鍵情報を配信する方法及び装置
アプリケーションサーバとアクセスドメインを介して通信ネットワークにアクセスするユーザ機器との間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵をアプリケーションサーバに配信する方法。方法は、ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにユーザ機器とホームドメインとの間でAKA(Authentication and Key Agreement)手順を実行することを有する。鍵材料の少なくとも一部は、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために使用され、1つ以上のアプリケーション鍵は、鍵材料の少なくとも一部を使用してホームドメイン内で導出される。アプリケーション鍵はアプリケーションサーバに提供され、同一のアプリケーション鍵がユーザ機器において導出される。この場合、アクセスエンフォースメントポイントはアプリケーション鍵を導出できないか又はアプリケーション鍵に対するアクセス権を有することができない。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、鍵情報を配信する方法及び装置に関し、特に、サービスに関連する鍵情報を配信する方法及び装置に関するが、必ずしもそのような方法及び装置に関連しなくてもよい。本発明は、特に、ユーザ機器に対して無線アクセスを容易にするユニバーサル移動通信システムネットワークを含む通信システムにおける鍵情報の配布に適用可能であるが、必ずしもそのような配布に適用されなくてもよい。
【背景技術】
【0002】
第3世代パートナーシッププロジェクト(3GPP)は、GSM発展型コアネットワーク及び無線アクセス技術であるUTRA(Universal Terrestrial Radio Access)に基づく第3世代移動システムに関する世界的に適用可能な技術仕様の標準化を目的として、多くの規格本体をまとめる提携協定として形成された。
【0003】
3GPPは、ユニバーサル移動通信システム(UMTS)ネットワークにおいて認証及びセッション鍵の配布を実行するAKA(Authentication and Key Agreement)として知られるプロトコルを規定した。UMTS AKAは3GPP TS.33.102において規定され、対称暗号法を使用するチャレンジレスポンス方式の機構である。通常、AKAはUSIM(UMTS Services Identity Module)において実行する。USIMは、共有秘密の改竄を防止するように格納するスマートカードに類似するデバイス(Universal Integrated Circuit Card又はUICCと呼ばれる)上に常駐する。AKAは、ユーザ機器(UE−この場合、UEは移動局(MS)とUSIMとの組み合わせとして定義される)をホームネットワークに登録及び再登録する際に実行される。AKAは2Gネットワーク(すなわちGSM)において採用されてもよく、その場合、UICCにはUSIM及びSIM(Subscriber Identity Module)アプリケーションの双方が提供される。更に、次世代アーキテクチャ(現在標準化が行われているLTE(Long Term Evolution)アーキテクチャを含む)はAKA又はAKAに基づくセキュリティプロトコルを使用する可能性が高い。
【0004】
UMTS AKAの重要な目的の1つは、ユーザ機器(UE)と、アクセスポリシーがUMTSアクセスネットワーク内で実行されるエンフォースメントポイント(EP)との間のリンクにおいてデータのセキュリティ保護を提供することである。音声通話等の回路交換接続の場合、このEPは無線ネットワークコントローラ(RNC)内にあり、パケット交換接続の場合、EPはサービングゲートウェイサポートノード(SGSN)内にある。GSMネットワークの場合、EPは基地局トランシーバ(BTS)内にある。LTEネットワークにおいては、例えば、EPはユーザプレーンエンティティ(UPE)内にあってもよく、この場合、複数のEPが単一の接続に対して存在することもある。AKAは、UE上のUSIMとホームロケーションレジスタ(HLR)/認証センタ(AuC)との間で共有される秘密Kを使用して生成される鍵材料をアクセスネットワークに配信することにより、適切なセキュリティレベルを達成する。尚、IPマルチメディアサブシステム機能性によって高性能化されたHLR/AUCはホーム加入者サーバ(HSS)と呼ばれる。
【0005】
パケット交換アクセスネットワークを考慮して、AKAに関連付けられる信号伝送を図1に示す。図1において、UE(USIMとMEとの組み合わせ)がアクセスネットワーク内のSGSNにアタッチ(接続)要求を送信することにより処理は開始される。次に、SGSNはUEのホームネットワーク内のHSSに認証ベクトル(AV)を要求し、HSSは認証センタ(AuC)にAVを要求する。図1はパケット交換ドメインのみを示すが、回路交換ドメインにおいては訪問先ロケーションレジスタ(VLR:Visited Location Register)がSGSNの機能に対応する機能を実行することが理解されるだろう。以下の説明において「SGSN」を参照する場合、回路交換ドメインにおいてはVLRが等価な機能性を提供することが理解されるだろう。
【0006】
UMTS AKAの実行の結果、2つの鍵、すなわち暗号鍵(CK)及び秘匿鍵(IK)が得られる。CK及びIKは、HSSとUEのUSIMとの間で共有される秘密及びランダム値RANDに基づいてHSSにおいて生成される。HSSは、共有秘密及びランダム値に適切な関数を適用することにより、期待される結果XRESを更に生成する。鍵はRAND値、XRES及び認証トークン(AUTN)と共に、HSSによってSGSNへ送信される。SGSNはRAND値及びAUTN値をUEに転送し、UEにおいてこれらの値はUSIMに配信される。更に、SGSNは鍵CK及びIKをSGSN内のエンフォースメント機能に渡す。USIMはHSSを認証し、それによってホームネットワークとEPとの間の信頼関係をAUTN値を使用して確認する。更に、USIMは、RAND値及び共有秘密を使用して鍵CK及びIKを生成する。鍵CK及びIKに基づいて、セキュアトンネルがSGSN内のEPとUEとの間に確立される。これはアクセスネットワーク、特にエアインタフェースを介する通信をセキュリティ保護する。USIMは、共有秘密及びRAND値を使用して結果RESを更に生成し、これをSGSNに返送する。SGSNはRESとXRESとを比較し、2つが一致する場合、トラフィックはセキュアトンネルを介して流れることを許可される。
【0007】
多くの場合、特定のアプリケーション(すなわちサービス)をUEに提供するには、UEがアプリケーションサーバに対して認証されること及びUEとアプリケーションサーバとの間にサービス又はアプリケーションの配信を実行する際に介するセキュアチャネルが確立されることが必要である。例えば、移動テレビサービスを配信する場合を想定してもよい。この場合、媒体はサービスに加入した(及びサービスに対して支払いを行った)ユーザに対してのみ配信されなければならない。
【0008】
3GPP技術仕様書TS33.220は、いわゆる汎用ブートストラッピングアーキテクチャ(GBA)を規定する。GBAは、AKA手順(この手順は、UEの登録時又は再登録時に実行される初期AKA処理とは区別される必要がある)の再実行中に取得される鍵CK及びIKに基づいて、クライアント端末(UE)がネットワーク認証機能(NAF)、すなわちサービスノード又はサービスプロバイダと、UEとNAFとの間で使用するために取得されるセキュアセッション鍵(Ks_NAF)とに対して認証される機構を提供する。ブートストラッピングサーバ機能(BSF)はUEのホームネットワークに導入され、AKAの再実行はUEとBSFとの間で行なわれる。
【0009】
GBAアーキテクチャの単純なネットワークモデルを図2に概略的に示す。ブートストラッピング手順が必要であることをUEが知っている場合、最初に、UEはhttpダイジェストAKA手順(RFC3310)を使用してBSFと共にブートストラッピング認証を実行する。鍵CK及びIKはUEとBSFとの間で一致する(これらの鍵は、登録又は再登録の際に一致し且つ無線リンクをセキュリティ保護するために使用される鍵とは区別される必要がある)。更に、BSFは、特有のブートストラッピングトランザクション識別子(B−TID)をUEに提供する。UE及びNAFがBSFからセッション鍵を取得することを希望する場合、UEはB−TIDをNAFに配信し、NAFはそれをBSFに転送する。B−TIDは、BSFがUEを識別し且つ適切なNAF専用鍵(Ks_NAF)を取得するために使用する指標を含む。その後、NAF専用鍵はNAFに転送される。鍵材料の寿命は、BSFのローカルポリシーに従って設定される。
【0010】
AKA及びGBAの双方は、いわゆるIPマルチメディアコアネットワークサブシステム(IMS)に対して及びその内部でセキュリティを提供するために採用される。IMSは、移動通信ネットワークを介してIPマルチメディアサービスを提供するために第3世代パートナーシッププロジェクト(3GPP)により定義される技術である(3GPP TS22.228、TS23.228、TS24.229、TS29.228、TS29.229、TS29.328及びTS29.329、Release 5及びRelease 6)。IMSは、サービスの統合及び対話を介してエンドユーザの個人対個人の通信体験を豊かにするために鍵特徴を提供する。IMSによって、IP系ネットワークを介する新しい豊富な個人対個人(クライアント対クライアント)の通信及び個人対コンテンツ(クライアント対サーバ)の通信が可能になる。IMSは、ユーザ端末間(又はユーザ端末とアプリケーションサーバとの間)の通話又はセッションを設定及び制御するためにセッション開始プトロコル(SIP)を利用する。SIP信号伝送により実行されるセッション記述プロトコル(SDP)は、セッションの媒体構成要素の記述及び交渉に使用される。SIPはユーザ対ユーザプロトコルとして作成されたが、IMSによって、オペレータ及びサービスプロバイダはサービスに対するユーザのアクセスを制御し、それによってユーザに課金することができる。
【0011】
図3は、GPRS/PSアクセスネットワークの場合にIMSが移動ネットワークアーキテクチャに適合する方法を概略的に示す。コール/セッション制御機能(CSCF)は、IMSとのSIPプロキシとして動作する。3GPPアーキテクチャは、SIP端末に対するIMS内の第1の接触点であるプロキシCSCF(P−CSCF)、ユーザが加入しているサービスをユーザに提供するサービングCSCF(S−CSCF)、及び問合せCSCF(I−CSCF)の3種類のCSCFを定義する。I−CSCFの役割は、正しいS−CSCFを識別し、SIP端末からP−CSCFを介して受信される要求をそのS−CSCFに転送することである。
【0012】
ユーザは、指定されたSIP登録方法を使用してIMSに登録する。これは、IMSにアタッチし、SIPユーザアイデンティティに到達するアドレスをIMSに通知する機構である。3GPPにおいて、SIP端末が登録を実行する場合、IMSはユーザを認証し、使用可能なS−CSCFの組から1つのS−CSCFをそのユーザに割り当てる。S−CSCFの割り当てに関する基準は3GPPにより規定されていないが、これらは負荷分割及びサービス要件を含んでもよい。尚、S−CSCFの割り当ては、IMSに基づくサービスに対するユーザのアクセスを制御する(及びそのようなアクセスに対して課金する)ための重要な点である。オペレータは、ユーザ対ユーザの直接のSIPセッションを防止する機構を提供してもよく、その機構がない場合にはそれらセッションはS−CSCFを迂回するだろう。
【0013】
登録処理中、S−CSCFが既に選択されていない場合はI−CSCFがS−CSCFを選択しなければならない。I−CSCFは、ホームネットワークのホーム加入者サーバ(HSS)から必要なS−CSCF機能を受信し、受信した機能に基づいて適切なS−CSCFを選択する。尚、ユーザが別の人により呼び出され且つユーザが現時点でS−CSCFを割り当てられていない場合にも、S−CSCFの割り当てはI−CSCFによってユーザ対して実行される。その後、登録ユーザがIMSにセッション要求を送信する場合、P−CSCFは、登録処理中にS−CSCFから受信した情報に基づいて、選択されたS−CSCFにその要求を転送できる。
【0014】
全てのIMSユーザは1つ以上の個人ユーザアイデンティティを所有する。個人アイデンティティはホームネットワークオペレータにより割り当てられ、例えば、登録、認証、許可及び課金のためにIMSによって使用される。このアイデンティティは、RFC2486[14]に定義されるようなネットワークアクセス識別子(NAI)の形態をとる。国際移動電話加入者識別番号(IMSI)の表現は個人アイデンティティのためのNAIに含まれてもよい。個人ユーザアイデンティティに加えて、全てのIMSユーザは1つ以上の公開ユーザアイデンティティを有する。公開ユーザアイデンティティは、任意のユーザが他のユーザとの通信を要求するために使用される。例えば、ユーザは名刺に公開ユーザアイデンティティを含んでもよい(但し、個人ユーザアイデンティティは含まない)。
【0015】
図4において、IMS認証手順を非常に高いレベルで説明する。UE内において、AKAはISIM(IP Multimedia Services Identity Module)により処理される。AKAプロトコルは、S−CSCFに対するユーザ機器(UE)の認証及びUEに対するS−CSCFの認証を実行する。これは、上述のAKA処理に類似する。認証ベクトル(AV)はS−CSCFにより取得され、I−CSCFを介してP−CSCFに配信される。図5は、GBAがIMSアーキテクチャにマッピングされる方法を示す。この場合、BSF機能性はS−CSCFにおいて実現され、P−CSCFはS−CSCFとUEとの間に位置する。EPはP−CSCF内に存在する。これは、ETSI TISPAN working group proposal 07-TD-17において考察される。
【発明の開示】
【発明が解決しようとする課題】
【0016】
上述したように、GBAは、アプリケーション/サービス専用(NAF)鍵を生成するために使用される新規の鍵材料(CK、IK)を確立するためにAKA手順を再実行する。これは、セッションのセットアップ時間を増加し、帯域幅を浪費し、UEにおいて及びネットワーク内での2つの異なる手順の規定及び実行を必要とする。初期AKA手順において生成された鍵材料がGBA手順により再利用され、それによってAKAの再実行の必要性を回避する機構を実現することは効率的である。
【0017】
当然、初期鍵材料を使用してアプリケーション/サービス専用(NAF)鍵を生成することは可能である。しかしながら、図1から明らかになるように、初期鍵材料はEPに対して使用可能になる。従って、EPは、UEとアプリケーション/サービスプロバイダとの間で交換されたトラフィックを導出された鍵情報を使用して復号化でき、アプリケーション/サービスプロバイダに対してUEを装うこともできる。多くの場合において、EPは信頼ノード(UEのホームドメインにより信頼される)であるが、EPが常に信頼ノードであるわけではなく(例えば、「ローミング」の例において)、信頼を想定することはできない。これはIMSの場合(図4を参照)も同様に当てはまる。IMSの場合、ホーム(IMS)ネットワークにより必ずしも信頼されるとは限らないP−CSCFは、初期鍵材料を使用可能である。
【0018】
本発明の目的は、ユーザ機器とアクセスネットワークとの間のトラフィックをセキュリティ保護するために使用される鍵とアプリケーション/サービス配信に使用される鍵との間で鍵を厳密に分離できるアプリケーション/サービス鍵配信手順を提供することである。
【課題を解決するための手段】
【0019】
本発明の第1の面によると、アプリケーションサーバとアクセスドメインを介して通信ネットワークにアクセスするユーザ機器との間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵をアプリケーションサーバに配信する方法であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにユーザ機器とホームドメインとの間でAKA(Authentication and Key Agreement)手順を実行し、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部を使用する工程と、
鍵材料の少なくとも一部を使用してホームドメイン内で1つ以上のアプリケーション鍵を導出し、アプリケーション鍵をアプリケーションサーバに提供し、ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有し、
アクセスエンフォースメントポイントはアプリケーション鍵を導出できないか又はアプリケーション鍵に対するアクセス権を有することができないことを特徴とする方法が提供される。
【0020】
本明細書で使用される用語「ユーザ機器」は、特定のプロトコル又はネットワークアーキテクチャに限定されない。ユーザ機器は、ユーザ端末とSubscriber Identity Moduleカードとの組み合わせであってもよく、又はユーザ端末のみであってもよい。本発明の機能性は、ユーザ端末上のみで実現されてもよく、又はユーザ端末とSubscriber Identity Moduleカードとの組み合わせ上で実現されてもよい。
【0021】
AKA手順の実行は、ユーザ機器をホームドメインに登録又は再登録する際に行われるのが好ましい。これは、加入者を登録することによりアクセス保護を確立するため及びアプリケーション鍵が導出される鍵材料を確立するための双方のために、手順を一度だけ実行する必要があるという利点を有する。
【0022】
アクセスエンフォースメントポイントを介するドメインアクセスは、アクセスエンフォースメントポイントコントローラにより制御されるのが好ましい。ユーザ機器とホームドメインとの間でAKA手順を実行する工程は、ランダム値を含む認証ベクトルとランダム値から導出可能な2次暗号鍵及び2次秘匿鍵とをホームドメインからアクセスエンフォースメントポイントコントローラへ送信し、ランダム値をユーザ機器に転送することを含む。ユーザ機器は、その後、1次暗号鍵及び1次秘匿鍵を生成するために第1の鍵導出関数をランダム値に適用し、2次暗号鍵及び2次秘匿鍵を生成するために第2の鍵導出関数を1次暗号鍵及び1次秘匿鍵に適用する。2次暗号鍵及び2次秘匿鍵は、アクセスエンフォースメントポイントコントローラによりアクセスエンフォースメントポイントに渡され、セキュアトンネルは、2次暗号鍵及び2次秘匿鍵に基づいてアクセスエンフォースメントポイントとユーザ機器との間に確立される。この場合、鍵材料はランダム値と2次暗号鍵及び2次秘匿鍵とを含む。
【0023】
アプリケーション鍵は、1次暗号鍵及び1次秘匿鍵のうちの一方又は双方を使用して、ユーザ機器及びホームドメインにおいて導出されるのが好ましい。
【0024】
本発明の一実施形態において、鍵材料は、第1のランダム値及び第2のランダム値と第1のランダム値から導出可能な第1の暗号鍵及び第1の秘匿鍵とを含み、方法は、ランダム値をアクセスエンフォースメントポイントコントローラからユーザ機器に転送する工程を有し、ユーザ機器は、第1の暗号鍵及び第1の秘匿鍵を生成するために第1の鍵導出関数を第1のランダム値に適用し、それによって、セキュアトンネルは、第1の暗号鍵及び第1の秘匿鍵に基づいてアクセスエンフォースメントポイントとユーザ機器との間に確立される。
【0025】
アプリケーション鍵は、第2のランダム値を使用してユーザ機器において及びホームドメイン内で導出されてもよい。
【0026】
方法は、第2のランダム値から第2の暗号鍵及び第2の秘匿鍵を導出し、その後、アプリケーション鍵を生成するために鍵導出関数を第2の暗号鍵及び第2の秘匿鍵に適用する工程を有してもよい。
【0027】
ホームドメイン内及びユーザ機器においてアプリケーション鍵を導出する工程は、鍵材料の少なくとも一部からアプリケーションサービス鍵を導出するために、ホームドメインとユーザ機器との間で共有される秘密を利用する工程を有してもよい。
【0028】
アプリケーションサービス鍵は、鍵導出関数を暗号鍵及び秘匿鍵とサービスノード識別子とに適用することにより導出されてもよい。
【0029】
アクセスエンフォースメントポイントは、IPマルチメディアサブシステム(IMS)のプロキシコールセッション制御機能(P−CSCF)内に提供されてもよい。アクセスエンフォースメントポイントコントローラは、プロキシコールセッション制御機能内に更に提供されてもよい。ホームドメイン内において、サービングコールセッション制御機能(S−CSCF)は、AKA手順をホーム加入者サーバと関連して処理する役割を有する。
【0030】
アクセスエンフォースメントポイント及びアクセスエンフォースメントポイントコントローラは、2G又は3GネットワークのサービングGPRSサポートノード(SGSN)内にあってもよい。回路交換ドメインの場合、アクセスエンフォースメントポイントは無線ネットワークコントローラ内にあってもよく、この場合、アクセスエンフォースメントポイントコントローラはビジターロケーションレジスタ内にある。
【0031】
アクセスネットワークがLong Term Evolution(LTE)アクセスネットワークを含む場合、アクセスエンフォースメントポイントは、ユーザプレーンエンティティ(UPE)/移動性管理エンティティ(MME)/eNodeBであってもよく、アクセスエンフォースメントポイントコントローラはMMEである。尚、これは3GPPにおいて暫定的にのみ決定されている。
【0032】
ユーザ証明書管理サーバは、ホーム加入者サーバとアクセスエンフォースメントポイントコントローラとの間に設けられてもよい。このサーバの役割は、2次暗号鍵及び2次秘匿鍵を導出すること及び要求時にアプリケーション鍵をアプリケーションサーバに提供することである。
【0033】
本発明の第2の面によると、アプリケーションサーバとアクセスドメインを介して通信ネットワークにアクセスするユーザ機器との間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵をアプリケーションサーバに配信するネットワーク系装置であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにユーザ機器と共にAKA手順を実行し、それによって、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部が使用される手段と、
鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、アプリケーション鍵をアプリケーションサーバに提供し、鍵材料によってユーザ機器はアプリケーション鍵を同様に導出できるがアクセスエンフォースメントポイントは鍵を導出できない手段と、
を具備することを特徴とする装置が提供される。
【0034】
本発明の第3の面によると、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにホームドメインと共にAKA手順を実行し、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部を使用する手段と、
鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、アプリケーションサーバとの通信トンネルをセキュリティ保護するためにアプリケーション鍵を使用する手段と、
を具備することを特徴とするユーザ機器が提供される。
【0035】
本発明の第4の面によると、アプリケーションサーバとアクセスドメインを介して通信ネットワークにアクセスするユーザ機器との間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵をアプリケーションサーバに配信する方法であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにユーザ機器とホームドメインとの間でAKA手順を実行し、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部を使用する工程と、
鍵材料の少なくとも一部を使用してアクセスエンフォースメントポイントにおいて1つ以上のアプリケーション鍵を導出し、アプリケーション鍵をアプリケーションサーバに提供し、ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有することを特徴とする方法が提供される。
【発明を実施するための最良の形態】
【0036】
本発明の他の面は添付の請求の範囲において特定される。
【0037】
2G/3Gコアネットワークアクセス及びIMSアクセスドメインの双方の場合において、AKAプロトコル及びGBAプロコルを図1〜図5を参照して上述した。最初にIMSの場合において、次にSAE/LTE高性能3Gネットワークの場合において、AKAの再実行を必要とせずにGBAを実現できる機構を以下に説明する。
【0038】
図4を参照して既に上述したように、セキュアIPsecトンネルは、暗号鍵CK及び秘匿鍵IKに基づいて、ユーザ機器(UE)とP−CSCFとの間に確立される。S−CSCFが更なる鍵CK’及びIK’を以下のように導出する場合を以下に考察する。
【0039】
CK’=KDF(CK,P_CSCF_ID)
IK'=KDF(IK,P_CSCF_ID)
式中、KDFは鍵導出関数(例えば、GBAに対して定義されるような関数)である。S−CSCFは、CK及びIKをP−CSCFに提供するのではなく、導出された鍵CK’及びIK’をIPsecトンネルに対して使用する鍵として提供する。しかしながら、S−CSCFによりP−CSCFを介してUEに提供されるRAND値は、1次鍵CK及びIKを生成するのに使用されたRAND値のままである。従って、UEは、関数KDFと導出された鍵CK’及びIK’とを使用してCK及びIKを生成できる。
【0040】
詳細な処理のステップを図6に示す。
・UEはSIP Register(SIPレジスタ)をS−CSCFへ送信する。
・S−CSCFは、認証ベクトルAV=(RAND、CK、IK、XRES、AUTN)をHSSから取り出す。
・S−CSCFは、例えば以下のような任意のKDFを使用して、2つの新規の鍵CK’及びIK’をそれぞれCK及びIKから導出する。
CK’=KDF(CK,P_CSCF_ID)
IK'=KDF(IK,P_CSCF_ID)
・S−CSCFは、P−CSCFに対する新規の特別なAV’=(RAND、CK’、IK’、XRES、AUTN)を作成する。
・P−CSCFはAV’を受信し、RAND/AUTNをUEに転送する(このステップを図6に丸1で示す)。
・UEはRAND/AUTNを受信し、このタプルをISIMを介して実行する。この動作の結果、UEはISIMからCK及びIKを取り戻す。ここで、UEは、CK’及びIK’を計算するために、S−CSCFにより使用されたのと同一のKDFを適用する。このステップを図中に丸2で示す。
・UE及びP−CSCFは、CK’及びIK’に基づいてIPsecトンネルを確立する。
・図中に丸3で示すステップにおいて、UEは、通信を希望する特定のNAFに対するサービス専用鍵Ks_NAFを導出する。これは、先に使用されたものと潜在的に同一のKDFをCK、IK及びNAF_IDに適用することにより実行されてもよい。あるいは、Ks_NAFは、例えば以下のように、KDFを鍵CK”及びIK”とNAF_IDとに適用することにより導出される:
CK"=KDF(CK,<some GBA ID>,<other param>)
IK"=KDF(IK,<some GBA ID>,<other param>)
CK”及びIK”を導出する理由は、NAFがUEとNAFとの間で使用されるセキュリティプロトコルに対する別個の秘匿鍵及び暗号化鍵を有することを希望する場合があるからである。その場合、NAFはCK”及びIK”を直接使用できる。<some GBA ID>パラメータは、高性能GBAシステムを識別するIDであり(例えば、文字列「eGBA」又は文字列「eGBA@operator.com」)、生成された鍵をこの特定の鍵配布システムに結び付けるため及び潜在的な鍵の衝突を回避するために使用される。
・その後、UEはNAFに接触し、IMS登録の結果生じたCK/IKを一意に識別するアイデンティティをNAFに提供する。このアイデンティティは(GBAにおいては)B−TIDと呼ばれ、AKA手順中にBSFからUEに提供される。すなわち、このアイデンティティは、(AKAが実行される場合は)IMS登録手順中にS−CSCFにより提供される。
・NAFはS−CSCFに接触し、所定のB−TIDに対応するKs_NAFを要求する。
・S−CSCFは、UEが行なったのと同一の方法でCK及びIKからKs_NAFを導出する。S−CSCFは、Ks_NAFをNAFに返送する。例えば、Ks_NAF=KDF(CK",IK",NAF_ID,<other param>)である。
・この時点で、UE及びNAFは、Ks_NAFに基づいてセキュア接続を確立できる。
【0041】
この処理を実現するには、S−CSCFに対する変更及び場合によってはより重大なUEに対する変更が必要である。この変更は、ある特定のUEがGBA処理により提供される追加の機能性を利用することを要求しない場合であっても必要である。これは、従来のUEに対する単なるソフトウェアのアップグレードを含んでもよいが、更新が面倒な場合がある。この問題は、別の処理を実現することにより回避される。これは、RAND/AUTNの第2の対(すなわち、RAND’及びAUTN’)を初期IMS AKA交換に含むことを伴う。このように、UE及びS−CSCFは、2組の共有鍵(CK、IK及びCK’、IK’)を確立できる。第1の鍵の組はP−CSCFとUEとの間にIPsecトンネルを確立するのに使用され、第2の組はIMSアプリケーションサーバに対する鍵を導出するのに使用される。この別の処理を図7に示す。UEが高性能GBA機能性をサポートしない従来のUEの場合、UEはRAND’値及びAUTN’値を単に参照しないか又は無視し、RAND及びAUTNのみを通常通り処理する。
【0042】
詳細な処理ステップは以下の通りである:
・UEは、SIP RegisterをS−CSCFへ送信する。
・S−CSCFは、AV=(RAND、CK、IK、XRES、AUTN)及びAV’=(RAND’、CK’、IK’、XRES’、AUTN’)をHSSから取り出す。
・S−CSCFは、AV及びAV’をP−CSCFへ送信する。
・P−CSCFはAV及びAV’を受信し、RAND/AUTN及びRAND’/AUTN’をUEに転送する(このステップを図7に丸1で示す)。
・UEはRAND/AUTN及びRAND’/AUTN’を受信し、ISIMを介してRAND/AUTNを実行する。この動作の結果、UEはISIMからCK及びIKを取り戻す。UEは、CK及びIKを使用してP−CSCFとのIPsecトンネルを確立する。UEはISIMを介してRAND’/AUTN’を実行し、その結果、ISIMからCK’及びIK’を取り戻す。このステップを図中に丸2で示す。
・図中に丸3で示すステップにおいて、UEは、通信を希望する特定のNAFに対するサービス専用鍵Ks_NAFを導出する。これは、KDFをCK’、IK’及びNAF_IDに適用することにより実行される。
・UEはNAFに接触し、IMS登録の結果生じたCK’/IK’を一意に識別するアイデンティティ(例えばB−TID)をNAFに提供する。
・NAFはS−CSCFに接触し、所定のB−TIDに対応するKs_NAFを要求する。
・S−CSCFは、UEが行なったのと同一の方法でCK’及びIK’からKs_NAFを導出する。S−CSCFはKs_NAFをNAFに返送する。
・この時点で、UE及びNAFは、Ks_NAFに基づいてセキュア接続を確立できる。
【0043】
この別の方法も、高性能機能性が動作するためにS−CSCFに対する変更を必要とするが、RAND’/AUTN’は、従来のUEがネットワーク内で依然として機能できるように、すなわち、P−CSCFとのセキュアトンネルを確立できるように、初期IMS AKAに含まれる。例えば、RAND’/AUTN’は、従来のUEによって認識されない(従って、無視される)新規のSIPヘッダ内に存在してもよい。当然、従来のUEは、RAND’/AUTN’の組から導出される鍵を必要とするアプリケーションサーバに依然としてアクセスできない。
【0044】
更に別の処理において、アプリケーションサービス鍵は、従来のIMS AKA処理、すなわち図4に示すような処理に従い且つ結果として得られる鍵CK/IKをKDFを使用して後処理することにより導出される。これは、S−CSCF及びUEのみが知る更なる引数、すなわち共有秘密をKDFに含むことにより達成される。この場合も、P−CSCFはアプリケーションサービス鍵を導出できない。例えば、KDFの一部(又は全部)は、UE内のソフトSIM、あるいはUEによりアクセスされるスマートカード内の新規又は既存のSIMアプリケーションとして実現される。KDFは、例えば、通常のSIMアプリケーションをサブ機能として含むことができる。ネットワークの観点から、共有秘密は認証センタ(AuC)に格納される。これは、認証ベクトルを導出するために使用されるものと潜在的に同一の共有秘密である。これは、特定の関数(関数はAuCの一部であってもよく、又はS−CSCFにより供給されてもよい)を介して所定のRANDを実行した結果をAuCに要求できることを必要とする。また、共有秘密は、S−CSCFからの所定のRANDに対して関数を計算するためのクエリに応答する他の任意のデータベースに格納されてもよい。
【0045】
前の段落で説明した鍵導出ステップが通常のIMS登録の後に実行される場合、この解決策は従来のUEに影響を与えないが、当然、従来のUEはアプリケーションサービス鍵を導出できない。しかしながら、UEにおいて及びIMS内で重大な変更が必要とされるため、この別の処理は必ずしも最適ではない。
【0046】
S−CSCFは、登録中に受信される公開ユーザアイデンティティに基づいてアプリケーションサービス鍵の使用を制限してもよい。S−CSCFは、このために現在のIMS加入処理機構を再使用できる。ユーザがIMSに登録する場合、ユーザは1つ以上の公開アイデンティティを登録してもよく、そのうちのいくつかは禁止アイデンティティ(限定的な使用の場合以外は許可されない)として分類されてもよい。更に、S−CSCFは、アプリケーションサーバ(S−CSCFがAS鍵を要求するアプリケーションサーバ)から受信するアイデンティティと禁止アイデンティティとを比較することにより、禁止アイデンティティが高性能GBAにより使用されないことを保証できる。当然、S−CSCFは、他のサービスに対するユーザのアクセス権とは関係なく、高性能GBA機能性を所定のユーザ又は公開ユーザアイデンティティに対して許可するため又は許可しないためにローカルポリシーを適用してもよい。
【0047】
上述の方法は、アプリケーションサーバ(NAF)がS−CSCFのアイデンティティを知っており且つS−CSCFと通信可能であると想定する。これは、アプリケーションサーバがS−CSCFと同一のネットワーク内に位置する場合に当てはまる。しかしながら、これが当てはまらないこともあり、アプリケーションサーバは、例えば、P−CSCFと同一の訪問先ネットワーク内に位置してもよい。この場合、P−CSCFは訪問先ネットワーク内のASに対してBSF機能性を有してもよい。これを図8に示す。訪問先ネットワーク内のASは、AS鍵を入手するために、P−CSCFに接触するか又はローカルS−CSCF(非ローミングユーザの場合)に接触するかを判定できなければならない。ASは、UEにより与えられるSIP URI/IMPU又はB−TID(B−TIDはUEのホームオペレータの名称を含む)に基づいてこの判定を行うことができる。UEのホームオペレータは、GBA鍵(CK及びIK)をP−CSCFに配布するか否かを選択することにより、訪問先ASに対してローミングを許可するかを決定できる。図9は、この場合のメッセージの流れを示す。この第1の例の場合、2次鍵(CK”、IK”)の導出はP−CSCF内でローカルに行なわれる。最初に、UEとP−CSCFとの間のIPsecトンネルをセキュリティ保護するために、CK’及びIK’が導出される:
CK’=KDF(CK,UE_ID)
IK'=KDF(IK,UE_ID)
次に、CK”及びIK”が導出される:
CK"=KDF(CK,GBA−ID,<other param>)
IK"=KDF(IK,GBA−ID,<other param>)
CK”及びIK”は、AS鍵を(AS−SERV−IDを用いて)導出するために使用される。
【0048】
別個のクインテットがアクセスセキュリティ及びGBAに対して使用される場合、図10に詳細に示す処理になる。尚、この場合、CK”及びIK”はP−CSCFに配布され、P−CSCFは訪問先ネットワーク内の異なるローカルASに対するアプリケーションサービス(AS)鍵を導出できる。
【0049】
IMSにおける本発明の手順の実現は、以下に示す利点の1つ以上を提供してもよい:・サービス鍵を確立するためにGBAが本質的に必要ではないことによる実現の複雑性の低減、並びにUE、アプリケーションサーバ及びHSSにより必要とされるインタフェースの数の減少。
・セキュアIMSサービスが確立される前に必要な往復処理の数の減少。
・個別のサービスの鍵の間の厳密な鍵の分離。
・アクセス保護鍵とサービス鍵との暗号化による分離。
・IMSシステムによる他のアプリケーションサービスの厳密なポリシー制御。
・IMSアクセスとサービスアクセスとの相関性。
・アプリケーションサービスアクセスを許可するための追加のインフラストラクチャ要素又は追加のインタフェースの必要性の回避。
・アプリケーションサービスに対する透過性(Znインタフェースが影響を受けないような)。
【0050】
本発明の手順の適用はIMSに限定されない。図11は、現在考えられているSEA/LTE(System Architecture Evolution/Long Term Evolution)アクセスネットワークを用いて高性能化される3Gネットワークのシステム構成要素を概略的に示す。従来のネットワークにおけるユーザの認証は、パケット交換ドメイン内のSGSN及び回路交換ドメイン内のVLRによって処理される。移行の観点から、SGSN/VLRが新規の特徴を実現する必要がないことが重要である。従って、インタフェース「B」及び「C」を介するプロトコルは変更されていない。従って、Bインタフェースは、HLRとSGSN/VLRとの間の現在のインタフェースと同一である。新規のアクセスネットワークにおける認証は、鍵を必要とするネットワークエンティティに鍵を同様に配布する認証管理サーバ(AMS)により処理される。図示するアーキテクチャの例において、鍵は、ユーザプレーン(UP)のデータ保護及び2種類の制御プレーン(CP1、CP2)のデータ保護のために、新規のアクセスネットワークを使用するUE毎に必要とされる。
【0051】
ユーザ証明書マネージャサーバ(UCMS:User Credential Manager Server)は、HLR/AuCとAMSとの間及びHLR/AuCと従来のSGSN/VLRとの間に位置する新規のエンティティである。UCMSはBSFに類似する機能を実行し、提案される新規の機能性が使用される場合に、基本鍵を作成し、この鍵を使用してアクセスネットワークエンティティAMS及びVLRが必要とする鍵を導出する。また、UCMS内のBSFに類似する機能は、後段でNAFとUEとの間にサービス鍵を確立するために、NAFに対するZnインタフェース実現する(任意の中間エンティティがUCMSの代わりにZnインタフェースを提供する場合を除く)。UCMSは、従来のSIMを使用する認証と新規の高性能USIM(「XSIM」)が使用される場合とを区別する。XSIMが使用される場合、AMS又はSGSN/VLRにAV’を求める要求はBSFに類似する機能性をトリガする。一方、従来のSIMが使用される場合、UCMSは透過的なエンティティとして動作し、AMSSGSN/VLRとHLR/AuCとの間の要求及び応答を単に転送する。
【0052】
認証要求(Auth Req:Authentication Request)がUCMSにより受信される場合を考察する。UCMSは、要求がXSIMに関すると判定する。XSIMが使用されることは、例えば、IMSIの特別な範囲が使用される場合は加入者のIMSIから認識されてもよく、又はHLR/AuCからの応答において他の任意の方法、例えばAVの符号化で示されてもよい。UCMSは、BSFが通常のGBAトランザクションを処理するのと同様の方法でAVを処理する。UCMSは、AV内のCK及びIKから鍵Ksを形成する。すなわち、CK’=f(CK,IK)、IK'=g(CK,IK)、及びKs=h(CK,IK)である。ただし、一方向関数f、g及びhにおいて、f!=g!=hである。UCMSはKs及び関連するB−TIDを格納し、その後更なる暗号化鍵CK’及び秘匿鍵IK’を導出する。UCMSはベクトル(RAND、AUTN、CK’、IK’、XRES)をAMS又はSGSN/VLRに転送する。IMSの場合を参照して上述したように、AMS又はSGSN/VLRはRAND及びAUTNをUEに転送する。
【0053】
端末側において、RAND及びAUTNはXSIMに入力され、XSIMはCK及びIKのGBA導出を実行し、その後CK’及びIK’のGBA導出を実行し、アクセスネットワークにおける保護に使用される他の任意の必要な鍵のGBA導出を実行する。CK’及びIK’(並びに、他の任意の必要な鍵)はMEに配信される。KsはXSIMに格納され、UEがGBAに基づく任意のサービスの使用を希望する場合、IMSの場合を参照して上述したように、NAF専用鍵の更なる導出の基本となる。USIMはRESを生成し、これをAMS/VLRに返送する。AMS/VLRは、この値がXRESに一致することを確認する。一致する場合、AMS/VLRは鍵CK’及びIK’をEPに渡す。
【0054】
UEが現在のUMTSネットワークにおける情報の種類と同一種類の情報、すなわちRAND、AUTNを受信すること及びMEとXSIMとの間のインタフェースがREL−6インタフェースを使用してRAND、AUTNを送信し且つ結果をサブセットとして受信することが理解されるだろう。これは、この機構を使用可能なXSIMを有するREL−6UEが依然として機能することを意味する。
【0055】
図12の信号フローは、UEが認証及び鍵の確立の実行を希望する旨をネットワークに通知した後に行われる処理を示す。UEが既にネットワークにアタッチされている場合、ネットワークは、同一の信号フローに従って再認証手順を開始してもよい。
【0056】
処理ステップをより詳細に考察する。
【0057】
AMS又はSGSN/VLRは、認証処理の結果をUCMSに通知してもよい。この信号伝送は図12には示さないが、ホームネットワークがユーザの所在の記録を保持したい場合には必要である(これを以下に更に説明する)。加入者の現在のアタッチに関する情報がHLR内に保持される場合、UCMSはAMS又はSGSN/VLRからこの情報を受信する際にHLRを更新してもよい。
【0058】
上述の処理は、AuC/HLRがCK’及びIK’を導出できるようにすることにより変更されてもよい。このエンティティは、CK’、IK’及びKsを含む拡張AV(eAV)をUCMSに送信する。UCMSではなくAMS/VLRがCK’及びIK’に対する鍵導出を実行することも可能である。しかしながら、これは、AMS/VLRがKs及びそれから導出される全てのNAF専用鍵を更に導出できることを意味する。ある特定の信頼モデルの下で、これは許容可能であってもよい。
【0059】
場合によっては、UCMSエンティティを組み込むネットワークアーキテクチャがUCMSエンティティを組み込まないアーキテクチャと共存しなければならない場合が考えられる。そのような移行フェーズにおいて、新規の鍵導出を実行する必要があるか否かを示す通知をネットワークがXSIMに信号伝送することは有利である。このような信号伝送が行われる複数の方法がある。このような信号伝送が行われる2つの方法を以下に示す。
【0060】
1.AuCは、RAND内の特定ビットを常に0に設定する(例えばLSBとする)。UCMS内のBSF機能性は、新規の鍵導出が使用される場合はLSBを1に設定し、通常の鍵導出が実行される場合はLSBを0に設定する。XSIMが(RAND、AUTN)を受信すると、XSIMはどちらの鍵導出が実行されるかを確認するためにLSBを調べ、必要であればLSBを0にリセットして続行する。しかしながら、この方法の問題は、「ハッキングされた」電話を所有する悪意のあるユーザが、RAND、AUTNをXSIMに渡す前にRANDのLSBを0に設定できることである。XSIMは実際のCK/IKをMSに返送する。ユーザは、ネットワークにアクセスできるだけではなく、CK’及びIK’を導出することもでき、従って、任意のサービスをセキュリティ保護するために使用されるNAF鍵を導出できる。
【0061】
2.第2の方法は、例えば、偶数のシーケンス番号に基づく全てのAVが新規の鍵導出手順に使用され且つ奇数のシーケンス番号に基づく全てのAVが従来の鍵導出手順に使用されると指定することである。この方法の利点は、シーケンス番号がAuCとXSIMとの間で共有される鍵Kによって保護される秘匿性である。従って、攻撃者は解決策1で挙げられた攻撃と同様の攻撃を実行できない。しかしながら、欠点は、新規の鍵導出又は従来の鍵導出のみを使用するXSIMの場合、シーケンス番号の空間の半分が浪費されることである。
【0062】
加入者の認証が常にホームネットワークによって実行される場合、訪問先ネットワーク内のAMS又はSGSN/VLRはホームネットワーク内のUCMSとUEとの間の中継点として使用される。これは、AMS又はSGSN/VLRがオーセンティケータを介する通路の役割を想定するような、すなわち、それらが認証トラフィックのみを中継するような拡張可能認証プロトコル(EAP)AKAに非常に類似した動作になる。UEがUCMSにより認証されると、UCMSは鍵CK’及びIK’のみをAMS又はSGSN/VLRに転送する。UCMSが、例えば、CK’=KDF("visited_NW_name",CK)及びIK'=KDF("visited_NW_name",IK)によって、訪問先ネットワーク専用の鍵を導出することも可能である。これを図13に示す。当然、CK’及びIK’は、RAND値及びAUTN値と共に事前に送信される。
【0063】
訪問先ネットワーク内で認証が行われる場合、BSFは、通常通り(図12を参照)訪問先ネットワーク内のAMS又はSGSN/VLRと単純に対話する。当然、UCMSとAMS又はSGSN/VLRとの間の信号伝送は機密性を保護されなければならない。
【0064】
S−CSCFに常駐するBSFに類似する機能性とUCMSとが同一であるため、上述のIMS及びアクセスモデルは組み合わされてもよい。この場合、従来のS−CSCFを変更する必要はない。しかしながら、S−CSCFは通常のインタフェースをHSSに対して実行するのではなく、このインタフェースをUCMSに対して実行する。共通のUCMS機能は、別個のエンティティとしてHSSにおいて実現されてもよく、又はBSFと組み合わされてもよい。
【0065】
本発明の範囲を逸脱せずに、上述の実施形態に対して種々の変形が実施されてもよいことが当業者には理解されるだろう。例えば、新規の機能性を実現するために高性能USIM(すなわち、XSIM)を提供するのではなく、新規の機能性は、Ks及びB−TIDがMEに格納され且つMEが鍵導出を実行する高性能MSにおいて実現されてもよい。
【図面の簡単な説明】
【0066】
【図1】ユーザ機器とホームドメインとの間でアクセスネットワークを介して行なわれるパケットドメインにおけるAKA手順に関連付けられる信号伝送を示す図である。
【図2】GBAアーキテクチャを概略的に示す図である。
【図3】セルラ通信ネットワーク内のIPマルチメディアサブシステムアーキテクチャを概略的に示す図である。
【図4】ユーザ機器に対するIMS認証手順を示す図である。
【図5】汎用GBAアーキテクチャ及びIMSにマッピングされたGBAアーキテクチャを概略的に示す図である。
【図6】本発明の第1の実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図7】本発明の第2の実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図8】IMSのP−CSCFにおけるBSF機能性の実現を示すブロック図である。
【図9】本発明の更なる実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図10】本発明の更に別の実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図11】SAE/LTEアクセスネットワークを組み込んだ3Gネットワークを概略的に示す図である。
【図12】図11のネットワークにおいて認証がホームネットワークから訪問先ネットワークに委譲される初期鍵確立処理を示す図である。
【図13】図11のネットワークにおいて認証がホームネットワークを使用して実行される初期鍵確立処理を示す図である。
【技術分野】
【0001】
本発明は、鍵情報を配信する方法及び装置に関し、特に、サービスに関連する鍵情報を配信する方法及び装置に関するが、必ずしもそのような方法及び装置に関連しなくてもよい。本発明は、特に、ユーザ機器に対して無線アクセスを容易にするユニバーサル移動通信システムネットワークを含む通信システムにおける鍵情報の配布に適用可能であるが、必ずしもそのような配布に適用されなくてもよい。
【背景技術】
【0002】
第3世代パートナーシッププロジェクト(3GPP)は、GSM発展型コアネットワーク及び無線アクセス技術であるUTRA(Universal Terrestrial Radio Access)に基づく第3世代移動システムに関する世界的に適用可能な技術仕様の標準化を目的として、多くの規格本体をまとめる提携協定として形成された。
【0003】
3GPPは、ユニバーサル移動通信システム(UMTS)ネットワークにおいて認証及びセッション鍵の配布を実行するAKA(Authentication and Key Agreement)として知られるプロトコルを規定した。UMTS AKAは3GPP TS.33.102において規定され、対称暗号法を使用するチャレンジレスポンス方式の機構である。通常、AKAはUSIM(UMTS Services Identity Module)において実行する。USIMは、共有秘密の改竄を防止するように格納するスマートカードに類似するデバイス(Universal Integrated Circuit Card又はUICCと呼ばれる)上に常駐する。AKAは、ユーザ機器(UE−この場合、UEは移動局(MS)とUSIMとの組み合わせとして定義される)をホームネットワークに登録及び再登録する際に実行される。AKAは2Gネットワーク(すなわちGSM)において採用されてもよく、その場合、UICCにはUSIM及びSIM(Subscriber Identity Module)アプリケーションの双方が提供される。更に、次世代アーキテクチャ(現在標準化が行われているLTE(Long Term Evolution)アーキテクチャを含む)はAKA又はAKAに基づくセキュリティプロトコルを使用する可能性が高い。
【0004】
UMTS AKAの重要な目的の1つは、ユーザ機器(UE)と、アクセスポリシーがUMTSアクセスネットワーク内で実行されるエンフォースメントポイント(EP)との間のリンクにおいてデータのセキュリティ保護を提供することである。音声通話等の回路交換接続の場合、このEPは無線ネットワークコントローラ(RNC)内にあり、パケット交換接続の場合、EPはサービングゲートウェイサポートノード(SGSN)内にある。GSMネットワークの場合、EPは基地局トランシーバ(BTS)内にある。LTEネットワークにおいては、例えば、EPはユーザプレーンエンティティ(UPE)内にあってもよく、この場合、複数のEPが単一の接続に対して存在することもある。AKAは、UE上のUSIMとホームロケーションレジスタ(HLR)/認証センタ(AuC)との間で共有される秘密Kを使用して生成される鍵材料をアクセスネットワークに配信することにより、適切なセキュリティレベルを達成する。尚、IPマルチメディアサブシステム機能性によって高性能化されたHLR/AUCはホーム加入者サーバ(HSS)と呼ばれる。
【0005】
パケット交換アクセスネットワークを考慮して、AKAに関連付けられる信号伝送を図1に示す。図1において、UE(USIMとMEとの組み合わせ)がアクセスネットワーク内のSGSNにアタッチ(接続)要求を送信することにより処理は開始される。次に、SGSNはUEのホームネットワーク内のHSSに認証ベクトル(AV)を要求し、HSSは認証センタ(AuC)にAVを要求する。図1はパケット交換ドメインのみを示すが、回路交換ドメインにおいては訪問先ロケーションレジスタ(VLR:Visited Location Register)がSGSNの機能に対応する機能を実行することが理解されるだろう。以下の説明において「SGSN」を参照する場合、回路交換ドメインにおいてはVLRが等価な機能性を提供することが理解されるだろう。
【0006】
UMTS AKAの実行の結果、2つの鍵、すなわち暗号鍵(CK)及び秘匿鍵(IK)が得られる。CK及びIKは、HSSとUEのUSIMとの間で共有される秘密及びランダム値RANDに基づいてHSSにおいて生成される。HSSは、共有秘密及びランダム値に適切な関数を適用することにより、期待される結果XRESを更に生成する。鍵はRAND値、XRES及び認証トークン(AUTN)と共に、HSSによってSGSNへ送信される。SGSNはRAND値及びAUTN値をUEに転送し、UEにおいてこれらの値はUSIMに配信される。更に、SGSNは鍵CK及びIKをSGSN内のエンフォースメント機能に渡す。USIMはHSSを認証し、それによってホームネットワークとEPとの間の信頼関係をAUTN値を使用して確認する。更に、USIMは、RAND値及び共有秘密を使用して鍵CK及びIKを生成する。鍵CK及びIKに基づいて、セキュアトンネルがSGSN内のEPとUEとの間に確立される。これはアクセスネットワーク、特にエアインタフェースを介する通信をセキュリティ保護する。USIMは、共有秘密及びRAND値を使用して結果RESを更に生成し、これをSGSNに返送する。SGSNはRESとXRESとを比較し、2つが一致する場合、トラフィックはセキュアトンネルを介して流れることを許可される。
【0007】
多くの場合、特定のアプリケーション(すなわちサービス)をUEに提供するには、UEがアプリケーションサーバに対して認証されること及びUEとアプリケーションサーバとの間にサービス又はアプリケーションの配信を実行する際に介するセキュアチャネルが確立されることが必要である。例えば、移動テレビサービスを配信する場合を想定してもよい。この場合、媒体はサービスに加入した(及びサービスに対して支払いを行った)ユーザに対してのみ配信されなければならない。
【0008】
3GPP技術仕様書TS33.220は、いわゆる汎用ブートストラッピングアーキテクチャ(GBA)を規定する。GBAは、AKA手順(この手順は、UEの登録時又は再登録時に実行される初期AKA処理とは区別される必要がある)の再実行中に取得される鍵CK及びIKに基づいて、クライアント端末(UE)がネットワーク認証機能(NAF)、すなわちサービスノード又はサービスプロバイダと、UEとNAFとの間で使用するために取得されるセキュアセッション鍵(Ks_NAF)とに対して認証される機構を提供する。ブートストラッピングサーバ機能(BSF)はUEのホームネットワークに導入され、AKAの再実行はUEとBSFとの間で行なわれる。
【0009】
GBAアーキテクチャの単純なネットワークモデルを図2に概略的に示す。ブートストラッピング手順が必要であることをUEが知っている場合、最初に、UEはhttpダイジェストAKA手順(RFC3310)を使用してBSFと共にブートストラッピング認証を実行する。鍵CK及びIKはUEとBSFとの間で一致する(これらの鍵は、登録又は再登録の際に一致し且つ無線リンクをセキュリティ保護するために使用される鍵とは区別される必要がある)。更に、BSFは、特有のブートストラッピングトランザクション識別子(B−TID)をUEに提供する。UE及びNAFがBSFからセッション鍵を取得することを希望する場合、UEはB−TIDをNAFに配信し、NAFはそれをBSFに転送する。B−TIDは、BSFがUEを識別し且つ適切なNAF専用鍵(Ks_NAF)を取得するために使用する指標を含む。その後、NAF専用鍵はNAFに転送される。鍵材料の寿命は、BSFのローカルポリシーに従って設定される。
【0010】
AKA及びGBAの双方は、いわゆるIPマルチメディアコアネットワークサブシステム(IMS)に対して及びその内部でセキュリティを提供するために採用される。IMSは、移動通信ネットワークを介してIPマルチメディアサービスを提供するために第3世代パートナーシッププロジェクト(3GPP)により定義される技術である(3GPP TS22.228、TS23.228、TS24.229、TS29.228、TS29.229、TS29.328及びTS29.329、Release 5及びRelease 6)。IMSは、サービスの統合及び対話を介してエンドユーザの個人対個人の通信体験を豊かにするために鍵特徴を提供する。IMSによって、IP系ネットワークを介する新しい豊富な個人対個人(クライアント対クライアント)の通信及び個人対コンテンツ(クライアント対サーバ)の通信が可能になる。IMSは、ユーザ端末間(又はユーザ端末とアプリケーションサーバとの間)の通話又はセッションを設定及び制御するためにセッション開始プトロコル(SIP)を利用する。SIP信号伝送により実行されるセッション記述プロトコル(SDP)は、セッションの媒体構成要素の記述及び交渉に使用される。SIPはユーザ対ユーザプロトコルとして作成されたが、IMSによって、オペレータ及びサービスプロバイダはサービスに対するユーザのアクセスを制御し、それによってユーザに課金することができる。
【0011】
図3は、GPRS/PSアクセスネットワークの場合にIMSが移動ネットワークアーキテクチャに適合する方法を概略的に示す。コール/セッション制御機能(CSCF)は、IMSとのSIPプロキシとして動作する。3GPPアーキテクチャは、SIP端末に対するIMS内の第1の接触点であるプロキシCSCF(P−CSCF)、ユーザが加入しているサービスをユーザに提供するサービングCSCF(S−CSCF)、及び問合せCSCF(I−CSCF)の3種類のCSCFを定義する。I−CSCFの役割は、正しいS−CSCFを識別し、SIP端末からP−CSCFを介して受信される要求をそのS−CSCFに転送することである。
【0012】
ユーザは、指定されたSIP登録方法を使用してIMSに登録する。これは、IMSにアタッチし、SIPユーザアイデンティティに到達するアドレスをIMSに通知する機構である。3GPPにおいて、SIP端末が登録を実行する場合、IMSはユーザを認証し、使用可能なS−CSCFの組から1つのS−CSCFをそのユーザに割り当てる。S−CSCFの割り当てに関する基準は3GPPにより規定されていないが、これらは負荷分割及びサービス要件を含んでもよい。尚、S−CSCFの割り当ては、IMSに基づくサービスに対するユーザのアクセスを制御する(及びそのようなアクセスに対して課金する)ための重要な点である。オペレータは、ユーザ対ユーザの直接のSIPセッションを防止する機構を提供してもよく、その機構がない場合にはそれらセッションはS−CSCFを迂回するだろう。
【0013】
登録処理中、S−CSCFが既に選択されていない場合はI−CSCFがS−CSCFを選択しなければならない。I−CSCFは、ホームネットワークのホーム加入者サーバ(HSS)から必要なS−CSCF機能を受信し、受信した機能に基づいて適切なS−CSCFを選択する。尚、ユーザが別の人により呼び出され且つユーザが現時点でS−CSCFを割り当てられていない場合にも、S−CSCFの割り当てはI−CSCFによってユーザ対して実行される。その後、登録ユーザがIMSにセッション要求を送信する場合、P−CSCFは、登録処理中にS−CSCFから受信した情報に基づいて、選択されたS−CSCFにその要求を転送できる。
【0014】
全てのIMSユーザは1つ以上の個人ユーザアイデンティティを所有する。個人アイデンティティはホームネットワークオペレータにより割り当てられ、例えば、登録、認証、許可及び課金のためにIMSによって使用される。このアイデンティティは、RFC2486[14]に定義されるようなネットワークアクセス識別子(NAI)の形態をとる。国際移動電話加入者識別番号(IMSI)の表現は個人アイデンティティのためのNAIに含まれてもよい。個人ユーザアイデンティティに加えて、全てのIMSユーザは1つ以上の公開ユーザアイデンティティを有する。公開ユーザアイデンティティは、任意のユーザが他のユーザとの通信を要求するために使用される。例えば、ユーザは名刺に公開ユーザアイデンティティを含んでもよい(但し、個人ユーザアイデンティティは含まない)。
【0015】
図4において、IMS認証手順を非常に高いレベルで説明する。UE内において、AKAはISIM(IP Multimedia Services Identity Module)により処理される。AKAプロトコルは、S−CSCFに対するユーザ機器(UE)の認証及びUEに対するS−CSCFの認証を実行する。これは、上述のAKA処理に類似する。認証ベクトル(AV)はS−CSCFにより取得され、I−CSCFを介してP−CSCFに配信される。図5は、GBAがIMSアーキテクチャにマッピングされる方法を示す。この場合、BSF機能性はS−CSCFにおいて実現され、P−CSCFはS−CSCFとUEとの間に位置する。EPはP−CSCF内に存在する。これは、ETSI TISPAN working group proposal 07-TD-17において考察される。
【発明の開示】
【発明が解決しようとする課題】
【0016】
上述したように、GBAは、アプリケーション/サービス専用(NAF)鍵を生成するために使用される新規の鍵材料(CK、IK)を確立するためにAKA手順を再実行する。これは、セッションのセットアップ時間を増加し、帯域幅を浪費し、UEにおいて及びネットワーク内での2つの異なる手順の規定及び実行を必要とする。初期AKA手順において生成された鍵材料がGBA手順により再利用され、それによってAKAの再実行の必要性を回避する機構を実現することは効率的である。
【0017】
当然、初期鍵材料を使用してアプリケーション/サービス専用(NAF)鍵を生成することは可能である。しかしながら、図1から明らかになるように、初期鍵材料はEPに対して使用可能になる。従って、EPは、UEとアプリケーション/サービスプロバイダとの間で交換されたトラフィックを導出された鍵情報を使用して復号化でき、アプリケーション/サービスプロバイダに対してUEを装うこともできる。多くの場合において、EPは信頼ノード(UEのホームドメインにより信頼される)であるが、EPが常に信頼ノードであるわけではなく(例えば、「ローミング」の例において)、信頼を想定することはできない。これはIMSの場合(図4を参照)も同様に当てはまる。IMSの場合、ホーム(IMS)ネットワークにより必ずしも信頼されるとは限らないP−CSCFは、初期鍵材料を使用可能である。
【0018】
本発明の目的は、ユーザ機器とアクセスネットワークとの間のトラフィックをセキュリティ保護するために使用される鍵とアプリケーション/サービス配信に使用される鍵との間で鍵を厳密に分離できるアプリケーション/サービス鍵配信手順を提供することである。
【課題を解決するための手段】
【0019】
本発明の第1の面によると、アプリケーションサーバとアクセスドメインを介して通信ネットワークにアクセスするユーザ機器との間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵をアプリケーションサーバに配信する方法であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにユーザ機器とホームドメインとの間でAKA(Authentication and Key Agreement)手順を実行し、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部を使用する工程と、
鍵材料の少なくとも一部を使用してホームドメイン内で1つ以上のアプリケーション鍵を導出し、アプリケーション鍵をアプリケーションサーバに提供し、ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有し、
アクセスエンフォースメントポイントはアプリケーション鍵を導出できないか又はアプリケーション鍵に対するアクセス権を有することができないことを特徴とする方法が提供される。
【0020】
本明細書で使用される用語「ユーザ機器」は、特定のプロトコル又はネットワークアーキテクチャに限定されない。ユーザ機器は、ユーザ端末とSubscriber Identity Moduleカードとの組み合わせであってもよく、又はユーザ端末のみであってもよい。本発明の機能性は、ユーザ端末上のみで実現されてもよく、又はユーザ端末とSubscriber Identity Moduleカードとの組み合わせ上で実現されてもよい。
【0021】
AKA手順の実行は、ユーザ機器をホームドメインに登録又は再登録する際に行われるのが好ましい。これは、加入者を登録することによりアクセス保護を確立するため及びアプリケーション鍵が導出される鍵材料を確立するための双方のために、手順を一度だけ実行する必要があるという利点を有する。
【0022】
アクセスエンフォースメントポイントを介するドメインアクセスは、アクセスエンフォースメントポイントコントローラにより制御されるのが好ましい。ユーザ機器とホームドメインとの間でAKA手順を実行する工程は、ランダム値を含む認証ベクトルとランダム値から導出可能な2次暗号鍵及び2次秘匿鍵とをホームドメインからアクセスエンフォースメントポイントコントローラへ送信し、ランダム値をユーザ機器に転送することを含む。ユーザ機器は、その後、1次暗号鍵及び1次秘匿鍵を生成するために第1の鍵導出関数をランダム値に適用し、2次暗号鍵及び2次秘匿鍵を生成するために第2の鍵導出関数を1次暗号鍵及び1次秘匿鍵に適用する。2次暗号鍵及び2次秘匿鍵は、アクセスエンフォースメントポイントコントローラによりアクセスエンフォースメントポイントに渡され、セキュアトンネルは、2次暗号鍵及び2次秘匿鍵に基づいてアクセスエンフォースメントポイントとユーザ機器との間に確立される。この場合、鍵材料はランダム値と2次暗号鍵及び2次秘匿鍵とを含む。
【0023】
アプリケーション鍵は、1次暗号鍵及び1次秘匿鍵のうちの一方又は双方を使用して、ユーザ機器及びホームドメインにおいて導出されるのが好ましい。
【0024】
本発明の一実施形態において、鍵材料は、第1のランダム値及び第2のランダム値と第1のランダム値から導出可能な第1の暗号鍵及び第1の秘匿鍵とを含み、方法は、ランダム値をアクセスエンフォースメントポイントコントローラからユーザ機器に転送する工程を有し、ユーザ機器は、第1の暗号鍵及び第1の秘匿鍵を生成するために第1の鍵導出関数を第1のランダム値に適用し、それによって、セキュアトンネルは、第1の暗号鍵及び第1の秘匿鍵に基づいてアクセスエンフォースメントポイントとユーザ機器との間に確立される。
【0025】
アプリケーション鍵は、第2のランダム値を使用してユーザ機器において及びホームドメイン内で導出されてもよい。
【0026】
方法は、第2のランダム値から第2の暗号鍵及び第2の秘匿鍵を導出し、その後、アプリケーション鍵を生成するために鍵導出関数を第2の暗号鍵及び第2の秘匿鍵に適用する工程を有してもよい。
【0027】
ホームドメイン内及びユーザ機器においてアプリケーション鍵を導出する工程は、鍵材料の少なくとも一部からアプリケーションサービス鍵を導出するために、ホームドメインとユーザ機器との間で共有される秘密を利用する工程を有してもよい。
【0028】
アプリケーションサービス鍵は、鍵導出関数を暗号鍵及び秘匿鍵とサービスノード識別子とに適用することにより導出されてもよい。
【0029】
アクセスエンフォースメントポイントは、IPマルチメディアサブシステム(IMS)のプロキシコールセッション制御機能(P−CSCF)内に提供されてもよい。アクセスエンフォースメントポイントコントローラは、プロキシコールセッション制御機能内に更に提供されてもよい。ホームドメイン内において、サービングコールセッション制御機能(S−CSCF)は、AKA手順をホーム加入者サーバと関連して処理する役割を有する。
【0030】
アクセスエンフォースメントポイント及びアクセスエンフォースメントポイントコントローラは、2G又は3GネットワークのサービングGPRSサポートノード(SGSN)内にあってもよい。回路交換ドメインの場合、アクセスエンフォースメントポイントは無線ネットワークコントローラ内にあってもよく、この場合、アクセスエンフォースメントポイントコントローラはビジターロケーションレジスタ内にある。
【0031】
アクセスネットワークがLong Term Evolution(LTE)アクセスネットワークを含む場合、アクセスエンフォースメントポイントは、ユーザプレーンエンティティ(UPE)/移動性管理エンティティ(MME)/eNodeBであってもよく、アクセスエンフォースメントポイントコントローラはMMEである。尚、これは3GPPにおいて暫定的にのみ決定されている。
【0032】
ユーザ証明書管理サーバは、ホーム加入者サーバとアクセスエンフォースメントポイントコントローラとの間に設けられてもよい。このサーバの役割は、2次暗号鍵及び2次秘匿鍵を導出すること及び要求時にアプリケーション鍵をアプリケーションサーバに提供することである。
【0033】
本発明の第2の面によると、アプリケーションサーバとアクセスドメインを介して通信ネットワークにアクセスするユーザ機器との間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵をアプリケーションサーバに配信するネットワーク系装置であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにユーザ機器と共にAKA手順を実行し、それによって、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部が使用される手段と、
鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、アプリケーション鍵をアプリケーションサーバに提供し、鍵材料によってユーザ機器はアプリケーション鍵を同様に導出できるがアクセスエンフォースメントポイントは鍵を導出できない手段と、
を具備することを特徴とする装置が提供される。
【0034】
本発明の第3の面によると、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにホームドメインと共にAKA手順を実行し、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部を使用する手段と、
鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、アプリケーションサーバとの通信トンネルをセキュリティ保護するためにアプリケーション鍵を使用する手段と、
を具備することを特徴とするユーザ機器が提供される。
【0035】
本発明の第4の面によると、アプリケーションサーバとアクセスドメインを介して通信ネットワークにアクセスするユーザ機器との間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵をアプリケーションサーバに配信する方法であって、
ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにユーザ機器とホームドメインとの間でAKA手順を実行し、ユーザ機器とアクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために鍵材料の少なくとも一部を使用する工程と、
鍵材料の少なくとも一部を使用してアクセスエンフォースメントポイントにおいて1つ以上のアプリケーション鍵を導出し、アプリケーション鍵をアプリケーションサーバに提供し、ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有することを特徴とする方法が提供される。
【発明を実施するための最良の形態】
【0036】
本発明の他の面は添付の請求の範囲において特定される。
【0037】
2G/3Gコアネットワークアクセス及びIMSアクセスドメインの双方の場合において、AKAプロトコル及びGBAプロコルを図1〜図5を参照して上述した。最初にIMSの場合において、次にSAE/LTE高性能3Gネットワークの場合において、AKAの再実行を必要とせずにGBAを実現できる機構を以下に説明する。
【0038】
図4を参照して既に上述したように、セキュアIPsecトンネルは、暗号鍵CK及び秘匿鍵IKに基づいて、ユーザ機器(UE)とP−CSCFとの間に確立される。S−CSCFが更なる鍵CK’及びIK’を以下のように導出する場合を以下に考察する。
【0039】
CK’=KDF(CK,P_CSCF_ID)
IK'=KDF(IK,P_CSCF_ID)
式中、KDFは鍵導出関数(例えば、GBAに対して定義されるような関数)である。S−CSCFは、CK及びIKをP−CSCFに提供するのではなく、導出された鍵CK’及びIK’をIPsecトンネルに対して使用する鍵として提供する。しかしながら、S−CSCFによりP−CSCFを介してUEに提供されるRAND値は、1次鍵CK及びIKを生成するのに使用されたRAND値のままである。従って、UEは、関数KDFと導出された鍵CK’及びIK’とを使用してCK及びIKを生成できる。
【0040】
詳細な処理のステップを図6に示す。
・UEはSIP Register(SIPレジスタ)をS−CSCFへ送信する。
・S−CSCFは、認証ベクトルAV=(RAND、CK、IK、XRES、AUTN)をHSSから取り出す。
・S−CSCFは、例えば以下のような任意のKDFを使用して、2つの新規の鍵CK’及びIK’をそれぞれCK及びIKから導出する。
CK’=KDF(CK,P_CSCF_ID)
IK'=KDF(IK,P_CSCF_ID)
・S−CSCFは、P−CSCFに対する新規の特別なAV’=(RAND、CK’、IK’、XRES、AUTN)を作成する。
・P−CSCFはAV’を受信し、RAND/AUTNをUEに転送する(このステップを図6に丸1で示す)。
・UEはRAND/AUTNを受信し、このタプルをISIMを介して実行する。この動作の結果、UEはISIMからCK及びIKを取り戻す。ここで、UEは、CK’及びIK’を計算するために、S−CSCFにより使用されたのと同一のKDFを適用する。このステップを図中に丸2で示す。
・UE及びP−CSCFは、CK’及びIK’に基づいてIPsecトンネルを確立する。
・図中に丸3で示すステップにおいて、UEは、通信を希望する特定のNAFに対するサービス専用鍵Ks_NAFを導出する。これは、先に使用されたものと潜在的に同一のKDFをCK、IK及びNAF_IDに適用することにより実行されてもよい。あるいは、Ks_NAFは、例えば以下のように、KDFを鍵CK”及びIK”とNAF_IDとに適用することにより導出される:
CK"=KDF(CK,<some GBA ID>,<other param>)
IK"=KDF(IK,<some GBA ID>,<other param>)
CK”及びIK”を導出する理由は、NAFがUEとNAFとの間で使用されるセキュリティプロトコルに対する別個の秘匿鍵及び暗号化鍵を有することを希望する場合があるからである。その場合、NAFはCK”及びIK”を直接使用できる。<some GBA ID>パラメータは、高性能GBAシステムを識別するIDであり(例えば、文字列「eGBA」又は文字列「eGBA@operator.com」)、生成された鍵をこの特定の鍵配布システムに結び付けるため及び潜在的な鍵の衝突を回避するために使用される。
・その後、UEはNAFに接触し、IMS登録の結果生じたCK/IKを一意に識別するアイデンティティをNAFに提供する。このアイデンティティは(GBAにおいては)B−TIDと呼ばれ、AKA手順中にBSFからUEに提供される。すなわち、このアイデンティティは、(AKAが実行される場合は)IMS登録手順中にS−CSCFにより提供される。
・NAFはS−CSCFに接触し、所定のB−TIDに対応するKs_NAFを要求する。
・S−CSCFは、UEが行なったのと同一の方法でCK及びIKからKs_NAFを導出する。S−CSCFは、Ks_NAFをNAFに返送する。例えば、Ks_NAF=KDF(CK",IK",NAF_ID,<other param>)である。
・この時点で、UE及びNAFは、Ks_NAFに基づいてセキュア接続を確立できる。
【0041】
この処理を実現するには、S−CSCFに対する変更及び場合によってはより重大なUEに対する変更が必要である。この変更は、ある特定のUEがGBA処理により提供される追加の機能性を利用することを要求しない場合であっても必要である。これは、従来のUEに対する単なるソフトウェアのアップグレードを含んでもよいが、更新が面倒な場合がある。この問題は、別の処理を実現することにより回避される。これは、RAND/AUTNの第2の対(すなわち、RAND’及びAUTN’)を初期IMS AKA交換に含むことを伴う。このように、UE及びS−CSCFは、2組の共有鍵(CK、IK及びCK’、IK’)を確立できる。第1の鍵の組はP−CSCFとUEとの間にIPsecトンネルを確立するのに使用され、第2の組はIMSアプリケーションサーバに対する鍵を導出するのに使用される。この別の処理を図7に示す。UEが高性能GBA機能性をサポートしない従来のUEの場合、UEはRAND’値及びAUTN’値を単に参照しないか又は無視し、RAND及びAUTNのみを通常通り処理する。
【0042】
詳細な処理ステップは以下の通りである:
・UEは、SIP RegisterをS−CSCFへ送信する。
・S−CSCFは、AV=(RAND、CK、IK、XRES、AUTN)及びAV’=(RAND’、CK’、IK’、XRES’、AUTN’)をHSSから取り出す。
・S−CSCFは、AV及びAV’をP−CSCFへ送信する。
・P−CSCFはAV及びAV’を受信し、RAND/AUTN及びRAND’/AUTN’をUEに転送する(このステップを図7に丸1で示す)。
・UEはRAND/AUTN及びRAND’/AUTN’を受信し、ISIMを介してRAND/AUTNを実行する。この動作の結果、UEはISIMからCK及びIKを取り戻す。UEは、CK及びIKを使用してP−CSCFとのIPsecトンネルを確立する。UEはISIMを介してRAND’/AUTN’を実行し、その結果、ISIMからCK’及びIK’を取り戻す。このステップを図中に丸2で示す。
・図中に丸3で示すステップにおいて、UEは、通信を希望する特定のNAFに対するサービス専用鍵Ks_NAFを導出する。これは、KDFをCK’、IK’及びNAF_IDに適用することにより実行される。
・UEはNAFに接触し、IMS登録の結果生じたCK’/IK’を一意に識別するアイデンティティ(例えばB−TID)をNAFに提供する。
・NAFはS−CSCFに接触し、所定のB−TIDに対応するKs_NAFを要求する。
・S−CSCFは、UEが行なったのと同一の方法でCK’及びIK’からKs_NAFを導出する。S−CSCFはKs_NAFをNAFに返送する。
・この時点で、UE及びNAFは、Ks_NAFに基づいてセキュア接続を確立できる。
【0043】
この別の方法も、高性能機能性が動作するためにS−CSCFに対する変更を必要とするが、RAND’/AUTN’は、従来のUEがネットワーク内で依然として機能できるように、すなわち、P−CSCFとのセキュアトンネルを確立できるように、初期IMS AKAに含まれる。例えば、RAND’/AUTN’は、従来のUEによって認識されない(従って、無視される)新規のSIPヘッダ内に存在してもよい。当然、従来のUEは、RAND’/AUTN’の組から導出される鍵を必要とするアプリケーションサーバに依然としてアクセスできない。
【0044】
更に別の処理において、アプリケーションサービス鍵は、従来のIMS AKA処理、すなわち図4に示すような処理に従い且つ結果として得られる鍵CK/IKをKDFを使用して後処理することにより導出される。これは、S−CSCF及びUEのみが知る更なる引数、すなわち共有秘密をKDFに含むことにより達成される。この場合も、P−CSCFはアプリケーションサービス鍵を導出できない。例えば、KDFの一部(又は全部)は、UE内のソフトSIM、あるいはUEによりアクセスされるスマートカード内の新規又は既存のSIMアプリケーションとして実現される。KDFは、例えば、通常のSIMアプリケーションをサブ機能として含むことができる。ネットワークの観点から、共有秘密は認証センタ(AuC)に格納される。これは、認証ベクトルを導出するために使用されるものと潜在的に同一の共有秘密である。これは、特定の関数(関数はAuCの一部であってもよく、又はS−CSCFにより供給されてもよい)を介して所定のRANDを実行した結果をAuCに要求できることを必要とする。また、共有秘密は、S−CSCFからの所定のRANDに対して関数を計算するためのクエリに応答する他の任意のデータベースに格納されてもよい。
【0045】
前の段落で説明した鍵導出ステップが通常のIMS登録の後に実行される場合、この解決策は従来のUEに影響を与えないが、当然、従来のUEはアプリケーションサービス鍵を導出できない。しかしながら、UEにおいて及びIMS内で重大な変更が必要とされるため、この別の処理は必ずしも最適ではない。
【0046】
S−CSCFは、登録中に受信される公開ユーザアイデンティティに基づいてアプリケーションサービス鍵の使用を制限してもよい。S−CSCFは、このために現在のIMS加入処理機構を再使用できる。ユーザがIMSに登録する場合、ユーザは1つ以上の公開アイデンティティを登録してもよく、そのうちのいくつかは禁止アイデンティティ(限定的な使用の場合以外は許可されない)として分類されてもよい。更に、S−CSCFは、アプリケーションサーバ(S−CSCFがAS鍵を要求するアプリケーションサーバ)から受信するアイデンティティと禁止アイデンティティとを比較することにより、禁止アイデンティティが高性能GBAにより使用されないことを保証できる。当然、S−CSCFは、他のサービスに対するユーザのアクセス権とは関係なく、高性能GBA機能性を所定のユーザ又は公開ユーザアイデンティティに対して許可するため又は許可しないためにローカルポリシーを適用してもよい。
【0047】
上述の方法は、アプリケーションサーバ(NAF)がS−CSCFのアイデンティティを知っており且つS−CSCFと通信可能であると想定する。これは、アプリケーションサーバがS−CSCFと同一のネットワーク内に位置する場合に当てはまる。しかしながら、これが当てはまらないこともあり、アプリケーションサーバは、例えば、P−CSCFと同一の訪問先ネットワーク内に位置してもよい。この場合、P−CSCFは訪問先ネットワーク内のASに対してBSF機能性を有してもよい。これを図8に示す。訪問先ネットワーク内のASは、AS鍵を入手するために、P−CSCFに接触するか又はローカルS−CSCF(非ローミングユーザの場合)に接触するかを判定できなければならない。ASは、UEにより与えられるSIP URI/IMPU又はB−TID(B−TIDはUEのホームオペレータの名称を含む)に基づいてこの判定を行うことができる。UEのホームオペレータは、GBA鍵(CK及びIK)をP−CSCFに配布するか否かを選択することにより、訪問先ASに対してローミングを許可するかを決定できる。図9は、この場合のメッセージの流れを示す。この第1の例の場合、2次鍵(CK”、IK”)の導出はP−CSCF内でローカルに行なわれる。最初に、UEとP−CSCFとの間のIPsecトンネルをセキュリティ保護するために、CK’及びIK’が導出される:
CK’=KDF(CK,UE_ID)
IK'=KDF(IK,UE_ID)
次に、CK”及びIK”が導出される:
CK"=KDF(CK,GBA−ID,<other param>)
IK"=KDF(IK,GBA−ID,<other param>)
CK”及びIK”は、AS鍵を(AS−SERV−IDを用いて)導出するために使用される。
【0048】
別個のクインテットがアクセスセキュリティ及びGBAに対して使用される場合、図10に詳細に示す処理になる。尚、この場合、CK”及びIK”はP−CSCFに配布され、P−CSCFは訪問先ネットワーク内の異なるローカルASに対するアプリケーションサービス(AS)鍵を導出できる。
【0049】
IMSにおける本発明の手順の実現は、以下に示す利点の1つ以上を提供してもよい:・サービス鍵を確立するためにGBAが本質的に必要ではないことによる実現の複雑性の低減、並びにUE、アプリケーションサーバ及びHSSにより必要とされるインタフェースの数の減少。
・セキュアIMSサービスが確立される前に必要な往復処理の数の減少。
・個別のサービスの鍵の間の厳密な鍵の分離。
・アクセス保護鍵とサービス鍵との暗号化による分離。
・IMSシステムによる他のアプリケーションサービスの厳密なポリシー制御。
・IMSアクセスとサービスアクセスとの相関性。
・アプリケーションサービスアクセスを許可するための追加のインフラストラクチャ要素又は追加のインタフェースの必要性の回避。
・アプリケーションサービスに対する透過性(Znインタフェースが影響を受けないような)。
【0050】
本発明の手順の適用はIMSに限定されない。図11は、現在考えられているSEA/LTE(System Architecture Evolution/Long Term Evolution)アクセスネットワークを用いて高性能化される3Gネットワークのシステム構成要素を概略的に示す。従来のネットワークにおけるユーザの認証は、パケット交換ドメイン内のSGSN及び回路交換ドメイン内のVLRによって処理される。移行の観点から、SGSN/VLRが新規の特徴を実現する必要がないことが重要である。従って、インタフェース「B」及び「C」を介するプロトコルは変更されていない。従って、Bインタフェースは、HLRとSGSN/VLRとの間の現在のインタフェースと同一である。新規のアクセスネットワークにおける認証は、鍵を必要とするネットワークエンティティに鍵を同様に配布する認証管理サーバ(AMS)により処理される。図示するアーキテクチャの例において、鍵は、ユーザプレーン(UP)のデータ保護及び2種類の制御プレーン(CP1、CP2)のデータ保護のために、新規のアクセスネットワークを使用するUE毎に必要とされる。
【0051】
ユーザ証明書マネージャサーバ(UCMS:User Credential Manager Server)は、HLR/AuCとAMSとの間及びHLR/AuCと従来のSGSN/VLRとの間に位置する新規のエンティティである。UCMSはBSFに類似する機能を実行し、提案される新規の機能性が使用される場合に、基本鍵を作成し、この鍵を使用してアクセスネットワークエンティティAMS及びVLRが必要とする鍵を導出する。また、UCMS内のBSFに類似する機能は、後段でNAFとUEとの間にサービス鍵を確立するために、NAFに対するZnインタフェース実現する(任意の中間エンティティがUCMSの代わりにZnインタフェースを提供する場合を除く)。UCMSは、従来のSIMを使用する認証と新規の高性能USIM(「XSIM」)が使用される場合とを区別する。XSIMが使用される場合、AMS又はSGSN/VLRにAV’を求める要求はBSFに類似する機能性をトリガする。一方、従来のSIMが使用される場合、UCMSは透過的なエンティティとして動作し、AMSSGSN/VLRとHLR/AuCとの間の要求及び応答を単に転送する。
【0052】
認証要求(Auth Req:Authentication Request)がUCMSにより受信される場合を考察する。UCMSは、要求がXSIMに関すると判定する。XSIMが使用されることは、例えば、IMSIの特別な範囲が使用される場合は加入者のIMSIから認識されてもよく、又はHLR/AuCからの応答において他の任意の方法、例えばAVの符号化で示されてもよい。UCMSは、BSFが通常のGBAトランザクションを処理するのと同様の方法でAVを処理する。UCMSは、AV内のCK及びIKから鍵Ksを形成する。すなわち、CK’=f(CK,IK)、IK'=g(CK,IK)、及びKs=h(CK,IK)である。ただし、一方向関数f、g及びhにおいて、f!=g!=hである。UCMSはKs及び関連するB−TIDを格納し、その後更なる暗号化鍵CK’及び秘匿鍵IK’を導出する。UCMSはベクトル(RAND、AUTN、CK’、IK’、XRES)をAMS又はSGSN/VLRに転送する。IMSの場合を参照して上述したように、AMS又はSGSN/VLRはRAND及びAUTNをUEに転送する。
【0053】
端末側において、RAND及びAUTNはXSIMに入力され、XSIMはCK及びIKのGBA導出を実行し、その後CK’及びIK’のGBA導出を実行し、アクセスネットワークにおける保護に使用される他の任意の必要な鍵のGBA導出を実行する。CK’及びIK’(並びに、他の任意の必要な鍵)はMEに配信される。KsはXSIMに格納され、UEがGBAに基づく任意のサービスの使用を希望する場合、IMSの場合を参照して上述したように、NAF専用鍵の更なる導出の基本となる。USIMはRESを生成し、これをAMS/VLRに返送する。AMS/VLRは、この値がXRESに一致することを確認する。一致する場合、AMS/VLRは鍵CK’及びIK’をEPに渡す。
【0054】
UEが現在のUMTSネットワークにおける情報の種類と同一種類の情報、すなわちRAND、AUTNを受信すること及びMEとXSIMとの間のインタフェースがREL−6インタフェースを使用してRAND、AUTNを送信し且つ結果をサブセットとして受信することが理解されるだろう。これは、この機構を使用可能なXSIMを有するREL−6UEが依然として機能することを意味する。
【0055】
図12の信号フローは、UEが認証及び鍵の確立の実行を希望する旨をネットワークに通知した後に行われる処理を示す。UEが既にネットワークにアタッチされている場合、ネットワークは、同一の信号フローに従って再認証手順を開始してもよい。
【0056】
処理ステップをより詳細に考察する。
【0057】
AMS又はSGSN/VLRは、認証処理の結果をUCMSに通知してもよい。この信号伝送は図12には示さないが、ホームネットワークがユーザの所在の記録を保持したい場合には必要である(これを以下に更に説明する)。加入者の現在のアタッチに関する情報がHLR内に保持される場合、UCMSはAMS又はSGSN/VLRからこの情報を受信する際にHLRを更新してもよい。
【0058】
上述の処理は、AuC/HLRがCK’及びIK’を導出できるようにすることにより変更されてもよい。このエンティティは、CK’、IK’及びKsを含む拡張AV(eAV)をUCMSに送信する。UCMSではなくAMS/VLRがCK’及びIK’に対する鍵導出を実行することも可能である。しかしながら、これは、AMS/VLRがKs及びそれから導出される全てのNAF専用鍵を更に導出できることを意味する。ある特定の信頼モデルの下で、これは許容可能であってもよい。
【0059】
場合によっては、UCMSエンティティを組み込むネットワークアーキテクチャがUCMSエンティティを組み込まないアーキテクチャと共存しなければならない場合が考えられる。そのような移行フェーズにおいて、新規の鍵導出を実行する必要があるか否かを示す通知をネットワークがXSIMに信号伝送することは有利である。このような信号伝送が行われる複数の方法がある。このような信号伝送が行われる2つの方法を以下に示す。
【0060】
1.AuCは、RAND内の特定ビットを常に0に設定する(例えばLSBとする)。UCMS内のBSF機能性は、新規の鍵導出が使用される場合はLSBを1に設定し、通常の鍵導出が実行される場合はLSBを0に設定する。XSIMが(RAND、AUTN)を受信すると、XSIMはどちらの鍵導出が実行されるかを確認するためにLSBを調べ、必要であればLSBを0にリセットして続行する。しかしながら、この方法の問題は、「ハッキングされた」電話を所有する悪意のあるユーザが、RAND、AUTNをXSIMに渡す前にRANDのLSBを0に設定できることである。XSIMは実際のCK/IKをMSに返送する。ユーザは、ネットワークにアクセスできるだけではなく、CK’及びIK’を導出することもでき、従って、任意のサービスをセキュリティ保護するために使用されるNAF鍵を導出できる。
【0061】
2.第2の方法は、例えば、偶数のシーケンス番号に基づく全てのAVが新規の鍵導出手順に使用され且つ奇数のシーケンス番号に基づく全てのAVが従来の鍵導出手順に使用されると指定することである。この方法の利点は、シーケンス番号がAuCとXSIMとの間で共有される鍵Kによって保護される秘匿性である。従って、攻撃者は解決策1で挙げられた攻撃と同様の攻撃を実行できない。しかしながら、欠点は、新規の鍵導出又は従来の鍵導出のみを使用するXSIMの場合、シーケンス番号の空間の半分が浪費されることである。
【0062】
加入者の認証が常にホームネットワークによって実行される場合、訪問先ネットワーク内のAMS又はSGSN/VLRはホームネットワーク内のUCMSとUEとの間の中継点として使用される。これは、AMS又はSGSN/VLRがオーセンティケータを介する通路の役割を想定するような、すなわち、それらが認証トラフィックのみを中継するような拡張可能認証プロトコル(EAP)AKAに非常に類似した動作になる。UEがUCMSにより認証されると、UCMSは鍵CK’及びIK’のみをAMS又はSGSN/VLRに転送する。UCMSが、例えば、CK’=KDF("visited_NW_name",CK)及びIK'=KDF("visited_NW_name",IK)によって、訪問先ネットワーク専用の鍵を導出することも可能である。これを図13に示す。当然、CK’及びIK’は、RAND値及びAUTN値と共に事前に送信される。
【0063】
訪問先ネットワーク内で認証が行われる場合、BSFは、通常通り(図12を参照)訪問先ネットワーク内のAMS又はSGSN/VLRと単純に対話する。当然、UCMSとAMS又はSGSN/VLRとの間の信号伝送は機密性を保護されなければならない。
【0064】
S−CSCFに常駐するBSFに類似する機能性とUCMSとが同一であるため、上述のIMS及びアクセスモデルは組み合わされてもよい。この場合、従来のS−CSCFを変更する必要はない。しかしながら、S−CSCFは通常のインタフェースをHSSに対して実行するのではなく、このインタフェースをUCMSに対して実行する。共通のUCMS機能は、別個のエンティティとしてHSSにおいて実現されてもよく、又はBSFと組み合わされてもよい。
【0065】
本発明の範囲を逸脱せずに、上述の実施形態に対して種々の変形が実施されてもよいことが当業者には理解されるだろう。例えば、新規の機能性を実現するために高性能USIM(すなわち、XSIM)を提供するのではなく、新規の機能性は、Ks及びB−TIDがMEに格納され且つMEが鍵導出を実行する高性能MSにおいて実現されてもよい。
【図面の簡単な説明】
【0066】
【図1】ユーザ機器とホームドメインとの間でアクセスネットワークを介して行なわれるパケットドメインにおけるAKA手順に関連付けられる信号伝送を示す図である。
【図2】GBAアーキテクチャを概略的に示す図である。
【図3】セルラ通信ネットワーク内のIPマルチメディアサブシステムアーキテクチャを概略的に示す図である。
【図4】ユーザ機器に対するIMS認証手順を示す図である。
【図5】汎用GBAアーキテクチャ及びIMSにマッピングされたGBAアーキテクチャを概略的に示す図である。
【図6】本発明の第1の実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図7】本発明の第2の実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図8】IMSのP−CSCFにおけるBSF機能性の実現を示すブロック図である。
【図9】本発明の更なる実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図10】本発明の更に別の実施形態に従って、UEとIMSのNAFとの間で共有される鍵情報を確立する処理を示す図である。
【図11】SAE/LTEアクセスネットワークを組み込んだ3Gネットワークを概略的に示す図である。
【図12】図11のネットワークにおいて認証がホームネットワークから訪問先ネットワークに委譲される初期鍵確立処理を示す図である。
【図13】図11のネットワークにおいて認証がホームネットワークを使用して実行される初期鍵確立処理を示す図である。
【特許請求の範囲】
【請求項1】
アプリケーションサーバと、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器と、の間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵を前記アプリケーションサーバに配信する方法であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするために前記ユーザ機器とホームドメインとの間でAKA(Authentication and Key Agreement)手順を実行し、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記鍵材料の少なくとも一部を使用して前記ホームドメイン内で1つ以上のアプリケーション鍵を導出し、前記アプリケーション鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有し、
前記アクセスエンフォースメントポイントは、前記アプリケーション鍵を導出できないか又は前記アプリケーション鍵に対するアクセス権を有することができない
ことを特徴とする方法。
【請求項2】
前記AKA手順の前記実行は、前記ユーザ機器を前記ホームドメインに登録又は再登録する際に行われることを特徴とする請求項1記載の方法。
【請求項3】
前記アクセスエンフォースメントポイントを介するドメインアクセスはアクセスエンフォースメントポイントコントローラにより制御され、前記ユーザ機器とホームドメインとの間でAKA手順を実行する前記工程は、
ランダム値を含む認証ベクトルと前記ランダム値から導出可能な2次暗号鍵及び2次秘匿鍵とを前記ホームドメインから前記アクセスエンフォースメントポイントコントローラへ送信し、前記ランダム値を前記ユーザ機器に転送する工程と、
前記2次暗号鍵及び前記2次秘匿鍵を前記アクセスエンフォースメントポイントコントローラから前記アクセスエンフォースメントポイントに渡す工程と、
前記ユーザ機器において、1次暗号鍵及び1次秘匿鍵を生成するために第1の鍵導出関数を前記ランダム値に適用し、前記2次暗号鍵及び前記2次秘匿鍵を生成するために第2の鍵導出関数を前記1次暗号鍵及び前記1次秘匿鍵に適用する工程と、
を有し、
それによって、前記2次暗号鍵及び前記2次秘匿鍵に基づいて前記アクセスエンフォースメントポイントと前記ユーザ機器との間にセキュアトンネルを確立することが可能である
ことを特徴とする請求項1又は2記載の方法。
【請求項4】
前記ユーザ機器及び前記ホームドメインにおいて、前記1次暗号鍵及び前記1次秘匿鍵のうちの一方又は双方を使用して前記アプリケーション鍵を導出する工程を有する
ことを特徴とする請求項3記載の方法。
【請求項5】
前記アクセスエンフォースメントポイントを介するドメインアクセスはアクセスエンフォースメントポイントコントローラにより制御され、前記鍵材料は、第1のランダム値と、第2のランダム値と、前記第1のランダム値から導出可能な1次暗号鍵及び1次秘匿鍵とを含み、
前記ランダム値を前記アクセスエンフォースメントポイントコントローラから前記ユーザ機器に転送する工程を有し、
前記ユーザ機器は1次暗号鍵及び1次秘匿鍵を生成するために第1の鍵導出関数を前記第1のランダム値に適用し、それによって、前記1次暗号鍵及び前記1次秘匿鍵に基づいて前記アクセスエンフォースメントポイントと前記ユーザ機器との間にセキュアトンネルを確立することが可能であるを特徴とする請求項1又は2記載の方法。
【請求項6】
前記ユーザ機器において及び前記ホームドメイン内で、前記第2のランダム値を使用して前記アプリケーション鍵を導出する工程を有することを特徴とする請求項5記載の方法。
【請求項7】
前記第2のランダム値から2次暗号鍵及び2次秘匿鍵を導出する工程と、その後、前記アプリケーション鍵を生成するために鍵導出関数を前記2次暗号鍵及び前記2次秘匿鍵に適用する工程とを有することを特徴とする請求項6記載の方法。
【請求項8】
前記ホームドメイン内及び前記ユーザ機器においてアプリケーション鍵を導出する前記工程は、前記アプリケーション鍵を導出するために、前記ホームドメインと前記ユーザ機器との間で共有される秘密を利用する工程を有することを特徴とする請求項5から7のいずれか1項に記載の方法。
【請求項9】
鍵導出関数を暗号鍵及び秘匿鍵とサービスノード識別子とに適用することにより前記アプリケーション鍵を導出する工程を有することを特徴とする請求項1から8のいずれか1項に記載の方法。
【請求項10】
前記アクセスエンフォースメントポイントは、IPマルチメディアサブシステムのプロキシコールセッション制御機能内にあることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項11】
前記アクセスエンフォースメントポイントコントローラは前記プロキシコールセッション制御機能内に提供され、サービングコールセッション制御機能は、前記ホームドメイン内において、前記AKA手順をホーム加入者サーバと関連して処理する役割を有することを特徴とする請求項10記載の方法。
【請求項12】
前記アクセスエンフォースメントポイントは、UMTSアクセスドメインのサービングGPRSサポートノード内にあることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項13】
前記アクセスエンフォースメントポイントコントローラは、前記サービングGPRSサポートノード内に提供されることを特徴とする請求項12記載の方法。
【請求項14】
前記アクセスエンフォースメントポイントは、UMTSアクセスドメインの無線ネットワークコントローラ内にあることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項15】
前記アクセスエンフォースメントポイントコントローラは、ビジターロケーションレジスタ内に提供されることを特徴とする請求項14記載の方法。
【請求項16】
前記アクセスドメインはLTE(Long Term Evolution)アクセスドメインを含み、前記アクセスエンフォースメントポイントはUPE/MME/eNodeBであることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項17】
前記アクセスエンフォースメントポイントコントローラはMME内に提供されることを特徴とする請求項16記載の方法。
【請求項18】
前記ホームドメインのホーム加入者サーバと前記アクセスエンフォースメントポイントコントローラとの間にユーザ証明書管理サーバを設けることを含み、このサーバが2次暗号鍵及び2次秘匿鍵を判定し、要求時にアプリケーション鍵をアプリケーションサーバに提供することを特徴とする請求項16又は17記載の方法。
【請求項19】
アプリケーションサーバと、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器と、の間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵を前記アプリケーションサーバに配信するネットワーク系装置であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするために前記ユーザ機器と共にAKA手順を実行し、それによって、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部が使用される手段と、
前記鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、前記アプリケーション鍵を前記アプリケーションサーバに提供し、前記鍵材料によって前記ユーザ機器は前記アプリケーション鍵を同様に導出できるが前記アクセスエンフォースメントポイントは前記鍵を導出できない手段と、
を具備することを特徴とする装置。
【請求項20】
アクセスドメインを介して通信ネットワークにアクセスするユーザ機器であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにホームドメインと共にAKA手順を実行し、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する手段と、
前記鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、アプリケーションサーバとの通信トンネルをセキュリティ保護するために前記アプリケーション鍵を使用する手段と、
を具備することを特徴とするユーザ機器。
【請求項21】
アプリケーションサーバと、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器と、の間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵を前記アプリケーションサーバに配信する方法であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするために前記ユーザ機器とホームドメインとの間でAKA手順を実行し、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記鍵材料の少なくとも一部を使用して前記アクセスエンフォースメントポイントにおいて1つ以上のアプリケーション鍵を導出し、前記アプリケーション鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有することを特徴とする方法。
【請求項22】
IPマルチメディアサブシステムネットワークを介するユーザ機器とアプリケーションサーバとの間の通信をセキュリティ保護する方法であって、
前記ユーザ機器及びプロキシコール状態制御機能に対して鍵材料を使用可能にするために前記ユーザ機器と前記IPマルチメディアサブシステムネットワークのサービングコール状態制御機能との間でAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記鍵材料の少なくとも一部を使用して前記サービングコール状態制御機能において少なくとも1つのアプリケーションサービス鍵を導出し、前記アプリケーションサービス鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーションサービス鍵を導出する工程と、
を有し、
前記プロキシコール状態制御機能は前記アプリケーションサービス鍵を導出できないことを特徴とする方法。
【請求項23】
前記鍵材料はランダム値と前記ランダム値から導出可能な第2の暗号鍵及び第2の秘匿鍵とを含み、
前記方法はこれらの値を前記サービングコール状態制御機能から前記プロキシコール状態制御機能に提供する工程を有し、
前記プロキシコール状態制御機能は前記ランダム値を前記ユーザ機器に転送し、前記ユーザ機器は、第1の暗号鍵及び第1の秘匿鍵を生成するために第1の鍵導出関数を前記ランダム値に適用し、前記第2の暗号鍵及び前記第2の秘匿鍵を生成するために第2の鍵導出関数を前記第1の暗号鍵及び前記第1の秘匿鍵に適用し、それによって、前記第2の暗号鍵及び前記第2の秘匿鍵に基づいて前記プロキシコール状態制御機能と前記ユーザ機器との間にセキュアトンネルを確立することが可能であることを特徴とする請求項22記載の方法。
【請求項24】
前記第2の暗号鍵及び前記第2の秘匿鍵は、前記ユーザ機器と前記サービングコール状態制御機能又は前記サービングコール状態制御機能に結合するノードとの間で共有される秘密及び前記ランダム値から導出可能であることを特徴とする請求項23記載の方法。
【請求項25】
前記第1の暗号鍵及び前記第1の秘匿鍵のうちの一方又は双方を使用して、前記ユーザ機器及び前記サービングコール状態制御機能において前記アプリケーションサービス鍵を導出する工程を有することを特徴とする請求項23又は24記載の方法。
【請求項26】
前記鍵材料は第1のランダム値及び第2のランダム値と前記第1のランダム値から導出可能な第1の暗号鍵及び第1の秘匿鍵とを含み、
前記方法は前記ランダム値を前記プロキシコール状態制御機能から前記ユーザ機器に転送することを有し、
前記ユーザ機器は第1の暗号鍵及び第1の秘匿鍵を生成するために第1の鍵導出関数を前記第1のランダム値に適用し、それによって、前記第1の暗号鍵及び前記第1の秘匿鍵に基づいて前記プロキシコール状態制御機能と前記ユーザ機器との間にセキュアトンネルを確立することが可能であることを特徴とする請求項22記載の方法。
【請求項27】
前記アプリケーションサービス鍵は、前記ユーザ機器及び前記サービングコール状態制御機能において前記第2のランダム値を使用して導出されることを特徴とする請求項26記載の方法。
【請求項28】
前記第2のランダム値から第2の暗号鍵及び第2の秘匿鍵を導出する工程と、その後、前記アプリケーションサービス鍵を生成するために鍵導出関数を前記第2の暗号鍵及び前記第2の秘匿鍵に適用する工程とを有することを特徴とする請求項27記載の方法。
【請求項29】
前記サービングコール状態制御機能及び前記ユーザ機器においてアプリケーションサービス鍵を導出する前記工程は、前記鍵材料の少なくとも一部から前記アプリケーションサービス鍵を導出するために、前記サービングコール状態制御機能又は前記サービングコール状態制御機能に結合されるノードと前記ユーザ機器との間で共有される秘密を利用する工程を有することを特徴とする請求項22記載の方法。
【請求項30】
前記アプリケーションサービス鍵は、鍵導出関数を暗号鍵及び秘匿鍵とサービスノード識別子とに適用することにより導出されることを特徴とする請求項22から29のいずれか1項に記載の方法。
【請求項31】
IPマルチメディアサブシステムを介してアプリケーションサーバとのセキュア通信リンクを確立するユーザ機器であって、
前記ユーザ機器及びプロキシコール状態制御機能に対して鍵材料を使用可能にするために前記IPマルチメディアサブシステムネットワークのサービングコール状態制御機能と共にAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する手段と、
前記鍵材料の少なくとも一部を使用して少なくとも1つのアプリケーションサービス鍵を導出し、その場合、前記プロキシコール状態制御機能は前記アプリケーションサービス鍵を導出できない手段と、
前記アプリケーションサービス鍵を使用して前記アプリケーションサーバとのセキュア通信リンクを確立する手段と、
を具備することを特徴とするユーザ機器。
【請求項32】
IPマルチメディアサブシステムネットワークを介するユーザ機器とアプリケーションサーバとの間の通信をセキュリティ保護する方法であって、
前記ユーザ機器及びプロキシコール状態制御機能に対して鍵材料を使用可能にするために前記ユーザ機器と前記IPマルチメディアサブシステムネットワークのサービングコール状態制御機能との間でAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記プロキシコール状態制御機能において前記鍵材料の少なくとも一部を使用して少なくとも1つのアプリケーションサービス鍵を導出し、前記アプリケーションサービス鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーションサービス鍵を導出し、それによって、前記ユーザ機器と前記アプリケーションサーバとの間のセキュア通信が容易になる、工程と、
を有することを特徴とする方法。
【請求項33】
IPマルチメディアサブシステムにおいて使用するためのプロキシコール状態制御機能ノードであって、
ユーザ機器及び前記プロキシコール状態制御機能に対して鍵材料を使用可能にするために前記ユーザ機器及びサービスコール状態制御機能と共にAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する手段と、
前記プロキシコール状態制御機能において前記鍵材料の少なくとも一部を使用して少なくとも1つのアプリケーションサービス鍵を導出し、前記ユーザ機器と前記アプリケーションサーバとの間にセキュア通信を提供するために前記アプリケーションサービス鍵を前記アプリケーションサーバに提供する手段と、
を具備することを特徴とするノード。
【請求項34】
IPマルチメディアサブシステムネットワークを介するユーザ機器とアプリケーションサーバとの間の通信をセキュリティ保護する方法であって、
前記アプリケーションサーバが前記ユーザ機器のホームネットワーク内に位置する場合、ユーザ機器と前記アプリケーションサーバとの間の通信をセキュリティ保護するために請求項1記載の方法を採用する工程と、
前記アプリケーションサーバが訪問先ネットワーク内に位置する場合、ユーザ機器と前記アプリケーションサーバとの間の通信をセキュリティ保護するために請求項10記載の方法を採用する工程と、
を有することを特徴とする方法。
【請求項1】
アプリケーションサーバと、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器と、の間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵を前記アプリケーションサーバに配信する方法であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするために前記ユーザ機器とホームドメインとの間でAKA(Authentication and Key Agreement)手順を実行し、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記鍵材料の少なくとも一部を使用して前記ホームドメイン内で1つ以上のアプリケーション鍵を導出し、前記アプリケーション鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有し、
前記アクセスエンフォースメントポイントは、前記アプリケーション鍵を導出できないか又は前記アプリケーション鍵に対するアクセス権を有することができない
ことを特徴とする方法。
【請求項2】
前記AKA手順の前記実行は、前記ユーザ機器を前記ホームドメインに登録又は再登録する際に行われることを特徴とする請求項1記載の方法。
【請求項3】
前記アクセスエンフォースメントポイントを介するドメインアクセスはアクセスエンフォースメントポイントコントローラにより制御され、前記ユーザ機器とホームドメインとの間でAKA手順を実行する前記工程は、
ランダム値を含む認証ベクトルと前記ランダム値から導出可能な2次暗号鍵及び2次秘匿鍵とを前記ホームドメインから前記アクセスエンフォースメントポイントコントローラへ送信し、前記ランダム値を前記ユーザ機器に転送する工程と、
前記2次暗号鍵及び前記2次秘匿鍵を前記アクセスエンフォースメントポイントコントローラから前記アクセスエンフォースメントポイントに渡す工程と、
前記ユーザ機器において、1次暗号鍵及び1次秘匿鍵を生成するために第1の鍵導出関数を前記ランダム値に適用し、前記2次暗号鍵及び前記2次秘匿鍵を生成するために第2の鍵導出関数を前記1次暗号鍵及び前記1次秘匿鍵に適用する工程と、
を有し、
それによって、前記2次暗号鍵及び前記2次秘匿鍵に基づいて前記アクセスエンフォースメントポイントと前記ユーザ機器との間にセキュアトンネルを確立することが可能である
ことを特徴とする請求項1又は2記載の方法。
【請求項4】
前記ユーザ機器及び前記ホームドメインにおいて、前記1次暗号鍵及び前記1次秘匿鍵のうちの一方又は双方を使用して前記アプリケーション鍵を導出する工程を有する
ことを特徴とする請求項3記載の方法。
【請求項5】
前記アクセスエンフォースメントポイントを介するドメインアクセスはアクセスエンフォースメントポイントコントローラにより制御され、前記鍵材料は、第1のランダム値と、第2のランダム値と、前記第1のランダム値から導出可能な1次暗号鍵及び1次秘匿鍵とを含み、
前記ランダム値を前記アクセスエンフォースメントポイントコントローラから前記ユーザ機器に転送する工程を有し、
前記ユーザ機器は1次暗号鍵及び1次秘匿鍵を生成するために第1の鍵導出関数を前記第1のランダム値に適用し、それによって、前記1次暗号鍵及び前記1次秘匿鍵に基づいて前記アクセスエンフォースメントポイントと前記ユーザ機器との間にセキュアトンネルを確立することが可能であるを特徴とする請求項1又は2記載の方法。
【請求項6】
前記ユーザ機器において及び前記ホームドメイン内で、前記第2のランダム値を使用して前記アプリケーション鍵を導出する工程を有することを特徴とする請求項5記載の方法。
【請求項7】
前記第2のランダム値から2次暗号鍵及び2次秘匿鍵を導出する工程と、その後、前記アプリケーション鍵を生成するために鍵導出関数を前記2次暗号鍵及び前記2次秘匿鍵に適用する工程とを有することを特徴とする請求項6記載の方法。
【請求項8】
前記ホームドメイン内及び前記ユーザ機器においてアプリケーション鍵を導出する前記工程は、前記アプリケーション鍵を導出するために、前記ホームドメインと前記ユーザ機器との間で共有される秘密を利用する工程を有することを特徴とする請求項5から7のいずれか1項に記載の方法。
【請求項9】
鍵導出関数を暗号鍵及び秘匿鍵とサービスノード識別子とに適用することにより前記アプリケーション鍵を導出する工程を有することを特徴とする請求項1から8のいずれか1項に記載の方法。
【請求項10】
前記アクセスエンフォースメントポイントは、IPマルチメディアサブシステムのプロキシコールセッション制御機能内にあることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項11】
前記アクセスエンフォースメントポイントコントローラは前記プロキシコールセッション制御機能内に提供され、サービングコールセッション制御機能は、前記ホームドメイン内において、前記AKA手順をホーム加入者サーバと関連して処理する役割を有することを特徴とする請求項10記載の方法。
【請求項12】
前記アクセスエンフォースメントポイントは、UMTSアクセスドメインのサービングGPRSサポートノード内にあることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項13】
前記アクセスエンフォースメントポイントコントローラは、前記サービングGPRSサポートノード内に提供されることを特徴とする請求項12記載の方法。
【請求項14】
前記アクセスエンフォースメントポイントは、UMTSアクセスドメインの無線ネットワークコントローラ内にあることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項15】
前記アクセスエンフォースメントポイントコントローラは、ビジターロケーションレジスタ内に提供されることを特徴とする請求項14記載の方法。
【請求項16】
前記アクセスドメインはLTE(Long Term Evolution)アクセスドメインを含み、前記アクセスエンフォースメントポイントはUPE/MME/eNodeBであることを特徴とする請求項1から9のいずれか1項に記載の方法。
【請求項17】
前記アクセスエンフォースメントポイントコントローラはMME内に提供されることを特徴とする請求項16記載の方法。
【請求項18】
前記ホームドメインのホーム加入者サーバと前記アクセスエンフォースメントポイントコントローラとの間にユーザ証明書管理サーバを設けることを含み、このサーバが2次暗号鍵及び2次秘匿鍵を判定し、要求時にアプリケーション鍵をアプリケーションサーバに提供することを特徴とする請求項16又は17記載の方法。
【請求項19】
アプリケーションサーバと、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器と、の間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵を前記アプリケーションサーバに配信するネットワーク系装置であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするために前記ユーザ機器と共にAKA手順を実行し、それによって、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部が使用される手段と、
前記鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、前記アプリケーション鍵を前記アプリケーションサーバに提供し、前記鍵材料によって前記ユーザ機器は前記アプリケーション鍵を同様に導出できるが前記アクセスエンフォースメントポイントは前記鍵を導出できない手段と、
を具備することを特徴とする装置。
【請求項20】
アクセスドメインを介して通信ネットワークにアクセスするユーザ機器であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするためにホームドメインと共にAKA手順を実行し、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する手段と、
前記鍵材料の少なくとも一部を使用して1つ以上のアプリケーション鍵を導出し、アプリケーションサーバとの通信トンネルをセキュリティ保護するために前記アプリケーション鍵を使用する手段と、
を具備することを特徴とするユーザ機器。
【請求項21】
アプリケーションサーバと、アクセスドメインを介して通信ネットワークにアクセスするユーザ機器と、の間で交換されるデータをセキュリティ保護する際に使用するためのアプリケーション鍵を前記アプリケーションサーバに配信する方法であって、
前記ユーザ機器及びアクセスエンフォースメントポイントに対して鍵材料を使用可能にするために前記ユーザ機器とホームドメインとの間でAKA手順を実行し、前記ユーザ機器と前記アクセスエンフォースメントポイントとの間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記鍵材料の少なくとも一部を使用して前記アクセスエンフォースメントポイントにおいて1つ以上のアプリケーション鍵を導出し、前記アプリケーション鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーション鍵を導出する工程と、
を有することを特徴とする方法。
【請求項22】
IPマルチメディアサブシステムネットワークを介するユーザ機器とアプリケーションサーバとの間の通信をセキュリティ保護する方法であって、
前記ユーザ機器及びプロキシコール状態制御機能に対して鍵材料を使用可能にするために前記ユーザ機器と前記IPマルチメディアサブシステムネットワークのサービングコール状態制御機能との間でAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記鍵材料の少なくとも一部を使用して前記サービングコール状態制御機能において少なくとも1つのアプリケーションサービス鍵を導出し、前記アプリケーションサービス鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーションサービス鍵を導出する工程と、
を有し、
前記プロキシコール状態制御機能は前記アプリケーションサービス鍵を導出できないことを特徴とする方法。
【請求項23】
前記鍵材料はランダム値と前記ランダム値から導出可能な第2の暗号鍵及び第2の秘匿鍵とを含み、
前記方法はこれらの値を前記サービングコール状態制御機能から前記プロキシコール状態制御機能に提供する工程を有し、
前記プロキシコール状態制御機能は前記ランダム値を前記ユーザ機器に転送し、前記ユーザ機器は、第1の暗号鍵及び第1の秘匿鍵を生成するために第1の鍵導出関数を前記ランダム値に適用し、前記第2の暗号鍵及び前記第2の秘匿鍵を生成するために第2の鍵導出関数を前記第1の暗号鍵及び前記第1の秘匿鍵に適用し、それによって、前記第2の暗号鍵及び前記第2の秘匿鍵に基づいて前記プロキシコール状態制御機能と前記ユーザ機器との間にセキュアトンネルを確立することが可能であることを特徴とする請求項22記載の方法。
【請求項24】
前記第2の暗号鍵及び前記第2の秘匿鍵は、前記ユーザ機器と前記サービングコール状態制御機能又は前記サービングコール状態制御機能に結合するノードとの間で共有される秘密及び前記ランダム値から導出可能であることを特徴とする請求項23記載の方法。
【請求項25】
前記第1の暗号鍵及び前記第1の秘匿鍵のうちの一方又は双方を使用して、前記ユーザ機器及び前記サービングコール状態制御機能において前記アプリケーションサービス鍵を導出する工程を有することを特徴とする請求項23又は24記載の方法。
【請求項26】
前記鍵材料は第1のランダム値及び第2のランダム値と前記第1のランダム値から導出可能な第1の暗号鍵及び第1の秘匿鍵とを含み、
前記方法は前記ランダム値を前記プロキシコール状態制御機能から前記ユーザ機器に転送することを有し、
前記ユーザ機器は第1の暗号鍵及び第1の秘匿鍵を生成するために第1の鍵導出関数を前記第1のランダム値に適用し、それによって、前記第1の暗号鍵及び前記第1の秘匿鍵に基づいて前記プロキシコール状態制御機能と前記ユーザ機器との間にセキュアトンネルを確立することが可能であることを特徴とする請求項22記載の方法。
【請求項27】
前記アプリケーションサービス鍵は、前記ユーザ機器及び前記サービングコール状態制御機能において前記第2のランダム値を使用して導出されることを特徴とする請求項26記載の方法。
【請求項28】
前記第2のランダム値から第2の暗号鍵及び第2の秘匿鍵を導出する工程と、その後、前記アプリケーションサービス鍵を生成するために鍵導出関数を前記第2の暗号鍵及び前記第2の秘匿鍵に適用する工程とを有することを特徴とする請求項27記載の方法。
【請求項29】
前記サービングコール状態制御機能及び前記ユーザ機器においてアプリケーションサービス鍵を導出する前記工程は、前記鍵材料の少なくとも一部から前記アプリケーションサービス鍵を導出するために、前記サービングコール状態制御機能又は前記サービングコール状態制御機能に結合されるノードと前記ユーザ機器との間で共有される秘密を利用する工程を有することを特徴とする請求項22記載の方法。
【請求項30】
前記アプリケーションサービス鍵は、鍵導出関数を暗号鍵及び秘匿鍵とサービスノード識別子とに適用することにより導出されることを特徴とする請求項22から29のいずれか1項に記載の方法。
【請求項31】
IPマルチメディアサブシステムを介してアプリケーションサーバとのセキュア通信リンクを確立するユーザ機器であって、
前記ユーザ機器及びプロキシコール状態制御機能に対して鍵材料を使用可能にするために前記IPマルチメディアサブシステムネットワークのサービングコール状態制御機能と共にAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する手段と、
前記鍵材料の少なくとも一部を使用して少なくとも1つのアプリケーションサービス鍵を導出し、その場合、前記プロキシコール状態制御機能は前記アプリケーションサービス鍵を導出できない手段と、
前記アプリケーションサービス鍵を使用して前記アプリケーションサーバとのセキュア通信リンクを確立する手段と、
を具備することを特徴とするユーザ機器。
【請求項32】
IPマルチメディアサブシステムネットワークを介するユーザ機器とアプリケーションサーバとの間の通信をセキュリティ保護する方法であって、
前記ユーザ機器及びプロキシコール状態制御機能に対して鍵材料を使用可能にするために前記ユーザ機器と前記IPマルチメディアサブシステムネットワークのサービングコール状態制御機能との間でAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する工程と、
前記プロキシコール状態制御機能において前記鍵材料の少なくとも一部を使用して少なくとも1つのアプリケーションサービス鍵を導出し、前記アプリケーションサービス鍵を前記アプリケーションサーバに提供し、前記ユーザ機器において同一のアプリケーションサービス鍵を導出し、それによって、前記ユーザ機器と前記アプリケーションサーバとの間のセキュア通信が容易になる、工程と、
を有することを特徴とする方法。
【請求項33】
IPマルチメディアサブシステムにおいて使用するためのプロキシコール状態制御機能ノードであって、
ユーザ機器及び前記プロキシコール状態制御機能に対して鍵材料を使用可能にするために前記ユーザ機器及びサービスコール状態制御機能と共にAKA手順を実行し、前記ユーザ機器と前記プロキシコール状態制御機能との間の通信トンネルをセキュリティ保護するために前記鍵材料の少なくとも一部を使用する手段と、
前記プロキシコール状態制御機能において前記鍵材料の少なくとも一部を使用して少なくとも1つのアプリケーションサービス鍵を導出し、前記ユーザ機器と前記アプリケーションサーバとの間にセキュア通信を提供するために前記アプリケーションサービス鍵を前記アプリケーションサーバに提供する手段と、
を具備することを特徴とするノード。
【請求項34】
IPマルチメディアサブシステムネットワークを介するユーザ機器とアプリケーションサーバとの間の通信をセキュリティ保護する方法であって、
前記アプリケーションサーバが前記ユーザ機器のホームネットワーク内に位置する場合、ユーザ機器と前記アプリケーションサーバとの間の通信をセキュリティ保護するために請求項1記載の方法を採用する工程と、
前記アプリケーションサーバが訪問先ネットワーク内に位置する場合、ユーザ機器と前記アプリケーションサーバとの間の通信をセキュリティ保護するために請求項10記載の方法を採用する工程と、
を有することを特徴とする方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公表番号】特表2009−517937(P2009−517937A)
【公表日】平成21年4月30日(2009.4.30)
【国際特許分類】
【出願番号】特願2008−542684(P2008−542684)
【出願日】平成18年7月11日(2006.7.11)
【国際出願番号】PCT/EP2006/064107
【国際公開番号】WO2007/062882
【国際公開日】平成19年6月7日(2007.6.7)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
【公表日】平成21年4月30日(2009.4.30)
【国際特許分類】
【出願日】平成18年7月11日(2006.7.11)
【国際出願番号】PCT/EP2006/064107
【国際公開番号】WO2007/062882
【国際公開日】平成19年6月7日(2007.6.7)
【出願人】(598036300)テレフオンアクチーボラゲット エル エム エリクソン(パブル) (2,266)
【Fターム(参考)】
[ Back to top ]