通信ネットワークにおける暗号キー管理
ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡って暗号キーを管理する認証サーバ、システムおよび方法である。変換コーダエンティティTCE(25)は、マスターキーMkを作成し、このキーは、認証手順中にキーを導出するために使用される。様々なアクセスタイプ間のハンドオーバ中に、Mkまたは変換Mkが、2つの認証ノード(42、43、44)間で受け渡され、これらの認証ノードは、ユーザ装置UE端末(41、51、52、53)がアクセスを変更する場合に、それぞれのアクセスネットワークにおいてキーを保持する。Mkの変換は、一方向性関数を介して実行され、Mkに何らかの形で暴露される場合、従前に使用されているマスターキーへのアクセスを自動的に取得することは可能でないという影響がある。認証ノードのタイプおよび変換キーが利用されるUE/アイデンティティモジュールのタイプに基づき変換が実行される。Mkは決して直接使用されることはないが、アクセスリンクを保護するために直接使用されるキーの導出にのみ使用される。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願のクロスリファレンス
本願は、2006年10月18日出願の米国仮特許出願第60/829,954号の優先権を主張するものであり、その開示は参照することによって本明細書に組み込まれものである。
【0002】
本発明は、通信ネットワークにおけるセキュア通信に関するものである。より詳細には、限定するものではないが、本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせにわたり、暗号キーを管理するためのシステムおよび方法に向けられたものである。
【背景技術】
【0003】
図1は、第3世代パートナシッププロジェクト(3GPP:Third Generation Partnership Project)によって現在定義されるような、進化型パケット・コア・ネットワーク(EPC:Evolved Packet Core network)および進化型UTRAN無線アクセスネットワークの展開(E−UTRAN:Evolved UTRAN radio access network)用の、現行の3Gネットワークの進化型に関する単純化ブロック図である。この進化型のシステム(EPCおよびE−UTRAN)の全体は、進化型のパケットシステム(EPS:Evolved Packet System)10として参照される。本発明の重要な機能エンティティである、EPSアーキテクチャのノードは、移動管理エンティティ(MME:Mobility Management Entity)11および拡張ノードB(eNodeBまたはeNB)12を含んでいる。完全を期すために(本発明にとっては本質的ではないが)、2つのゲートウェイノードとして、サービング(serving)ゲートウェイ13およびパケット・データ・ネットワーク(PDN:Packet Data Network)ゲートウェイ14もまた存在することを言及するのは当然である。MME11は、サービングGPRSサービスノード(SGSN:Serving GPRS Service Node)15の制御プレーンに類似していて、ユーザ認証を実行し、非アクセス層(NAS:Non−Access Stratum)のシグナリングのセキュリティおよびその類を終結させる。この説明のために、eNB12は、2つの部分に論理的に分けられると見做すことができる。まず、ユーザ・プレーン・エンティティ(UPE:User Plane Entity)16は、RNCおよびSGSNのユーザプレーンに類似していて、また、UP(User Plane:ユーザプレーン)のセキュリティを終結させる。本発明に関係するUPE機能は、eNBまたはネットワークの何処かに実装することができる。eNBのその他の論理的な部分は、無線リソース制御(RRC:Radio Resource Control)セキュリティ17を終結させるエンティティである。ホーム加入者サーバ(HSS:Home Subscriber Server)18は、加入者プロファイル情報を記憶している。
【0004】
EPSアーキテクチャ10は、「レガシー」(3GPP Rel6)コアネットワーク機器および、GSM/EDGE無線アクセスネットワーク(GERAN:GSM/EDGE Radio Access Network)19およびUMTS地上無線アクセスネットワーク(UTRAN:UMTS Terrestrial Radio Access Network)20等の関係する無線アクセスネットワークと、効果的およびセキュアに相互動作しなければならない。「効果的」とは、ハンドオーバがシームレスであることを意味し、「セキュアに」とは、1つのアクセスネットワークにおけるセキュリティ暴露(security compromise)が他のアクセスネットワーク(後方交換性であることの必要性によって影響される以上に)に広がらないことを意味する。EPSアーキテクチャは、セキュリティの基礎として、ユーザ機器(UE:User Equipment)21におけるRel8タイプの加入者アイデンティティモジュール(SIM:Subscriber Identity Module)メカニズムを使用するであろうと想定している。現在、R99+USIMの使用のみが、EPSに対して指定されているが、一実施形態では、SIMは、以下では、xSIMと示される「拡張」加入者アイデンティティモジュール/UMTS加入者アイデンティティモジュール(SIM/USIM)であっても良い。
【0005】
用語「Rel6」は、3GPPリリース6またはそれ以前の機器を意味する。EPCノードおよび任意のUMTS/GSMコアネットワーク機器を参照するために、用語「Rel8」が本明細書で利用される。これらの機器は、「EPSを認知するもの(aware:アウェア)」とされていて、従って、EPSアーキテクチャと相互動作することができる。例えば、Rel6 SGSNは、必要なプロトコルを実装しないので、EPCノードへハンドオーバすることができないことが想定されている。しかしながら、Rel8 SGSNは、いわゆる、S3およびS4インタフェースの実装によりハンドオーバの実行が可能であると想定されている。
【0006】
3GPPでは、以下の要件を満足することが、EPSアーキテクチャにおけるセキュア通信に望ましいと一般的に合意されている。
【0007】
・拡張xSIMは、使用される場合には、UTRAN/GERAN用にUSIMと後方互換性がなければならず、キーは、初期認証を行う場所(GERAN、UTRANまたはE−UTRAN)とは独立していなければならない。認証パラメータは、同一フォーマットおよび、その類を有することになろう。
【0008】
・解決策は、以下の8つの全ての組み合わせに対して動作しなければならない。
【0009】
・Rel6またはRel8 UE
・xSIMまたはUSIM
・Rel6またはRel8 SGSN
Rel6 UEは、E−UTRAN無線インタフェースを単にサポートしないので、解決策は、Rel6 UEとeNB/E−UTRANとの組み合わせと共に動作することは要求されない。
【0010】
・解決策は、Rel8 EPS UEおよびxSIM/USIM並びにRel6 SGSN、Rel8 SGSNまたはEPCMMEの6つの構成のいずれかを含む全ての組み合わせに対して動作しなければならない。
【0011】
・解決策は、Rel6 RANまたはCN装置のアップグレードを行うことなく動作しなければならない。但し、Rel8 CN機器の新機能は許容される。
【0012】
・Rel8環境(SGSNおよびEPC MME)において初期接続およびハンドオーバ(H/O)が発生する場合、UTRAN/GERANネットワークとE−UTRANネットワークとの間で進行する場合のキー分離がサポートされなければならない。(キー分離とは、1つのキーの公開(exposure)が、別のキーに影響しないことを意味する。)
・EPSアーキテクチャは、UP、NASおよびRRCキーのキー分離をサポートすることになろう。
【0013】
・E−UTRAN eNodeBキーの公開の影響は、限定的であろう(RRCのセキュリティは、アイドルからアクティブへの移行時に再確立される)。
【0014】
追加要件として、拡張xSIMは、アクセス認証時に導出される「マスターキー」を提供し、アクセスキーが公開されるとしてもマスターキーがアプリケーション・レイヤにおいてセキュアに使用することができるとすれば有益であろう。同様に、xSIMが128ビットを上回る実効キーサイズをサポートすることができるとすれば望ましいであろう。
【0015】
以上の全ての要件を満足する既存の解決策は存在しない。GSM/UMTSの相互動作のために使用されるものと同様の原理を採用することができないのは、それら原理が要求されるセキュリティレベルを提供しないからである。GSMおよびUMTSは効果的な相互動作解決策を指定するしかしながら、GSMおよびUMTSは、アクセス間のキー分離を提供しないので、GSMのセキュリティ暴露は、UMTSのセキュリティにある程度の影響を及ぼすことになる。例えば、GSM/UMTSによって提供されるキーは、セキュリティ暴露のリスクなしでは、アプリケーション・レイヤにおいて再使用することができない。加えて、GSMもUMTSも、128ビット以上のセキュリティを提供しない。
【0016】
本技術に必要とされるものは、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡る、暗号キーを管理するための効果的でかつセキュアなシステムおよび方法である。このシステムおよび方法は、3GPPEPS要件の全てを満すべきである。本発明は、そのようなシステムおよび方法を提供し、追加の要件を満足するxSIMを後に導入するためのプロビジョン(provision)を実現する。
【先行技術文献】
【特許文献】
【0017】
【特許文献1】米国特許仮出願第60/829,954号
【発明の概要】
【発明が解決しようとする課題】
【0018】
本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡って、暗号キーを管理する認証サーバ及びシステム、および方法に向けられたものである。本発明は、上述で挙げられている3GPP EPS要件の全てを満足するので、従来技術の解決策を越える利点を有する。本発明は、これを主として、アクセスネットワーク間のキー分離の提供によって行う。
【課題を解決するための手段】
【0019】
一態様では、本発明は、第1のアクセスネットワークにおける所与の認証ノードに認証データを配信する認証サーバの方法に向けられたものである。この所与の認証ノードは、様々なアクセスネットワークにおける様々なタイプの複数の認証ノードの1つである。この認証ノードは、複数の様々なバージョンの移動端末において利用される、異なるバージョンのアイデンティティモジュールを認証する。本方法は、認証サーバにおいてマスターキーを生成する工程と、マスターキーから様々な認証データを暗号として導出する工程および導出された認証データを認証ノードに選択的に提供する工程を含んでいる。キー分離処理は、認証ノードのタイプとアイデンティティモジュールのバージョンのそれぞれ異なる組み合わせに対して、変換されたキーを含む異なる認証データを導出する。本方法は、次いで、所与の認証ノードのタイプと、所与の認証ノードによって認証されるアイデンティティモジュールのバージョンとの組み合わせに対して導出される認証データを、所与の認証ノードに選択的に提供する。
【0020】
別の態様では、本発明は、第1のアクセスネットワークにおける所与の認証ノードに認証データを配信する認証サーバに向けられたものである。ここで、所与の認証ノードは、様々なアクセスネットワークにおける様々なタイプの複数の認証ノードの1つである。認証ノードは、複数の様々なバージョンの移動端末において利用される様々なバージョンのアイデンティティモジュールを認証する。認証サーバは、マスターキーを生成する手段、マスターキーから、認証ノードのタイプとアイデンティティモジュールのバージョンとのそれぞれ異なる組み合わせに対して異なる認証データを暗号として導出するキー分離手段と、および所与の認証ノードのタイプと所与の認証ノードが認証するアイデンティティモジュールのバージョンとの組み合わせに対して導出される認証データを所与の認証ノードに提供する手段を含んでいる。
【0021】
別の態様では、本発明は、認証サーバから認証データを受信し、移動端末を認証するための認証ノードに向けられたものである。認証ノードは、認証データを受信し、認証データの一部である第1のキーを記憶する手段と、第1のキーから第2のキーを暗号として導出する第1のキー分離手段と、および移動端末を認証する認証手段を含んでいる。認証ノードは、また、様々なタイプの複数の他の認証ノードに第2のキーを通信する手段と、第1のキーから第3のキーを暗号として導出する第2のキー分離手段と、および第3のキーを利用して移動端末と通信するセキュリティ処理ノードに第3のキーを通信する手段とを含んでいる。
【0022】
別の態様では、本発明は、認証サーバと、様々なアクセスネットワークにおける第1の、第2のおよび第3のタイプの複数の認証ノードとの間で認証データを共有するシステムに向けられたものである。認証ノードは、複数の異なるバージョンの移動端末のバージョンにおいて利用される、様々なバージョンのアイデンティティモジュールを認証する。本システムは、認証サーバにおいてマスターキーを生成する手段と、マスターキーから、認証ノードのタイプとアイデンティティモジュールのバージョンとのそれぞれ異なる組み合わせに対して異なる変換されたキーを暗号として導出する第1キー分離手段と、および所与のタイプの認証ノードと、所与の認証ノードによって認証されるアイデンティティモジュールのバージョンとの組み合わせに対して導出される、変換されたキーを所与のタイプの認証ノードに提供する手段を含んでいる。本システムは、複数の認証ノードのそれぞれにおいて、別の認証ノードから認証データ用のリクエストを受信する手段と、および変換されたキーをリクエストの送信元の別の認証ノードに転送する手段を含んでいる。
【0023】
一実施形態では、第1の、第2のおよび第3のタイプの認証ノードは、リリース6サービングGPRSサービスノード(Rel6 SGSN)、リリース8サービングGPRSサービスノード(Rel8 SGSN)およびEPC移動管理エンティティ(MME)である。それぞれRel8 SGSNおよびMMEは、変換されたキーを暗号として処理した後に、暗号としてその処理した変換されたキーをリクエストの送信元の認証ノードに転送する手段を含んでいる。
【0024】
以下では、添付する図面を参照する好ましい実施形態の図示により、本発明の本質的特徴を詳細に説明することにする。
【図面の簡単な説明】
【0025】
【図1】3GPPによって現在定義される進化型パケット・コア・ネットワーク(EPC)および進化型UTRAN(E−UTRAN)無線アクセスネットワークを備える進化型パケットシステム(EPS)アーキテクチャ用のシステムアーキテクチャに関する単純化ブロック図である。
【図2】例示的な実施形態における本発明の基本原理を示す単純化ブロック図である。
【図3】マスターキー(Mk)を変換コーダエンティティ(TCE)に記憶する方法およびキー分離を達成する方法を示す単純化ブロック図である。
【図4】xSIMを利用するRel8 UEの初期認証を示す単純化ブロック図である。
【図5】xSIMを利用するRel6 UEの初期認証を示す単純化ブロック図である。
【図6】USIMを利用するRel6 UEの初期認証を示す単純化ブロック図である。
【図7】USIMを利用するRel8 UEの初期認証を示す単純化ブロック図である。
【図8】様々なシステム間の認証ベクトル(AV)の転送を示す単純化ブロック図である。
【図9】コンテキストがソースからターゲットシステムに転送され、また、転送されたキーが明示的な再認証することなくターゲットシステムによる即時使用に供する場合のアクセス間コンテキスト転送処理を示す単純化ブロック図である。
【発明を実施するための形態】
【0026】
本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡って、暗号キーを管理するための、認証サーバ及びシステム、および方法に向けられたものである。本発明は、主として、アクセスネットワーク間のキー分離の提供によって、上述で挙げられている3GPP EPSの要件の全てを満足する。これは、まず、認証手順中にキーを導出するために使用されるマスターキー(Mk)の導入によって達成される。様々なアクセスタイプ間のハンドオーバ中に、UEがアクセスを変更すると、それぞれのアクセスネットワークにおいてキーを保持する2つのノード間で、Mkまたは変換されたMkが受け渡される。Mkの変換は、一方向性関数を介して実行され、また、Mkが何らかの形で暴露(漏洩)される(compromise)と、従前に使用されているマスターキーへのアクセスを自動的に取得することが可能でないという影響を有している。Mkは決して直接使用されるものでなく、アクセスリンクを保護するために直接使用されるキーを導出するためだけに使用される。
【0027】
図2は、例示的実施形態における本発明の基本原理を示す単純化ブロック図である。この例で、UE21は、Rel8 UTRANネットワーク22およびE−UTRANネットワーク23にアクセスする。変換コーダエンティティ(TCE:Transformation Coder Entity)25と呼ばれるホーム加入者サブシステム(HSS)に近い機能からUTRANネットワークおよびE−UTRANネットワークにMk24が配信される。TCEは論理機能であり、一実施形態では、HSSと共存していても良い。Mkは、各アクセスタイプに対して異なっていても良い。Rel8 UTRANでは、Mkは関数f1で変換され、f1(Mk)26はUEと共有される。一方、E−UTRANに対しては、Mkは、関数f2で変換され、f2(Mk)27をUEと共有する。一実施形態では、f1はf2と等しいが、別の実施形態では、f1とf2は異なる関数である。TCE25は、認証およびキー合意(協定)(AKA:Authentication and Key Agreement)28を使用してUEの認証データを生成する。
【0028】
キー分離に加えて、本システムは、また、アプリケーションサーバおよびアプリケーションがUEにおいて動作して、特定アプリケーションキーの取得および利用を可能にする。アプリケーションキーは、TCEまたはHSSによって導出/記憶することができる。
【0029】
図3は、マスターキー(Mk)24をTCE25に記憶する方法およびキー分離を達成する方法を示す単純化ブロック図である。図におけるイベントフローは以下の通りである:
1.ネットワーク132のノードA131は、TCE25から認証ベクトル(AV:authentication vector)を要求する。
【0030】
2.一方向性関数(UE21には既知)またはアイデンティティマッピングのいずれかを使用してS1=f(Mk)33を取得するために、TCEは、AVのMkを変換する。TCEは、UE用のアプリケーション・レイヤに対するキーをさらに導出するために使用することができるキーとして使用されるMkを記憶する。
【0031】
3.TCEは、S1をノードA1に送信する。
【0032】
4.ノードA1は、UEに対しAKAを実行し、UEは、局所的に、MkおよびS1の双方を導出する。ノードA1は、S1から必要なトラフィック保護キーを導出し、この保護キーを必要とするノードにこの保護キーを転送する。このことは、図3のf1関数によって示される。UEは、対応するキーを同様に導出する。
【0033】
5.次に、UE21は、アクセスタイプ2(ネットワーク2)34へのハンドオーバを実行する。次いで、ノードA1は、一方向性関数GをキーS1に適用し、その結果であるS1*=G(S1)35をノードA236に送信する。UEは、同様にG関数を使用してS1を変換する。
【0034】
6.ノードA2およびUEは、新規アクセスネットワークにおけるトラフィックを保護するために要求される必要なキーを導出する。ネットワーク2がネットワーク1と比較して異なるタイプのアクセスネットワークである場合、ノードA2およびUEは、ノードA1によって実行されるものとは異なるキーの導出を実行することができる。このことは、図における関数f2によって示される。2つのネットワークが同一のタイプである場合、f1はf2に等しく、Gは異なるネットワークにおいて使用されるキーが異なることを保証することになる。2つのネットワークが異なる場合、f1およびf2は、現在とは分離するキーを暗号として導出することができ、Gは、アイデンティティマッピングによって実現することができる。しかしながら、S1が暴露される場合、Gは過去の暗号化トラフィックを回復することが可能でないという特徴を追加することに注意されたい。将来のトラフィックのみが、暴露される。
【0035】
UE21が、さらに別のネットワークにハンドオーバする場合、ステップ5およびステップ6が繰り返される。
【0036】
以下で後述するように、キーの導出および変換は大いなる注意を持って設計し、かつレガシーシステムとの後方互換性を許容しなければならない。本発明は、本明細書では、UTRAN Rel6、UTRAN Rel8およびE−UTRANのコンテキストで説明することにするが、この説明は、本発明の単なる例示であることが理解されるべきである。
【0037】
考慮すべき「セキュリティデータ」の2つのセットがある。認証ベクトル(AV)は、セキュリティデータおよびまだ使用されていないキーを含んでいる。AVは、初期認証時にHSSからSGSNまたはMME(SGSNまたはMMEは、訪問先ネットワークに存在していないことに注意されたい)へ送信され、1つのAVは、後続の各認証において「消費」される。認証においては、UEを最後に認証したSGSNまたはMMEに記憶される未使用AVが、認証エンティティによって要求されることがありえ、その場合、未使用AVが送信される。本発明のAVは、UMTSのフォーマットに類似のフォーマット:(RAND、XRES、AUTN、「キー」)を有する。UMTSでは、「キー」は単にCk、Ikであるが、以下では、このキー要素を「S」と呼ぶことにする。
【0038】
本発明の目的のために、セキュリティコンテキストは、現在「アクティブ」キーを含んでいる。セキュリティコンテキストは、また、本発明には本質的ではない、他のデータも含む場合もある。明示的な(再)認証なしにハンドオーバを可能にするために、セキュリティコンテキストは、ソースからターゲットシステムに送信される。
【0039】
様々なアクセスに介するキーの使用に伴う問題を把握するために、以下の定義を利用する:
・セキュリティコンテキスト/AVのキーを生成するための要素(S)が[Ck,Ik](UTRAN)またはKc(GERAN)として使用している、または後に直接(さらなる暗号保護なしに)使用することができる場合、セキュリティコンテキスト/AVは「ダーティ(Dirty)」と呼ばれる。E−UTRANにおいて、ダーティコンテキストを使用することが可能である(但し、推奨しない)ことに注意されたい。
【0040】
・[Ck、Ik]若しくはKcまたはE−UTRANにおける対応するキー群が、そのキーを生成するための要素(S)から、セキュアな暗号「トゥイーキング(tweaking)」機能のアプリケーションによって導出されている、または導出されるることになる場合、セキュリティコンテキスト/AVは「クリーン(Clean)」と呼ばれる。
【0041】
完全な解決策を説明するために、3つの問題に取り組まなければならない:
1.AVが、どのようにして初期認証において生成され、HSSからSGSN/MMEに転送されるか(図4−図7および表1)。
【0042】
2.(未使用)AVが、ハンドオーバにおいて、どのように送信され、変換されるか(図8および表2)。
【0043】
3.現在使用されるセキュリティコンテキストが、ハンドオーバにおいて、どのように送信され、変換されるか(図9)。
【0044】
認証およびキー合意(AKA)手順に関して、以下の仮定を設ける:
・Rel8 UEは、Rel6 SGSN、Rel8 SGSNまたはMMEに対してAKAを実行するかを知ることになるであろう。AKAがRel6 SGSNに対して実行される場合、セキュリティコンテキストは、ダーティとなる:その他の場合、セキュリティコンテキストは、クリーンとなる。UEがUMTS AKA(Rel99+SGSN)またはGSM AKA(Rel98−SGSN)を実行すべきかを知らなければならない場合、この処理は、現行GSM/UMTS相互動作に類似する。
【0045】
・Rel6 UEは、Rel8 SGSNをRel6 SGSNと区別することができないであろう。
【0046】
・HSSは、SIM(xSIMまたはUSIM)のバージョンを知ることになろう。この知識は、HSS近傍のネットワークノードに送信することができる(例えば、IMSIからまたは明示的なシグナリングにより)と想定する。情報がRel8 SGSN/MMEに(およびその間で)渡されることもまた必要である。
【0047】
・SGSN/MMEは、UEのAKA機能を知ることになるであろう。ネットワーク接続時にUEから送信されるクラスマーク情報からおよび/またはHSSからの情報から、この情報が取得されると(今日のように)想定する。Rel6 SGSNは、Rel8 UEが、Rel6 UMTS AKAが可能であることをただ認識するのみであろうことに注意されたい。
【0048】
・xSIMは、xSIMが「実際の」Rel8 xSIMとして使用されるか、またはレガシーのRel6 UEにおいて使用されるかを、xSIMに告げることで、USIMをシミュレートすることを必要とする2つの論理I/Oインタフェースを有することになろう。逆に、Rel8 UEは、xSIMをUSIMと区別することができると想定することができる。
【0049】
以上のクリーン/ダーティの定義により、本発明は以下の点を満足する:
・AKAが(EPS)MMEに対して実行される場合、Rel8 UEは使用中でなければならず、クリーンコンテキストは、xSIMおよびUSIM双方に対して確立することができる。
【0050】
・AKAがRel8 SGSNに対して実行される場合、コンテキストは、UEの能力(Rel8またはRel6)に依存してクリーンまたはダーティとなる。
【0051】
・AKAがRel6 SGSNに対して実行される場合、コンテキストは、常にダーティとなる。xSIMの場合、xSIMは、このことが生じるかを知っているであろうし、以下に説明するように対処することができる。
【0052】
以下では、ソース/ターゲットアクセスシステム間のコンテキスト送信に対する仮定(または以上の結果)である。
【0053】
・Rel6 SGSNにおいて取り扱われるセキュリティコンテキストは、(定義により)「ダーティ」である。
【0054】
・ハンドオーバでは、ソースMMEまたはRel8 SGSNは、(新規機能を含むと想定することができるので)セキュリティコンテキストが、Rel6 SGSN、Rel8 SGSNまたはターゲットMMEに送信されるかを知ることになる。ソースシステムによるコンテキスト変換は、状況に依存することになる。
【0055】
・ハンドオーバでは、ターゲットMMEまたはRel8 SGSNは、セキュリティコンテキストがRel6 SGSN、Rel8 SGSNまたはソースMMEから到来するかを同様に知ることになるであろう。
【0056】
・Rel8 SGSNのみがターゲットE−UTRANシステムへのハンドオーバを実行することができ、セキュリティコンテキストをMMEに送信することができる、これは、新規のシグナリング信号(Rel6 SGSNでは存在しない)が必要されるからである。
【0057】
・MMEおよびRel8 SGSNは、相互間で(明示的なシグナリングによって)送信される場合、セキュリティコンテキストが「クリーン」または「ダーティ」であるかを指示することができる。このことは「最適」な場合である、それは、ソースおよびターゲットシステム双方が新規の機能をサポートすることができるからである。
【0058】
・Rel8 UEは、ハンドオーバがRel8 SGSNとMMEとの間であると判定することができる。これは、UEが無線技術の変更に気付くからである。おそらく必要ではないが、明示的な追加のシグナリングも存在しうる。同じことは、Rel6 SGSNとRel8 SGSNとの間のハンドウオーバに対しては想定できない。これは、UEが依然としてUTRANに存在するからである。一実施形態では、本発明は、UEに、ハンドオーバがRel6 SGSNとRel8 SGSNとの間であることを判定することを可能にする新規のシグナリングによって、更に、改善される。
【0059】
以下の説明では、名称F1、F2およびGは、256ビットを256ビットにマッピングする、適切な暗号化関数を示している。ビット長は、256ビットとは異なる長さ(より長いまたはより短い)であってもよいが、256ビットは、3GPP SA3における現行の作業仮定であることに注意すべきである。これらのキービットから、追加キーを導出することができる。F3は、256ビットを6つ(迄)の256ビット・ストリング・セットにマッピングする関数である。(6番目のストリングの存在は、アクセス技術がユーザプレーン統合を実装するかに依存し、この統合は、E−UTRANに対する事例ではない)。(選択的には、F3は、6つの異なる関数のセットを使用して実現することができる)。F−関数は、(未使用)AVに適用される。一方、G−関数は、アクティブなセキュリティコンテキストに適用される。F2およびF3は、以下で説明されるように、セキュリティコンテキストにおいても使用される。
【0060】
図4−図7では、セキュリティコンテキストおよびAVは、キーS1、S2およびSによって示される。これは、これらは、キー導出によって影響を受ける唯一のパラメータ群であるからである。(少なくとも)4レベルのキー階層が導入される。ここで、「下位」キーは、「上位」キーから導出される。xSIMが使用される場合、以下の全ての事項を適用する:
・Kは、内部のxSIM/HSSキーである。
【0061】
・Sは、AKAにおいてKから導出され、HPLMNまたはxSIMの外部に決して晒されない「スーパキー」と見なすことができる。Sは、初期の3GPP汎用ブートストラップアーキテクチャ(GBA:Generic Bootstrapping Architecture)手順によって生成されるキーに対する関数に類似している。
【0062】
・S1は、F1を使用してSから導出される「マスター・セッション・キー」であり、また、セッションキーを導出するために、Rel8 SGSNおよびEPS MMEによって使用される。
【0063】
・S2は、F2を使用してS1から導出されるセッションキーである。
【0064】
− E−UTRANに対しては、6つまでのトラフィックキーが必要とされる(UP、NASおよびRRCに対する完全性/秘匿キー群)。これらのさらなるキー群は、関数F3によってS2から導出される。
【0065】
− Rel6/Rel8 UMTSに対しては、S2は、Rel8またはRel6で使用される2つのトラフィックキー(Ck,Ik)に対応する。
【0066】
端末側では、Rel8 UEにおけるxSIMではなくUSIMが使用される場合、UEは、依然として、下位のキーを「エミュレートする」(UMTS UEが、SIMに対するUSIM機能をエミュレートする方法と同様)ことができる。しかしながら、UEが、Rel6 UEである場合、それはできない。この場合、Sは、単に以下に説明するように、USIMによって直接出力されるCk‖Ikとなるであろう。
【0067】
同様に、ネットワーク側では、いくつかの場合、関数F1、F2およびF3をサポートしない、あるレガシーシステムにより、上述のキー階層は「崩壊する」であろう。より詳細には、このことは、F1、F2およびF3がRel6システムにおける「平凡な」機能と考えることができることによるものである(例えば、F2(x)=x、アイデンティティ)。Rel8 UE/xSIMは、この状況に適合しなければならない。
【0068】
従って、考慮しなければならない互換性についての多くの事例が存在する。以下の図は、ネットワーク側の3つの場合(Rel6、Rel8またはMME)のSIM/UEの組み合わせに関する、4つの取り得る変形に対する(初期)認証時のキー/AV処理の場合に応じた説明を示している。まず、いくつかのさらなる記法を説明することにする。
【0069】
TCE25は、GBAブートストラップ手順におけるKに類似する、アプリケーションキー(またはマスターキー)Sを保持する小さな楔(shim)レイヤであっても良い。TCEは、また、UEにおけるSIMのタイプに依存して、必要なキーの導出も実行する。TCEは、HSS18において、または別のエンティティとして実現されても良い。TCEは、UE21のリリースバージョンを知らないので、TCEは、純粋にxSIM/USIMバージョンに基づき、そのデータを送信しなければならない。
【0070】
上述の議論では、Rel6ネットワークとRel8ネットワークとの間を区別している。EPSと相互動作する必要があるRel7ネットワークも存在している。この時、セキュリティの観点からは、Rel6からRel7への大きな変更はないが、Rel7を未だ完全に定義されていない。従って、3GPP Rel7が、上述で議論されるような新規のキー管理機能を導入していない場合、上述の議論において、Rel6ネットワークが行うように、Rel7 3GPPネットワークは、EPSと正確に相互動作するであろう。一方、Rel7が、Rel8に対して想定する新規のキー管理機能を導入する場合、上述のRel8が行うように、Rel7ネットワークはEPSと正確に相互動作するであろう。要するに、導入する新規のキー管理機能が何であるかに依存して、EPSと相互動作するRel7ネットワークは、Rel6ネットワークまたはRel8ネットワークとして扱うことになろう。同じことが、後続の議論に対しても当てはまる。用語「プレRel8(Pre-Rel8)」は、Rel8ノードに対して想定される新規のキー管理機能を導入しないRel6ノードまたはRel7ノードを参照するために、本明細書で利用される。
【0071】
図において、「ダーティ」および「クリーン」とマークされているボックスは、コンテキスト/AVが、上述で定義されるクリーンまたはダーティであるかを示している。Rel6 SGSNの場合、コンテキスト/AVがクリーンであるかか否かを告げる明示的な「フラグ」は存在しない(常にダーティであるので)。但し、この情報は、非明示的にRel8 SGSNによって推論することができる。これは、Rel8 SGSNが、コンテキスト/AVをRel6 SGSNから受信しているからである。
【0072】
簡単のため、図では、キーS2は、RNC/eノードBから送信されることだけを示している。F−関数を使用して、S2は、さらにトラフィックキー(GERANに対するKc、UTRANに対するCK/IK、およびE−UTRANに対するUP/NAS/RRCキー)に処理されることを注意されたい。保護用のエンドポイントは、EPSでは、様々なトラフィックのタイプに対して異なるので、この処理は、好ましくは、MMEにおいて実行され、処理結果が、保護エンドポイント(eノードB)に送信されても良いし、またはS2が与えられている場合には、eノードB自身によってUP/RRCキー群を導出することができる。UMTSに大使邸は、CKおよびIKは、それぞれS2の第1のおよび第2の半分とすることができる。
【0073】
処理は、まず、HSS/SGSN/MMEのAVの部分であるキー、および(初期)認証時のキーSIM/UEに対して説明する。図4−図7は、明示的な認証を示すことに注意すべきである。コンテキスト送信によって達成される非明示的な認証は、後述する。
【0074】
図4は、xSIMを利用するRel8 UE41の初期認証を示す単純化ブロック図である。UEは、Rel6 SGSN42、Rel8 SGSN43およびMME44間を区別することができるので、UEは、セキュリティコンテキストがダーティであるかクリーンであるか(即ち、ネットワークが、SGSN/MMEに記憶されるS1−キーを有するか)を保持する。UEが、Rel6 SGSN42と通信する場合、UEは、コンテキストをダーティとしてマークする。UEがRel8 SGSN43またはMME44と通話する場合、UEは、コンテキストをクリーンとマークする。UEは、トラフィックを保護するために、常に、S2(または下位の、F3により導出されるキー)を使用することに注意されたい。これは、SGSN/MME間のAVの送信を可能にする。
【0075】
図5は、xSIMを利用するRel6 UE51の初期認証を示す単純化ブロック図である。UEは、Rel6であるので、UEは、E−UTRANネットワークへハンドオーバすることができない。それゆえ、Rel8 SGSN43にクリーンコンテキストを保持する利得はなく(これが原理的において可能であっても)、また、MME44を考慮する必要はない。F2関数が適用されるべきか(この場合に行うように)否かを判定することができるxSIMまたはUSIMをUEが有するかを、Rel8 SGSNは区別することができなければならない(図6参照)。この情報は、AVと共にTCE25から渡されることができる。従って、拡張xSIMに対するプロビジョンがなされる場合における、SGSN間で受け渡しされる場合には、各AVはこの情報を搬送しなければならない。もちろん、USIMのみが使用される限り、この情報は必要とされない。
【0076】
図6は、USIMを利用するRel6 UE52の初期認証を示す単純化ブロック図である。TCE25は、透過的に動作する(即ち、機能は、通常のRel6ネットワークにおける機能と同一である)。再度、Rel8 SGSN43は、クリーンコンテキストを維持する必要はなく、また、MME44を考慮する必要がない。これは、UEは、E−UTRANネットワークへハンドオーバすることができないからである。
【0077】
図7は、USIMを利用するRel8 UE53の初期認証を示す単純化ブロック図である。この場合、UEは、SGSNおよびMMEの両方に接続することができることに注意することが重要である。Rel8 UEが、必要なキー導出を実行するラッパ(wrapper)機能を周りに実装している場合、これはUSIMで達成することが可能である。
【0078】
UE53のラッパ機能は、以下の動作を実行する:
・Rel6 SGSN42と通信する場合、ラッパ機能は、特別な機能を実行しないが、コンテキストをダーティとマークする。
【0079】
・Rel8 SGSN43またはMME44と通信する場合、ラッパ機能は、S1=F1(S)およびS2=F2(S1)を計算し、S1を記憶し、コンテキストをクリーンとマークする。S2が、F3の使用によりトラフィック保護キーを導出するために使用される。
【0080】
図4−図7は、本発明の教示に従う(初期)認証の取扱いを示している。以下では、ハンドオーバの場合、および様々なシステム間のコンテキスト/AVフェッチ/転送を説明する。
【0081】
まず、AVのフェッチを見ると、SGSNおよびMMEの様々なリリース間でAVが転送されても良い。この転送は、SIMのバージョンおよびターゲット/ソースシステムのリリースに依存する。特に、Rel8 SGSN及びMMEに、TCEから転送する場合には、AVを、USIMまたはxSIMAVとマークしなければならない。以下の表1は、AVで、TCEからSGSN/MMEに提供されるキーを示している。
【0082】
【表1】
【0083】
SGSN/MMEにおけるAVに記憶されるAVキー(TCEから受信する場合)
次にAVの転送を見ると、以下の表2は、AVを転送する場合のソースおよびターゲットSGSN/MMEによって実行される動作を示している。
【0084】
表2の記法の説明:
・AVkは、AVで搬送されるキーである(AVkは、S、S1またはS2に等しい場合がある)。
【0085】
・S−ビットは、AVが原則として生成される、SIMのタイプを示すビット(即ち、値)である。Rel6 SGSNから転送される場合、この情報は利用できず、従って、S−ビットは、次いで、Rel8 SGSNによって「未知」に設定される。S−ビットは、拡張xSIMをサポートしている場合にのみ必要となる。
【0086】
・D−ビットは、ダーティビットである。D−ビットが設定される場合、それは、AVkは、再度決して変換されてはならないことを意味する。
【0087】
・Txは、転送を意味する。
【0088】
【表2】
【0089】
図8は、様々なシステム間の認証ベクトル(AV)の転送を示す単純化ブロック図である。Rel8 SGSN43にクリーンAVがある場合、クリーンAVは、ダーティAVに変換して(上記の表2参照)、Rel6 SGSN42に送信することができる。Rel6 SGSNにMME44からAVをフェッチすることを許容することは可能であろうが、そうするためには、MMEは、キーSに関する知識を持たなければならない(UEがUSIMを有する場合)ことに注意されたい。別の実施形態では、Rel6 SGSNは、Rel8エンティティからAVをフェッチすることは許容されない。この場合、UEは、USIMを有する場合、Rel8 SGSNは、S1を受信することができる(正にMMEのように)。
【0090】
キー確立の失敗が発生しうる仮定例は、ユーザが次のことを行う場合である:
1.Rel8 UEおよびUSIMを使用してMMEで認証する。MMEは、S1を含むAVのバッチをTCEからダウンロードする。
【0091】
2.次に、ユーザは、Rel8 UEをオフにし、USIMをRel6 UEに移し、REl6 SGSNに対する認証を試行する。
【0092】
3.REl6 SGSNまたはRel8 SGSNは、TCEからAVをフェッチする代わりにMMEからAVをフェッチし、次いでUEを調べることができる。
【0093】
4.認証は成功するであろうが、SGSNおよびUEは、異なるセキュリティコンテキストを保持するであろう(リンク保護キー)。SGSNは、S2を保持するであろうし、UEはSを保持するであろう。ここで、キーの相違の検出には困難がありうることに注意されたい。
【0094】
この状況が発生するのを防ぐために、MMEからSGSNにAVを転送する機能を取り除くことができる。これは妥当な解決策であることは、アクティブな「セキュリティコンテキスト」(キー群)を転送し、必要である場合には、HSS/TCEからSGSNに後で新規のAVをダウンロードすることによって、シームレスなハンドオーバを依然としてサポートしうるからである。MMEにおける未使用AVは、この場合、単に排除(フラッシュ:flush)されるであろう。
【0095】
上述の問題は、「レガシー」リリースを更新することを可能とすることなく、SIM、UEリリースおよびネットワークリリースの全ての取り得る組み合わせを可能とすることの要望による副次的な影響である。Rel8 SGSNに対する状況を解消する別の取り得る方法は、例えば、UEで使用されるSIM(USIM/xSIM)のタイプを告げるSGSNへ、Rel8 UEからの新規のシグナリングを導入することである。これは、クラスマーク(階級値:classmark)情報またはその他のシグナリングで行うことができる。Rel8 SGSNが、このシグナリングを受信しない場合、SGSNは、UEがRel6 UEであり、失敗が生じるであろうと結論付けることができる。
【0096】
図9は、コンテキストがソースからターゲットシステムに転送され、転送されたキーが明示的な再認証することなく、ターゲットシステムによる即時使用に供する場合の、アクセス間コンテキスト転送処理を示す単純化ブロック図である。関数「G」は、このために利用される。尚、依然としてクリーンであるコンテキスト(即ち、Rel8 SGSN内およびRel8 SGSNとMME間の転送)の場合、Gは、常にS1キーに適用されて、「クリーン性」を維持する。既にダーティであるコンテキストは処理されない。換言すれば、ダーティコンテキストに対しては、S2キーはそのまま手渡される。いくつかの場合、ダーティコンテキストを処理することは可能でありうるが、そうすることは何ら有意な特別の保護をもたらさないことに注意されたい。Rel6 SGSNへの転送をGにより決して処理されないが、原理的には、新規のシグナリングの導入によってそのようにすることは可能であろう。UEに類似の処理を実行することを告げるために、このシグナリングは、Rel8/Rel6のハンドオーバにおいて必要とされるであろう。そうでなければ、UEは転送に気付かず(アウェアでなく)、間違っているキーを使用することになるであろう。
【0097】
F1、F2、F3およびGは、暗号化関数(機能)である。これらはすべて、例えば、高度暗号化標準(AES:Advanced Encryption Standard)、SHA256アルゴリズムおよびその類のような、標準のブロックを構築することによって実現することができる。F1、F2、F3およびGは、少なくとも(強力な)一方向性関数であるべきであり、好ましくは、擬似ランダム関数であるべきである。F3は、その上、EPSネットワークに対して、6つまでのキーを生成することを必要とする。これは、キー=F3(S1,<label>)等の「label(ラベル)」を使用して行うことができ、ここで、label(ラベル)は、個別キーに対し個別の値を取る。この場合、F3は、擬似ランダム関数であるべきである。関数F3は、好ましくは、また、使用対象のキーで用いられるアルゴリズムの「ID」に依存するようにする。
【0098】
UEがRel8 SGSNとMMEとの間を「往来(ping−pong)」する場合、Gが、数回適用されても良いことに注意されたい。Gは、その場合、好ましくは、反復しても劣化しない特性を持つべきである。これを達成する1つの方法は、Gが擬似ランダム順列であるとさらに想定することである。その場合、例えば、次のことがありえよう:
target_system_S1=G(source_system_S1, c,...)
ここで、cは、各「往」または「来」において増加するカウンタである。システムID等のその他の入力もまた含みうる。
【0099】
いくつかの拡張を、また、Rel6/Rel8ハンドオーバに対して行うことができる。まず、新規のシグナリングを、Rel8 SGSNからRel8 UEに導入し、UEに、UEがRel6 SGSNへ/からハンドオーバされることを告げる。そして、上述のように、Rel6/Rel8 SGSNのハンドオーバ時にGをまた適用することによって、この解決策がさらに改善することができる。UEは、次に、明示的なシグナリングによって、この状況に気付く(アウェアである)ので、UEおよびRel8 SGSNは、完全同期して、要求される関数Gを適用することができる。
【0100】
本発明の好ましい実施形態は、添付図面において示され、上述の発明を実施するための形態において説明されているが、本発明は、開示されている実施形態に制限されず、本発明の範囲を逸脱することなく数多くの再構成、変形および置換が可能であることが理解される。また、この説明は、E−UTRANとUTRANネットワークとの間の相互動作に焦点を当てているが、キー分離の原理は、E−UTRANと非3GPPアクセス技術(例えば、CDMA2000、IEEE802.11、IEEE802.16等)との間、または、任意の2つの非3GPPネットワーク間の相互動作に等しく適用可能(および有用)であろう。明細書では、特許請求の範囲によって定義される本発明の範囲内に入るあらゆる変形を意図するものである。
【技術分野】
【0001】
関連出願のクロスリファレンス
本願は、2006年10月18日出願の米国仮特許出願第60/829,954号の優先権を主張するものであり、その開示は参照することによって本明細書に組み込まれものである。
【0002】
本発明は、通信ネットワークにおけるセキュア通信に関するものである。より詳細には、限定するものではないが、本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせにわたり、暗号キーを管理するためのシステムおよび方法に向けられたものである。
【背景技術】
【0003】
図1は、第3世代パートナシッププロジェクト(3GPP:Third Generation Partnership Project)によって現在定義されるような、進化型パケット・コア・ネットワーク(EPC:Evolved Packet Core network)および進化型UTRAN無線アクセスネットワークの展開(E−UTRAN:Evolved UTRAN radio access network)用の、現行の3Gネットワークの進化型に関する単純化ブロック図である。この進化型のシステム(EPCおよびE−UTRAN)の全体は、進化型のパケットシステム(EPS:Evolved Packet System)10として参照される。本発明の重要な機能エンティティである、EPSアーキテクチャのノードは、移動管理エンティティ(MME:Mobility Management Entity)11および拡張ノードB(eNodeBまたはeNB)12を含んでいる。完全を期すために(本発明にとっては本質的ではないが)、2つのゲートウェイノードとして、サービング(serving)ゲートウェイ13およびパケット・データ・ネットワーク(PDN:Packet Data Network)ゲートウェイ14もまた存在することを言及するのは当然である。MME11は、サービングGPRSサービスノード(SGSN:Serving GPRS Service Node)15の制御プレーンに類似していて、ユーザ認証を実行し、非アクセス層(NAS:Non−Access Stratum)のシグナリングのセキュリティおよびその類を終結させる。この説明のために、eNB12は、2つの部分に論理的に分けられると見做すことができる。まず、ユーザ・プレーン・エンティティ(UPE:User Plane Entity)16は、RNCおよびSGSNのユーザプレーンに類似していて、また、UP(User Plane:ユーザプレーン)のセキュリティを終結させる。本発明に関係するUPE機能は、eNBまたはネットワークの何処かに実装することができる。eNBのその他の論理的な部分は、無線リソース制御(RRC:Radio Resource Control)セキュリティ17を終結させるエンティティである。ホーム加入者サーバ(HSS:Home Subscriber Server)18は、加入者プロファイル情報を記憶している。
【0004】
EPSアーキテクチャ10は、「レガシー」(3GPP Rel6)コアネットワーク機器および、GSM/EDGE無線アクセスネットワーク(GERAN:GSM/EDGE Radio Access Network)19およびUMTS地上無線アクセスネットワーク(UTRAN:UMTS Terrestrial Radio Access Network)20等の関係する無線アクセスネットワークと、効果的およびセキュアに相互動作しなければならない。「効果的」とは、ハンドオーバがシームレスであることを意味し、「セキュアに」とは、1つのアクセスネットワークにおけるセキュリティ暴露(security compromise)が他のアクセスネットワーク(後方交換性であることの必要性によって影響される以上に)に広がらないことを意味する。EPSアーキテクチャは、セキュリティの基礎として、ユーザ機器(UE:User Equipment)21におけるRel8タイプの加入者アイデンティティモジュール(SIM:Subscriber Identity Module)メカニズムを使用するであろうと想定している。現在、R99+USIMの使用のみが、EPSに対して指定されているが、一実施形態では、SIMは、以下では、xSIMと示される「拡張」加入者アイデンティティモジュール/UMTS加入者アイデンティティモジュール(SIM/USIM)であっても良い。
【0005】
用語「Rel6」は、3GPPリリース6またはそれ以前の機器を意味する。EPCノードおよび任意のUMTS/GSMコアネットワーク機器を参照するために、用語「Rel8」が本明細書で利用される。これらの機器は、「EPSを認知するもの(aware:アウェア)」とされていて、従って、EPSアーキテクチャと相互動作することができる。例えば、Rel6 SGSNは、必要なプロトコルを実装しないので、EPCノードへハンドオーバすることができないことが想定されている。しかしながら、Rel8 SGSNは、いわゆる、S3およびS4インタフェースの実装によりハンドオーバの実行が可能であると想定されている。
【0006】
3GPPでは、以下の要件を満足することが、EPSアーキテクチャにおけるセキュア通信に望ましいと一般的に合意されている。
【0007】
・拡張xSIMは、使用される場合には、UTRAN/GERAN用にUSIMと後方互換性がなければならず、キーは、初期認証を行う場所(GERAN、UTRANまたはE−UTRAN)とは独立していなければならない。認証パラメータは、同一フォーマットおよび、その類を有することになろう。
【0008】
・解決策は、以下の8つの全ての組み合わせに対して動作しなければならない。
【0009】
・Rel6またはRel8 UE
・xSIMまたはUSIM
・Rel6またはRel8 SGSN
Rel6 UEは、E−UTRAN無線インタフェースを単にサポートしないので、解決策は、Rel6 UEとeNB/E−UTRANとの組み合わせと共に動作することは要求されない。
【0010】
・解決策は、Rel8 EPS UEおよびxSIM/USIM並びにRel6 SGSN、Rel8 SGSNまたはEPCMMEの6つの構成のいずれかを含む全ての組み合わせに対して動作しなければならない。
【0011】
・解決策は、Rel6 RANまたはCN装置のアップグレードを行うことなく動作しなければならない。但し、Rel8 CN機器の新機能は許容される。
【0012】
・Rel8環境(SGSNおよびEPC MME)において初期接続およびハンドオーバ(H/O)が発生する場合、UTRAN/GERANネットワークとE−UTRANネットワークとの間で進行する場合のキー分離がサポートされなければならない。(キー分離とは、1つのキーの公開(exposure)が、別のキーに影響しないことを意味する。)
・EPSアーキテクチャは、UP、NASおよびRRCキーのキー分離をサポートすることになろう。
【0013】
・E−UTRAN eNodeBキーの公開の影響は、限定的であろう(RRCのセキュリティは、アイドルからアクティブへの移行時に再確立される)。
【0014】
追加要件として、拡張xSIMは、アクセス認証時に導出される「マスターキー」を提供し、アクセスキーが公開されるとしてもマスターキーがアプリケーション・レイヤにおいてセキュアに使用することができるとすれば有益であろう。同様に、xSIMが128ビットを上回る実効キーサイズをサポートすることができるとすれば望ましいであろう。
【0015】
以上の全ての要件を満足する既存の解決策は存在しない。GSM/UMTSの相互動作のために使用されるものと同様の原理を採用することができないのは、それら原理が要求されるセキュリティレベルを提供しないからである。GSMおよびUMTSは効果的な相互動作解決策を指定するしかしながら、GSMおよびUMTSは、アクセス間のキー分離を提供しないので、GSMのセキュリティ暴露は、UMTSのセキュリティにある程度の影響を及ぼすことになる。例えば、GSM/UMTSによって提供されるキーは、セキュリティ暴露のリスクなしでは、アプリケーション・レイヤにおいて再使用することができない。加えて、GSMもUMTSも、128ビット以上のセキュリティを提供しない。
【0016】
本技術に必要とされるものは、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡る、暗号キーを管理するための効果的でかつセキュアなシステムおよび方法である。このシステムおよび方法は、3GPPEPS要件の全てを満すべきである。本発明は、そのようなシステムおよび方法を提供し、追加の要件を満足するxSIMを後に導入するためのプロビジョン(provision)を実現する。
【先行技術文献】
【特許文献】
【0017】
【特許文献1】米国特許仮出願第60/829,954号
【発明の概要】
【発明が解決しようとする課題】
【0018】
本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡って、暗号キーを管理する認証サーバ及びシステム、および方法に向けられたものである。本発明は、上述で挙げられている3GPP EPS要件の全てを満足するので、従来技術の解決策を越える利点を有する。本発明は、これを主として、アクセスネットワーク間のキー分離の提供によって行う。
【課題を解決するための手段】
【0019】
一態様では、本発明は、第1のアクセスネットワークにおける所与の認証ノードに認証データを配信する認証サーバの方法に向けられたものである。この所与の認証ノードは、様々なアクセスネットワークにおける様々なタイプの複数の認証ノードの1つである。この認証ノードは、複数の様々なバージョンの移動端末において利用される、異なるバージョンのアイデンティティモジュールを認証する。本方法は、認証サーバにおいてマスターキーを生成する工程と、マスターキーから様々な認証データを暗号として導出する工程および導出された認証データを認証ノードに選択的に提供する工程を含んでいる。キー分離処理は、認証ノードのタイプとアイデンティティモジュールのバージョンのそれぞれ異なる組み合わせに対して、変換されたキーを含む異なる認証データを導出する。本方法は、次いで、所与の認証ノードのタイプと、所与の認証ノードによって認証されるアイデンティティモジュールのバージョンとの組み合わせに対して導出される認証データを、所与の認証ノードに選択的に提供する。
【0020】
別の態様では、本発明は、第1のアクセスネットワークにおける所与の認証ノードに認証データを配信する認証サーバに向けられたものである。ここで、所与の認証ノードは、様々なアクセスネットワークにおける様々なタイプの複数の認証ノードの1つである。認証ノードは、複数の様々なバージョンの移動端末において利用される様々なバージョンのアイデンティティモジュールを認証する。認証サーバは、マスターキーを生成する手段、マスターキーから、認証ノードのタイプとアイデンティティモジュールのバージョンとのそれぞれ異なる組み合わせに対して異なる認証データを暗号として導出するキー分離手段と、および所与の認証ノードのタイプと所与の認証ノードが認証するアイデンティティモジュールのバージョンとの組み合わせに対して導出される認証データを所与の認証ノードに提供する手段を含んでいる。
【0021】
別の態様では、本発明は、認証サーバから認証データを受信し、移動端末を認証するための認証ノードに向けられたものである。認証ノードは、認証データを受信し、認証データの一部である第1のキーを記憶する手段と、第1のキーから第2のキーを暗号として導出する第1のキー分離手段と、および移動端末を認証する認証手段を含んでいる。認証ノードは、また、様々なタイプの複数の他の認証ノードに第2のキーを通信する手段と、第1のキーから第3のキーを暗号として導出する第2のキー分離手段と、および第3のキーを利用して移動端末と通信するセキュリティ処理ノードに第3のキーを通信する手段とを含んでいる。
【0022】
別の態様では、本発明は、認証サーバと、様々なアクセスネットワークにおける第1の、第2のおよび第3のタイプの複数の認証ノードとの間で認証データを共有するシステムに向けられたものである。認証ノードは、複数の異なるバージョンの移動端末のバージョンにおいて利用される、様々なバージョンのアイデンティティモジュールを認証する。本システムは、認証サーバにおいてマスターキーを生成する手段と、マスターキーから、認証ノードのタイプとアイデンティティモジュールのバージョンとのそれぞれ異なる組み合わせに対して異なる変換されたキーを暗号として導出する第1キー分離手段と、および所与のタイプの認証ノードと、所与の認証ノードによって認証されるアイデンティティモジュールのバージョンとの組み合わせに対して導出される、変換されたキーを所与のタイプの認証ノードに提供する手段を含んでいる。本システムは、複数の認証ノードのそれぞれにおいて、別の認証ノードから認証データ用のリクエストを受信する手段と、および変換されたキーをリクエストの送信元の別の認証ノードに転送する手段を含んでいる。
【0023】
一実施形態では、第1の、第2のおよび第3のタイプの認証ノードは、リリース6サービングGPRSサービスノード(Rel6 SGSN)、リリース8サービングGPRSサービスノード(Rel8 SGSN)およびEPC移動管理エンティティ(MME)である。それぞれRel8 SGSNおよびMMEは、変換されたキーを暗号として処理した後に、暗号としてその処理した変換されたキーをリクエストの送信元の認証ノードに転送する手段を含んでいる。
【0024】
以下では、添付する図面を参照する好ましい実施形態の図示により、本発明の本質的特徴を詳細に説明することにする。
【図面の簡単な説明】
【0025】
【図1】3GPPによって現在定義される進化型パケット・コア・ネットワーク(EPC)および進化型UTRAN(E−UTRAN)無線アクセスネットワークを備える進化型パケットシステム(EPS)アーキテクチャ用のシステムアーキテクチャに関する単純化ブロック図である。
【図2】例示的な実施形態における本発明の基本原理を示す単純化ブロック図である。
【図3】マスターキー(Mk)を変換コーダエンティティ(TCE)に記憶する方法およびキー分離を達成する方法を示す単純化ブロック図である。
【図4】xSIMを利用するRel8 UEの初期認証を示す単純化ブロック図である。
【図5】xSIMを利用するRel6 UEの初期認証を示す単純化ブロック図である。
【図6】USIMを利用するRel6 UEの初期認証を示す単純化ブロック図である。
【図7】USIMを利用するRel8 UEの初期認証を示す単純化ブロック図である。
【図8】様々なシステム間の認証ベクトル(AV)の転送を示す単純化ブロック図である。
【図9】コンテキストがソースからターゲットシステムに転送され、また、転送されたキーが明示的な再認証することなくターゲットシステムによる即時使用に供する場合のアクセス間コンテキスト転送処理を示す単純化ブロック図である。
【発明を実施するための形態】
【0026】
本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡って、暗号キーを管理するための、認証サーバ及びシステム、および方法に向けられたものである。本発明は、主として、アクセスネットワーク間のキー分離の提供によって、上述で挙げられている3GPP EPSの要件の全てを満足する。これは、まず、認証手順中にキーを導出するために使用されるマスターキー(Mk)の導入によって達成される。様々なアクセスタイプ間のハンドオーバ中に、UEがアクセスを変更すると、それぞれのアクセスネットワークにおいてキーを保持する2つのノード間で、Mkまたは変換されたMkが受け渡される。Mkの変換は、一方向性関数を介して実行され、また、Mkが何らかの形で暴露(漏洩)される(compromise)と、従前に使用されているマスターキーへのアクセスを自動的に取得することが可能でないという影響を有している。Mkは決して直接使用されるものでなく、アクセスリンクを保護するために直接使用されるキーを導出するためだけに使用される。
【0027】
図2は、例示的実施形態における本発明の基本原理を示す単純化ブロック図である。この例で、UE21は、Rel8 UTRANネットワーク22およびE−UTRANネットワーク23にアクセスする。変換コーダエンティティ(TCE:Transformation Coder Entity)25と呼ばれるホーム加入者サブシステム(HSS)に近い機能からUTRANネットワークおよびE−UTRANネットワークにMk24が配信される。TCEは論理機能であり、一実施形態では、HSSと共存していても良い。Mkは、各アクセスタイプに対して異なっていても良い。Rel8 UTRANでは、Mkは関数f1で変換され、f1(Mk)26はUEと共有される。一方、E−UTRANに対しては、Mkは、関数f2で変換され、f2(Mk)27をUEと共有する。一実施形態では、f1はf2と等しいが、別の実施形態では、f1とf2は異なる関数である。TCE25は、認証およびキー合意(協定)(AKA:Authentication and Key Agreement)28を使用してUEの認証データを生成する。
【0028】
キー分離に加えて、本システムは、また、アプリケーションサーバおよびアプリケーションがUEにおいて動作して、特定アプリケーションキーの取得および利用を可能にする。アプリケーションキーは、TCEまたはHSSによって導出/記憶することができる。
【0029】
図3は、マスターキー(Mk)24をTCE25に記憶する方法およびキー分離を達成する方法を示す単純化ブロック図である。図におけるイベントフローは以下の通りである:
1.ネットワーク132のノードA131は、TCE25から認証ベクトル(AV:authentication vector)を要求する。
【0030】
2.一方向性関数(UE21には既知)またはアイデンティティマッピングのいずれかを使用してS1=f(Mk)33を取得するために、TCEは、AVのMkを変換する。TCEは、UE用のアプリケーション・レイヤに対するキーをさらに導出するために使用することができるキーとして使用されるMkを記憶する。
【0031】
3.TCEは、S1をノードA1に送信する。
【0032】
4.ノードA1は、UEに対しAKAを実行し、UEは、局所的に、MkおよびS1の双方を導出する。ノードA1は、S1から必要なトラフィック保護キーを導出し、この保護キーを必要とするノードにこの保護キーを転送する。このことは、図3のf1関数によって示される。UEは、対応するキーを同様に導出する。
【0033】
5.次に、UE21は、アクセスタイプ2(ネットワーク2)34へのハンドオーバを実行する。次いで、ノードA1は、一方向性関数GをキーS1に適用し、その結果であるS1*=G(S1)35をノードA236に送信する。UEは、同様にG関数を使用してS1を変換する。
【0034】
6.ノードA2およびUEは、新規アクセスネットワークにおけるトラフィックを保護するために要求される必要なキーを導出する。ネットワーク2がネットワーク1と比較して異なるタイプのアクセスネットワークである場合、ノードA2およびUEは、ノードA1によって実行されるものとは異なるキーの導出を実行することができる。このことは、図における関数f2によって示される。2つのネットワークが同一のタイプである場合、f1はf2に等しく、Gは異なるネットワークにおいて使用されるキーが異なることを保証することになる。2つのネットワークが異なる場合、f1およびf2は、現在とは分離するキーを暗号として導出することができ、Gは、アイデンティティマッピングによって実現することができる。しかしながら、S1が暴露される場合、Gは過去の暗号化トラフィックを回復することが可能でないという特徴を追加することに注意されたい。将来のトラフィックのみが、暴露される。
【0035】
UE21が、さらに別のネットワークにハンドオーバする場合、ステップ5およびステップ6が繰り返される。
【0036】
以下で後述するように、キーの導出および変換は大いなる注意を持って設計し、かつレガシーシステムとの後方互換性を許容しなければならない。本発明は、本明細書では、UTRAN Rel6、UTRAN Rel8およびE−UTRANのコンテキストで説明することにするが、この説明は、本発明の単なる例示であることが理解されるべきである。
【0037】
考慮すべき「セキュリティデータ」の2つのセットがある。認証ベクトル(AV)は、セキュリティデータおよびまだ使用されていないキーを含んでいる。AVは、初期認証時にHSSからSGSNまたはMME(SGSNまたはMMEは、訪問先ネットワークに存在していないことに注意されたい)へ送信され、1つのAVは、後続の各認証において「消費」される。認証においては、UEを最後に認証したSGSNまたはMMEに記憶される未使用AVが、認証エンティティによって要求されることがありえ、その場合、未使用AVが送信される。本発明のAVは、UMTSのフォーマットに類似のフォーマット:(RAND、XRES、AUTN、「キー」)を有する。UMTSでは、「キー」は単にCk、Ikであるが、以下では、このキー要素を「S」と呼ぶことにする。
【0038】
本発明の目的のために、セキュリティコンテキストは、現在「アクティブ」キーを含んでいる。セキュリティコンテキストは、また、本発明には本質的ではない、他のデータも含む場合もある。明示的な(再)認証なしにハンドオーバを可能にするために、セキュリティコンテキストは、ソースからターゲットシステムに送信される。
【0039】
様々なアクセスに介するキーの使用に伴う問題を把握するために、以下の定義を利用する:
・セキュリティコンテキスト/AVのキーを生成するための要素(S)が[Ck,Ik](UTRAN)またはKc(GERAN)として使用している、または後に直接(さらなる暗号保護なしに)使用することができる場合、セキュリティコンテキスト/AVは「ダーティ(Dirty)」と呼ばれる。E−UTRANにおいて、ダーティコンテキストを使用することが可能である(但し、推奨しない)ことに注意されたい。
【0040】
・[Ck、Ik]若しくはKcまたはE−UTRANにおける対応するキー群が、そのキーを生成するための要素(S)から、セキュアな暗号「トゥイーキング(tweaking)」機能のアプリケーションによって導出されている、または導出されるることになる場合、セキュリティコンテキスト/AVは「クリーン(Clean)」と呼ばれる。
【0041】
完全な解決策を説明するために、3つの問題に取り組まなければならない:
1.AVが、どのようにして初期認証において生成され、HSSからSGSN/MMEに転送されるか(図4−図7および表1)。
【0042】
2.(未使用)AVが、ハンドオーバにおいて、どのように送信され、変換されるか(図8および表2)。
【0043】
3.現在使用されるセキュリティコンテキストが、ハンドオーバにおいて、どのように送信され、変換されるか(図9)。
【0044】
認証およびキー合意(AKA)手順に関して、以下の仮定を設ける:
・Rel8 UEは、Rel6 SGSN、Rel8 SGSNまたはMMEに対してAKAを実行するかを知ることになるであろう。AKAがRel6 SGSNに対して実行される場合、セキュリティコンテキストは、ダーティとなる:その他の場合、セキュリティコンテキストは、クリーンとなる。UEがUMTS AKA(Rel99+SGSN)またはGSM AKA(Rel98−SGSN)を実行すべきかを知らなければならない場合、この処理は、現行GSM/UMTS相互動作に類似する。
【0045】
・Rel6 UEは、Rel8 SGSNをRel6 SGSNと区別することができないであろう。
【0046】
・HSSは、SIM(xSIMまたはUSIM)のバージョンを知ることになろう。この知識は、HSS近傍のネットワークノードに送信することができる(例えば、IMSIからまたは明示的なシグナリングにより)と想定する。情報がRel8 SGSN/MMEに(およびその間で)渡されることもまた必要である。
【0047】
・SGSN/MMEは、UEのAKA機能を知ることになるであろう。ネットワーク接続時にUEから送信されるクラスマーク情報からおよび/またはHSSからの情報から、この情報が取得されると(今日のように)想定する。Rel6 SGSNは、Rel8 UEが、Rel6 UMTS AKAが可能であることをただ認識するのみであろうことに注意されたい。
【0048】
・xSIMは、xSIMが「実際の」Rel8 xSIMとして使用されるか、またはレガシーのRel6 UEにおいて使用されるかを、xSIMに告げることで、USIMをシミュレートすることを必要とする2つの論理I/Oインタフェースを有することになろう。逆に、Rel8 UEは、xSIMをUSIMと区別することができると想定することができる。
【0049】
以上のクリーン/ダーティの定義により、本発明は以下の点を満足する:
・AKAが(EPS)MMEに対して実行される場合、Rel8 UEは使用中でなければならず、クリーンコンテキストは、xSIMおよびUSIM双方に対して確立することができる。
【0050】
・AKAがRel8 SGSNに対して実行される場合、コンテキストは、UEの能力(Rel8またはRel6)に依存してクリーンまたはダーティとなる。
【0051】
・AKAがRel6 SGSNに対して実行される場合、コンテキストは、常にダーティとなる。xSIMの場合、xSIMは、このことが生じるかを知っているであろうし、以下に説明するように対処することができる。
【0052】
以下では、ソース/ターゲットアクセスシステム間のコンテキスト送信に対する仮定(または以上の結果)である。
【0053】
・Rel6 SGSNにおいて取り扱われるセキュリティコンテキストは、(定義により)「ダーティ」である。
【0054】
・ハンドオーバでは、ソースMMEまたはRel8 SGSNは、(新規機能を含むと想定することができるので)セキュリティコンテキストが、Rel6 SGSN、Rel8 SGSNまたはターゲットMMEに送信されるかを知ることになる。ソースシステムによるコンテキスト変換は、状況に依存することになる。
【0055】
・ハンドオーバでは、ターゲットMMEまたはRel8 SGSNは、セキュリティコンテキストがRel6 SGSN、Rel8 SGSNまたはソースMMEから到来するかを同様に知ることになるであろう。
【0056】
・Rel8 SGSNのみがターゲットE−UTRANシステムへのハンドオーバを実行することができ、セキュリティコンテキストをMMEに送信することができる、これは、新規のシグナリング信号(Rel6 SGSNでは存在しない)が必要されるからである。
【0057】
・MMEおよびRel8 SGSNは、相互間で(明示的なシグナリングによって)送信される場合、セキュリティコンテキストが「クリーン」または「ダーティ」であるかを指示することができる。このことは「最適」な場合である、それは、ソースおよびターゲットシステム双方が新規の機能をサポートすることができるからである。
【0058】
・Rel8 UEは、ハンドオーバがRel8 SGSNとMMEとの間であると判定することができる。これは、UEが無線技術の変更に気付くからである。おそらく必要ではないが、明示的な追加のシグナリングも存在しうる。同じことは、Rel6 SGSNとRel8 SGSNとの間のハンドウオーバに対しては想定できない。これは、UEが依然としてUTRANに存在するからである。一実施形態では、本発明は、UEに、ハンドオーバがRel6 SGSNとRel8 SGSNとの間であることを判定することを可能にする新規のシグナリングによって、更に、改善される。
【0059】
以下の説明では、名称F1、F2およびGは、256ビットを256ビットにマッピングする、適切な暗号化関数を示している。ビット長は、256ビットとは異なる長さ(より長いまたはより短い)であってもよいが、256ビットは、3GPP SA3における現行の作業仮定であることに注意すべきである。これらのキービットから、追加キーを導出することができる。F3は、256ビットを6つ(迄)の256ビット・ストリング・セットにマッピングする関数である。(6番目のストリングの存在は、アクセス技術がユーザプレーン統合を実装するかに依存し、この統合は、E−UTRANに対する事例ではない)。(選択的には、F3は、6つの異なる関数のセットを使用して実現することができる)。F−関数は、(未使用)AVに適用される。一方、G−関数は、アクティブなセキュリティコンテキストに適用される。F2およびF3は、以下で説明されるように、セキュリティコンテキストにおいても使用される。
【0060】
図4−図7では、セキュリティコンテキストおよびAVは、キーS1、S2およびSによって示される。これは、これらは、キー導出によって影響を受ける唯一のパラメータ群であるからである。(少なくとも)4レベルのキー階層が導入される。ここで、「下位」キーは、「上位」キーから導出される。xSIMが使用される場合、以下の全ての事項を適用する:
・Kは、内部のxSIM/HSSキーである。
【0061】
・Sは、AKAにおいてKから導出され、HPLMNまたはxSIMの外部に決して晒されない「スーパキー」と見なすことができる。Sは、初期の3GPP汎用ブートストラップアーキテクチャ(GBA:Generic Bootstrapping Architecture)手順によって生成されるキーに対する関数に類似している。
【0062】
・S1は、F1を使用してSから導出される「マスター・セッション・キー」であり、また、セッションキーを導出するために、Rel8 SGSNおよびEPS MMEによって使用される。
【0063】
・S2は、F2を使用してS1から導出されるセッションキーである。
【0064】
− E−UTRANに対しては、6つまでのトラフィックキーが必要とされる(UP、NASおよびRRCに対する完全性/秘匿キー群)。これらのさらなるキー群は、関数F3によってS2から導出される。
【0065】
− Rel6/Rel8 UMTSに対しては、S2は、Rel8またはRel6で使用される2つのトラフィックキー(Ck,Ik)に対応する。
【0066】
端末側では、Rel8 UEにおけるxSIMではなくUSIMが使用される場合、UEは、依然として、下位のキーを「エミュレートする」(UMTS UEが、SIMに対するUSIM機能をエミュレートする方法と同様)ことができる。しかしながら、UEが、Rel6 UEである場合、それはできない。この場合、Sは、単に以下に説明するように、USIMによって直接出力されるCk‖Ikとなるであろう。
【0067】
同様に、ネットワーク側では、いくつかの場合、関数F1、F2およびF3をサポートしない、あるレガシーシステムにより、上述のキー階層は「崩壊する」であろう。より詳細には、このことは、F1、F2およびF3がRel6システムにおける「平凡な」機能と考えることができることによるものである(例えば、F2(x)=x、アイデンティティ)。Rel8 UE/xSIMは、この状況に適合しなければならない。
【0068】
従って、考慮しなければならない互換性についての多くの事例が存在する。以下の図は、ネットワーク側の3つの場合(Rel6、Rel8またはMME)のSIM/UEの組み合わせに関する、4つの取り得る変形に対する(初期)認証時のキー/AV処理の場合に応じた説明を示している。まず、いくつかのさらなる記法を説明することにする。
【0069】
TCE25は、GBAブートストラップ手順におけるKに類似する、アプリケーションキー(またはマスターキー)Sを保持する小さな楔(shim)レイヤであっても良い。TCEは、また、UEにおけるSIMのタイプに依存して、必要なキーの導出も実行する。TCEは、HSS18において、または別のエンティティとして実現されても良い。TCEは、UE21のリリースバージョンを知らないので、TCEは、純粋にxSIM/USIMバージョンに基づき、そのデータを送信しなければならない。
【0070】
上述の議論では、Rel6ネットワークとRel8ネットワークとの間を区別している。EPSと相互動作する必要があるRel7ネットワークも存在している。この時、セキュリティの観点からは、Rel6からRel7への大きな変更はないが、Rel7を未だ完全に定義されていない。従って、3GPP Rel7が、上述で議論されるような新規のキー管理機能を導入していない場合、上述の議論において、Rel6ネットワークが行うように、Rel7 3GPPネットワークは、EPSと正確に相互動作するであろう。一方、Rel7が、Rel8に対して想定する新規のキー管理機能を導入する場合、上述のRel8が行うように、Rel7ネットワークはEPSと正確に相互動作するであろう。要するに、導入する新規のキー管理機能が何であるかに依存して、EPSと相互動作するRel7ネットワークは、Rel6ネットワークまたはRel8ネットワークとして扱うことになろう。同じことが、後続の議論に対しても当てはまる。用語「プレRel8(Pre-Rel8)」は、Rel8ノードに対して想定される新規のキー管理機能を導入しないRel6ノードまたはRel7ノードを参照するために、本明細書で利用される。
【0071】
図において、「ダーティ」および「クリーン」とマークされているボックスは、コンテキスト/AVが、上述で定義されるクリーンまたはダーティであるかを示している。Rel6 SGSNの場合、コンテキスト/AVがクリーンであるかか否かを告げる明示的な「フラグ」は存在しない(常にダーティであるので)。但し、この情報は、非明示的にRel8 SGSNによって推論することができる。これは、Rel8 SGSNが、コンテキスト/AVをRel6 SGSNから受信しているからである。
【0072】
簡単のため、図では、キーS2は、RNC/eノードBから送信されることだけを示している。F−関数を使用して、S2は、さらにトラフィックキー(GERANに対するKc、UTRANに対するCK/IK、およびE−UTRANに対するUP/NAS/RRCキー)に処理されることを注意されたい。保護用のエンドポイントは、EPSでは、様々なトラフィックのタイプに対して異なるので、この処理は、好ましくは、MMEにおいて実行され、処理結果が、保護エンドポイント(eノードB)に送信されても良いし、またはS2が与えられている場合には、eノードB自身によってUP/RRCキー群を導出することができる。UMTSに大使邸は、CKおよびIKは、それぞれS2の第1のおよび第2の半分とすることができる。
【0073】
処理は、まず、HSS/SGSN/MMEのAVの部分であるキー、および(初期)認証時のキーSIM/UEに対して説明する。図4−図7は、明示的な認証を示すことに注意すべきである。コンテキスト送信によって達成される非明示的な認証は、後述する。
【0074】
図4は、xSIMを利用するRel8 UE41の初期認証を示す単純化ブロック図である。UEは、Rel6 SGSN42、Rel8 SGSN43およびMME44間を区別することができるので、UEは、セキュリティコンテキストがダーティであるかクリーンであるか(即ち、ネットワークが、SGSN/MMEに記憶されるS1−キーを有するか)を保持する。UEが、Rel6 SGSN42と通信する場合、UEは、コンテキストをダーティとしてマークする。UEがRel8 SGSN43またはMME44と通話する場合、UEは、コンテキストをクリーンとマークする。UEは、トラフィックを保護するために、常に、S2(または下位の、F3により導出されるキー)を使用することに注意されたい。これは、SGSN/MME間のAVの送信を可能にする。
【0075】
図5は、xSIMを利用するRel6 UE51の初期認証を示す単純化ブロック図である。UEは、Rel6であるので、UEは、E−UTRANネットワークへハンドオーバすることができない。それゆえ、Rel8 SGSN43にクリーンコンテキストを保持する利得はなく(これが原理的において可能であっても)、また、MME44を考慮する必要はない。F2関数が適用されるべきか(この場合に行うように)否かを判定することができるxSIMまたはUSIMをUEが有するかを、Rel8 SGSNは区別することができなければならない(図6参照)。この情報は、AVと共にTCE25から渡されることができる。従って、拡張xSIMに対するプロビジョンがなされる場合における、SGSN間で受け渡しされる場合には、各AVはこの情報を搬送しなければならない。もちろん、USIMのみが使用される限り、この情報は必要とされない。
【0076】
図6は、USIMを利用するRel6 UE52の初期認証を示す単純化ブロック図である。TCE25は、透過的に動作する(即ち、機能は、通常のRel6ネットワークにおける機能と同一である)。再度、Rel8 SGSN43は、クリーンコンテキストを維持する必要はなく、また、MME44を考慮する必要がない。これは、UEは、E−UTRANネットワークへハンドオーバすることができないからである。
【0077】
図7は、USIMを利用するRel8 UE53の初期認証を示す単純化ブロック図である。この場合、UEは、SGSNおよびMMEの両方に接続することができることに注意することが重要である。Rel8 UEが、必要なキー導出を実行するラッパ(wrapper)機能を周りに実装している場合、これはUSIMで達成することが可能である。
【0078】
UE53のラッパ機能は、以下の動作を実行する:
・Rel6 SGSN42と通信する場合、ラッパ機能は、特別な機能を実行しないが、コンテキストをダーティとマークする。
【0079】
・Rel8 SGSN43またはMME44と通信する場合、ラッパ機能は、S1=F1(S)およびS2=F2(S1)を計算し、S1を記憶し、コンテキストをクリーンとマークする。S2が、F3の使用によりトラフィック保護キーを導出するために使用される。
【0080】
図4−図7は、本発明の教示に従う(初期)認証の取扱いを示している。以下では、ハンドオーバの場合、および様々なシステム間のコンテキスト/AVフェッチ/転送を説明する。
【0081】
まず、AVのフェッチを見ると、SGSNおよびMMEの様々なリリース間でAVが転送されても良い。この転送は、SIMのバージョンおよびターゲット/ソースシステムのリリースに依存する。特に、Rel8 SGSN及びMMEに、TCEから転送する場合には、AVを、USIMまたはxSIMAVとマークしなければならない。以下の表1は、AVで、TCEからSGSN/MMEに提供されるキーを示している。
【0082】
【表1】
【0083】
SGSN/MMEにおけるAVに記憶されるAVキー(TCEから受信する場合)
次にAVの転送を見ると、以下の表2は、AVを転送する場合のソースおよびターゲットSGSN/MMEによって実行される動作を示している。
【0084】
表2の記法の説明:
・AVkは、AVで搬送されるキーである(AVkは、S、S1またはS2に等しい場合がある)。
【0085】
・S−ビットは、AVが原則として生成される、SIMのタイプを示すビット(即ち、値)である。Rel6 SGSNから転送される場合、この情報は利用できず、従って、S−ビットは、次いで、Rel8 SGSNによって「未知」に設定される。S−ビットは、拡張xSIMをサポートしている場合にのみ必要となる。
【0086】
・D−ビットは、ダーティビットである。D−ビットが設定される場合、それは、AVkは、再度決して変換されてはならないことを意味する。
【0087】
・Txは、転送を意味する。
【0088】
【表2】
【0089】
図8は、様々なシステム間の認証ベクトル(AV)の転送を示す単純化ブロック図である。Rel8 SGSN43にクリーンAVがある場合、クリーンAVは、ダーティAVに変換して(上記の表2参照)、Rel6 SGSN42に送信することができる。Rel6 SGSNにMME44からAVをフェッチすることを許容することは可能であろうが、そうするためには、MMEは、キーSに関する知識を持たなければならない(UEがUSIMを有する場合)ことに注意されたい。別の実施形態では、Rel6 SGSNは、Rel8エンティティからAVをフェッチすることは許容されない。この場合、UEは、USIMを有する場合、Rel8 SGSNは、S1を受信することができる(正にMMEのように)。
【0090】
キー確立の失敗が発生しうる仮定例は、ユーザが次のことを行う場合である:
1.Rel8 UEおよびUSIMを使用してMMEで認証する。MMEは、S1を含むAVのバッチをTCEからダウンロードする。
【0091】
2.次に、ユーザは、Rel8 UEをオフにし、USIMをRel6 UEに移し、REl6 SGSNに対する認証を試行する。
【0092】
3.REl6 SGSNまたはRel8 SGSNは、TCEからAVをフェッチする代わりにMMEからAVをフェッチし、次いでUEを調べることができる。
【0093】
4.認証は成功するであろうが、SGSNおよびUEは、異なるセキュリティコンテキストを保持するであろう(リンク保護キー)。SGSNは、S2を保持するであろうし、UEはSを保持するであろう。ここで、キーの相違の検出には困難がありうることに注意されたい。
【0094】
この状況が発生するのを防ぐために、MMEからSGSNにAVを転送する機能を取り除くことができる。これは妥当な解決策であることは、アクティブな「セキュリティコンテキスト」(キー群)を転送し、必要である場合には、HSS/TCEからSGSNに後で新規のAVをダウンロードすることによって、シームレスなハンドオーバを依然としてサポートしうるからである。MMEにおける未使用AVは、この場合、単に排除(フラッシュ:flush)されるであろう。
【0095】
上述の問題は、「レガシー」リリースを更新することを可能とすることなく、SIM、UEリリースおよびネットワークリリースの全ての取り得る組み合わせを可能とすることの要望による副次的な影響である。Rel8 SGSNに対する状況を解消する別の取り得る方法は、例えば、UEで使用されるSIM(USIM/xSIM)のタイプを告げるSGSNへ、Rel8 UEからの新規のシグナリングを導入することである。これは、クラスマーク(階級値:classmark)情報またはその他のシグナリングで行うことができる。Rel8 SGSNが、このシグナリングを受信しない場合、SGSNは、UEがRel6 UEであり、失敗が生じるであろうと結論付けることができる。
【0096】
図9は、コンテキストがソースからターゲットシステムに転送され、転送されたキーが明示的な再認証することなく、ターゲットシステムによる即時使用に供する場合の、アクセス間コンテキスト転送処理を示す単純化ブロック図である。関数「G」は、このために利用される。尚、依然としてクリーンであるコンテキスト(即ち、Rel8 SGSN内およびRel8 SGSNとMME間の転送)の場合、Gは、常にS1キーに適用されて、「クリーン性」を維持する。既にダーティであるコンテキストは処理されない。換言すれば、ダーティコンテキストに対しては、S2キーはそのまま手渡される。いくつかの場合、ダーティコンテキストを処理することは可能でありうるが、そうすることは何ら有意な特別の保護をもたらさないことに注意されたい。Rel6 SGSNへの転送をGにより決して処理されないが、原理的には、新規のシグナリングの導入によってそのようにすることは可能であろう。UEに類似の処理を実行することを告げるために、このシグナリングは、Rel8/Rel6のハンドオーバにおいて必要とされるであろう。そうでなければ、UEは転送に気付かず(アウェアでなく)、間違っているキーを使用することになるであろう。
【0097】
F1、F2、F3およびGは、暗号化関数(機能)である。これらはすべて、例えば、高度暗号化標準(AES:Advanced Encryption Standard)、SHA256アルゴリズムおよびその類のような、標準のブロックを構築することによって実現することができる。F1、F2、F3およびGは、少なくとも(強力な)一方向性関数であるべきであり、好ましくは、擬似ランダム関数であるべきである。F3は、その上、EPSネットワークに対して、6つまでのキーを生成することを必要とする。これは、キー=F3(S1,<label>)等の「label(ラベル)」を使用して行うことができ、ここで、label(ラベル)は、個別キーに対し個別の値を取る。この場合、F3は、擬似ランダム関数であるべきである。関数F3は、好ましくは、また、使用対象のキーで用いられるアルゴリズムの「ID」に依存するようにする。
【0098】
UEがRel8 SGSNとMMEとの間を「往来(ping−pong)」する場合、Gが、数回適用されても良いことに注意されたい。Gは、その場合、好ましくは、反復しても劣化しない特性を持つべきである。これを達成する1つの方法は、Gが擬似ランダム順列であるとさらに想定することである。その場合、例えば、次のことがありえよう:
target_system_S1=G(source_system_S1, c,...)
ここで、cは、各「往」または「来」において増加するカウンタである。システムID等のその他の入力もまた含みうる。
【0099】
いくつかの拡張を、また、Rel6/Rel8ハンドオーバに対して行うことができる。まず、新規のシグナリングを、Rel8 SGSNからRel8 UEに導入し、UEに、UEがRel6 SGSNへ/からハンドオーバされることを告げる。そして、上述のように、Rel6/Rel8 SGSNのハンドオーバ時にGをまた適用することによって、この解決策がさらに改善することができる。UEは、次に、明示的なシグナリングによって、この状況に気付く(アウェアである)ので、UEおよびRel8 SGSNは、完全同期して、要求される関数Gを適用することができる。
【0100】
本発明の好ましい実施形態は、添付図面において示され、上述の発明を実施するための形態において説明されているが、本発明は、開示されている実施形態に制限されず、本発明の範囲を逸脱することなく数多くの再構成、変形および置換が可能であることが理解される。また、この説明は、E−UTRANとUTRANネットワークとの間の相互動作に焦点を当てているが、キー分離の原理は、E−UTRANと非3GPPアクセス技術(例えば、CDMA2000、IEEE802.11、IEEE802.16等)との間、または、任意の2つの非3GPPネットワーク間の相互動作に等しく適用可能(および有用)であろう。明細書では、特許請求の範囲によって定義される本発明の範囲内に入るあらゆる変形を意図するものである。
【特許請求の範囲】
【請求項1】
認証ノード(42、43、44)に認証データを配信するための認証サーバ(25)における方法であって、
前記認証ノードは、異なるタイプの複数の認証ノードの1つであり、
前記認証ノードは、複数の異なるバージョンの移動端末(41、51、52、53)において利用される、異なるバージョンのアイデンティティモジュールを認証するものであり、
当該方法は、
前記認証サーバ(25)において、マスターキー(S)を生成する工程と、
前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対して、異なる変換されたキー(S1、S2)が導出されるキー分離プロセスを利用して、異なる認証データを、前記マスターキーから暗号として導出する工程と、
前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される認証データを、前記認証ノードに選択的に提供する工程と
を備えることを特徴とする方法。
【請求項2】
前記複数の認証ノードは、リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)を含む
ことを特徴とする請求項1に記載の方法。
【請求項3】
前記移動端末のバージョンは、3GPPリリース8ユーザ機器(Rel8 UE)とPre−Rel8 UEとを含む
ことを特徴とする請求項2に記載の方法。
【請求項4】
前記アイデンティティモジュールは、UMTS加入者アイデンティティモジュール(USIM)と拡張SIM/USIM(xSIM)を有する
ことを特徴とする請求項3に記載の方法。
【請求項5】
前記提供する工程は、認証される各移動端末で利用される前記アイデンティティモジュールのバージョンを示す情報を、前記認証ノードへ送信することを含む
ことを特徴とする請求項4に記載の方法。
【請求項6】
認証ノード(42、43、44)に認証データを配信するための認証サーバ(25)であって、
前記認証ノードは、異なるタイプの複数の認証ノードの1つであり、
前記認証ノードは、複数の異なるバージョンの移動端末(41、51、52、53)において利用される、異なるバージョンのアイデンティティモジュールを認証するものであり、
当該認証サーバは、
マスターキー(S)を生成する手段と、
前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対する、異なる認証データ(S1、S2)を、前記マスターキーから暗号として導出するキー分離手段と、
前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される認証データを、前記認証ノードに提供する手段と
を備えることを特徴とする認証サーバ。
【請求項7】
前記キー分離手段は、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対して、異なる変換されたキーを、前記マスターキーから暗号として導出する手段を含む
ことを特徴とする請求項6に記載の認証サーバ。
【請求項8】
前記複数の認証ノードは、リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)を含む
ことを特徴とする請求項7に記載の認証サーバ。
【請求項9】
前記アイデンティティモジュールは、UMTS加入者アイデンティティモジュール(USIM)と拡張SIM/USIM(xSIM)を有する
ことを特徴とする請求項8に記載の認証サーバ。
【請求項10】
認証サーバ(25)から認証データを受信し、移動端末(53)を認証するための認証ノード(43、44)であって、
前記認証データを受信し、該認証データの一部である第1キー(S,S1)を記憶する手段と、
前記第1キー(S,S1)から、第2キー(S2)を暗号として導出する第1キー分離手段と、
前記移動端末(53)を認証する認証手段(44)と、
異なるタイプの複数の他の認証ノードに前記第2キー(S2)を通信する手段と、
前記第1キーから第3キーを暗号として導出する第2キー分離手段(G)と、
前記第3キーを利用して前記移動端末と通信するセキュリティ処理ノードへ、該第3キーを通信する手段と
を備えることを特徴とする認証ノード。
【請求項11】
前記第1キー分離手段は、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)用に、異なる第2キーを暗号として導出するように構成されている
ことを特徴とする請求項10に記載の認証ノード。
【請求項12】
前記複数の他の認証ノードに前記第2キー(S2)を通信する手段は、更に、前記他の認証ノードがRel8 SGSNあるいはMMEである場合は、前記第2キーがどの程度暴露されている可能性があるかを示す情報を送信する
ことを特徴とする請求項11に記載の認証ノード。
【請求項13】
前記複数の他の認証ノードに前記第2キー(S2)を通信する手段は、更に、前記移動端末で利用されるアイデンティティモジュールのバージョンを示す情報を送信し、それによって、前記他の認証ノードと前記移動端末間のキー分離機能の同期を可能にする
ことを特徴とする請求項10に記載の認証ノード。
【請求項14】
認証サーバ(25)と、異なるアクセスネットワーク(22、23)にある第1、第2及び第3のタイプ(42、43、44)の複数の認証ノード間で認証データを共有するシステムであって、
前記認証ノードは、異なるバージョンの複数の移動端末(41、51、52、53)で利用される異なるバージョンのアイデンティティモジュールを認証し、
前記システムは、
前記認証サーバにおいて、
マスターキー(S)を生成する手段と、
前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対する、異なる変換されたキー(S,S1、S2)を、前記マスターキーから暗号として導出する第1キー分離手段と、
前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される前記変換されたキー(S,S1、S2)を、前記タイプの前記認証ノードに提供する手段とを備え、
前記複数の認証ノードそれぞれは、
別の認証ノードから認証データ用のリクエストを受信する手段と、
前記変換されたキーを、前記リクエストの送信元の認証ノードへ送信する手段と
を備えることを特徴とするシステム。
【請求項15】
前記第1、第2及び第3のタイプの認証ノードは、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)である
ことを特徴とする請求項14に記載のシステム。
【請求項16】
Rel8 SGSNとMMEそれぞれは、前記変換されたキーを暗号として処理した後、その暗号として処理された変換されたキーを前記リクエストの送信元の認証ノードへ送信する第2キー分離手段を含む
ことを特徴とする請求項15に記載のシステム。
【請求項17】
Rel8 SGSNとMMEそれぞれは、前記第1キーを処理した後、その処理された第1キーを、前記移動端末とセキュアな通信を行なうセキュリティ処理ノードへ送信する第3キー分離手段を含む
ことを特徴とする請求項16に記載のシステム。
【請求項18】
Rel8 SGSNとMMEそれぞれは、受信する認証データに関連付けられているマーカを保持する手段を更に含み、
前記マーカは、前記認証データのソースについての情報を含む
ことを特徴とする請求項16に記載のシステム。
【請求項19】
前記認証ノードは、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)用に、異なる変換されたキーを暗号として導出するように構成されている
ことを特徴とする請求項18に記載のシステム。
【請求項20】
前記認証ノードにおける前記送信する手段は、更に、前記リクエストの送信元の認証ノードがRel8 SGSNあるいはMMEである場合は、前記変換されたキーがどの程度暴露されている可能性があるかを示す情報を送信する
ことを特徴とする請求項19に記載のシステム。
【請求項21】
前記認証ノードにおける前記送信する手段は、更に、認証されている移動端末で利用される前記アイデンティティモジュールのバージョンを示す情報を送信する
ことを特徴とする請求項14に記載のシステム。
【請求項22】
前記認証サーバにおける前記提供する手段は、更に、前記変換されたキーが導出された前記アイデンティモジュールのバージョンを示す情報を送信する
ことを特徴とする請求項14に記載のシステム。
【請求項1】
認証ノード(42、43、44)に認証データを配信するための認証サーバ(25)における方法であって、
前記認証ノードは、異なるタイプの複数の認証ノードの1つであり、
前記認証ノードは、複数の異なるバージョンの移動端末(41、51、52、53)において利用される、異なるバージョンのアイデンティティモジュールを認証するものであり、
当該方法は、
前記認証サーバ(25)において、マスターキー(S)を生成する工程と、
前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対して、異なる変換されたキー(S1、S2)が導出されるキー分離プロセスを利用して、異なる認証データを、前記マスターキーから暗号として導出する工程と、
前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される認証データを、前記認証ノードに選択的に提供する工程と
を備えることを特徴とする方法。
【請求項2】
前記複数の認証ノードは、リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)を含む
ことを特徴とする請求項1に記載の方法。
【請求項3】
前記移動端末のバージョンは、3GPPリリース8ユーザ機器(Rel8 UE)とPre−Rel8 UEとを含む
ことを特徴とする請求項2に記載の方法。
【請求項4】
前記アイデンティティモジュールは、UMTS加入者アイデンティティモジュール(USIM)と拡張SIM/USIM(xSIM)を有する
ことを特徴とする請求項3に記載の方法。
【請求項5】
前記提供する工程は、認証される各移動端末で利用される前記アイデンティティモジュールのバージョンを示す情報を、前記認証ノードへ送信することを含む
ことを特徴とする請求項4に記載の方法。
【請求項6】
認証ノード(42、43、44)に認証データを配信するための認証サーバ(25)であって、
前記認証ノードは、異なるタイプの複数の認証ノードの1つであり、
前記認証ノードは、複数の異なるバージョンの移動端末(41、51、52、53)において利用される、異なるバージョンのアイデンティティモジュールを認証するものであり、
当該認証サーバは、
マスターキー(S)を生成する手段と、
前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対する、異なる認証データ(S1、S2)を、前記マスターキーから暗号として導出するキー分離手段と、
前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される認証データを、前記認証ノードに提供する手段と
を備えることを特徴とする認証サーバ。
【請求項7】
前記キー分離手段は、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対して、異なる変換されたキーを、前記マスターキーから暗号として導出する手段を含む
ことを特徴とする請求項6に記載の認証サーバ。
【請求項8】
前記複数の認証ノードは、リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)を含む
ことを特徴とする請求項7に記載の認証サーバ。
【請求項9】
前記アイデンティティモジュールは、UMTS加入者アイデンティティモジュール(USIM)と拡張SIM/USIM(xSIM)を有する
ことを特徴とする請求項8に記載の認証サーバ。
【請求項10】
認証サーバ(25)から認証データを受信し、移動端末(53)を認証するための認証ノード(43、44)であって、
前記認証データを受信し、該認証データの一部である第1キー(S,S1)を記憶する手段と、
前記第1キー(S,S1)から、第2キー(S2)を暗号として導出する第1キー分離手段と、
前記移動端末(53)を認証する認証手段(44)と、
異なるタイプの複数の他の認証ノードに前記第2キー(S2)を通信する手段と、
前記第1キーから第3キーを暗号として導出する第2キー分離手段(G)と、
前記第3キーを利用して前記移動端末と通信するセキュリティ処理ノードへ、該第3キーを通信する手段と
を備えることを特徴とする認証ノード。
【請求項11】
前記第1キー分離手段は、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)用に、異なる第2キーを暗号として導出するように構成されている
ことを特徴とする請求項10に記載の認証ノード。
【請求項12】
前記複数の他の認証ノードに前記第2キー(S2)を通信する手段は、更に、前記他の認証ノードがRel8 SGSNあるいはMMEである場合は、前記第2キーがどの程度暴露されている可能性があるかを示す情報を送信する
ことを特徴とする請求項11に記載の認証ノード。
【請求項13】
前記複数の他の認証ノードに前記第2キー(S2)を通信する手段は、更に、前記移動端末で利用されるアイデンティティモジュールのバージョンを示す情報を送信し、それによって、前記他の認証ノードと前記移動端末間のキー分離機能の同期を可能にする
ことを特徴とする請求項10に記載の認証ノード。
【請求項14】
認証サーバ(25)と、異なるアクセスネットワーク(22、23)にある第1、第2及び第3のタイプ(42、43、44)の複数の認証ノード間で認証データを共有するシステムであって、
前記認証ノードは、異なるバージョンの複数の移動端末(41、51、52、53)で利用される異なるバージョンのアイデンティティモジュールを認証し、
前記システムは、
前記認証サーバにおいて、
マスターキー(S)を生成する手段と、
前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対する、異なる変換されたキー(S,S1、S2)を、前記マスターキーから暗号として導出する第1キー分離手段と、
前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される前記変換されたキー(S,S1、S2)を、前記タイプの前記認証ノードに提供する手段とを備え、
前記複数の認証ノードそれぞれは、
別の認証ノードから認証データ用のリクエストを受信する手段と、
前記変換されたキーを、前記リクエストの送信元の認証ノードへ送信する手段と
を備えることを特徴とするシステム。
【請求項15】
前記第1、第2及び第3のタイプの認証ノードは、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)である
ことを特徴とする請求項14に記載のシステム。
【請求項16】
Rel8 SGSNとMMEそれぞれは、前記変換されたキーを暗号として処理した後、その暗号として処理された変換されたキーを前記リクエストの送信元の認証ノードへ送信する第2キー分離手段を含む
ことを特徴とする請求項15に記載のシステム。
【請求項17】
Rel8 SGSNとMMEそれぞれは、前記第1キーを処理した後、その処理された第1キーを、前記移動端末とセキュアな通信を行なうセキュリティ処理ノードへ送信する第3キー分離手段を含む
ことを特徴とする請求項16に記載のシステム。
【請求項18】
Rel8 SGSNとMMEそれぞれは、受信する認証データに関連付けられているマーカを保持する手段を更に含み、
前記マーカは、前記認証データのソースについての情報を含む
ことを特徴とする請求項16に記載のシステム。
【請求項19】
前記認証ノードは、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)用に、異なる変換されたキーを暗号として導出するように構成されている
ことを特徴とする請求項18に記載のシステム。
【請求項20】
前記認証ノードにおける前記送信する手段は、更に、前記リクエストの送信元の認証ノードがRel8 SGSNあるいはMMEである場合は、前記変換されたキーがどの程度暴露されている可能性があるかを示す情報を送信する
ことを特徴とする請求項19に記載のシステム。
【請求項21】
前記認証ノードにおける前記送信する手段は、更に、認証されている移動端末で利用される前記アイデンティティモジュールのバージョンを示す情報を送信する
ことを特徴とする請求項14に記載のシステム。
【請求項22】
前記認証サーバにおける前記提供する手段は、更に、前記変換されたキーが導出された前記アイデンティモジュールのバージョンを示す情報を送信する
ことを特徴とする請求項14に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2010−507325(P2010−507325A)
【公表日】平成22年3月4日(2010.3.4)
【国際特許分類】
【出願番号】特願2009−533280(P2009−533280)
【出願日】平成19年10月11日(2007.10.11)
【国際出願番号】PCT/SE2007/050734
【国際公開番号】WO2008/048179
【国際公開日】平成20年4月24日(2008.4.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成22年3月4日(2010.3.4)
【国際特許分類】
【出願日】平成19年10月11日(2007.10.11)
【国際出願番号】PCT/SE2007/050734
【国際公開番号】WO2008/048179
【国際公開日】平成20年4月24日(2008.4.24)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]