及び前記認証能力情報を用いて第1の暗号値を決定すると共に、前記端末(30)から受信した前記認証能力に依存した第2の暗号値を前記第1の暗号値と比較して前記端末(30)を認証し、これによって前記端末(30)の前記認証能力を検証するように構成されていることを特徴とする、通信ネットワーク。
【請求項20】
前記第1のノードがVPLMNを含む、請求項19に記載のネットワーク。
【請求項21】
前記第2のノードがHPLMNを含む、請求項19に記載のネットワーク。
【請求項22】
通信ネットワーク(20)を動作させる方法であって、
前記ネットワークが端末(30)の認証能力情報を用いて第1の暗号値を決定し、前記認証能力情報が前記端末(30)の認証能力の指示を与え、
前記ネットワークが前記第1の暗号値を用いて前記端末(30)のための認証手順の検証を行う、
ことを特徴とする、方法。
【請求項23】
前記認証能力情報が、前記端末(30)によってサポートされる認証アルゴリズム、認証プロトコル、又は認証信用証明書の少なくとも1つを含む、請求項22に記載の方法。
【請求項24】
前記ネットワークのノードが、前記第1の暗号値と前記端末(20)から取得された第2の暗号値とを比較することによって、前記端末(30)のための前記認証手順の明示的な検証を行い、これによって前記端末(30)の前記認証能力を検証することを更に含む、請求項22に記載の方法。
【請求項25】
前記ネットワークのサーバ(24)が、二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定することと、
前記サーバ(24)が、前記一次ランダム数及び鍵の関数として前記暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
を更に含む、請求項22に記載の方法。
【請求項26】
前記ネットワークのサーバ(24)がサーバ第1関数を用いて前記暗号値を決定することを更に含み、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項22に記載の方法。
【請求項27】
前記第1の暗号値が、前記端末(30)と前記方法との間でセキュアな通信に用いられる暗号セッション鍵であり、前記方法が、前記暗号セッション鍵を用いて暗号化及び復号化動作の少なくとも1つが実行されると、前記ネットワークの認証ノード(22)が前記端末(30)のための前記認証手順の暗黙的な検証を行うことを更に含む、請求項22に記載の方法。
【請求項28】
前記第1の暗号値が認証トークン(AUTN)に含まれる、請求項22に記載の方法。
【請求項29】
前記第1の暗号値が、前記端末(30)と前記ネットワークとの間でセキュアな通信に用いられる暗号セッション鍵である、請求項22に記載の方法。
【請求項30】
前記端末(30)がネットワークアクセスインタフェースを介して前記ネットワークに認証能力情報を送信し、前記認証能力情報が前記端末(30)の認証能力の指示を与えることと、
前記端末(30)が前記認証能力情報を用いて第2の暗号値を決定することと、
前記ネットワークが前記第1の暗号値及び前記第2の暗号値を用いて前記端末(30)を認証することと、
を更に含む、請求項22に記載の方法。
【請求項31】
前記端末(30)が前記ネットワークアクセスインタフェースを介して前記ネットワークの認証ノード及び前記ネットワークのサーバ(24)に前記認証能力情報を送信することと、
前記サーバ(24)が前記認証能力情報を用いて前記第1の暗号値を決定することと、
前記端末(30)が前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記認証ノードが前記第1の暗号値及び前記第2の暗号値を比較して前記端末(30)を認証することと、
を更に含む、請求項30に記載の方法。
【請求項32】
前記端末(30)が前記ネットワークアクセスインタフェースを介して前記認証ノードに前記認証能力情報を送信することと、
前記認証ノードが前記認証能力情報を前記サーバ(24)に送信することと、
前記サーバ(24)が、前記認証能力情報、ランダム数、及び鍵の関数として前記第1の暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
前記サーバ(24)が前記ランダム数及び前記第1の暗号値を前記認証ノードに送信することと、
前記認証ノードが前記ランダム数を前記端末(30)に送信することと、
前記端末(30)が、前記ランダム数、前記鍵、及び前記認証能力情報を用いて前記第2の暗号値を計算することと、
前記端末(30)が前記第2の暗号値を前記認証ノードに送信することと、
を更に含む、請求項31に記載の方法。
【請求項33】
前記端末(30)がネットワークアクセスインタフェースを介して前記認証ノードに認証能力情報を送信することと、
前記認証ノードが前記認証能力情報を前記サーバ(24)に送信することと、
前記サーバ(24)が二次ランダム数を選択して前記二次ランダム数及び前記認証能力情報を用いて一次ランダム数を決定することと、
前記サーバ(24)が前記一次ランダム数及び鍵の関数として前記第1の暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
前記サーバ(24)が前記二次ランダム数及び前記第1の暗号値を前記認証ノードに送信することと、
前記認証ノードが前記二次ランダム数を前記端末(30)に送信することと、
前記端末(30)が前記二次ランダム数及び前記認証能力情報を用いて前記一次ランダム数を決定することと、
前記端末(30)が前記一次ランダム数及び鍵を用いて前記第2の暗号値を計算することと、
前記端末(30)が前記第2の暗号値を前記認証ノードに送信することと、
を更に含む、請求項31に記載の方法。
【請求項34】
前記サーバ(24)がサーバ第1関数を用いて前記第1の暗号値を決定し、前記サーバ第1関数に対する入力が前記認証能力情報に依存する、請求項31に記載の方法。
【請求項35】
前記端末(30)が前記ネットワークアクセスインタフェースを介して認証ノード及びサーバ(24)に前記認証能力情報を送信することと、
前記サーバ(24)が前記認証能力情報を用いて前記第1の暗号値を決定することと、
前記端末(30)が前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記端末(30)が前記第1の暗号値及び前記第2の暗号値を比較して前記ネットワークを認証することと、
を更に含む、請求項30に記載の方法。
【請求項36】
前記暗号値の少なくとも1つが認証トークン(AUTN)である、請求項31に記載の方法。
【請求項37】
前記端末(30)が前記ネットワークアクセスインタフェースを介して認証ノード及びサーバ(24)に前記認証能力情報を送信することと、
前記サーバ(24)が前記認証能力情報を用いて前記第1の暗号値を決定することと、
前記端末(30)が前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記端末(30)と前記ネットワークとの間の前記ネットワークアクセスインタフェースを介した通信を暗号化及び復号化するために前記第1の暗号値及び前記第2の暗号値を正常に用いることによって前記端末(30)の認証を取得することと、
を更に含む、請求項30に記載の方法。
【請求項38】
前記暗号値の少なくとも1つが、UMTS認証及び鍵合意のための拡張認証プロトコル方法(EAP−AKA)のマスタセッション鍵(MSK)の鍵である、請求項31に記載の方法。
【請求項39】
前記端末(30)が前記ネットワークアクセスインタフェースを介して前記ネットワークの認証ノードに前記認証能力情報を送信することと、
前記認証ノードが前記ネットワークのサーバ(24)から第3の暗号値を要求することと、
前記サーバ(24)がランダム数及び鍵の関数として前記第3の暗号値を発生し、前記鍵が前記端末(30)及び前記サーバ(24)によって予め共有されていることと、
前記サーバ(24)が前記ランダム数及び前記第3の暗号値を前記認証ノードに送信することと、
前記認証ノードが、前記ランダム数、前記第3の暗号値、及び前記認証能力情報を用いて第1の暗号値を決定することと、
前記認証ノードが前記ランダム数を前記端末(30)に送信することと、
前記端末(30)が、前記ランダム数、前記鍵、及び前記認証能力情報を用いて前記第2の暗号値を決定することと、
前記端末(30)が前記第2の暗号値を前記認証ノードに送信することと、
を更に含む、請求項30に記載の方法。
【請求項40】
前記認証ノードがVPLMNを含み、前記サーバ(24)がHPLMNを含む、請求項39に記載の方法。
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図5E】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3A】
【図3B】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図5E】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公表番号】特表2012−502548(P2012−502548A)
【公表日】平成24年1月26日(2012.1.26)
【国際特許分類】
【出願番号】特願2011−526008(P2011−526008)
【出願日】平成21年5月18日(2009.5.18)
【国際出願番号】PCT/SE2009/050554
【国際公開番号】WO2010/027314
【国際公開日】平成22年3月11日(2010.3.11)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成24年1月26日(2012.1.26)
【国際特許分類】
【出願日】平成21年5月18日(2009.5.18)
【国際出願番号】PCT/SE2009/050554
【国際公開番号】WO2010/027314
【国際公開日】平成22年3月11日(2010.3.11)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]