UICCと端末との間のセキュア通信方法
本発明は、ワイヤレス通信システムに関する。3G UMTS携帯電話システムは、3Gモバイル端末とUMTSワイヤレスネットワーク(またはUTRAN)との間の通信経路をセキュアにするさまざまなセキュリティ手段の基礎またはルートとしてUSIM(UMTS subscriber identity module)アプリケーションを提供するUMTS integrated circuit card(UICC)と呼ばれるセキュアにされたスマートカードに依存する。例えば、内部鍵センター(IKC 1250)およびBootstrapping Server Function(BSF 1270)は、アプリケーションおよびNAF(network application function)に固有の複数のローカル鍵(Ks_local)が認証のために、そしてメッセージの暗号化および暗号化解除に使用される手順を可能にするなど、UICCによる端末と情報を交換する方法を開示する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワイヤレス通信に関し、より詳細には、UICCと端末との間のセキュア通信方法に関する。
【背景技術】
【0002】
UMTSセルラーワイヤレス通信システムのRelease 7において、標準化制定団体3GPP(3rd Generation Partnership Project)は、既存のAKA(authentication and key agreement)処理を強化する技術仕様TS 33.220−780を起草した。TS 33.220に記載された、より新しいAKA処理は、UICC(UMTS Integrated Circuit Card)およびHLR/HSS(Home Location Register/Home Subscriber System)を組み入れるWTRU(wireless transmit/receive unit)を伴う処理を指定する。
【0003】
図1は、AKA処理に対して想像されたネットワーク要素およびそれぞれのインターフェースを示す。BSF(bootstrapping server function)は、MNO(mobile network operator)の制御の下にあり、WTRUおよびHSSといっしょにGBA_U(UICCベースの強化を伴うGBA(generic bootstrapping architecture))に加わって、ネットワークとWTRUとの間の共有秘密を確立するネットワーク要素の一部である。NAF(network application function)は、ネットワーク要素の一部としてホスティングされて、WTRUとNAFとの間の通信経路をセキュアにする鍵を導出するために、GBAによって確立された共有秘密を使用する。SLF(subscriber location function)は、HSS(Home Subscriber System)の詳細を獲得するためにBSF(bootstrapping server function)によって使用され、このHSSの詳細は、BSFが事前定義のHSSによって構成または管理されないときに、必要な加入者固有データを含む。HSSは、すべてのUSS(user security setting)を格納して、加入者は、UICC上に複数のISIM(IP multimedia services identity module)アプリケーションかUSIM(user services identity module)アプリケーションかのどちらかを有する。HSSは、1つまたは複数のプライベートアイデンティティにマッピングできる1つまたは複数のGUSS(GBA user security setting)を含むことができる。Ubは、WTRUとBSFとの間の参照点を指す。WTRUとBSFとの間の相互認証手順は、この参照点で行われて、セッション鍵は、3GPP AKAインフラストラクチャに基づいてブートストラップされる。Uaは、WTRUと、アプリケーションプロトコルを保持するNAFとの間の参照点であり、参照点Ubを通じたHTTP Digest AKAの結果としてWTRUとBSFとの間で一致の鍵材料に基づいて鍵を導出することによってセキュアにされる。Znは、NAFとBSFとの間の参照点であり、(以前のUbを通じたHTTP Digest AKAプロトコル中に一致の)鍵材料およびアプリケーション固有のUSSをBSFから獲得するのにNAFによって使用される。Zhは、BSFとHSSとの間の参照点であり、認証情報およびGUSSをHSSから検索するのにBSFによって使用される。Dzは、BSFとSLFとの間の参照点であり、加入者固有情報を含むHSSの名前を検索するのにBSFによって使用される。
【0004】
2つの手順を、TS 33.220において検討する。1つ目は、GBA_U(UICCによって強化されたGBA)処理であり、2つ目は、セキュリティアソシエーション(SA)処理である。
【0005】
GBA_U処理において、UICCおよびBSFは、互いを相互に認証して、UICCとHLR/HSSとの間において共有される加入者認証鍵Kから導出することによって、GBA_U鍵と呼ばれる鍵Ksを確立する。
【0006】
図2を参照しながら、GBA_U処理のステップを示して、さらに、次のように説明する。MEは、ステップS1において、GBA_U処理を開始するためにHTTP要求をBSFに送信する。MEは、HTTP要求のusernameパラメーターフィールドにユーザーアイデンティティ(TMPI(temporary IP multimedia private identity)またはIMPI(IP Multimedia Private Identity))を挿入する。BSFは、ステップS2において、認証ベクトル(AV=RAND‖AUTN‖XRES‖CK‖IK)およびGUSS(GBA user security setting)をHLR/HSSから(参照点Zhを通じて)とってくる。ただし、
【0007】
【数1】
【0008】
である。次に、BSFは、MAC*
【0009】
【数2】
【0010】
を計算する。MACは、RANDおよびAUTNの保全性をセキュアにするのに使用される。BSFは、ステップS3において、HTTP 401 Unauthorized WWW−Authenticate: Digestメッセージにて、RANDおよびAUTN*(=SQN xor AK‖AMF‖MAC*)をMEに転送し、XRES、CK、およびIKを格納する。MEは、ステップS4において、受信したRANDおよびAUTN*を、HTTP 401 Unauthorized WWW−Authenticate: DigestメッセージにてUICCへ転送する。UICCは、ステップS5において、AKAアルゴリズムを実行する、すなわち、IKおよびXMACを計算し、次に、UICCは、AUTN(すなわち、
【0011】
【数3】
【0012】
)を検査して、チャレンジが認証されたネットワークからであることを検証する。すなわち、UICCは、CKおよびRESをさらに計算する。これは、セッション鍵CKおよびIKの作成に帰着する。ただし、BSFとUICCとの両方においてKs=CK‖IKである。UICCは、ステップS6において、RESをMEへ転送する。MEは、ステップS7において、別のHTTP要求をBSFへ送信し、このHTTP要求は、RESを使用して計算されたDigest AKAレスポンスを含む。BSFは、ステップS8において、受信したRESをXRESと比較することによって、UEの信頼性を検証して、ステップS9において、Ks=CK‖IKおよびブートストラッピングトランザクション識別子(B−TID)を作成する。BSFは、ステップS10において、認証の成功を示すために、B−TIDおよびKey Lifetimeを含む200 OKメッセージを送り返す。MEは、ステップS11において、B−TIDおよびKey LifetimeをUICCへ送信する。UICCは、ステップS12において、Ks=CK‖IK、B−TIDおよびKey Lifetimeを格納する。
【0013】
図2に示されたGBA_U処理の終わりに、UICCとBSFとの両方が、例えばセキュリティ・アソシエーション・ステージなどのより後のステージに必要な場合に、それぞれ、NAF(Network Access Function)固有鍵Ks_ext_NAFおよびKs_int_NAFを導出するのに、それらの両方が有しているKsを使用できる状態にある。これらの導出された鍵Ks_ext_NAFおよびKs_int_NAFは、後に、参照点Uaをセキュアにするのに使用される。Ks_ext_NAFは、UICCにおいて、Ks_ext_NAF=KDF(Ks,“gba−me”,RAND,IMPI,NAF_Id)として計算され、Ks_int_NAFは、UICCにおいて、Ks_int_NAF=KDF(Ks,“gba−u,RAND,IMPI,NAF_Id)として計算される。すなわち、NAF_Id=NAFのFQDN‖Uaセキュリティプロトコル識別子である。KDFは、TS 33.220−780 Annex Bに指定された鍵導出関数である。
【0014】
KsがGBA_U処理において確立された後に、セキュリティアソシエーション処理が、NAFとWTRUとの間で行われる。セキュリティアソシエーション処理の目的は、WTRUおよびNAFが、GBA鍵(Ks_int_NAFおよび/またはKs_ext_NAF)を使用するかどうかを決定することである。デフォルトにより、Ks_ext_NAFは、WTRUとNAFとの間においてパケットを暗号化するのに使用される鍵ストリームを後に導出するのに使用される。しかし、Ks_int_NAFまたはKs int_NAFとKs_ext_NAFとの両方が使用される場合には、これを、セキュリティアソシエーション処理において一致しなければならない。上記の一致が、デフォルト選択を覆すものであることを補足する。さらに、鍵選択指示を、アプリケーション固有USSにおいて指定できる。
【0015】
図3を参照するとセキュリティ・アソシエーション・ステップが示され、WTRU(ME)は、通信を開始する前に、(GBA_Uによって作成された)Ksが現存して最新であることを検査し、そうでない場合には、GBA_Uを初期化して、Ksを作成する。Ksが有効であって最新である場合には、MEは、ステップS1において、UICCからB−TIDを取り出し、UICCは、Ks_int/ext_NAF鍵を導出する。MEは、ステップS2において、アプリケーション要求の一部としてB−TIDをNAFに送信する。NAFは、ステップS3において、認証要求(B−TIDおよびNAF−IDを含む)をBSFに送信して、Zn参照点を介してB−TIDに対応する鍵を送信する。BSFは、ステップS4において、Ks_int_NAFおよびKs_ext_NAFを導出する。NAFは、GBA_U対応である場合に、ステップS4において両方の鍵を送付し、そうでない場合には、例えばブートストラップ時刻、鍵の有効期間等のある他の情報と一緒にKs_ext_NAFだけを供給する。次に、NAFは、USSがBSFから返される場合にはUSSを調べて、鍵選択指示が存在するかどうかを検査し(存在する場合には、USS内で指示された鍵(1つまたは複数)が使用される)、これらの鍵(1つまたは複数)を格納する。NAFは、ステップS7において、NAF鍵Ks_ext/int_NAFを現在有していることを示すアプリケーション回答(Application Answer)をWTRUに送信する。
【0016】
最近、3GPP TS 33.110−700により、UICCと端末との間のプラットフォームおよびアプリケーション固有鍵Ks_localの確立を提案された。上記の鍵は、UICCと端末との間のチャネルをセキュアにするのに、UICCおよび端末によって使用されることを意図される。
【0017】
図4において、端末がUICC保持デバイスの一部である場合の参照点のアーキテクチャを示す。図4のネットワーク要素は、UICCホスティングデバイスの提供を除いて、図1に示されたものと同一である。UICCと端末との間でKs_localを確立するプロトコルフローを、図5に示す。端末は、ステップS1において、B−TIDおよび対応する有効期間をUICCから取ってくることによって、有効なKs鍵がUICC内に存在するかどうかを検査する。有効な鍵ksがUICC内で使用可能ではない場合には、端末は、BSFとUICCとの間でKs鍵を確立するためにGBAブートストラッピング手順を要求する。次に、端末は、有効なKs_int_NAFが存在するかどうかを検査し、そうである場合には、NAF鍵センターに対応するNAF_IDのB−TID値を取り出すようにUICCに要求する。端末は、NAF_IDを有しない場合には、ステップS2においてその値を取り出すようにUICCに要求する。UICCは、ステップS3において、NAF鍵センターに対応するNAF_IDおよびB−TIDを戻す。端末およびNAF鍵センターは、ステップS4において、端末とNAF鍵センターとの間の証明書ベースの相互認証を用いて、HTTPSタイプのトンネルを確立する。端末は、ステップS5において、トンネルを介して「サービス要求」メッセージを送信し、このメッセージのペイロードは、B−TID、端末識別子(Terminal_ID)、スマートカード識別子(ICCID)、鍵Ks_localの確立を必要とするUICCアプリケーションのアプリケーション識別子(UICC_appli_ID)および端末アプリケーションのアプリケーション識別子(Terminal_appli_ID)、ならびに変数値RANDxを含む。アプリケーション固有鍵ではなくプラットフォーム固有鍵が望まれる場合には、パラメーターUICC_appli_IDおよびTerminal_appli_IDは、静的ASCII符号化ストリング“platform”と等しくなる。NAF鍵センターは、ステップS6において、端末ID/ICCIDがブラックリストに載せられていないかどうか、または鍵確立手順がターゲットにされたアプリケーションについて許可されるかどうかを判定する。これらの条件が満足されない場合には、NAF鍵センターは、適当なエラーコードを応答し、端末とのTLS接続を終了する。NAF鍵センターは、ステップS6において、BSFに連絡し、B−TIDおよびそれ自体のNAF_IDを信用証明書要求内で送信する(この要求の目的は、関連する鍵Ks_int_NAFおよびKs_ext_NAFを返すようにBSFに要求することである。Ks_localが、Ks_int_NAFだけから生成されることに留意されたい)。BSFは、Ks_int_NAFおよびKs_ext_NAFを導出し、ステップS7において、これらの鍵および例えばブートストラップ時刻、鍵の有効期間等の関連情報をNAF鍵センターに戻す。NAF鍵センターは、ステップS8において、UICCで使用される適切な16オクテットのcounter limitを生成して、端末において使用される導出された鍵Ks_localに鍵の有効期間を関連付ける。次に、NAF鍵センターは、次のように鍵導出関数(KDF)を使用して、Ks_int_NAFからKs_localを導出する。
Ks_local=KDF(Ks_int_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,counter limit)
【0018】
ステップS9において、NAF鍵センターは、ステップS4において確立されたHTTPSトンネルを介して、端末にB−TID、鍵の有効期間、およびcounter limitと一緒にKs_localを送付する。ステップS10において、端末は、それ自体のストレージに、Ks_localならびに鍵の有効期間、ICCID、Terminal_appli_ID、およびUICC_appli_IDなどの関連するパラメーターを格納する。ステップS11において、端末は、Ks_localを生成するようにUICCに要求し、UICCに鍵材料(NAF_ID、Terminal ID、Terminal_appli_ID、UICC_appli_ID、RANDx、およびcounter limit値)をMAC(=HMAC−SHA−256[Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Term_appli_ID‖UICC_appli_ID‖RANDX‖Counter Limit])と一緒に送信し、このMACは、16オクテット=128ビットに切り詰められる。UICCは、ステップS12において、Ks_int_NAFおよびB−TIDを取り出し、Ks_local=KDF(Ks_int_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,Counter Limit)を生成する。UICCは、MAC’=(HMAC−SHA−256[Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Terminal_appli_ID‖UICC_appli_ID‖RANDX‖Counter Limit])を計算し、このMAC’は、16オクテット=128ビットに切り詰められる。計算されたMAC’は、受信されたMACと比較される。MAC’およびMACが一致しない場合には、ステップS13において、失敗メッセージが端末に送り返される。MACとMAC’との間に一致がある場合には、Ks_localならびにTerminal_ID、Terminal_appli_ID、UICC_appli_ID、およびcounter limitなどの関連するパラメーターが、UICC内に格納される。ステップS13において、UICCは、Ks_localおよびMACアルゴリズムHMAC−SHA−256を使用して作成された、16オクテットに切り詰められた「検証成功メッセージ」を端末に返す。
【0019】
図5は、UICCと端末との間の鍵の確立を示す。TS33.110 v7.2.0からのローカル鍵確立処理は、HTTPSトンネルの確立に依存する(図5のステップS4を参照されたい)。TS33.110 v7.2.0において、HTTPSトンネルが、後にそのトンネルを設定する際に使用される公開鍵を証明する加入者証明書を使用して確立されることが指定されている。最近の3GPP仕様TS33.221 v7.0.0は、そのような加入者証明書が図6に示されたステップを使用して確立されるステップを指定する。
【0020】
図6のシーケンス図は、HTTPダイジェスト認証と共にPKCS(Public Key Cryptography Standard)#10を使用する時の証明書要求を説明するものである。ステップS1において、WTRUは、公開鍵基盤(PKI)ポータルに空のHTTP要求を送信する。PKIポータルは、ステップS2において、WWW−Authenticateヘッダーを含むHTTP応答コード401“Unauthorized”を使用して、認証チャレンジレスポンスを送信する。このヘッダーは、HTTPダイジェスト認証を使用するようにWTRUに指示する。WTRUは、usernameとしてBSFから受信したブートストラッピングトランザクション識別子(B−TID)およびNAF固有セッション鍵Ks_NAFを使用してAuthorizationヘッダー値を計算することによって、HTTP要求を生成する。証明書要求が、鍵の発信証明についてWIM(wireless identity module)アプリケーションによる余分な保証を必要とする場合には、WTRUは、鍵の発信証明生成に必要なパラメーターを含むWIMチャレンジ要求を生成する。WTRUは、ステップS4において、PKIポータルにHTTP要求を送信し、この要求にそのWIMチャレンジ要求を含める。ステップS5において、PKIポータルは、NAFとして働いて、要求を受信し、B−TIDを使用してBSFからNAF固有セッション鍵Ks_NAFを取ってくることと、Ks_NAFを使用して対応するダイジェスト値を計算することと、計算された値を認証ヘッダー内で受信された値と比較することとによって、認証ヘッダーを検証する。検証が成功であり、WIMアプリケーションの余分な保証が必要である場合には、PKIポータルは、PKIポータル固有ユーザー・セキュリティ・セッティングを使用して、WIMチャレンジレスポンスを計算することができる。PKIポータルは、ステップS6において、後続のPKCS#10要求生成に必要な追加パラメーターを含んでいるWIMチャレンジレスポンスを送り返す。PKIポータルは、セッション鍵Ks_NAFを使用して、このレスポンスを保全性保護し、認証することができる。WTRUは、ステップS7においてPKCS#10要求を生成し、ステップS8において、これを、HTTPダイジェスト要求を使用してPKIポータルに送信する。秘密鍵がWIMアプリケーション内に格納される場合に、MEは、WIMアプリケーションにAssuranceInfoを要求し、供給される場合にこれをPKCS#10要求に含める。エンロールメント要求は、PKCS #10証明書エンロールメントフォーマットに従う。この要求にAssuranceInfoを追加することは、OMAのECMA Script仕様で定義されている。AssuranceInfoは、鍵処理に関するproof of originを提供する(たとえば、WIMアプリケーションを識別し、鍵がその中に格納されていることの証明を提供する)。WTRUは、証明レスポンスの所望のフォーマットすなわち、証明書、証明書へのポインタ(たとえば、URL)、または完全な証明書チェーン(すなわち、発行された証明書から対応するルート証明書まで)を指示することができる。WTRUは、証明書エンロールメントに関するHTTP要求をPKIポータルに送信する。このエンロールメント要求は、次のようにならなければならない。
【0021】
【表1】
【0022】
ただし、<base URL>は、サーバ/プログラムを識別する。ラベル<indication>は、WTRUに関する所望のレスポンスタイプをPKIポータルに指示するのに使用される。可能な値は、加入者証明書のみの“single”、加入者証明書へのポインタの“pointer”、または完全な証明書チェーンの“chain”である。さらに、other URL parametersは、追加のオプションのURLパラメーターである。
【0023】
PKCS#10要求は、ステップS9において、PKIポータルによって処理される。PKIポータルが、認証局(CA)である場合には、証明書は、PKIポータルで生成される。PKIポータルが、CAではなく登録機関(RA)でしかない場合には、PKCS#10要求は、IETFのRFC 2797で指定されたCMCまたはIETFのRFC 2510およびIETFのRFC 2511で指定されたCMPなどの使用可能な任意のプロトコルを使用してCAに転送される。この場合に、PKCS#10要求が処理され、証明書が作成された後に、新しい証明書が、PKIポータルに返される。どちらの場合でも、PKIポータルは、ステップS10において、証明書、OMAのWireless PKI仕様(WPKI)のclause 7.4で定義された証明書へのポインタ、または発行された証明書からルート証明書までの完全な証明書チェーンを含むHTTP応答を生成する。このHTTP応答が、加入者証明書自体を含む場合には、このHTTP応答は、base64符号化されなければならず、次のように境界を定めることができる。
【0024】
【表2】
【0025】
このHTTP応答が、証明書へのポインタを含む場合には、OMAのWPKIのsubclause 7.3.5で定義されたCertResponse構造体を使用しなければならず、このHTTP応答は、次のように境界を定めることができる。
【0026】
【表3】
【0027】
このHTTP応答が、で定義されたPkiPath構造体内に完全な証明書チェーンを含み、base64符号化されなければならない場合には、
【0028】
【表4】
【0029】
証明書チェーンのcontent−typeヘッダー値は、“application/pkix−pkipath”である。PKIポータルは、証明書または証明書へのポインタがWTRUに送信される場合に、セッション鍵Ks_NAFを使用して、応答を保全性保護し、認証することができる。PKIポータルは、完全な証明書チェーンがWTRUに送信される場合に、保全性保護を使用し、応答を認証しなければならない。WTRUが加入者証明書または加入者証明書へのURLを受信する時に、それが、ステップS11において、ローカル証明書管理システムに格納される。
【0030】
(従来技術の問題)
GBA_U処理とセキュリティアソシエーション処理との両方が、プライバシ問題を有する。なぜならば、両方の処理で、UICCおよび端末が、それらの間ならびに端末とネットワーク(BSF、NAF)との間で、UICCと端末との間のセキュアローカルチャネルまたは端末とBSF(またはNAF)との間のセキュアチャネルが形成される前に、オープンチャネルを介して多数のパラメーターを交換するからである。たとえば、BSFからUICCへのAUTNおよびRANDなどのパラメーターの転送は、オープンチャネル上において平文の状態ある。UICCとBSFとの間の保全性保護が、認証情報(AUTN)および乱数(RAND)について提供され、このRANDは、ナンス(すなわち、それぞれ、メッセージ認証コード(MAC)(および想定MAC)(XMAC)ならびにユーザー応答(RES)および想定RES(XRES)の使用によってセキュリティエンジニアリングにおいて1回だけ使用される数またはビットストリームとして)を作動する。しかし、チャネルがオープンなので、スヌーピングの危険、プライバシに対する懸念の発生、暗号解析に起因する最終的なKの露出の危険がある。
【0031】
従来技術は、セッション鍵のオープンチャネル転送に起因する問題をさらに含む。UICCの内部で導出される(導出にKsまたはKs_NAFを使用して)セッション鍵は、後にセッションの暗号化または暗号化解除に端末によって使用するために、UICCから端末に転送され、セキュアにされないチャネル上で実行される。その結果、盗聴する能力のある者は、セッション鍵を傍受し、端末とネットワークとの間で交換されるメッセージを暗号化し、または暗号化解除することができる。この場合に、NAF鍵センターがローカル鍵(Ks_local)を導出し、その後、移送する(NAF鍵センターから)ために端末とNAF鍵センターとの間でHTTPSトンネルを確立するのに必要な、加入者証明書確立などの後続手順の多くが、漏洩の危険がある。ローカル鍵自体がHTTPSトンネルを介して移送されるので、セッション鍵の漏洩は、ローカル鍵の漏洩につながる。その後、ローカル鍵がリセットまたは電話ブートの後に消えずに残り、UICCと端末との間の情報の暗号化された転送に使用される場合に、その時に、すべてのそのような通信が、危険にさらされている。
【0032】
(ローカル鍵確立における問題)
TS 33.110−720に見られるKs_localを確立する手順は、次の問題を有する。
1)複数のOTA接続に起因する非効率性 − 端末は、Ks鍵を確立するためにワイヤレスGBA_U処理を完了しなければならない。それ自体はUICCとHSSとの間で共有される加入者秘密(K)に基づくKsから導出されるKs_localを確立しようとして、TS 33.110は、UICCと端末との間のKs_localが、もう一度、そのチャネルに使用されるアプリケーションを指定する各NAFについて、ワイヤレスプロトコルに従うための鍵確立手順を提案する。この規格は、それぞれが異なるNAFに固有の複数の異なるローカル鍵をこの形で生成することを可能にするので、複数のそのような鍵を確立したい場合には、多数のOTA手順を完了しなければならない。
2)情報プライバシの問題 − NAF_ID、terminal ID、Terminal_appli_ID、UICC_appli_ID、RANDx、およびCounter Limit値などの多数のパラメーターの値が、UICCと端末との間でオープンチャネルを介して転送される。これらのパラメーターの一部は、露出された場合に、プライバシの危険を提示する可能性がある。
3)NAF鍵センターと端末との間のHTTPSトンネルにおいて − 3GPP TS 33.110 V7.2.0(図5のステップS4およびS5を参照されたい)において、このトンネルは、証明書ベースの相互認証を使用して作成され、NAF鍵センターから端末へのKs_localおよび鍵材料の転送に使用されると想定される。加入者証明書を、端末またはUICCで動作するアプリケーションのいずれかに発行することができる。加入者証明書を確立するために必要な秘密鍵および公開鍵は、UICCの内部または端末上のいずれかに存在することができる。多くのこれらの場合において、秘密鍵もしくは公開鍵、加入者証明書、またはKs_ext_NAF鍵などの機密情報を、UICCと端末との間のセキュアにされないチャネルを介して転送する必要に起因するセキュリティ脆弱性がある。いくつかのシナリオおよびこれらのシナリオに関連する脆弱性を、下に示す。
【0033】
図7〜図9に、加入者証明書確立処理の3つの異なるシナリオを示す。
【0034】
図7に示されたシナリオA1において、秘密/公開鍵対が、端末にある。UICCは、HTTPセッションを介するPKI(=NAF)を用いる加入者証明書確立の責任を負う。GBA/GBA_U手順が既に行われたと仮定すると、Ks_NAF/Ks_ext_NAF鍵は、UICC上に存在する。シナリオA1の現在の解決策には、弱点がある。最も著しくは、ステップS5において、端末が、証明のための公開鍵をオープンチャネル上でUICCに送信しなければならない。さらに、UICCは、ステップS11において、オープンチャネルを通じて加入者証明書(HTTPSセッションに使用される)を端末へ送信する。
【0035】
図8に示されたシナリオA2において、秘密/公開鍵対が、端末にある。端末は、HTTPセッションを介するPKI(=NAF)を用いる加入者証明書確立の責任を負う。GBA/GBA_U手順が既に行われたと仮定すると、Ks_NAF/Ks_ext_NAF鍵は、ステップS1に示されているように、UICC上に存在する。シナリオA2の_現在の解決策に関連する弱点がある。最も著しくは、UICCが、ステップS1において、オープンチャネルを通じてKs_ext_NAF(端末は加入者証明書セッション中にHTTPダイジェストを妥当性検査するためにこれを必要とする)を端末に送信する。
【0036】
図9に示されたシナリオA3において、秘密/公開鍵対が、端末にある。端末は、HTTPセッションを介し、ステップS1からステップS11を介するPKI(=NAF)を用いる加入者証明書確立の責任を負う。GBA/GBA_U手順が既に行われたと仮定すると、Ks_NAF/Ks_ext_NAF鍵は、UICC上に存在する。端末は、ステップS1において、PKI(=NAF)を用いてセッション鍵KssによってセキュアにされたセキュアOTAチャネルを介してKs_ext_NAFを受信する。これが、Ks_ext_NAFがPKI(NAF)から端末に送信される場合に、規格の変更を仮定することを補足する。しかし、シナリオA3の現在の解決策に関連する弱点がある。現在、すべてのセッション鍵は、端末によって使用され、その結果、Ksは、S0に示されているように、現在の電話のアーキテクチャの下において、オープンチャネルを介してUICCによって端末に送信されなければならない。これは、盗聴者が、セッション鍵を傍受し、任意のメッセージ(加入者証明書処理メッセージを含む)を暗号化解除できることを意味する。この弱点(セッション鍵のあらわな転送)は、第1のAKA処理にすら影響する可能性がある一般的な問題である。ローカル鍵確立処理の2つの異なるシナリオを、図10〜図11に示す。
【0037】
図10に示されたシナリオB1において、秘密/公開鍵対が、端末にある。端末は、ステップS4において、処理A(TS 33.110)で確立された加入者証明書を使用するHTTPSトンネル確立の責任を負う。シナリオB1の現在の解決策の弱点がある。最も著しくは、端末は、ステップS10において、オープンチャネルを通じて証明書の公開鍵をUICCに送信する。さらに、UICCは、ステップS12において、オープンチャネルを介して加入者証明書(HTTPSセッションに使用される)を端末に送信する。
【0038】
図11に示されたシナリオB2において、秘密/公開鍵対が、UICCにある。端末は、ステップS5に示されているように、処理A(33.110)で確立された加入者証明書を使用するHTTPSトンネル確立の責任を負う。しかし、シナリオB1の現在の解決策に関連する弱点がある。最も著しくは、UICCと端末との間にセキュアチャネルがない。さらに、攻撃者は、加入者証明書および秘密鍵を傍受することができ(秘密鍵を、ステップS4に示されているように、UICCによってオープンチャネルを介して端末に送信しなければならないので)、これは、HTTPSトンネルを危険にさらす。加えて、ステップS13を参照すると、Ks_localが攻撃者に暴露される。
【発明の概要】
【0039】
3G UMTS携帯電話システムは、3Gモバイル端末とUMTSワイヤレスネットワーク(またはUTRAN)との間の通信経路をセキュアにするさまざまなセキュリティ手段の基礎またはルートとしてUSIM(UMTS subscriber identity module)アプリケーションを提供するUMTS integrated circuit card(UICC)と呼ばれるセキュアにされたスマートカードに依存する。
【0040】
UICCは、端末(ME)およびBSF(bootstrapping server function)と情報を交換し、ここで、それ自体はNAF固有鍵(Ks_int/ext_NAF)の複数のインスタンス化によって導出される、アプリケーションおよびNAF(network application function)に固有の複数のローカル鍵(Ks_local)が、UICCと端末(ME)との間のローカルチャネルを暗号化するのに使用される鍵を導出するのに使用され、NAFのそれぞれの鍵を導出するための複数のワイヤレス(OTA)手順が除去される。本明細書で提案される方法は、「バルク」手順でローカル鍵導出および複数のNAFとのセキュリティアソシエーションを可能にし、過度なOTA接続の必要を軽減する。
【0041】
本明細書において提案されるもう1つの概念が、内部鍵センター(Internal Key Center、IKC)の使用である。IKCは、仮の鍵材料ならびに最終的なKs_localを導出する機能に限れば、外部NAFの機能の一部に似た機能を有する、WTRU(ワイヤレス送受信器ユニット)内の信頼されるエンティティである。
【0042】
複数の実施形態オプションが、IKCについて提案される。一実施形態において、IKCが信頼され、NAF鍵センター機能の「複製」が可能であるという意味で端末として働くと同時に、Ks_localの生成に必要な機能(OTA通信機能など)およびデータを提供する。もう1つの実施形態において、IKCは、ME内の信頼されるエンティティとして働くが、端末とは別々であり、NAF鍵センターの代理として作動することができる。
【0043】
一緒にIKCの保全性および使用をセキュアにし、IKCがNAFなどの外部ネットワークエンティティの代理または置換としてセキュアに働くことを可能にする、信頼されるコンピューティングに基づく方法も提案される。
【0044】
本発明のより詳細な理解は、例として与えられ、添付図面に関連して理解されるべき、実施形態の次の説明から得ることができる。
【図面の簡単な説明】
【0045】
【図1】BSSを用いるブートストラップの参照モデルを示す図である。
【図2】UICCベースの強化を使用するGBA_Uブートストラップ手順を示すフローチャートである。
【図3】GBA_Uの実施の後のセキュリティアソシエーションの処理を示す図である。
【図4】端末がUICC保持デバイスの一部である参照モデルを示す図である。
【図5】UICCと端末との間での鍵の確立を示す図である。
【図6】HTTPダイジェスト認証と共にPKCS#10を使用する証明書要求を示す図である。
【図7】シナリオA1の加入者証明書処理を示す図である。
【図8】シナリオA2の加入者証明書処理を示す図である。
【図9】シナリオA3の加入者証明書処理を示す図である。
【図10】シナリオB1のローカル鍵確立処理を示す図である。
【図11】シナリオB2のローカル鍵確立処理を示す図である。
【図12a】セキュアワイヤレス通信システムを示す例のブロック図である。
【図12b】UICCおよびHLR/HSSがKUHを共有する場合を示す図である。
【図13】UICCおよびIKCが対称秘密鍵Ksym_UIを共有する時の実施形態を示す図である。
【図14】IKCによって実行される正しいKIHの識別および後続のTLS−PSKトンネル確立の処理を示す図である。
【図15】BSFによって実行される正しいKIHの識別および後続のTLS−PSKトンネル確立の処理を示す図である。
【図16】本開示で説明されるNAFとWTRUとの間のセキュリティアソシエーションを示す図である。
【図17】UICCと端末との間のKs_local確立の処理を示す図である)。
【図18】IKCならびにIKCが処理する鍵およびデータの保全性をセキュアにするMTMの方法を示す図である。
【図19】MTMが端末とIKCとの間に結合されるシステムを示す図である。
【発明を実施するための形態】
【0046】
(本明細書で使用される頭字語)
3GPP 3rd Generation Partnership Project
AK 匿名鍵(Anonymity Key)、AK=f5K(RAND)として計算される
AKA Authentication and Key Agreement
AUTN 認証トークン(Authentication token)
AV 認証ベクトル(Authentication Vector)
B−TID Bootstrapping Transaction Identifier
BSF Bootstrapping Server Function
CA 認証局(Certificate Authority)
CK 暗号鍵(Cipher Key)
FQDN 完全修飾ドメイン名(Fully Qualified Domain Name)
GAA Generic Authentication Architecture
GBA Generic Bootstrapping Architecture
GBA_ME MEベースのGBA
GBA_U UICCベースの強化を伴うGBA
GUSS GBA User Security Settings
HLR Home Location Register
HSS Home Subscriber System
HTTP ハイパーテキスト転送プロトコル(Hypertext Transport Protocol)
ICCID Integrated Circuit Card Identification
IK Integrity Key
IKC 内部鍵センター(Internal Key Center)
IMPI IP Multimedia Private Identity
KDF 鍵導出関数(Key Derivation Function)
K 加入者認証鍵(Subscriber Authentication Key)(TS33.105 sec 5.1.7.1)
Ks_IKC_NAF IKCと端末との間のセキュアローカルチャネルのためにUICCとIKCとの両方でローカル鍵を導出するための鍵材料として使用される、BSFで計算される提案される鍵
Ks_ext_NAF GBA_Uで導出される鍵
KIH 本発明でのIKCとHLR/HSSとの間の事前共有鍵
Ksym_UI UICCとIKCとの間の事前共有対称鍵
KUH 本発明でのUICCとHLR/HSSとの間の事前共有鍵
Ks_IKC_NAF NAF固有Ks_localの導出に使用するためにUICCおよびBSFで導出される
Ks_int_NAF UICCに残る、GBA_Uで導出される鍵
Ks_local 端末とUICCとの間で共有される、導出される鍵
MAC メッセージ認証コード(Message Authentication Code)
MACNAF 本新発明でNAFによって生成される(パート2中に)MAC
MACIKC 本新発明でIKCによって生成される(パート3中に)MAC
MACUICC 本新発明でUICCによって生成される(パート3中にMAC
MACUICC_SA 本新発明でUICCによって生成される(パート2中に)MAC
MNO Mobile Network Operator
MTM Mobile Trusted Module
NAF Network Application Function
NAI Network Access Identifier
OTA ワイヤレス(Over the Air)
PKI 公開鍵基盤(Public Key Infrastructure)
RAND ランダムチャレンジ(Random challenge)
RANDx Ks_local導出のためにIKCによって生成されるランダムチャレンジ
RANDy Ks_IKC_NAF導出のためにIKCによって生成されるランダムチャレンジ
RES ユーザー応答
SLF Subscriber Location Function
SQN シーケンス番号(Sequence Number)
TIB IKCとBSFとの間のTLSタイプトンネル
TUI UICCとIKCとの間のTLSタイプトンネル
TCG Trusted Computing Group
TLS トランスポート層セキュリティ(Transport Layer Security)
TMPI Temporary IP Multimedia Private Identity
USS User Security Setting
UE ユーザー機器(User equipment)
USIM User Services Identity Module
XMAC 認証および鍵一致に使用されるExpected(期待される)MAC
XRES Expected(期待される)ユーザー応答
【0047】
本明細書において以下に引用する場合、用語の「WTRU(ワイヤレス送受信ユニット)」は、ユーザー機器(UE)、移動局、固定のまたは移動の加入者ユニット、ポケットベル、携帯電話機、携帯情報端末(PDA)、コンピューター、またはワイヤレス環境で動作できるあらゆる他のタイプのユーザーデバイスを含むが、これらに限定はされない。本明細書において以下に引用する場合、用語の「基地局」は、Node−B、サイトコントローラ、アクセスポイント(AP)、またはワイヤレス環境で動作できる任意の他のタイプのインターフェースするデバイスを含むが、これらに限定はされない。下で示す詳細な説明において、用語MEは、端末と同義であり、これらの用語は、交換可能である。UEは、UICCおよび端末(またはME)を集合的に組み込む識別するのに使用される。信頼される携帯電話機(Trusted Mobile Phone)は、端末と同義であるが、TGCの意味で信頼される。電話機は、端末と同義である。リモートデバイスは、UEを識別し、ここで、そのUICCおよびUICCのリーダーは、UEを含む同一の物理パッケージングに存在するのではなく、たとえばUSBケーブル、ワイヤレス接続性、および類似物などのリモート接続を介してUEに接続される。
【0048】
前の問題を解決し、GBA_U、セキュリティアソシエーション、およびNAFの固有のローカル鍵Ks_localの確立などの既存処理のセキュリティと効率との両方を強化する、新しい方法を説明する。この方法は、仮定または要件の次のセットに基づく。
【0049】
仮定は、次のとおりである。
1.WTRUの内部のエンティティとして提供される内部鍵センター(IKC)は、外部NAF鍵センターの機能性に類似する機能性を有する。
a.後で検討される一実施形態において、IKCは、MEの通信機能(ネットワークおよびUICCへの)の責任をも負う。これに関して、IKCを、外部NAF鍵センターの追加機能性を有する端末と考えることができる。
b.IKCの仮定される機能性の詳細は、下で説明する。
2.IKCおよびHLR/HSSは、おそらくはその製造または販売の時に事前にプロビジョニングされる、事前共有秘密KIHを有する。
a.BSF(bootstrapping server function)は、HLR/HSSからKIHをセキュアに取り出すことができると仮定される。
b.KIHは、以下においてトンネルTIBと称する、IKCとBSFとの間のTransport Layer Security−Pre−Shared Key(TLS−PSK)トンネルを確立するのに使用される。
3−A.UICCおよびHLR/HSSは、UICCおよびHLR/HSSが既存GBA_U処理のためにそれらの間で既に共有する加入者秘密Kとは異なる秘密KUHを共有する。
a.BSFは、HLR/HSSからKUHをセキュアに取り出すことができると仮定される。
b.BSFは、TLS−PSKトンネルTIBを使用して、この鍵KUHをIKCにセキュアに暗号化して転送することができるとも仮定される。
c.KUHは、BSFからIKCに送付された後に、以下においてトンネルTUIと称する、UICCとIKCとの間のTLS−PSKトンネルを確立するのに使用され得る。トンネルTUIは、短いセキュリティ有効期間を有する場合があり、その結果、これを限られた時間の間に限って使用できるようになる。
3−B.UICCおよびHLR/HSSが秘密鍵KUHを共有する仮定3Aの代替として、UICCおよびIKCが、事前共有対称鍵Ksym_UIを事前にプロビジョニングされると仮定することができ、そのようなプロビジョニングは、製造または販売の時に提供される。
4−A.UICCは、共有秘密鍵KUHを使用してメッセージを暗号化し、暗号化解除することができる。
4−B.3−B仮定を使用して、UICCは、事前共有対称鍵Ksym_UIを使用してメッセージを暗号化し、暗号化解除することができる。
5−A.IKCは、共有秘密鍵KUHを使用してメッセージを暗号化し、暗号化解除することができる。
5−B.3−B仮定を使用して、IKCは、事前共有対称鍵Ksym_UIを使用してメッセージを暗号化し、暗号化解除することができる。
6.UICCおよびBSFは、両方とも、1つまたは複数の鍵Ks_IKC_NAFを導出することができ、この鍵は、それぞれがNAFのそれぞれに固有であり、NAF固有Ks_localの生成で使用される。
7.IKCおよびBSFは、1つのOTAアプリケーション応答交換で複数のNAFの鍵材料を交換することができる。
8.BSFは、IKCの識別情報(以下においてIKC_ID)の受信時に、以前に認証されたかこれから認証されると期待されるのいずれかであるUICC_IDを識別し、これらのおそらくは複数のUICC_IDを使用して、これらの認証されたまたは認証されると期待されるUICC_IDに対応するおそらくは複数の正しい鍵{KUH}を識別することができる。BSFは、集合{KUH}の鍵のうちの1つ、複数、またはすべてを、並列にまたは順番にのいずれかでIKCに送信し、IKCが、これらの鍵のうちのどれをホスティングされるUICCと共に使用すべきかをホスティングされるUICCと共にテストすることを可能にすることもできる。
9.TCGのMobile Trusted Module specification v1.0の仕様を満足するMTM(mobile trusted module)およびそれに関連するソフトウェアスタックは、WTRU内に存在し、UEは、TCGのTrusted Mobile Phone Reference Architecture specificationの仕様を満足する信頼される携帯電話機である。MTMは、IKCおよびUICCの状態の作成、検査、および検証の責任を負い、GBA_U手順、セキュリティアソシエーション手順、およびセキュアローカル鍵確立手順のためにIKCが処理する鍵およびデータのセキュアストレージの責任をも負う。
【0050】
(内部鍵センター(IKC))
一実施例において、IKCは、端末の一部であり、3Gエアインターフェースを使用してワイヤレスで通信でき、最終的にBSFと通信することができる。代替の実施例において、IKCを、端末とは完全に別々とすることができる。IKCは、信頼されるコンポーネントであり、その保全性および信頼性は、WTRU内のMTMによって検証可能である。MTMは、一実施例で、端末(またはWTRU)の一部である。端末(またはWTRU)の一部としてMTMとIKCとの両方を有する実施例において、ワイヤレス接続性を、有線接続性によって置換することができる。IKCは、それ自体とUICCとの間でならびにBSFと共にTLSタイプのトンネルを確立するために暗号機能を有する。これらのトンネルは、GBA_U手順およびセキュリティアソシエーションで、およびUICCと端末との間のセキュアチャネルの確立中にも、交換される情報の保全性および機密性をセキュアにするのに使用される。IKCは、BSFと共にTLS−PSKトンネルを確立することができる。BSFは、IKCと共にそのようなトンネルをサポートすることができると仮定される。本明細書で提案されるバージョンのパート1およびパート2のフェーズ中に、IKCは、従来技術のGBA_U手順およびセキュリティアソシエーション手順の実行のために端末に要求される機能、ならびに一方はIKCとUICCとの間、他方はIKCとBSFとの間の2つのTLSトンネルの作成および使用に必要な機能を実行する。本技法のパート3中に、IKCは、外部NAF鍵センターによって実行される機能に類似する機能を実行する。この機能は、1)counter limitの生成、2)それぞれがNAFに固有であり、NAF固有Ks_localを導出するのに使用される、乱数RANDx(1つまたは複数)およびRANDy(1つまたは複数)の1つまたは複数の対の生成、3)KDFを使用するKs_localの導出、ならびに4)IKCが端末とは完全に別々である場合の、端末へのKs_localの転送を含む。
【0051】
図12aに、上で述べた仮定に従って構成されたセキュアワイヤレス通信システムの例のブロック図を示す。このワイヤレス通信システムは、WTRU 1200を含む。WTRU 1200は、端末1210、モデム1220、およびラジオ(RF)ユニット1230を含む。端末1210は、MTM(mobile trusted module)1240および内部鍵センター(IKC)1250を含む。IKCユニット1250は、外部UICC 1260と通信するように構成される。RFユニット1230は、エアインターフェース1275を介してbootstrap server function(BSF)1270と通信するように構成される。BSF 1270は、HLR/HSS 1280と通信し、オプションで、他のNAF(network application function)(図示せず)と通信する。
【0052】
IKC手順を使用する改善された鍵導出およびセキュリティアソシエーション(SA)は、下で示すように、3つの部分に分割される。
【0053】
この手順の第1部分(パート1)は、図12に示された第1実施形態による改善されたGBA_U処理を使用する。従来の方法を超える1つの改善は、この処理が、今や、WTRU 1200内の新たに提案されるエンティティ、IKC 1250の制御の下で2つのTLSタイプチャネルを介して実行されることである。図12を参照すると、ステップS1において、IKC 1250は、IKC 1250とBSF 1270との間のTLS−PSKトンネルの確立の要求を送信する。この要求メッセージは、ペイロードとしてIKC 1250_IDを含む。次に、BSF 1270は、ステップS2において、HSS/HLRから事前共有鍵(KIHおよびKUH)を取り出す。KIHは、IKC 1250とBSF 1270との間でTLS−PSKトンネルを確立するのに使用され、KUHは、UICC 1260とIKC 1250との間でトンネルを確立するのに使用される。IKC 1250とBSF 1270との間のTLS−PSKトンネル(TIB)は、ステップS3において確立され、ここで、相互認証に基づく事前共有秘密(KIH)が使用される。BSF 1270は、ステップS4において、トンネルTIBを介してKUHをIKC 1250に送信する。UICC 1260およびIKC 1250は、ステップS5において、相互認証に基づく事前共有秘密(KUH)を使用して、TLS−PSKトンネル(TUI)を確立する。GBA_Uが行われ、これは、UICC 1260とBSF 1270との両方でのKsの確立につながる。最後に、GBA_U手順の終りに、Ks=CK‖IKが、BSF 1270(ステップS7aを参照されたい)およびUICC 1260(ステップS7bを参照されたい)で確立される。NAF_IDも、UICC 1260で、NAF_Id=NAFのFQDN‖Uaセキュリティプロトコル識別子として構成される。この手順において、UICC 1260は、秘密鍵KUHをHLR/HSS 1280と共有すると仮定される。
【0054】
代替として、図13に、UICC 1260が事前にプロビジョニングされる対称秘密鍵Ksym_UIをIKC 1250と直接に共有する(ステップS4を参照されたい)、変更されたBGA_Uのステップを示す。図12と異なるステップだけを、これから説明する。ステップS2において、共有鍵KIHだけが、BSF 1270に供給される。図13のステップS4において、Ksym_UIを使用してTLS−PSKトンネルを確立する。図13のステップS5は、図12のステップS6と同一である。図13のステップS6aおよびS6bは、図12のステップS7aおよびステップS7bと同一である。図13の代替手順は、UICC 1260およびIKC 1250が事前にプロビジョニングされる秘密鍵Ksym_UIを直接共有するという要件が、特定のUICC 1260と特定のIKC 1250との間に強い「バインディング」を不必要に作成する場合があり、上で説明した異なるタイプのデバイスでホスティングされるためのUICC 1260のポータビリティが、実施または管理がよりむずかしくなる可能性があるという点で、欠点を有する。
【0055】
図12に示された手順において、BSF 1270は、必要な場合に、所与のIKC 1250に関連付けられているまたは関連付けられると期待されるのいずれかとしてHLR/HSS 1280が知識を有することのできるUICC 1260に対応する複数の鍵{KUH}を収集するように構成される。BSF 1270は、これらの複数の鍵を送信することができ、その後、IKC 1250は、正しい鍵KUHが識別されるまで、UICC 1260と共にチャレンジレスポンスタイプの鍵検証手順を実行することができる。この手順の実施形態を、図14に示す。図13と異なるステップだけが説明され、ステップS2において、両方KIH複数鍵{KUH}をBSF 1270に供給する。IKC 1250は、UICC 1260にナンス‖hash(
【0056】
【数4】
【0057】
)を要求し(ステップS5)、その後、これを受信する(ステップS6)。各KUHを計算して(ステップS7)、UICC 1260とのTLS−PSKトンネルTUIを確立するための正しいKUHを見つける。
【0058】
図14において説明した処理に対する代替として、我々は、IKC 1250がBSF 1270から可能な鍵KUHのすべてを受信するの「ではない」鍵検証方法を提案する。IKC 1250は、UICC 1260から証拠鍵KUHを受信し(図15、ステップS4およびS5を参照されたい)、これをBSF 1270に渡し(ステップS6)、その後、BSF 1270は、図15のステップS6に示された、鍵の可能な集合{KUH}から正しい鍵を識別する手順を実行する。正しいKUHは、UICC 1260とのTLS−PSKトンネルの確立で使用するためにIKC 1250に渡される(ステップS7)。この方法は、BSF 1270が、複数の候補鍵のOTA開示の危険を冒さないという点で、図14に示された方法を超える利益を有する。
【0059】
図12bに示されたTLS−PSKトンネル確立手順において、IKC 1250からBSF 1270へのIKC 1250_IDの初期情報転送は、現在、物理層保護の上でのみ(すなわち、UIAセッション鍵およびUEAセッション鍵によってセキュアにされて)実行される。前に説明したように、そのようなセッション鍵が盗聴に脆弱である場合には、IKC 1250−IDも盗聴に脆弱になり、プライバシ開示をもたらす。
【0060】
IKC 1250のアイデンティティをセキュアにするために、図14においてオプションのステップを使用することができ、ここで、IKC 1250およびBSF 1270は、IKC 1250_IDならびにTLS−PSKトンネル確立処理中に交換される他の情報の公開鍵ベースの暗号化および暗号化解除を使用する。面倒またはセキュリティリスクに脆弱である場合がある証明書ベースの手法の代わりに、IKC 1250およびBSF 1270が、Diffie−Hellman(DH)鍵交換手順を使用してそれぞれの公開鍵を確立することを提案する。実際に、IKC 1250は、ネットワークからブロードキャストされる、かなり多い個数n個の異なる公開鍵を入手し、そこから1つを選択することができる。DH鍵交換プロトコルを、この目的に使用することができる。
【0061】
伝達者は、このプロトコルを適用して、公開鍵集合への、aなどの共通インデックスを計算する。これを達成するために、まず、ネットワークおよびIKC 1250は、公知の2つの値すなわち、非常に大きい素数pおよび体Fpの乗法群F*pの生成元gについて一致する。次に、ネットワークは、乱数RANDiを選択し、
【0062】
【数5】
【0063】
を計算し、
【0064】
【数6】
【0065】
をIKC 1250に送信する(1≦RANDi≦p−2)。次に、IKC 1250は、乱数FRESHを計算し、gFRESH≡gFRESH mod pを計算し、gFRESHをネットワークに送信する(1≦FRESH≦p−2)。次に、ネットワークは、
【0066】
【数7】
【0067】
を計算する。最後に、IKC 1250は、
【0068】
【数8】
【0069】
を計算する。
【0070】
k≡k’ mod pであることは、簡単に示される。IKC 1250およびネットワークは、両方ともk(0≦k<p)を計算済みであるが、単純にk modulo nを換算することによって、公開鍵の秘密インデックスaを計算することができる。すなわち、a≡k mod nである。公開鍵kaすなわちインデックスaに対応する公開鍵を使用して、IKC 1250は、IKC 1250_IDを含むメッセージを暗号化し、ネットワークは、kaに対応する秘密鍵を使用して、そのメッセージを暗号化解除することができる。
【0071】
IKC 1250_IDの機密性が達成されるのは、ネットワークがRANDiの唯一のプロセッサであり、IKC 1250がFRESHの唯一のプロセッサであり、この2つの通信参加者だけがkを計算できるからである。攻撃者は、離散対数問題の計算的実行不可能性によってセキュアにされる、これらの乱数値の両方を欠いている。
【0072】
メッセージ機構が、公開鍵集合の散布に関して暗示される。これを、簡単にセルブロードキャストメッセージング構造の一部にすることができる。しかし、ネットワークからIKC 1250への
【0073】
【数9】
【0074】
の送信およびIKC 1250からネットワークへの値gFRESHの送信のために、追加のメッセージ機構が必要である。これらの機構は、好ましくは、上で定義した公開値pおよびgに関するネットワーク/IKC 1250一致処理を含む。
【0075】
KUHと表される複数の鍵をIKC 1250に転送するネットワークに関して、成功のKUHが達成されるまで、鍵ごとに1回の反復的な相互(チャレンジ−レスポンス)認証処理を使用することができる。UICC 1260は、この認証がすべての鍵について失敗する場合に拒否される。
【0076】
上に説明した公開鍵のDH交換を、TLS−PSKトンネリング確立処理自体の一部として実行することもできる。この場合に、IKC 1250_IDは、TLS−PSKハンドシェーク処理でのIKC 1250からBSF 1270への初期交換メッセージに含まれる。TLS−PSK拡張に関するRFC 4279が、DH対応TLS−PSK手順について、次の4つの異なる暗号スイート(ciphersuite)を許容することに留意されたい。
1.TLS_DHE_PSK_WITH_RC4_128_SHA
2.TLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA
3.TLS_DHE_PSK_WITH_AES_128_CBC_SHA
4.TLS_DHE_PSK_WITH_AES_256_CBC_SHA
RC4アルゴリズムの既知の暗号強度問題に起因して、それぞれ3DES、AES128、またはAES256を用いる後の3つの暗号スイートだけを使用しなければならない。
【0077】
(パート2:NAFとUEとの間のセキュリティアソシエーション)
パート2は、UICC 1260とIKC 1250との間およびIKC 1250とBSF 1270との間の情報の交換をセキュアにするための2つのTLS−PSKトンネルの使用を介する従来技術の同一の名前の処理より優れたセキュリティアソシエーション処理である。追加の改善は、UICC 1260が、IKC 1250およびBSF 1270の助けを得て、バルク鍵確立機構で複数のNAFと共に鍵を確立できることである。
【0078】
図16を参照すると、パート2の詳細なステップが示されている。IKC 1250は、ステップS1において、UICC 1260に最新の有効なKsが存在するかどうかを検査し、そうである場合には、IKC 1250は、既に確立されたトンネル(TUI)を介してUICC 1260からB−TIDおよびNAF_ID(または、UICC 1260がそれとのセキュリティアソシエーションを確立することを望むNAFのある他のアイデンティティ)を取り出す。UICC 1260は、ステップS1の間にKs int/ext_NAF鍵をも導出する。Ksが最新でないか有効でない場合には、GBA_Uが、Ksの確立のために開始される。IKC 1250は、ステップS2において、トンネルTIBを介してBSF 1270にNAF_IDおよびB−TIDを転送する。BSF 1270は、ステップS3において、所望のNAF(図を単純にするために図16には1つのNAFだけが示されている)に認証要求を送信する。BSF 1270は、ステップS4において、NAFから認証レスポンスを受信する。NAFが認証される場合には、BSF 1270は、ステップS5において、NAF固有鍵(Ks_int/ext_NAF)を導出する。BSF 1270は、ステップS6において、ブートストラップ時刻および鍵の有効期間と一緒に、Ks_int/ext_NAFをすべてのNAFに転送する。ステップS7において、NAFのそれぞれは、Ks_int/ext_NAF、鍵の有効期間、およびブートストラップ時刻の受信を示す肯定応答メッセージをBSF 1270に送信する。BSF 1270は、これらのメッセージを集約し、ステップS8において、TLS−PSKトンネルTIBを介してIKC 1250にバルク・セキュリティ・アソシエーション・メッセージを送信し、このバルク・セキュリティ・アソシエーション・メッセージは、それに関してステップS5〜S7においてKs_int/ext_NAFが確立された特定のNAFにそれぞれが対応する複数のMACNAFを含む。MACNAFメッセージのそれぞれについて、MACNAF=HMAC−SHA−256(Ks_ext_NAF‖Ks_int_NAF‖NAF_ID‖GUSS)が、NAFごとに16オクテットに切り詰められる。IKC 1250は、ステップS9において、ステップS8の間にBSF 1270から受信したバルク・セキュリティ・アソシエーション・メッセージを、TLS−PSKチャネルTUIを介してUICC 1260に転送する。UICC 1260は、ステップS10において、NAFごとに、そのNAFに固有のMACUICC_SAを、16オクテットに切り詰められたMACUICC_SA=HMAC−SHA−256(Ks_ext_NAF‖Ks_int_NAF‖NAF_ID‖GUSS)になるように計算する。ステップS11において、バルク・セキュリティ・アソシエーション応答メッセージがUICC 1260によって生成され、このメッセージは、UICC 1260とすべてのNAFとの間のセキュリティアソシエーションのすべての成功および/または失敗を含む。失敗は、NAFのいずれかについて、MACIKCがそれに対応するMACUICC_SAと一致しない時に検出される。この失敗は、たとえば、“security association failure”‖NAF_IDなどのストリングによって示される。成功は、MACIKCがそれに対応するMACUICC_SAと一致する時に検出される。成功応答は、Ks_int/ext_NAF鍵およびMACアルゴリズムHMAC−SHA−256を使用するASCII符号化されたストリング“security association Successful”のメッセージ認証コード(MAC)を16オクテットに切り詰めたものを含む。ステップS11において、バルク・セキュリティ・アソシエーション応答メッセージが、IKC 1250を介し、TUIトンネルおよびTIBトンネルを介してBSF 1270まで送信される。BSF 1270は、ステップS12において、NAFのそれぞれに、そのNAFに固有のセキュリティアソシエーションの試みの失敗または成功の状況を送信する。成功の状況を受信したすべてのNAFは、ステップS13において、鍵(Ks_int/ext_NAF)、ブートストラップ時刻、および関連する鍵の有効期間を格納する。
【0079】
(パート3:端末とUICC 1260との間での鍵確立(Ks_local))
パート3は、UICC 1260と端末との間のローカル鍵確立の処理である。従来技術と比較したこのパートの利益は、次のとおりである。UICC 1260とIKC 1250との間およびIKC 1250とBSF 1270との間の情報の交換をセキュアにする2つのTLS−PSKトンネルの使用。第2に、UICC 1260および端末が、IKC 1250およびBSF 1270の助けを得て、従来技術で要求されるように端末が異なる外部NAF鍵センターとの複数のOTA接続を確立する必要なしに、それぞれが異なるNAFに固有の複数のローカル鍵を確立する。
【0080】
図17に、パート3の詳細なステップを示す。IKC 1250は、ステップS1において、最新の有効なKsがUICC 1260に存在するかどうかを検査する。そうである場合には、IKC 1250は、B−TIDおよび1つまたは複数のNAF_IDをUICC 1260から取り出す。最新のKsまたは有効なKsがないときには、新しいGBA_U処理を開始してKsを確立し、その後、B−TIDおよび1つまたは複数のNAF_IDが、IKC 1250によってUICC 1260から取り出される。上の手順のために必要なUICC 1260とIKC 1250との間の情報交換のすべてが、TLS−PSKトンネルTUIを介してもたらされる。IKC 1250は、ステップS2において、それぞれが要求されるNAFのNAF_IDに対応する1つまたは複数の鍵Ks_IKC 1250_NAFのアプリケーション要求をBSF 1270に送信する。IKC 1250は、B−TIDと、対応するRANDyナンスと一緒に1つまたは複数のNAF_IDとをも、TLS−PSKトンネルTIBを介して送信する。BSF 1270は、それぞれが要求されるNAFのそれぞれに固有の1つまたは複数のIKC 1250鍵Ks_IKC 1250_NAFを計算し、ここで、Ks_IKC 1250_NAF=KDF(Ks_int_NAF,RANDy)である。その後、BSF 1270は、ステップS3において、Ks_IKC 1250_NAF鍵およびそのそれぞれの(NAF固有)鍵の有効期間のすべてを含むアプリケーション応答をIKC 1250に送信する。IKC 1250は、ステップS4において、counter limit値(それぞれが要求されるNAFの関連する1つに固有)を生成し、1つまたは複数のローカル鍵Ks_localを導出し、ここで、Ks_local=KDF(Ks_IKC 1250_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,CounterLimit)である。ローカル鍵がプラットフォーム固有鍵である場合に、UICC_appli_IDオクテットストリングおよびTerminal_appli_IDオクテットストリングが、静的なASCII符号化されたストリング“platform”と等しくなるようにセットされることに留意されたい。IKC1250は、ステップS5において、NAF_IDに固有のKs_localを作成するようにUICC 1260に要求するアプリケーション要求メッセージを、トンネルTUIを介してUICC 1260に送信する。この要求のペイロードは、NAF_ID、Terminal_ID、Terminal_appli_ID、UICC_appli_ID、RANDx、RANDy、およびCounter Limit値を含む。端末は、MACIKCをも含め、このMACIKCは、16オクテットに切り詰められるMACIKC=HMAC−SHA−256(Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Term_appli_ID‖UICC_appli_ID‖RANDx‖RANDy‖CounterLimit)として計算される。これがプラットフォーム固有鍵である場合に、UICC_appli_IDオクテットストリングおよびTerminal_appli_IDオクテットストリングが、静的なASCII符号化されたストリング“platform”と等しくなるようにセットされることに留意されたい。UICC 1260は、受信されたNAF_IDに関連するKs_int_NAFおよびB−TIDを取り出し、当初に、Ks_IKC 1250_NAF=KDF(Ks_int_NAF,RANDy)に従ってKs_IKC 1250_NAFを導出し、その後、Ks_localを導出し、ここで、Ks_local=KDF(Ks_IKC 1250_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,Counter Limit)である。UICC 1260は、ステップS6において、16オクテットに切り詰められるMACUICC=HMAC−SHA−256(Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Term_appli_ID‖UICC_appli_ID‖RANDx‖RANDy‖Counter Limit)を計算し、これをMACIKCと比較することによって、端末から受信したMACIKC 1250値を検証する。MACUICCがMACIKCと等しくない場合には、UICC 1260は、鍵一致手順を終了し、Ks_local導出要求に応答するMAC検証失敗メッセージを返す。MACUICC=MACIKCの場合には、UICC 1260は、Ks_localおよび関連するパラメーター(Terminal_ID、Terminal_appli_ID、UICC_appli_ID、およびKs_local Counter Limit)を格納する。ステップS7において、UICC 1260は、鍵Ks_localおよびMACアルゴリズムHMAC−SHA−256を使用して、16オクテットに切り詰められる、ASCII符号化されたストリング“verification successful”のMACを含むKs_local導出応答を送信する。IKC 1250は、ステップS8において、Ks_localおよび鍵の有効期間を格納する。ローカル鍵Ks_localが要求されるNAFのそれぞれについて、ステップS4〜S8が繰り返される。
【0081】
上に説明した方法において、代替の実施形態に、事前共有鍵であるKUHおよびKIHは、直接に使用されるのではなく、事前共有秘密として使用され、実際の共有鍵は、これらの事前共有秘密から導出される。導出される共有鍵を更新することができる、すなわち、これらは、セッション鍵になる。この形で、KUHまたはKIHのいずれかから導出されたセッション鍵が暴露される場合であっても、秘密自体を、まだセキュアにすることができる。
【0082】
上に述べたTLS−PSKトンネルに引用すると、事前共有秘密を使用する認証される暗号化の他の方法を、代替として使用することができる。1つの代替の実施形態は、RADIUS(Remote Authentication Dial−In User Service)上でのEAP(拡張認証プロトコル)の使用を組み合わせる。そのような代替方法を、下にさらに説明され新たに提案されるプロトコルの3つすべてのパートに適用することができる。
【0083】
加えて、上に説明した手順において、TLSをトンネリングなしで使用することができる、すなわち、TLSは、暗号化および認証だけに使用され、認証には使用されない。
【0084】
上に説明した方法に行き渡る要件、すなわち事前に共有される秘密鍵、または事前に共有される秘密鍵から導出されるセッション鍵が、GBA_U処理、セキュリティアソシエーション処理、およびローカル鍵生成処理をセキュアにするのに使用されることは、ローカル鍵Ks_localを初めて生成しなければならない場合にのみ要求される。本明細書で提案される機構の保護の下で、ローカル鍵Ks_localが、生成され、UICC 1260と端末との両方でセキュアに存在するようにされ(電話機のパワーオフまたはUICCの除去の後であっても)、Ks_localが、NAF鍵センターで(管理のために)維持される場合には、後に、3つの処理のいずれかすなわち、GBA_U、セキュリティアソシエーション、またはローカル鍵導出処理がもう一度行われる必要がある時に、提案される手順を繰り返す必要はない。これは、そのような場合に、既に生成されセキュアに格納されたローカル鍵Ks_localを、本開示で提案される事前共有秘密(または鍵)の代わりに、オリジナルの変更されない処理(GBA_U、セキュリティアソシエーション、おおびローカル鍵導出)インストならびにNAF鍵センターでの情報フローの保全性および機密性をセキュアにするのに使用できるからである。
【0085】
上に提案された新しい方法は、わずかな変更を伴って、UICC 1260ホスティングデバイスとリモートデバイスとの間のチャネルを証券化する既存プロトコルにも適用可能である。
【0086】
(IKC 1250をセキュアにするためのMTMの使用)
UICC 1260と端末との間のセキュアチャネルに関する強化されたGBA_U、セキュリティアソシエーション、およびローカル鍵確立の提案される方法(上で説明したパート1、パート2、およびパート3を参照されたい)を実行するために、MTM(mobile trusted module)を携帯電話機(UE)上で使用して、内部鍵センター(IKC 1250)およびそれが扱い、処理するデータの保全性をセキュアにすることができる。
【0087】
図18に、MTM 1240をセクション4.3に説明した変更されたGBA_U処理(パート1)にどのように使用できるかを示す。MTM 1240は、主に、IKC 1250がGBA_U処理を続行する前にIKC 1250の保全性を検証するのに使用される。MTM 1240は、それ自体の中で(セキュアな不揮発性NVRAMの下で)またはIKC 1250とBSF 1270との間ならびにIKC 1250とUICC 1260との間のトンネリングに必要な鍵の暗号化に使用される暗号化鍵をセキュアにすることによってのいずれかで、セキュアに格納するのにも使用される。MTM 1240は、TLS−PSKトンネルでナンスとして使用される乱数を生成するのにも使用される。
【0088】
同様に、パート1(GBA_U)処理について上で説明したように、上で提案されたパート2(セキュリティアソシエーション)ステップおよびパート3(ローカル鍵生成)ステップを、類似する形でMTM 1240を使用することによって強化することもできる。MTM 1240は、処理のそれぞれの前にIKC 1250の保全性を検証し、鍵と、IKC 1250が生成またはUICC 1260およびBSF 1270などの他のエンティティからの受信のいずれかを行う他の機密材料とをセキュアにし、格納し、IKC 1250が取り出すことを可能にし、処理のそれぞれのナンスに使用される乱数を生成するのに使用される。
【0089】
図19に、端末およびIKC 1250を伴うMTM 1240の使用を示す。MTM 1240を、IKC 1250が端末とは別々である時に端末の保全性を検証するのに使用することもでき、この端末は、IKC 1250より信頼できず、セキュアでもないと考えられる。これは、端末が、UICC 1260とIKC 1250との間でUICC 1260および端末によって導出されたローカル鍵Ks_localをセキュアに取り出し、後に使用することを可能にする。図19を参照すると、UICC 1260とIKC 1250との間で導出された鍵Ks_localを使用して(パート3の終りを参照されたい)、IKC 1250は、MTM 1240内またはMTM 1240による暗号保護の下のいずれかでKs_localをセキュアに格納する。Ks_localから導出される任意のプラットフォーム固有鍵またはアプリケーション固有鍵も、MTM 1240によって同一の形でセキュアに格納される。端末(IKC 1250とは別々)が、Ks_localまたはそれから導出される鍵のいずれかを使用できる前に、端末は、ステップS1において、ローカル鍵の使用についてIKC 1250に要求する。IKC 1250は、ステップS2において、端末の保全性を検証するようにMTM 1240に要求する。MTM 1240は、ステップS3において、端末の保全性を検証する。端末の保全性が、ステップS3およびS4において、MTM 1240によって端末およびIKC 1250に対して検証された後に限って、IKC 1250は、ステップS5において、MTM 1240が端末とUICC 1260との間の通信に使用するために端末によって要求された鍵を公開することを認証する。ステップS6において、ローカル鍵(1つまたは複数)が、MTM 1240によって端末に公開される。端末は、ステップS7において、UICC 1260とのセキュアチャネル(1つまたは複数)を確立するのにそのローカル鍵を使用する。
【0090】
提案される解決策の利益のいくつかを、下で示す。図19のステップS2、S3、およびS4において、IKC 1250とBSF 1270との間での鍵および鍵材料の「バルク」転送および処理を可能にし、ここで、1つまたは複数のNAF用の材料を、そのNAFに固有のKs_local鍵を導出するために交換し、処理することができ、これによって、複数のNAFのKs_localの導出が従来技術に従って実行される場合に必要になるOTA手順の数が減る。第2に、UICC 1260とIKC 1250との間およびIKC 1250とBSF 1270との間で交換される情報は、今や、2つのTLS−PSKトンネルの使用に起因して、保全性と機密性との両方についてセキュアにされる。これは、上で説明した問題に起因する従来技術のプライバシリスクおよび潜在的なセキュリティリスクを軽減する。この利益は、ローカル鍵確立の処理だけではなく、GBA_U処理およびセキュリティアソシエーション処理にも適用可能である。第3に、どちらもが既存の加入者秘密Kまでトレース可能ではない別々の共有秘密KUIおよびKIHの使用は、UICC 1260およびHLR/HSS 1280によって共有される加入者秘密へのトンネリングの処理を分離し、これは、KUI鍵およびKIH鍵の潜在的漏洩が加入者秘密を暴露しないので、セキュリティリスクを減らす。第4に、IKC 1250の使用は、IKC 1250が、その信頼性がWTRU 1200上のMTM 1240によってセキュアにされる(検証可能かつ証明可能な)信頼されるエンティティなので、セキュリティの利益を加える。ローカル鍵(Ks_local)および鍵材料が、信頼されるIKC 1250によって処理されるので、また、IKC 1250が、この情報を保持するMTM 1240のセキュアストレージ機能ならびにRANDxおよびRANDyの作成用の乱数ジェネレータなどのMTM 1240のセキュアにされた機能を使用できるので、総合的な処理セキュリティが強化される。最後に、IKC 1250の(ならびに、IKC 1250および端末が別々のエンティティである時には端末の)保全性を検証し、鍵および鍵材料をセキュアに格納し、ナンスとして使用される乱数をセキュアに生成するためのMTM 1240の使用は、ローカル鍵を確立する処理(パート1からパート3)のセキュリティおよび信頼性を増し、端末が、IKC 1250およびUICC 1260によって生成されたローカル鍵を、そのローカル鍵の保全性がMTM 1240によって検証された後に限って使用することをも可能にする。
【0091】
本発明の特徴および要素は、望ましい実施形態において特定の組合せにより説明されるが、各特徴または要素を、望ましい実施形態の他の特徴および要素を伴わずに単独において、または本発明の他の特徴および要素を伴ってもしくは伴わずにさまざまな組合せにおいて使用することができる。本発明において提供される方法またはフローチャートは、汎用コンピューターまたはプロセッサによる実行のためにコンピューター読み取り可能な記憶媒体において明白に実装される、コンピュータープログラム、ソフトウェア、またはファームウェアに実装することができる。コンピューター読み取り可能な記憶媒体の例は、読み取り専用メモリ(ROM)、ランダム・アクセス・メモリ(RAM)、レジスター、キャッシュメモリ、半導体メモリデバイス、例えば内蔵ハードディスク、取外し可能なディスクなどの磁気媒体、光磁気媒体、および例えばCD−ROMディスク、デジタル多用途ディスク(DVD)などの光媒体を含む。
【0092】
適切なプロセッサは、たとえば、汎用プロセッサ、特殊目的プロセッサ、従来のプロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアに関連する1つまたは複数のマイクロプロセッサ、コントローラー、マイクロコントローラー、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲート・アレイ(FPGA)回路、他のすべての型の集積回路(IC)、および/または状態機械を含む。
【0093】
ソフトウェアに関連するプロセッサを使用して、WTRU(ワイヤレス送受信ユニット)、ユーザー機器(UE)、端末、ME、基地局、ワイヤレスネットワークコントローラ(RNC)、またはすべてのホストコンピューターにおいて使用されるラジオ周波数トランシーバーを実装することができる。WTRUは、例えば、カメラ、ビデオ・カメラ・モジュール、ビデオ電話機、スピーカホン、振動デバイス、スピーカー、マイクロホン、テレビジョントランシーバー、ハンズ・フリー・ヘッドセット、キーボード、Bluetooth(登録商標)モジュール、周波数変調(FM)ラジオユニット、液晶ディスプレイ(LCD)ディスプレイユニット、有機発光ダイオード(OLED)ディスプレイユニット、デジタル音楽プレイヤー、メディアプレイヤー、ビデオ・ゲーム・プレイヤー・モジュール、インターネットブラウザー、および/またはすべてのワイヤレス・ローカル・エリア・ネットワーク(WLAN)モジュールなどのハードウェアおよび/またはソフトウェアで実装されるモジュールに関連して使用される。
【0094】
(実施形態)
1.セキュア通信を確立する方法であって、
a)内部鍵センター(IKC)とBSF(bootstrapping server function)との間のTLS−PSKトンネルの確立を要求することと、
b)HSS/HLR(home subscriber system/home location register)から複数の事前共有鍵を取り出すことと、
c)IKCとBSFとの間のTLS−PSKトンネルを確立することと、
d)BSFから、トンネルを通じて複数の事前共有鍵のうち少なくとも1つをIKCに送信することと、
e)UICCとIKCとの間のTLS−PSKトンネルを確立することと、
f)UICCとBSFとの間の少なくとも1つの加入者認証鍵を確立することと
を備えた方法。
2.事前にプロビジョニングされる対称鍵をIKCにより直接に共有することをさらに備えた上記実施形態のいずれかにおける方法。
3.複数の鍵をIKCに送信することと、
正しい鍵が識別されるまでUICCを用いて妥当性検査することと
をさらに備えた上記実施形態のいずれかにおける方法。
4.妥当性検査することは、チャレンジ−レスポンスタイプの鍵検証を含む上記実施形態のいずれかにおける方法。
5.事前共有鍵の証拠をUICCから受信することと、
証拠をBSFに送信することと、
複数の事前共有鍵から正しい鍵を識別することと
をさらに含む上記実施形態のいずれかにおける方法。
6.要求メッセージを受信することであって、要求メッセージはペイロードとしてIKC識別子を含む、受信することをさらに含む上記実施形態のいずれかにおける方法。
7.事前共有鍵は、IKCとBSFとの間のTLS−PSKトンネルを確立するのに使用される上記実施形態のいずれかにおける方法。
8.事前共有鍵は、UICCとIKCとの間のトンネルを確立するのに使用される上記実施形態のいずれかにおける方法。
9.UICCによってNAF識別子を構成することをさらに含む上記実施形態のいずれかにおける方法。
10.IKCおよびBSFは、IKC識別子について公開鍵ベースの暗号化および公開鍵ベースの暗号化解除を使用する上記実施形態のいずれかにおける方法。
11.複数の異なる公開鍵から選択することであって、公開鍵は、ネットワークからブロードキャストされる、選択することをさらに含む上記実施形態のいずれかにおける方法。
12.Diffie−Hellman鍵交換プロトコルが使用される上記実施形態のいずれかにおける方法。
13.公開鍵への共通インデックスを計算する方法であって、
ネットワークおよびIKCによって2つの値について一致することであって、2つの値は、素数pおよび生成元gを含む、一致することと、
ネットワークが乱数(RANDi)を選択することと、
【0095】
【数10】
を計算することと、
ネットワークが
【0096】
【数11】
【0097】
をIKCに送信することと(1≦RANDi≦p−2)、
IKCが乱数(FRESH)を計算することであって、gFRESH≡gFRESH mod pである、計算することと、
gFRESHをネットワークに送信することと(1≦FRESH≦p−2)、
ネットワークが
【0098】
【数12】
【0099】
を計算することと、
IKCが
【0100】
【数13】
【0101】
を計算することと
を備えた方法。
14.IKC識別子を含んでいるメッセージを暗号化することをさらに備えた上記実施形態のいずれかにおける方法。
15.TLS−PSKトンネリング確立処理中に公開鍵を交換することをさらに備えた上記実施形態のいずれかにおける方法。
16.DH対応TLS−PSK用のTLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA暗号スイートをさらに備えた上記実施形態のいずれかにおける方法。
17.DH対応TLS−PSK用のTLS_DHE_PSK_WITH_AES_128_CBC_SHAをさらに備えた上記実施形態のいずれかにおける方法。
18.DH対応TLS−PSK用のTLS_DHE_PSK_WITH_AES_256_CBC_SHAをさらに備えた上記実施形態のいずれかにおける方法。
19.セキュリティアソシエーションの方法であって、
UICCとIKCとの間およびIKCとBSFとの間の情報を交換することであって、UICC、IKC、およびBSFは交換をセキュアにするのにTSL−PSKトンネルを使用する、交換すること
を備えた方法。
20.UICC上の有効な加入者認証鍵について検査することをさらに備えた上記実施形態のいずれかにおける方法。
21.UICCがそれとのセキュリティアソシエーションを確立することを望むNAFのアイデンティティデータを、確立されたトンネル(TUI)を介してUICCから取り出すことをさらに備えた上記実施形態のいずれかにおける方法。
22.UICCが複数のNAF固有鍵を導出することをさらに備えた上記実施形態のいずれかにおける方法。
23.加入者認証鍵の確立のためにUICCベースの強化を有するgeneral bootstrapping architecture(GBA_U)を開始することをさらに備えた上記実施形態のいずれかにおける方法。
24.複数のトンネルのうちの1つを介してIKCからBSFにアイデンティティデータを送信することをさらに備えた上記実施形態のいずれかにおける方法。
25.少なくとも1つのNAFに認証要求を送信することをさらに備えた上記実施形態のいずれかにおける方法。
26.BSFにおいてNAFから少なくとも1つの認証応答を受信することをさらに備えた上記実施形態のいずれかにおける方法。
27.BSFが複数のNAF固有鍵を導出することをさらに備えた上記実施形態のいずれかにおける方法。
28.複数のNAF固有鍵、ブートストラップ時刻、および鍵の有効期間をBSFから複数のNAFに転送することをさらに備えた上記実施形態のいずれかにおける方法。
29.NAFからBSFへ、NAF固有鍵、鍵の有効期間、およびブートストラップ時刻の受信を示す肯定応答メッセージを送信することをさらに備えた上記実施形態のいずれかにおける方法。
30.バルク・セキュリティ・アソシエーション・メッセージをBSFからIKCに送信することであって、バルク・セキュリティ・アソシエーション・メッセージはそれぞれが特定のNAFに対応する複数のNAFメッセージ認証コード(MACNAF)を含む、送信することをさらに備えた上記実施形態のいずれかにおける方法。
31.IKCがBSFから受信したバルク・セキュリティ・アソシエーション・メッセージをUICCに転送することをさらに備えた上記実施形態のいずれかにおける方法。
32.NAFに固有のMACUICC_SA atをUICCで計算することをさらに備えた上記実施形態のいずれかにおける方法。
33.UICCによってバルク・セキュリティ・アソシエーション応答メッセージを生成すること をさらに備えた上記実施形態のいずれかにおける方法。
34.NAFの対応するMACUICC_SAに対するMACIKCは一致しない場合に、セッションの失敗を検出することをさらに備えた上記実施形態のいずれかにおける方法。
35.MACIKCがそれに対応するMACUICC_SAと一致した場合に、成功を検出することをさらに備えた上記実施形態のいずれかにおける方法。
36.NAF固有鍵およびMACアルゴリズムを使用して成功応答を送信することをさらに備えた上記実施形態のいずれかにおける方法。
37.IKCを介し、複数のトンネルを介してバルク・セキュリティ・アソシエーション応答メッセージをBSFに送信することをさらに備えた上記実施形態のいずれかにおける方法。
38.BSFによって、セキュリティアソシエーションの試みの失敗または成功の状況をNAFに示すことをさらに備えた上記実施形態のいずれかにおける方法。
39.NAFで成功状況を受信することと、
NAF固有鍵、ブートストラップ時刻、および関連する鍵の有効期間を格納することと
をさらに備えた上記実施形態のいずれかにおける方法。
40.端末とUMTS Integrated Circuit Card(UICC)との間の鍵を確立する方法であって、
2つのTLS−PSKトンネルを使用してセキュアな形で情報を交換すること
を含むことを特徴とする方法。
41.内部鍵センター(IKC)によって、UICC上の少なくとも1つの有効な加入者認証鍵の存在を識別することと、
ブートストラッピングトランザクション識別子および少なくとも1つのNAF(network application function)識別子をUICCから取り出すことと
をさらに備えた上記実施形態のいずれかにおける方法。
42.少なくとも1つの加入者認証鍵を確立するためにUICCベースの強化を有するgeneral bootstrapping architecture(GBA_U)処理を開始することと、
ブートストラッピングトランザクション識別子および少なくとも1つのNAF識別子をUICCから取り出すことと
をさらに備えた上記実施形態のいずれかにおける方法。
43.UICCとIKCとの間のTLS−PSKトンネルを介して情報交換を送信することをさらに備えた上記実施形態のいずれかにおける方法。
44.それぞれが要求されるNAFのNAF識別子に対応する少なくとも1つのIKC鍵に関するアプリケーション要求をIKCからBSF(bootstrapping server function)に送信することと、
IKCはブートストラッピングトランザクション識別子および少なくとも1つのNAF識別子をKs_IKC_NAF(RANDy)ナンスについてICKによって生成された複数の対応するランダムチャレンジと一緒に送信することと
をさらに備えた上記実施形態のいずれかにおける方法。
45.それぞれが要求されるNAFのそれぞれに固有の少なくとも1つのIKC鍵を計算することをさらに備えた上記実施形態のいずれかにおける方法。
46.少なくとも1つのIKC鍵および鍵の有効期間を含んでいるアプリケーション応答をIKCに送信することをさらに備えた上記実施形態のいずれかにおける方法。
47.IKCが、少なくとも1つのcounter limit値を生成することと、
少なくとも1つのローカル鍵を導出することと
をさらに備えた上記実施形態のいずれかにおける方法。
48.IKCが、トンネルTUIを介してアプリケーション要求メッセージをUICCに送信することと、
NAF識別子に固有のローカル鍵を作成するようにUICCに要求することであって、要求は、NAF識別子、端末識別子、端末アプリケーション識別子、UICCアプリケーション識別子、およびcounter limit値を含む、要求することと
をさらに備えた上記実施形態のいずれかにおける方法。
49.端末がMACIKCを計算することをさらに備えた上記実施形態のいずれかにおける方法。
50.UICCが、受信されたNAF識別子に関連するKs_int_NAFおよびブートストラッピングトランザクション識別子を取り出すことをさらに備えた上記実施形態のいずれかにおける方法。
51.int_NAF鍵およびRANDyに基づいてIKC−NAF鍵を導出することをさらに備えた上記実施形態のいずれかにおける方法。
52.UICCがローカル鍵を導出することであって、ローカル鍵は、IKC−NAF鍵、ブートストラッピングトランザクション識別子、端末識別子、integrated circuit card identification(ICCID)、端末アプリケーション識別子、UICCアプリケーション識別子、RANDx、およびCounter Limitの関数として決定される、導出すること
をさらに備えた上記実施形態のいずれかにおける方法。
53.UICCが端末から受信されたMACIKC値を検証することをさらに備えた上記実施形態のいずれかにおける方法。
54.UICCが、鍵一致手順を終了することと、
ローカル鍵導出要求に応答してMAC検証失敗メッセージを返すことと
をさらに備えた上記実施形態のいずれかにおける方法。
55.UICCがローカル鍵および関連するパラメーターを格納することと、
UICCが鍵ローカル鍵およびMACアルゴリズムを使用してASCII符号化されたストリングのMACを含んでいるローカル鍵導出応答を送信することと
をさらに備えた上記実施形態のいずれかにおける方法。
56.IKCがローカル鍵および鍵の有効期間を格納することをさらに備えた上記実施形態のいずれかにおける方法。
57.ローカル鍵から実際の共有鍵を導出することと、
導出された共有鍵を更新することと
をさらに備えた上記実施形態のいずれかにおける方法。
58.認証することおよび暗号化することが、remote authentication dial−in user serviceを通じて拡張認証プロトコルを組み合わせることをさらに備えた上記実施形態のいずれかにおける方法。
59.内部鍵センターを使用してセキュアに通信する方法であって、携帯電話機(UE)のMTM(mobile trusted module)を使用して鍵をセキュアにすることを備えた方法。
60.IKCがMTM内にローカル鍵を格納することをさらに備えた上記実施形態のいずれかにおける方法。
61.ローカル鍵から導出されたすべてのプラットフォーム固有鍵またはアプリケーション固有鍵をMTMによって格納することをさらに備えた上記実施形態のいずれかにおける方法。
62.端末が、ローカル鍵を使用する前に、ローカル鍵を使用するようにIKCに要求することをさらに備えた上記実施形態のいずれかにおける方法。
63.IKCは、MTMが端末の保全性を検証するように要求することをさらに備えた上記実施形態のいずれかにおける方法。
64.MTMが端末の保全性を検証することをさらに備えた上記実施形態のいずれかにおける方法。
65.IKCは、MTMが、それ自体とUICCとの間の通信に使用される、端末によって要求される複数の鍵を公開すること認証することをさらに備えた上記実施形態のいずれかにおける方法。
66.少なくとも1つのローカル鍵をMTMから端末に公開することをさらに備えた上記実施形態のいずれかにおける方法。
67.端末が、UICCとの少なくとも1つのセキュアチャネルを確立するためにローカル鍵を送信することをさらに備えた上記実施形態のいずれかにおける方法。
68.UICCによって実行される上記実施形態のいずれかにおける方法。
69.BSFによって実行される上記実施形態のいずれかにおける方法。
70.WTRU(ワイヤレス送受信ユニット)によって実行される上記実施形態のいずれかにおける方法。
71.基地局によって実行される上記実施形態のいずれかにおける方法。
72.IKCによって実行される上記実施形態のいずれかにおける方法。
【技術分野】
【0001】
本発明は、ワイヤレス通信に関し、より詳細には、UICCと端末との間のセキュア通信方法に関する。
【背景技術】
【0002】
UMTSセルラーワイヤレス通信システムのRelease 7において、標準化制定団体3GPP(3rd Generation Partnership Project)は、既存のAKA(authentication and key agreement)処理を強化する技術仕様TS 33.220−780を起草した。TS 33.220に記載された、より新しいAKA処理は、UICC(UMTS Integrated Circuit Card)およびHLR/HSS(Home Location Register/Home Subscriber System)を組み入れるWTRU(wireless transmit/receive unit)を伴う処理を指定する。
【0003】
図1は、AKA処理に対して想像されたネットワーク要素およびそれぞれのインターフェースを示す。BSF(bootstrapping server function)は、MNO(mobile network operator)の制御の下にあり、WTRUおよびHSSといっしょにGBA_U(UICCベースの強化を伴うGBA(generic bootstrapping architecture))に加わって、ネットワークとWTRUとの間の共有秘密を確立するネットワーク要素の一部である。NAF(network application function)は、ネットワーク要素の一部としてホスティングされて、WTRUとNAFとの間の通信経路をセキュアにする鍵を導出するために、GBAによって確立された共有秘密を使用する。SLF(subscriber location function)は、HSS(Home Subscriber System)の詳細を獲得するためにBSF(bootstrapping server function)によって使用され、このHSSの詳細は、BSFが事前定義のHSSによって構成または管理されないときに、必要な加入者固有データを含む。HSSは、すべてのUSS(user security setting)を格納して、加入者は、UICC上に複数のISIM(IP multimedia services identity module)アプリケーションかUSIM(user services identity module)アプリケーションかのどちらかを有する。HSSは、1つまたは複数のプライベートアイデンティティにマッピングできる1つまたは複数のGUSS(GBA user security setting)を含むことができる。Ubは、WTRUとBSFとの間の参照点を指す。WTRUとBSFとの間の相互認証手順は、この参照点で行われて、セッション鍵は、3GPP AKAインフラストラクチャに基づいてブートストラップされる。Uaは、WTRUと、アプリケーションプロトコルを保持するNAFとの間の参照点であり、参照点Ubを通じたHTTP Digest AKAの結果としてWTRUとBSFとの間で一致の鍵材料に基づいて鍵を導出することによってセキュアにされる。Znは、NAFとBSFとの間の参照点であり、(以前のUbを通じたHTTP Digest AKAプロトコル中に一致の)鍵材料およびアプリケーション固有のUSSをBSFから獲得するのにNAFによって使用される。Zhは、BSFとHSSとの間の参照点であり、認証情報およびGUSSをHSSから検索するのにBSFによって使用される。Dzは、BSFとSLFとの間の参照点であり、加入者固有情報を含むHSSの名前を検索するのにBSFによって使用される。
【0004】
2つの手順を、TS 33.220において検討する。1つ目は、GBA_U(UICCによって強化されたGBA)処理であり、2つ目は、セキュリティアソシエーション(SA)処理である。
【0005】
GBA_U処理において、UICCおよびBSFは、互いを相互に認証して、UICCとHLR/HSSとの間において共有される加入者認証鍵Kから導出することによって、GBA_U鍵と呼ばれる鍵Ksを確立する。
【0006】
図2を参照しながら、GBA_U処理のステップを示して、さらに、次のように説明する。MEは、ステップS1において、GBA_U処理を開始するためにHTTP要求をBSFに送信する。MEは、HTTP要求のusernameパラメーターフィールドにユーザーアイデンティティ(TMPI(temporary IP multimedia private identity)またはIMPI(IP Multimedia Private Identity))を挿入する。BSFは、ステップS2において、認証ベクトル(AV=RAND‖AUTN‖XRES‖CK‖IK)およびGUSS(GBA user security setting)をHLR/HSSから(参照点Zhを通じて)とってくる。ただし、
【0007】
【数1】
【0008】
である。次に、BSFは、MAC*
【0009】
【数2】
【0010】
を計算する。MACは、RANDおよびAUTNの保全性をセキュアにするのに使用される。BSFは、ステップS3において、HTTP 401 Unauthorized WWW−Authenticate: Digestメッセージにて、RANDおよびAUTN*(=SQN xor AK‖AMF‖MAC*)をMEに転送し、XRES、CK、およびIKを格納する。MEは、ステップS4において、受信したRANDおよびAUTN*を、HTTP 401 Unauthorized WWW−Authenticate: DigestメッセージにてUICCへ転送する。UICCは、ステップS5において、AKAアルゴリズムを実行する、すなわち、IKおよびXMACを計算し、次に、UICCは、AUTN(すなわち、
【0011】
【数3】
【0012】
)を検査して、チャレンジが認証されたネットワークからであることを検証する。すなわち、UICCは、CKおよびRESをさらに計算する。これは、セッション鍵CKおよびIKの作成に帰着する。ただし、BSFとUICCとの両方においてKs=CK‖IKである。UICCは、ステップS6において、RESをMEへ転送する。MEは、ステップS7において、別のHTTP要求をBSFへ送信し、このHTTP要求は、RESを使用して計算されたDigest AKAレスポンスを含む。BSFは、ステップS8において、受信したRESをXRESと比較することによって、UEの信頼性を検証して、ステップS9において、Ks=CK‖IKおよびブートストラッピングトランザクション識別子(B−TID)を作成する。BSFは、ステップS10において、認証の成功を示すために、B−TIDおよびKey Lifetimeを含む200 OKメッセージを送り返す。MEは、ステップS11において、B−TIDおよびKey LifetimeをUICCへ送信する。UICCは、ステップS12において、Ks=CK‖IK、B−TIDおよびKey Lifetimeを格納する。
【0013】
図2に示されたGBA_U処理の終わりに、UICCとBSFとの両方が、例えばセキュリティ・アソシエーション・ステージなどのより後のステージに必要な場合に、それぞれ、NAF(Network Access Function)固有鍵Ks_ext_NAFおよびKs_int_NAFを導出するのに、それらの両方が有しているKsを使用できる状態にある。これらの導出された鍵Ks_ext_NAFおよびKs_int_NAFは、後に、参照点Uaをセキュアにするのに使用される。Ks_ext_NAFは、UICCにおいて、Ks_ext_NAF=KDF(Ks,“gba−me”,RAND,IMPI,NAF_Id)として計算され、Ks_int_NAFは、UICCにおいて、Ks_int_NAF=KDF(Ks,“gba−u,RAND,IMPI,NAF_Id)として計算される。すなわち、NAF_Id=NAFのFQDN‖Uaセキュリティプロトコル識別子である。KDFは、TS 33.220−780 Annex Bに指定された鍵導出関数である。
【0014】
KsがGBA_U処理において確立された後に、セキュリティアソシエーション処理が、NAFとWTRUとの間で行われる。セキュリティアソシエーション処理の目的は、WTRUおよびNAFが、GBA鍵(Ks_int_NAFおよび/またはKs_ext_NAF)を使用するかどうかを決定することである。デフォルトにより、Ks_ext_NAFは、WTRUとNAFとの間においてパケットを暗号化するのに使用される鍵ストリームを後に導出するのに使用される。しかし、Ks_int_NAFまたはKs int_NAFとKs_ext_NAFとの両方が使用される場合には、これを、セキュリティアソシエーション処理において一致しなければならない。上記の一致が、デフォルト選択を覆すものであることを補足する。さらに、鍵選択指示を、アプリケーション固有USSにおいて指定できる。
【0015】
図3を参照するとセキュリティ・アソシエーション・ステップが示され、WTRU(ME)は、通信を開始する前に、(GBA_Uによって作成された)Ksが現存して最新であることを検査し、そうでない場合には、GBA_Uを初期化して、Ksを作成する。Ksが有効であって最新である場合には、MEは、ステップS1において、UICCからB−TIDを取り出し、UICCは、Ks_int/ext_NAF鍵を導出する。MEは、ステップS2において、アプリケーション要求の一部としてB−TIDをNAFに送信する。NAFは、ステップS3において、認証要求(B−TIDおよびNAF−IDを含む)をBSFに送信して、Zn参照点を介してB−TIDに対応する鍵を送信する。BSFは、ステップS4において、Ks_int_NAFおよびKs_ext_NAFを導出する。NAFは、GBA_U対応である場合に、ステップS4において両方の鍵を送付し、そうでない場合には、例えばブートストラップ時刻、鍵の有効期間等のある他の情報と一緒にKs_ext_NAFだけを供給する。次に、NAFは、USSがBSFから返される場合にはUSSを調べて、鍵選択指示が存在するかどうかを検査し(存在する場合には、USS内で指示された鍵(1つまたは複数)が使用される)、これらの鍵(1つまたは複数)を格納する。NAFは、ステップS7において、NAF鍵Ks_ext/int_NAFを現在有していることを示すアプリケーション回答(Application Answer)をWTRUに送信する。
【0016】
最近、3GPP TS 33.110−700により、UICCと端末との間のプラットフォームおよびアプリケーション固有鍵Ks_localの確立を提案された。上記の鍵は、UICCと端末との間のチャネルをセキュアにするのに、UICCおよび端末によって使用されることを意図される。
【0017】
図4において、端末がUICC保持デバイスの一部である場合の参照点のアーキテクチャを示す。図4のネットワーク要素は、UICCホスティングデバイスの提供を除いて、図1に示されたものと同一である。UICCと端末との間でKs_localを確立するプロトコルフローを、図5に示す。端末は、ステップS1において、B−TIDおよび対応する有効期間をUICCから取ってくることによって、有効なKs鍵がUICC内に存在するかどうかを検査する。有効な鍵ksがUICC内で使用可能ではない場合には、端末は、BSFとUICCとの間でKs鍵を確立するためにGBAブートストラッピング手順を要求する。次に、端末は、有効なKs_int_NAFが存在するかどうかを検査し、そうである場合には、NAF鍵センターに対応するNAF_IDのB−TID値を取り出すようにUICCに要求する。端末は、NAF_IDを有しない場合には、ステップS2においてその値を取り出すようにUICCに要求する。UICCは、ステップS3において、NAF鍵センターに対応するNAF_IDおよびB−TIDを戻す。端末およびNAF鍵センターは、ステップS4において、端末とNAF鍵センターとの間の証明書ベースの相互認証を用いて、HTTPSタイプのトンネルを確立する。端末は、ステップS5において、トンネルを介して「サービス要求」メッセージを送信し、このメッセージのペイロードは、B−TID、端末識別子(Terminal_ID)、スマートカード識別子(ICCID)、鍵Ks_localの確立を必要とするUICCアプリケーションのアプリケーション識別子(UICC_appli_ID)および端末アプリケーションのアプリケーション識別子(Terminal_appli_ID)、ならびに変数値RANDxを含む。アプリケーション固有鍵ではなくプラットフォーム固有鍵が望まれる場合には、パラメーターUICC_appli_IDおよびTerminal_appli_IDは、静的ASCII符号化ストリング“platform”と等しくなる。NAF鍵センターは、ステップS6において、端末ID/ICCIDがブラックリストに載せられていないかどうか、または鍵確立手順がターゲットにされたアプリケーションについて許可されるかどうかを判定する。これらの条件が満足されない場合には、NAF鍵センターは、適当なエラーコードを応答し、端末とのTLS接続を終了する。NAF鍵センターは、ステップS6において、BSFに連絡し、B−TIDおよびそれ自体のNAF_IDを信用証明書要求内で送信する(この要求の目的は、関連する鍵Ks_int_NAFおよびKs_ext_NAFを返すようにBSFに要求することである。Ks_localが、Ks_int_NAFだけから生成されることに留意されたい)。BSFは、Ks_int_NAFおよびKs_ext_NAFを導出し、ステップS7において、これらの鍵および例えばブートストラップ時刻、鍵の有効期間等の関連情報をNAF鍵センターに戻す。NAF鍵センターは、ステップS8において、UICCで使用される適切な16オクテットのcounter limitを生成して、端末において使用される導出された鍵Ks_localに鍵の有効期間を関連付ける。次に、NAF鍵センターは、次のように鍵導出関数(KDF)を使用して、Ks_int_NAFからKs_localを導出する。
Ks_local=KDF(Ks_int_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,counter limit)
【0018】
ステップS9において、NAF鍵センターは、ステップS4において確立されたHTTPSトンネルを介して、端末にB−TID、鍵の有効期間、およびcounter limitと一緒にKs_localを送付する。ステップS10において、端末は、それ自体のストレージに、Ks_localならびに鍵の有効期間、ICCID、Terminal_appli_ID、およびUICC_appli_IDなどの関連するパラメーターを格納する。ステップS11において、端末は、Ks_localを生成するようにUICCに要求し、UICCに鍵材料(NAF_ID、Terminal ID、Terminal_appli_ID、UICC_appli_ID、RANDx、およびcounter limit値)をMAC(=HMAC−SHA−256[Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Term_appli_ID‖UICC_appli_ID‖RANDX‖Counter Limit])と一緒に送信し、このMACは、16オクテット=128ビットに切り詰められる。UICCは、ステップS12において、Ks_int_NAFおよびB−TIDを取り出し、Ks_local=KDF(Ks_int_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,Counter Limit)を生成する。UICCは、MAC’=(HMAC−SHA−256[Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Terminal_appli_ID‖UICC_appli_ID‖RANDX‖Counter Limit])を計算し、このMAC’は、16オクテット=128ビットに切り詰められる。計算されたMAC’は、受信されたMACと比較される。MAC’およびMACが一致しない場合には、ステップS13において、失敗メッセージが端末に送り返される。MACとMAC’との間に一致がある場合には、Ks_localならびにTerminal_ID、Terminal_appli_ID、UICC_appli_ID、およびcounter limitなどの関連するパラメーターが、UICC内に格納される。ステップS13において、UICCは、Ks_localおよびMACアルゴリズムHMAC−SHA−256を使用して作成された、16オクテットに切り詰められた「検証成功メッセージ」を端末に返す。
【0019】
図5は、UICCと端末との間の鍵の確立を示す。TS33.110 v7.2.0からのローカル鍵確立処理は、HTTPSトンネルの確立に依存する(図5のステップS4を参照されたい)。TS33.110 v7.2.0において、HTTPSトンネルが、後にそのトンネルを設定する際に使用される公開鍵を証明する加入者証明書を使用して確立されることが指定されている。最近の3GPP仕様TS33.221 v7.0.0は、そのような加入者証明書が図6に示されたステップを使用して確立されるステップを指定する。
【0020】
図6のシーケンス図は、HTTPダイジェスト認証と共にPKCS(Public Key Cryptography Standard)#10を使用する時の証明書要求を説明するものである。ステップS1において、WTRUは、公開鍵基盤(PKI)ポータルに空のHTTP要求を送信する。PKIポータルは、ステップS2において、WWW−Authenticateヘッダーを含むHTTP応答コード401“Unauthorized”を使用して、認証チャレンジレスポンスを送信する。このヘッダーは、HTTPダイジェスト認証を使用するようにWTRUに指示する。WTRUは、usernameとしてBSFから受信したブートストラッピングトランザクション識別子(B−TID)およびNAF固有セッション鍵Ks_NAFを使用してAuthorizationヘッダー値を計算することによって、HTTP要求を生成する。証明書要求が、鍵の発信証明についてWIM(wireless identity module)アプリケーションによる余分な保証を必要とする場合には、WTRUは、鍵の発信証明生成に必要なパラメーターを含むWIMチャレンジ要求を生成する。WTRUは、ステップS4において、PKIポータルにHTTP要求を送信し、この要求にそのWIMチャレンジ要求を含める。ステップS5において、PKIポータルは、NAFとして働いて、要求を受信し、B−TIDを使用してBSFからNAF固有セッション鍵Ks_NAFを取ってくることと、Ks_NAFを使用して対応するダイジェスト値を計算することと、計算された値を認証ヘッダー内で受信された値と比較することとによって、認証ヘッダーを検証する。検証が成功であり、WIMアプリケーションの余分な保証が必要である場合には、PKIポータルは、PKIポータル固有ユーザー・セキュリティ・セッティングを使用して、WIMチャレンジレスポンスを計算することができる。PKIポータルは、ステップS6において、後続のPKCS#10要求生成に必要な追加パラメーターを含んでいるWIMチャレンジレスポンスを送り返す。PKIポータルは、セッション鍵Ks_NAFを使用して、このレスポンスを保全性保護し、認証することができる。WTRUは、ステップS7においてPKCS#10要求を生成し、ステップS8において、これを、HTTPダイジェスト要求を使用してPKIポータルに送信する。秘密鍵がWIMアプリケーション内に格納される場合に、MEは、WIMアプリケーションにAssuranceInfoを要求し、供給される場合にこれをPKCS#10要求に含める。エンロールメント要求は、PKCS #10証明書エンロールメントフォーマットに従う。この要求にAssuranceInfoを追加することは、OMAのECMA Script仕様で定義されている。AssuranceInfoは、鍵処理に関するproof of originを提供する(たとえば、WIMアプリケーションを識別し、鍵がその中に格納されていることの証明を提供する)。WTRUは、証明レスポンスの所望のフォーマットすなわち、証明書、証明書へのポインタ(たとえば、URL)、または完全な証明書チェーン(すなわち、発行された証明書から対応するルート証明書まで)を指示することができる。WTRUは、証明書エンロールメントに関するHTTP要求をPKIポータルに送信する。このエンロールメント要求は、次のようにならなければならない。
【0021】
【表1】
【0022】
ただし、<base URL>は、サーバ/プログラムを識別する。ラベル<indication>は、WTRUに関する所望のレスポンスタイプをPKIポータルに指示するのに使用される。可能な値は、加入者証明書のみの“single”、加入者証明書へのポインタの“pointer”、または完全な証明書チェーンの“chain”である。さらに、other URL parametersは、追加のオプションのURLパラメーターである。
【0023】
PKCS#10要求は、ステップS9において、PKIポータルによって処理される。PKIポータルが、認証局(CA)である場合には、証明書は、PKIポータルで生成される。PKIポータルが、CAではなく登録機関(RA)でしかない場合には、PKCS#10要求は、IETFのRFC 2797で指定されたCMCまたはIETFのRFC 2510およびIETFのRFC 2511で指定されたCMPなどの使用可能な任意のプロトコルを使用してCAに転送される。この場合に、PKCS#10要求が処理され、証明書が作成された後に、新しい証明書が、PKIポータルに返される。どちらの場合でも、PKIポータルは、ステップS10において、証明書、OMAのWireless PKI仕様(WPKI)のclause 7.4で定義された証明書へのポインタ、または発行された証明書からルート証明書までの完全な証明書チェーンを含むHTTP応答を生成する。このHTTP応答が、加入者証明書自体を含む場合には、このHTTP応答は、base64符号化されなければならず、次のように境界を定めることができる。
【0024】
【表2】
【0025】
このHTTP応答が、証明書へのポインタを含む場合には、OMAのWPKIのsubclause 7.3.5で定義されたCertResponse構造体を使用しなければならず、このHTTP応答は、次のように境界を定めることができる。
【0026】
【表3】
【0027】
このHTTP応答が、で定義されたPkiPath構造体内に完全な証明書チェーンを含み、base64符号化されなければならない場合には、
【0028】
【表4】
【0029】
証明書チェーンのcontent−typeヘッダー値は、“application/pkix−pkipath”である。PKIポータルは、証明書または証明書へのポインタがWTRUに送信される場合に、セッション鍵Ks_NAFを使用して、応答を保全性保護し、認証することができる。PKIポータルは、完全な証明書チェーンがWTRUに送信される場合に、保全性保護を使用し、応答を認証しなければならない。WTRUが加入者証明書または加入者証明書へのURLを受信する時に、それが、ステップS11において、ローカル証明書管理システムに格納される。
【0030】
(従来技術の問題)
GBA_U処理とセキュリティアソシエーション処理との両方が、プライバシ問題を有する。なぜならば、両方の処理で、UICCおよび端末が、それらの間ならびに端末とネットワーク(BSF、NAF)との間で、UICCと端末との間のセキュアローカルチャネルまたは端末とBSF(またはNAF)との間のセキュアチャネルが形成される前に、オープンチャネルを介して多数のパラメーターを交換するからである。たとえば、BSFからUICCへのAUTNおよびRANDなどのパラメーターの転送は、オープンチャネル上において平文の状態ある。UICCとBSFとの間の保全性保護が、認証情報(AUTN)および乱数(RAND)について提供され、このRANDは、ナンス(すなわち、それぞれ、メッセージ認証コード(MAC)(および想定MAC)(XMAC)ならびにユーザー応答(RES)および想定RES(XRES)の使用によってセキュリティエンジニアリングにおいて1回だけ使用される数またはビットストリームとして)を作動する。しかし、チャネルがオープンなので、スヌーピングの危険、プライバシに対する懸念の発生、暗号解析に起因する最終的なKの露出の危険がある。
【0031】
従来技術は、セッション鍵のオープンチャネル転送に起因する問題をさらに含む。UICCの内部で導出される(導出にKsまたはKs_NAFを使用して)セッション鍵は、後にセッションの暗号化または暗号化解除に端末によって使用するために、UICCから端末に転送され、セキュアにされないチャネル上で実行される。その結果、盗聴する能力のある者は、セッション鍵を傍受し、端末とネットワークとの間で交換されるメッセージを暗号化し、または暗号化解除することができる。この場合に、NAF鍵センターがローカル鍵(Ks_local)を導出し、その後、移送する(NAF鍵センターから)ために端末とNAF鍵センターとの間でHTTPSトンネルを確立するのに必要な、加入者証明書確立などの後続手順の多くが、漏洩の危険がある。ローカル鍵自体がHTTPSトンネルを介して移送されるので、セッション鍵の漏洩は、ローカル鍵の漏洩につながる。その後、ローカル鍵がリセットまたは電話ブートの後に消えずに残り、UICCと端末との間の情報の暗号化された転送に使用される場合に、その時に、すべてのそのような通信が、危険にさらされている。
【0032】
(ローカル鍵確立における問題)
TS 33.110−720に見られるKs_localを確立する手順は、次の問題を有する。
1)複数のOTA接続に起因する非効率性 − 端末は、Ks鍵を確立するためにワイヤレスGBA_U処理を完了しなければならない。それ自体はUICCとHSSとの間で共有される加入者秘密(K)に基づくKsから導出されるKs_localを確立しようとして、TS 33.110は、UICCと端末との間のKs_localが、もう一度、そのチャネルに使用されるアプリケーションを指定する各NAFについて、ワイヤレスプロトコルに従うための鍵確立手順を提案する。この規格は、それぞれが異なるNAFに固有の複数の異なるローカル鍵をこの形で生成することを可能にするので、複数のそのような鍵を確立したい場合には、多数のOTA手順を完了しなければならない。
2)情報プライバシの問題 − NAF_ID、terminal ID、Terminal_appli_ID、UICC_appli_ID、RANDx、およびCounter Limit値などの多数のパラメーターの値が、UICCと端末との間でオープンチャネルを介して転送される。これらのパラメーターの一部は、露出された場合に、プライバシの危険を提示する可能性がある。
3)NAF鍵センターと端末との間のHTTPSトンネルにおいて − 3GPP TS 33.110 V7.2.0(図5のステップS4およびS5を参照されたい)において、このトンネルは、証明書ベースの相互認証を使用して作成され、NAF鍵センターから端末へのKs_localおよび鍵材料の転送に使用されると想定される。加入者証明書を、端末またはUICCで動作するアプリケーションのいずれかに発行することができる。加入者証明書を確立するために必要な秘密鍵および公開鍵は、UICCの内部または端末上のいずれかに存在することができる。多くのこれらの場合において、秘密鍵もしくは公開鍵、加入者証明書、またはKs_ext_NAF鍵などの機密情報を、UICCと端末との間のセキュアにされないチャネルを介して転送する必要に起因するセキュリティ脆弱性がある。いくつかのシナリオおよびこれらのシナリオに関連する脆弱性を、下に示す。
【0033】
図7〜図9に、加入者証明書確立処理の3つの異なるシナリオを示す。
【0034】
図7に示されたシナリオA1において、秘密/公開鍵対が、端末にある。UICCは、HTTPセッションを介するPKI(=NAF)を用いる加入者証明書確立の責任を負う。GBA/GBA_U手順が既に行われたと仮定すると、Ks_NAF/Ks_ext_NAF鍵は、UICC上に存在する。シナリオA1の現在の解決策には、弱点がある。最も著しくは、ステップS5において、端末が、証明のための公開鍵をオープンチャネル上でUICCに送信しなければならない。さらに、UICCは、ステップS11において、オープンチャネルを通じて加入者証明書(HTTPSセッションに使用される)を端末へ送信する。
【0035】
図8に示されたシナリオA2において、秘密/公開鍵対が、端末にある。端末は、HTTPセッションを介するPKI(=NAF)を用いる加入者証明書確立の責任を負う。GBA/GBA_U手順が既に行われたと仮定すると、Ks_NAF/Ks_ext_NAF鍵は、ステップS1に示されているように、UICC上に存在する。シナリオA2の_現在の解決策に関連する弱点がある。最も著しくは、UICCが、ステップS1において、オープンチャネルを通じてKs_ext_NAF(端末は加入者証明書セッション中にHTTPダイジェストを妥当性検査するためにこれを必要とする)を端末に送信する。
【0036】
図9に示されたシナリオA3において、秘密/公開鍵対が、端末にある。端末は、HTTPセッションを介し、ステップS1からステップS11を介するPKI(=NAF)を用いる加入者証明書確立の責任を負う。GBA/GBA_U手順が既に行われたと仮定すると、Ks_NAF/Ks_ext_NAF鍵は、UICC上に存在する。端末は、ステップS1において、PKI(=NAF)を用いてセッション鍵KssによってセキュアにされたセキュアOTAチャネルを介してKs_ext_NAFを受信する。これが、Ks_ext_NAFがPKI(NAF)から端末に送信される場合に、規格の変更を仮定することを補足する。しかし、シナリオA3の現在の解決策に関連する弱点がある。現在、すべてのセッション鍵は、端末によって使用され、その結果、Ksは、S0に示されているように、現在の電話のアーキテクチャの下において、オープンチャネルを介してUICCによって端末に送信されなければならない。これは、盗聴者が、セッション鍵を傍受し、任意のメッセージ(加入者証明書処理メッセージを含む)を暗号化解除できることを意味する。この弱点(セッション鍵のあらわな転送)は、第1のAKA処理にすら影響する可能性がある一般的な問題である。ローカル鍵確立処理の2つの異なるシナリオを、図10〜図11に示す。
【0037】
図10に示されたシナリオB1において、秘密/公開鍵対が、端末にある。端末は、ステップS4において、処理A(TS 33.110)で確立された加入者証明書を使用するHTTPSトンネル確立の責任を負う。シナリオB1の現在の解決策の弱点がある。最も著しくは、端末は、ステップS10において、オープンチャネルを通じて証明書の公開鍵をUICCに送信する。さらに、UICCは、ステップS12において、オープンチャネルを介して加入者証明書(HTTPSセッションに使用される)を端末に送信する。
【0038】
図11に示されたシナリオB2において、秘密/公開鍵対が、UICCにある。端末は、ステップS5に示されているように、処理A(33.110)で確立された加入者証明書を使用するHTTPSトンネル確立の責任を負う。しかし、シナリオB1の現在の解決策に関連する弱点がある。最も著しくは、UICCと端末との間にセキュアチャネルがない。さらに、攻撃者は、加入者証明書および秘密鍵を傍受することができ(秘密鍵を、ステップS4に示されているように、UICCによってオープンチャネルを介して端末に送信しなければならないので)、これは、HTTPSトンネルを危険にさらす。加えて、ステップS13を参照すると、Ks_localが攻撃者に暴露される。
【発明の概要】
【0039】
3G UMTS携帯電話システムは、3Gモバイル端末とUMTSワイヤレスネットワーク(またはUTRAN)との間の通信経路をセキュアにするさまざまなセキュリティ手段の基礎またはルートとしてUSIM(UMTS subscriber identity module)アプリケーションを提供するUMTS integrated circuit card(UICC)と呼ばれるセキュアにされたスマートカードに依存する。
【0040】
UICCは、端末(ME)およびBSF(bootstrapping server function)と情報を交換し、ここで、それ自体はNAF固有鍵(Ks_int/ext_NAF)の複数のインスタンス化によって導出される、アプリケーションおよびNAF(network application function)に固有の複数のローカル鍵(Ks_local)が、UICCと端末(ME)との間のローカルチャネルを暗号化するのに使用される鍵を導出するのに使用され、NAFのそれぞれの鍵を導出するための複数のワイヤレス(OTA)手順が除去される。本明細書で提案される方法は、「バルク」手順でローカル鍵導出および複数のNAFとのセキュリティアソシエーションを可能にし、過度なOTA接続の必要を軽減する。
【0041】
本明細書において提案されるもう1つの概念が、内部鍵センター(Internal Key Center、IKC)の使用である。IKCは、仮の鍵材料ならびに最終的なKs_localを導出する機能に限れば、外部NAFの機能の一部に似た機能を有する、WTRU(ワイヤレス送受信器ユニット)内の信頼されるエンティティである。
【0042】
複数の実施形態オプションが、IKCについて提案される。一実施形態において、IKCが信頼され、NAF鍵センター機能の「複製」が可能であるという意味で端末として働くと同時に、Ks_localの生成に必要な機能(OTA通信機能など)およびデータを提供する。もう1つの実施形態において、IKCは、ME内の信頼されるエンティティとして働くが、端末とは別々であり、NAF鍵センターの代理として作動することができる。
【0043】
一緒にIKCの保全性および使用をセキュアにし、IKCがNAFなどの外部ネットワークエンティティの代理または置換としてセキュアに働くことを可能にする、信頼されるコンピューティングに基づく方法も提案される。
【0044】
本発明のより詳細な理解は、例として与えられ、添付図面に関連して理解されるべき、実施形態の次の説明から得ることができる。
【図面の簡単な説明】
【0045】
【図1】BSSを用いるブートストラップの参照モデルを示す図である。
【図2】UICCベースの強化を使用するGBA_Uブートストラップ手順を示すフローチャートである。
【図3】GBA_Uの実施の後のセキュリティアソシエーションの処理を示す図である。
【図4】端末がUICC保持デバイスの一部である参照モデルを示す図である。
【図5】UICCと端末との間での鍵の確立を示す図である。
【図6】HTTPダイジェスト認証と共にPKCS#10を使用する証明書要求を示す図である。
【図7】シナリオA1の加入者証明書処理を示す図である。
【図8】シナリオA2の加入者証明書処理を示す図である。
【図9】シナリオA3の加入者証明書処理を示す図である。
【図10】シナリオB1のローカル鍵確立処理を示す図である。
【図11】シナリオB2のローカル鍵確立処理を示す図である。
【図12a】セキュアワイヤレス通信システムを示す例のブロック図である。
【図12b】UICCおよびHLR/HSSがKUHを共有する場合を示す図である。
【図13】UICCおよびIKCが対称秘密鍵Ksym_UIを共有する時の実施形態を示す図である。
【図14】IKCによって実行される正しいKIHの識別および後続のTLS−PSKトンネル確立の処理を示す図である。
【図15】BSFによって実行される正しいKIHの識別および後続のTLS−PSKトンネル確立の処理を示す図である。
【図16】本開示で説明されるNAFとWTRUとの間のセキュリティアソシエーションを示す図である。
【図17】UICCと端末との間のKs_local確立の処理を示す図である)。
【図18】IKCならびにIKCが処理する鍵およびデータの保全性をセキュアにするMTMの方法を示す図である。
【図19】MTMが端末とIKCとの間に結合されるシステムを示す図である。
【発明を実施するための形態】
【0046】
(本明細書で使用される頭字語)
3GPP 3rd Generation Partnership Project
AK 匿名鍵(Anonymity Key)、AK=f5K(RAND)として計算される
AKA Authentication and Key Agreement
AUTN 認証トークン(Authentication token)
AV 認証ベクトル(Authentication Vector)
B−TID Bootstrapping Transaction Identifier
BSF Bootstrapping Server Function
CA 認証局(Certificate Authority)
CK 暗号鍵(Cipher Key)
FQDN 完全修飾ドメイン名(Fully Qualified Domain Name)
GAA Generic Authentication Architecture
GBA Generic Bootstrapping Architecture
GBA_ME MEベースのGBA
GBA_U UICCベースの強化を伴うGBA
GUSS GBA User Security Settings
HLR Home Location Register
HSS Home Subscriber System
HTTP ハイパーテキスト転送プロトコル(Hypertext Transport Protocol)
ICCID Integrated Circuit Card Identification
IK Integrity Key
IKC 内部鍵センター(Internal Key Center)
IMPI IP Multimedia Private Identity
KDF 鍵導出関数(Key Derivation Function)
K 加入者認証鍵(Subscriber Authentication Key)(TS33.105 sec 5.1.7.1)
Ks_IKC_NAF IKCと端末との間のセキュアローカルチャネルのためにUICCとIKCとの両方でローカル鍵を導出するための鍵材料として使用される、BSFで計算される提案される鍵
Ks_ext_NAF GBA_Uで導出される鍵
KIH 本発明でのIKCとHLR/HSSとの間の事前共有鍵
Ksym_UI UICCとIKCとの間の事前共有対称鍵
KUH 本発明でのUICCとHLR/HSSとの間の事前共有鍵
Ks_IKC_NAF NAF固有Ks_localの導出に使用するためにUICCおよびBSFで導出される
Ks_int_NAF UICCに残る、GBA_Uで導出される鍵
Ks_local 端末とUICCとの間で共有される、導出される鍵
MAC メッセージ認証コード(Message Authentication Code)
MACNAF 本新発明でNAFによって生成される(パート2中に)MAC
MACIKC 本新発明でIKCによって生成される(パート3中に)MAC
MACUICC 本新発明でUICCによって生成される(パート3中にMAC
MACUICC_SA 本新発明でUICCによって生成される(パート2中に)MAC
MNO Mobile Network Operator
MTM Mobile Trusted Module
NAF Network Application Function
NAI Network Access Identifier
OTA ワイヤレス(Over the Air)
PKI 公開鍵基盤(Public Key Infrastructure)
RAND ランダムチャレンジ(Random challenge)
RANDx Ks_local導出のためにIKCによって生成されるランダムチャレンジ
RANDy Ks_IKC_NAF導出のためにIKCによって生成されるランダムチャレンジ
RES ユーザー応答
SLF Subscriber Location Function
SQN シーケンス番号(Sequence Number)
TIB IKCとBSFとの間のTLSタイプトンネル
TUI UICCとIKCとの間のTLSタイプトンネル
TCG Trusted Computing Group
TLS トランスポート層セキュリティ(Transport Layer Security)
TMPI Temporary IP Multimedia Private Identity
USS User Security Setting
UE ユーザー機器(User equipment)
USIM User Services Identity Module
XMAC 認証および鍵一致に使用されるExpected(期待される)MAC
XRES Expected(期待される)ユーザー応答
【0047】
本明細書において以下に引用する場合、用語の「WTRU(ワイヤレス送受信ユニット)」は、ユーザー機器(UE)、移動局、固定のまたは移動の加入者ユニット、ポケットベル、携帯電話機、携帯情報端末(PDA)、コンピューター、またはワイヤレス環境で動作できるあらゆる他のタイプのユーザーデバイスを含むが、これらに限定はされない。本明細書において以下に引用する場合、用語の「基地局」は、Node−B、サイトコントローラ、アクセスポイント(AP)、またはワイヤレス環境で動作できる任意の他のタイプのインターフェースするデバイスを含むが、これらに限定はされない。下で示す詳細な説明において、用語MEは、端末と同義であり、これらの用語は、交換可能である。UEは、UICCおよび端末(またはME)を集合的に組み込む識別するのに使用される。信頼される携帯電話機(Trusted Mobile Phone)は、端末と同義であるが、TGCの意味で信頼される。電話機は、端末と同義である。リモートデバイスは、UEを識別し、ここで、そのUICCおよびUICCのリーダーは、UEを含む同一の物理パッケージングに存在するのではなく、たとえばUSBケーブル、ワイヤレス接続性、および類似物などのリモート接続を介してUEに接続される。
【0048】
前の問題を解決し、GBA_U、セキュリティアソシエーション、およびNAFの固有のローカル鍵Ks_localの確立などの既存処理のセキュリティと効率との両方を強化する、新しい方法を説明する。この方法は、仮定または要件の次のセットに基づく。
【0049】
仮定は、次のとおりである。
1.WTRUの内部のエンティティとして提供される内部鍵センター(IKC)は、外部NAF鍵センターの機能性に類似する機能性を有する。
a.後で検討される一実施形態において、IKCは、MEの通信機能(ネットワークおよびUICCへの)の責任をも負う。これに関して、IKCを、外部NAF鍵センターの追加機能性を有する端末と考えることができる。
b.IKCの仮定される機能性の詳細は、下で説明する。
2.IKCおよびHLR/HSSは、おそらくはその製造または販売の時に事前にプロビジョニングされる、事前共有秘密KIHを有する。
a.BSF(bootstrapping server function)は、HLR/HSSからKIHをセキュアに取り出すことができると仮定される。
b.KIHは、以下においてトンネルTIBと称する、IKCとBSFとの間のTransport Layer Security−Pre−Shared Key(TLS−PSK)トンネルを確立するのに使用される。
3−A.UICCおよびHLR/HSSは、UICCおよびHLR/HSSが既存GBA_U処理のためにそれらの間で既に共有する加入者秘密Kとは異なる秘密KUHを共有する。
a.BSFは、HLR/HSSからKUHをセキュアに取り出すことができると仮定される。
b.BSFは、TLS−PSKトンネルTIBを使用して、この鍵KUHをIKCにセキュアに暗号化して転送することができるとも仮定される。
c.KUHは、BSFからIKCに送付された後に、以下においてトンネルTUIと称する、UICCとIKCとの間のTLS−PSKトンネルを確立するのに使用され得る。トンネルTUIは、短いセキュリティ有効期間を有する場合があり、その結果、これを限られた時間の間に限って使用できるようになる。
3−B.UICCおよびHLR/HSSが秘密鍵KUHを共有する仮定3Aの代替として、UICCおよびIKCが、事前共有対称鍵Ksym_UIを事前にプロビジョニングされると仮定することができ、そのようなプロビジョニングは、製造または販売の時に提供される。
4−A.UICCは、共有秘密鍵KUHを使用してメッセージを暗号化し、暗号化解除することができる。
4−B.3−B仮定を使用して、UICCは、事前共有対称鍵Ksym_UIを使用してメッセージを暗号化し、暗号化解除することができる。
5−A.IKCは、共有秘密鍵KUHを使用してメッセージを暗号化し、暗号化解除することができる。
5−B.3−B仮定を使用して、IKCは、事前共有対称鍵Ksym_UIを使用してメッセージを暗号化し、暗号化解除することができる。
6.UICCおよびBSFは、両方とも、1つまたは複数の鍵Ks_IKC_NAFを導出することができ、この鍵は、それぞれがNAFのそれぞれに固有であり、NAF固有Ks_localの生成で使用される。
7.IKCおよびBSFは、1つのOTAアプリケーション応答交換で複数のNAFの鍵材料を交換することができる。
8.BSFは、IKCの識別情報(以下においてIKC_ID)の受信時に、以前に認証されたかこれから認証されると期待されるのいずれかであるUICC_IDを識別し、これらのおそらくは複数のUICC_IDを使用して、これらの認証されたまたは認証されると期待されるUICC_IDに対応するおそらくは複数の正しい鍵{KUH}を識別することができる。BSFは、集合{KUH}の鍵のうちの1つ、複数、またはすべてを、並列にまたは順番にのいずれかでIKCに送信し、IKCが、これらの鍵のうちのどれをホスティングされるUICCと共に使用すべきかをホスティングされるUICCと共にテストすることを可能にすることもできる。
9.TCGのMobile Trusted Module specification v1.0の仕様を満足するMTM(mobile trusted module)およびそれに関連するソフトウェアスタックは、WTRU内に存在し、UEは、TCGのTrusted Mobile Phone Reference Architecture specificationの仕様を満足する信頼される携帯電話機である。MTMは、IKCおよびUICCの状態の作成、検査、および検証の責任を負い、GBA_U手順、セキュリティアソシエーション手順、およびセキュアローカル鍵確立手順のためにIKCが処理する鍵およびデータのセキュアストレージの責任をも負う。
【0050】
(内部鍵センター(IKC))
一実施例において、IKCは、端末の一部であり、3Gエアインターフェースを使用してワイヤレスで通信でき、最終的にBSFと通信することができる。代替の実施例において、IKCを、端末とは完全に別々とすることができる。IKCは、信頼されるコンポーネントであり、その保全性および信頼性は、WTRU内のMTMによって検証可能である。MTMは、一実施例で、端末(またはWTRU)の一部である。端末(またはWTRU)の一部としてMTMとIKCとの両方を有する実施例において、ワイヤレス接続性を、有線接続性によって置換することができる。IKCは、それ自体とUICCとの間でならびにBSFと共にTLSタイプのトンネルを確立するために暗号機能を有する。これらのトンネルは、GBA_U手順およびセキュリティアソシエーションで、およびUICCと端末との間のセキュアチャネルの確立中にも、交換される情報の保全性および機密性をセキュアにするのに使用される。IKCは、BSFと共にTLS−PSKトンネルを確立することができる。BSFは、IKCと共にそのようなトンネルをサポートすることができると仮定される。本明細書で提案されるバージョンのパート1およびパート2のフェーズ中に、IKCは、従来技術のGBA_U手順およびセキュリティアソシエーション手順の実行のために端末に要求される機能、ならびに一方はIKCとUICCとの間、他方はIKCとBSFとの間の2つのTLSトンネルの作成および使用に必要な機能を実行する。本技法のパート3中に、IKCは、外部NAF鍵センターによって実行される機能に類似する機能を実行する。この機能は、1)counter limitの生成、2)それぞれがNAFに固有であり、NAF固有Ks_localを導出するのに使用される、乱数RANDx(1つまたは複数)およびRANDy(1つまたは複数)の1つまたは複数の対の生成、3)KDFを使用するKs_localの導出、ならびに4)IKCが端末とは完全に別々である場合の、端末へのKs_localの転送を含む。
【0051】
図12aに、上で述べた仮定に従って構成されたセキュアワイヤレス通信システムの例のブロック図を示す。このワイヤレス通信システムは、WTRU 1200を含む。WTRU 1200は、端末1210、モデム1220、およびラジオ(RF)ユニット1230を含む。端末1210は、MTM(mobile trusted module)1240および内部鍵センター(IKC)1250を含む。IKCユニット1250は、外部UICC 1260と通信するように構成される。RFユニット1230は、エアインターフェース1275を介してbootstrap server function(BSF)1270と通信するように構成される。BSF 1270は、HLR/HSS 1280と通信し、オプションで、他のNAF(network application function)(図示せず)と通信する。
【0052】
IKC手順を使用する改善された鍵導出およびセキュリティアソシエーション(SA)は、下で示すように、3つの部分に分割される。
【0053】
この手順の第1部分(パート1)は、図12に示された第1実施形態による改善されたGBA_U処理を使用する。従来の方法を超える1つの改善は、この処理が、今や、WTRU 1200内の新たに提案されるエンティティ、IKC 1250の制御の下で2つのTLSタイプチャネルを介して実行されることである。図12を参照すると、ステップS1において、IKC 1250は、IKC 1250とBSF 1270との間のTLS−PSKトンネルの確立の要求を送信する。この要求メッセージは、ペイロードとしてIKC 1250_IDを含む。次に、BSF 1270は、ステップS2において、HSS/HLRから事前共有鍵(KIHおよびKUH)を取り出す。KIHは、IKC 1250とBSF 1270との間でTLS−PSKトンネルを確立するのに使用され、KUHは、UICC 1260とIKC 1250との間でトンネルを確立するのに使用される。IKC 1250とBSF 1270との間のTLS−PSKトンネル(TIB)は、ステップS3において確立され、ここで、相互認証に基づく事前共有秘密(KIH)が使用される。BSF 1270は、ステップS4において、トンネルTIBを介してKUHをIKC 1250に送信する。UICC 1260およびIKC 1250は、ステップS5において、相互認証に基づく事前共有秘密(KUH)を使用して、TLS−PSKトンネル(TUI)を確立する。GBA_Uが行われ、これは、UICC 1260とBSF 1270との両方でのKsの確立につながる。最後に、GBA_U手順の終りに、Ks=CK‖IKが、BSF 1270(ステップS7aを参照されたい)およびUICC 1260(ステップS7bを参照されたい)で確立される。NAF_IDも、UICC 1260で、NAF_Id=NAFのFQDN‖Uaセキュリティプロトコル識別子として構成される。この手順において、UICC 1260は、秘密鍵KUHをHLR/HSS 1280と共有すると仮定される。
【0054】
代替として、図13に、UICC 1260が事前にプロビジョニングされる対称秘密鍵Ksym_UIをIKC 1250と直接に共有する(ステップS4を参照されたい)、変更されたBGA_Uのステップを示す。図12と異なるステップだけを、これから説明する。ステップS2において、共有鍵KIHだけが、BSF 1270に供給される。図13のステップS4において、Ksym_UIを使用してTLS−PSKトンネルを確立する。図13のステップS5は、図12のステップS6と同一である。図13のステップS6aおよびS6bは、図12のステップS7aおよびステップS7bと同一である。図13の代替手順は、UICC 1260およびIKC 1250が事前にプロビジョニングされる秘密鍵Ksym_UIを直接共有するという要件が、特定のUICC 1260と特定のIKC 1250との間に強い「バインディング」を不必要に作成する場合があり、上で説明した異なるタイプのデバイスでホスティングされるためのUICC 1260のポータビリティが、実施または管理がよりむずかしくなる可能性があるという点で、欠点を有する。
【0055】
図12に示された手順において、BSF 1270は、必要な場合に、所与のIKC 1250に関連付けられているまたは関連付けられると期待されるのいずれかとしてHLR/HSS 1280が知識を有することのできるUICC 1260に対応する複数の鍵{KUH}を収集するように構成される。BSF 1270は、これらの複数の鍵を送信することができ、その後、IKC 1250は、正しい鍵KUHが識別されるまで、UICC 1260と共にチャレンジレスポンスタイプの鍵検証手順を実行することができる。この手順の実施形態を、図14に示す。図13と異なるステップだけが説明され、ステップS2において、両方KIH複数鍵{KUH}をBSF 1270に供給する。IKC 1250は、UICC 1260にナンス‖hash(
【0056】
【数4】
【0057】
)を要求し(ステップS5)、その後、これを受信する(ステップS6)。各KUHを計算して(ステップS7)、UICC 1260とのTLS−PSKトンネルTUIを確立するための正しいKUHを見つける。
【0058】
図14において説明した処理に対する代替として、我々は、IKC 1250がBSF 1270から可能な鍵KUHのすべてを受信するの「ではない」鍵検証方法を提案する。IKC 1250は、UICC 1260から証拠鍵KUHを受信し(図15、ステップS4およびS5を参照されたい)、これをBSF 1270に渡し(ステップS6)、その後、BSF 1270は、図15のステップS6に示された、鍵の可能な集合{KUH}から正しい鍵を識別する手順を実行する。正しいKUHは、UICC 1260とのTLS−PSKトンネルの確立で使用するためにIKC 1250に渡される(ステップS7)。この方法は、BSF 1270が、複数の候補鍵のOTA開示の危険を冒さないという点で、図14に示された方法を超える利益を有する。
【0059】
図12bに示されたTLS−PSKトンネル確立手順において、IKC 1250からBSF 1270へのIKC 1250_IDの初期情報転送は、現在、物理層保護の上でのみ(すなわち、UIAセッション鍵およびUEAセッション鍵によってセキュアにされて)実行される。前に説明したように、そのようなセッション鍵が盗聴に脆弱である場合には、IKC 1250−IDも盗聴に脆弱になり、プライバシ開示をもたらす。
【0060】
IKC 1250のアイデンティティをセキュアにするために、図14においてオプションのステップを使用することができ、ここで、IKC 1250およびBSF 1270は、IKC 1250_IDならびにTLS−PSKトンネル確立処理中に交換される他の情報の公開鍵ベースの暗号化および暗号化解除を使用する。面倒またはセキュリティリスクに脆弱である場合がある証明書ベースの手法の代わりに、IKC 1250およびBSF 1270が、Diffie−Hellman(DH)鍵交換手順を使用してそれぞれの公開鍵を確立することを提案する。実際に、IKC 1250は、ネットワークからブロードキャストされる、かなり多い個数n個の異なる公開鍵を入手し、そこから1つを選択することができる。DH鍵交換プロトコルを、この目的に使用することができる。
【0061】
伝達者は、このプロトコルを適用して、公開鍵集合への、aなどの共通インデックスを計算する。これを達成するために、まず、ネットワークおよびIKC 1250は、公知の2つの値すなわち、非常に大きい素数pおよび体Fpの乗法群F*pの生成元gについて一致する。次に、ネットワークは、乱数RANDiを選択し、
【0062】
【数5】
【0063】
を計算し、
【0064】
【数6】
【0065】
をIKC 1250に送信する(1≦RANDi≦p−2)。次に、IKC 1250は、乱数FRESHを計算し、gFRESH≡gFRESH mod pを計算し、gFRESHをネットワークに送信する(1≦FRESH≦p−2)。次に、ネットワークは、
【0066】
【数7】
【0067】
を計算する。最後に、IKC 1250は、
【0068】
【数8】
【0069】
を計算する。
【0070】
k≡k’ mod pであることは、簡単に示される。IKC 1250およびネットワークは、両方ともk(0≦k<p)を計算済みであるが、単純にk modulo nを換算することによって、公開鍵の秘密インデックスaを計算することができる。すなわち、a≡k mod nである。公開鍵kaすなわちインデックスaに対応する公開鍵を使用して、IKC 1250は、IKC 1250_IDを含むメッセージを暗号化し、ネットワークは、kaに対応する秘密鍵を使用して、そのメッセージを暗号化解除することができる。
【0071】
IKC 1250_IDの機密性が達成されるのは、ネットワークがRANDiの唯一のプロセッサであり、IKC 1250がFRESHの唯一のプロセッサであり、この2つの通信参加者だけがkを計算できるからである。攻撃者は、離散対数問題の計算的実行不可能性によってセキュアにされる、これらの乱数値の両方を欠いている。
【0072】
メッセージ機構が、公開鍵集合の散布に関して暗示される。これを、簡単にセルブロードキャストメッセージング構造の一部にすることができる。しかし、ネットワークからIKC 1250への
【0073】
【数9】
【0074】
の送信およびIKC 1250からネットワークへの値gFRESHの送信のために、追加のメッセージ機構が必要である。これらの機構は、好ましくは、上で定義した公開値pおよびgに関するネットワーク/IKC 1250一致処理を含む。
【0075】
KUHと表される複数の鍵をIKC 1250に転送するネットワークに関して、成功のKUHが達成されるまで、鍵ごとに1回の反復的な相互(チャレンジ−レスポンス)認証処理を使用することができる。UICC 1260は、この認証がすべての鍵について失敗する場合に拒否される。
【0076】
上に説明した公開鍵のDH交換を、TLS−PSKトンネリング確立処理自体の一部として実行することもできる。この場合に、IKC 1250_IDは、TLS−PSKハンドシェーク処理でのIKC 1250からBSF 1270への初期交換メッセージに含まれる。TLS−PSK拡張に関するRFC 4279が、DH対応TLS−PSK手順について、次の4つの異なる暗号スイート(ciphersuite)を許容することに留意されたい。
1.TLS_DHE_PSK_WITH_RC4_128_SHA
2.TLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA
3.TLS_DHE_PSK_WITH_AES_128_CBC_SHA
4.TLS_DHE_PSK_WITH_AES_256_CBC_SHA
RC4アルゴリズムの既知の暗号強度問題に起因して、それぞれ3DES、AES128、またはAES256を用いる後の3つの暗号スイートだけを使用しなければならない。
【0077】
(パート2:NAFとUEとの間のセキュリティアソシエーション)
パート2は、UICC 1260とIKC 1250との間およびIKC 1250とBSF 1270との間の情報の交換をセキュアにするための2つのTLS−PSKトンネルの使用を介する従来技術の同一の名前の処理より優れたセキュリティアソシエーション処理である。追加の改善は、UICC 1260が、IKC 1250およびBSF 1270の助けを得て、バルク鍵確立機構で複数のNAFと共に鍵を確立できることである。
【0078】
図16を参照すると、パート2の詳細なステップが示されている。IKC 1250は、ステップS1において、UICC 1260に最新の有効なKsが存在するかどうかを検査し、そうである場合には、IKC 1250は、既に確立されたトンネル(TUI)を介してUICC 1260からB−TIDおよびNAF_ID(または、UICC 1260がそれとのセキュリティアソシエーションを確立することを望むNAFのある他のアイデンティティ)を取り出す。UICC 1260は、ステップS1の間にKs int/ext_NAF鍵をも導出する。Ksが最新でないか有効でない場合には、GBA_Uが、Ksの確立のために開始される。IKC 1250は、ステップS2において、トンネルTIBを介してBSF 1270にNAF_IDおよびB−TIDを転送する。BSF 1270は、ステップS3において、所望のNAF(図を単純にするために図16には1つのNAFだけが示されている)に認証要求を送信する。BSF 1270は、ステップS4において、NAFから認証レスポンスを受信する。NAFが認証される場合には、BSF 1270は、ステップS5において、NAF固有鍵(Ks_int/ext_NAF)を導出する。BSF 1270は、ステップS6において、ブートストラップ時刻および鍵の有効期間と一緒に、Ks_int/ext_NAFをすべてのNAFに転送する。ステップS7において、NAFのそれぞれは、Ks_int/ext_NAF、鍵の有効期間、およびブートストラップ時刻の受信を示す肯定応答メッセージをBSF 1270に送信する。BSF 1270は、これらのメッセージを集約し、ステップS8において、TLS−PSKトンネルTIBを介してIKC 1250にバルク・セキュリティ・アソシエーション・メッセージを送信し、このバルク・セキュリティ・アソシエーション・メッセージは、それに関してステップS5〜S7においてKs_int/ext_NAFが確立された特定のNAFにそれぞれが対応する複数のMACNAFを含む。MACNAFメッセージのそれぞれについて、MACNAF=HMAC−SHA−256(Ks_ext_NAF‖Ks_int_NAF‖NAF_ID‖GUSS)が、NAFごとに16オクテットに切り詰められる。IKC 1250は、ステップS9において、ステップS8の間にBSF 1270から受信したバルク・セキュリティ・アソシエーション・メッセージを、TLS−PSKチャネルTUIを介してUICC 1260に転送する。UICC 1260は、ステップS10において、NAFごとに、そのNAFに固有のMACUICC_SAを、16オクテットに切り詰められたMACUICC_SA=HMAC−SHA−256(Ks_ext_NAF‖Ks_int_NAF‖NAF_ID‖GUSS)になるように計算する。ステップS11において、バルク・セキュリティ・アソシエーション応答メッセージがUICC 1260によって生成され、このメッセージは、UICC 1260とすべてのNAFとの間のセキュリティアソシエーションのすべての成功および/または失敗を含む。失敗は、NAFのいずれかについて、MACIKCがそれに対応するMACUICC_SAと一致しない時に検出される。この失敗は、たとえば、“security association failure”‖NAF_IDなどのストリングによって示される。成功は、MACIKCがそれに対応するMACUICC_SAと一致する時に検出される。成功応答は、Ks_int/ext_NAF鍵およびMACアルゴリズムHMAC−SHA−256を使用するASCII符号化されたストリング“security association Successful”のメッセージ認証コード(MAC)を16オクテットに切り詰めたものを含む。ステップS11において、バルク・セキュリティ・アソシエーション応答メッセージが、IKC 1250を介し、TUIトンネルおよびTIBトンネルを介してBSF 1270まで送信される。BSF 1270は、ステップS12において、NAFのそれぞれに、そのNAFに固有のセキュリティアソシエーションの試みの失敗または成功の状況を送信する。成功の状況を受信したすべてのNAFは、ステップS13において、鍵(Ks_int/ext_NAF)、ブートストラップ時刻、および関連する鍵の有効期間を格納する。
【0079】
(パート3:端末とUICC 1260との間での鍵確立(Ks_local))
パート3は、UICC 1260と端末との間のローカル鍵確立の処理である。従来技術と比較したこのパートの利益は、次のとおりである。UICC 1260とIKC 1250との間およびIKC 1250とBSF 1270との間の情報の交換をセキュアにする2つのTLS−PSKトンネルの使用。第2に、UICC 1260および端末が、IKC 1250およびBSF 1270の助けを得て、従来技術で要求されるように端末が異なる外部NAF鍵センターとの複数のOTA接続を確立する必要なしに、それぞれが異なるNAFに固有の複数のローカル鍵を確立する。
【0080】
図17に、パート3の詳細なステップを示す。IKC 1250は、ステップS1において、最新の有効なKsがUICC 1260に存在するかどうかを検査する。そうである場合には、IKC 1250は、B−TIDおよび1つまたは複数のNAF_IDをUICC 1260から取り出す。最新のKsまたは有効なKsがないときには、新しいGBA_U処理を開始してKsを確立し、その後、B−TIDおよび1つまたは複数のNAF_IDが、IKC 1250によってUICC 1260から取り出される。上の手順のために必要なUICC 1260とIKC 1250との間の情報交換のすべてが、TLS−PSKトンネルTUIを介してもたらされる。IKC 1250は、ステップS2において、それぞれが要求されるNAFのNAF_IDに対応する1つまたは複数の鍵Ks_IKC 1250_NAFのアプリケーション要求をBSF 1270に送信する。IKC 1250は、B−TIDと、対応するRANDyナンスと一緒に1つまたは複数のNAF_IDとをも、TLS−PSKトンネルTIBを介して送信する。BSF 1270は、それぞれが要求されるNAFのそれぞれに固有の1つまたは複数のIKC 1250鍵Ks_IKC 1250_NAFを計算し、ここで、Ks_IKC 1250_NAF=KDF(Ks_int_NAF,RANDy)である。その後、BSF 1270は、ステップS3において、Ks_IKC 1250_NAF鍵およびそのそれぞれの(NAF固有)鍵の有効期間のすべてを含むアプリケーション応答をIKC 1250に送信する。IKC 1250は、ステップS4において、counter limit値(それぞれが要求されるNAFの関連する1つに固有)を生成し、1つまたは複数のローカル鍵Ks_localを導出し、ここで、Ks_local=KDF(Ks_IKC 1250_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,CounterLimit)である。ローカル鍵がプラットフォーム固有鍵である場合に、UICC_appli_IDオクテットストリングおよびTerminal_appli_IDオクテットストリングが、静的なASCII符号化されたストリング“platform”と等しくなるようにセットされることに留意されたい。IKC1250は、ステップS5において、NAF_IDに固有のKs_localを作成するようにUICC 1260に要求するアプリケーション要求メッセージを、トンネルTUIを介してUICC 1260に送信する。この要求のペイロードは、NAF_ID、Terminal_ID、Terminal_appli_ID、UICC_appli_ID、RANDx、RANDy、およびCounter Limit値を含む。端末は、MACIKCをも含め、このMACIKCは、16オクテットに切り詰められるMACIKC=HMAC−SHA−256(Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Term_appli_ID‖UICC_appli_ID‖RANDx‖RANDy‖CounterLimit)として計算される。これがプラットフォーム固有鍵である場合に、UICC_appli_IDオクテットストリングおよびTerminal_appli_IDオクテットストリングが、静的なASCII符号化されたストリング“platform”と等しくなるようにセットされることに留意されたい。UICC 1260は、受信されたNAF_IDに関連するKs_int_NAFおよびB−TIDを取り出し、当初に、Ks_IKC 1250_NAF=KDF(Ks_int_NAF,RANDy)に従ってKs_IKC 1250_NAFを導出し、その後、Ks_localを導出し、ここで、Ks_local=KDF(Ks_IKC 1250_NAF,B−TID,Terminal_ID,ICCID,Terminal_appli_ID,UICC_appli_ID,RANDx,Counter Limit)である。UICC 1260は、ステップS6において、16オクテットに切り詰められるMACUICC=HMAC−SHA−256(Ks_local,NAF_ID‖Terminal_ID‖ICCID‖Term_appli_ID‖UICC_appli_ID‖RANDx‖RANDy‖Counter Limit)を計算し、これをMACIKCと比較することによって、端末から受信したMACIKC 1250値を検証する。MACUICCがMACIKCと等しくない場合には、UICC 1260は、鍵一致手順を終了し、Ks_local導出要求に応答するMAC検証失敗メッセージを返す。MACUICC=MACIKCの場合には、UICC 1260は、Ks_localおよび関連するパラメーター(Terminal_ID、Terminal_appli_ID、UICC_appli_ID、およびKs_local Counter Limit)を格納する。ステップS7において、UICC 1260は、鍵Ks_localおよびMACアルゴリズムHMAC−SHA−256を使用して、16オクテットに切り詰められる、ASCII符号化されたストリング“verification successful”のMACを含むKs_local導出応答を送信する。IKC 1250は、ステップS8において、Ks_localおよび鍵の有効期間を格納する。ローカル鍵Ks_localが要求されるNAFのそれぞれについて、ステップS4〜S8が繰り返される。
【0081】
上に説明した方法において、代替の実施形態に、事前共有鍵であるKUHおよびKIHは、直接に使用されるのではなく、事前共有秘密として使用され、実際の共有鍵は、これらの事前共有秘密から導出される。導出される共有鍵を更新することができる、すなわち、これらは、セッション鍵になる。この形で、KUHまたはKIHのいずれかから導出されたセッション鍵が暴露される場合であっても、秘密自体を、まだセキュアにすることができる。
【0082】
上に述べたTLS−PSKトンネルに引用すると、事前共有秘密を使用する認証される暗号化の他の方法を、代替として使用することができる。1つの代替の実施形態は、RADIUS(Remote Authentication Dial−In User Service)上でのEAP(拡張認証プロトコル)の使用を組み合わせる。そのような代替方法を、下にさらに説明され新たに提案されるプロトコルの3つすべてのパートに適用することができる。
【0083】
加えて、上に説明した手順において、TLSをトンネリングなしで使用することができる、すなわち、TLSは、暗号化および認証だけに使用され、認証には使用されない。
【0084】
上に説明した方法に行き渡る要件、すなわち事前に共有される秘密鍵、または事前に共有される秘密鍵から導出されるセッション鍵が、GBA_U処理、セキュリティアソシエーション処理、およびローカル鍵生成処理をセキュアにするのに使用されることは、ローカル鍵Ks_localを初めて生成しなければならない場合にのみ要求される。本明細書で提案される機構の保護の下で、ローカル鍵Ks_localが、生成され、UICC 1260と端末との両方でセキュアに存在するようにされ(電話機のパワーオフまたはUICCの除去の後であっても)、Ks_localが、NAF鍵センターで(管理のために)維持される場合には、後に、3つの処理のいずれかすなわち、GBA_U、セキュリティアソシエーション、またはローカル鍵導出処理がもう一度行われる必要がある時に、提案される手順を繰り返す必要はない。これは、そのような場合に、既に生成されセキュアに格納されたローカル鍵Ks_localを、本開示で提案される事前共有秘密(または鍵)の代わりに、オリジナルの変更されない処理(GBA_U、セキュリティアソシエーション、おおびローカル鍵導出)インストならびにNAF鍵センターでの情報フローの保全性および機密性をセキュアにするのに使用できるからである。
【0085】
上に提案された新しい方法は、わずかな変更を伴って、UICC 1260ホスティングデバイスとリモートデバイスとの間のチャネルを証券化する既存プロトコルにも適用可能である。
【0086】
(IKC 1250をセキュアにするためのMTMの使用)
UICC 1260と端末との間のセキュアチャネルに関する強化されたGBA_U、セキュリティアソシエーション、およびローカル鍵確立の提案される方法(上で説明したパート1、パート2、およびパート3を参照されたい)を実行するために、MTM(mobile trusted module)を携帯電話機(UE)上で使用して、内部鍵センター(IKC 1250)およびそれが扱い、処理するデータの保全性をセキュアにすることができる。
【0087】
図18に、MTM 1240をセクション4.3に説明した変更されたGBA_U処理(パート1)にどのように使用できるかを示す。MTM 1240は、主に、IKC 1250がGBA_U処理を続行する前にIKC 1250の保全性を検証するのに使用される。MTM 1240は、それ自体の中で(セキュアな不揮発性NVRAMの下で)またはIKC 1250とBSF 1270との間ならびにIKC 1250とUICC 1260との間のトンネリングに必要な鍵の暗号化に使用される暗号化鍵をセキュアにすることによってのいずれかで、セキュアに格納するのにも使用される。MTM 1240は、TLS−PSKトンネルでナンスとして使用される乱数を生成するのにも使用される。
【0088】
同様に、パート1(GBA_U)処理について上で説明したように、上で提案されたパート2(セキュリティアソシエーション)ステップおよびパート3(ローカル鍵生成)ステップを、類似する形でMTM 1240を使用することによって強化することもできる。MTM 1240は、処理のそれぞれの前にIKC 1250の保全性を検証し、鍵と、IKC 1250が生成またはUICC 1260およびBSF 1270などの他のエンティティからの受信のいずれかを行う他の機密材料とをセキュアにし、格納し、IKC 1250が取り出すことを可能にし、処理のそれぞれのナンスに使用される乱数を生成するのに使用される。
【0089】
図19に、端末およびIKC 1250を伴うMTM 1240の使用を示す。MTM 1240を、IKC 1250が端末とは別々である時に端末の保全性を検証するのに使用することもでき、この端末は、IKC 1250より信頼できず、セキュアでもないと考えられる。これは、端末が、UICC 1260とIKC 1250との間でUICC 1260および端末によって導出されたローカル鍵Ks_localをセキュアに取り出し、後に使用することを可能にする。図19を参照すると、UICC 1260とIKC 1250との間で導出された鍵Ks_localを使用して(パート3の終りを参照されたい)、IKC 1250は、MTM 1240内またはMTM 1240による暗号保護の下のいずれかでKs_localをセキュアに格納する。Ks_localから導出される任意のプラットフォーム固有鍵またはアプリケーション固有鍵も、MTM 1240によって同一の形でセキュアに格納される。端末(IKC 1250とは別々)が、Ks_localまたはそれから導出される鍵のいずれかを使用できる前に、端末は、ステップS1において、ローカル鍵の使用についてIKC 1250に要求する。IKC 1250は、ステップS2において、端末の保全性を検証するようにMTM 1240に要求する。MTM 1240は、ステップS3において、端末の保全性を検証する。端末の保全性が、ステップS3およびS4において、MTM 1240によって端末およびIKC 1250に対して検証された後に限って、IKC 1250は、ステップS5において、MTM 1240が端末とUICC 1260との間の通信に使用するために端末によって要求された鍵を公開することを認証する。ステップS6において、ローカル鍵(1つまたは複数)が、MTM 1240によって端末に公開される。端末は、ステップS7において、UICC 1260とのセキュアチャネル(1つまたは複数)を確立するのにそのローカル鍵を使用する。
【0090】
提案される解決策の利益のいくつかを、下で示す。図19のステップS2、S3、およびS4において、IKC 1250とBSF 1270との間での鍵および鍵材料の「バルク」転送および処理を可能にし、ここで、1つまたは複数のNAF用の材料を、そのNAFに固有のKs_local鍵を導出するために交換し、処理することができ、これによって、複数のNAFのKs_localの導出が従来技術に従って実行される場合に必要になるOTA手順の数が減る。第2に、UICC 1260とIKC 1250との間およびIKC 1250とBSF 1270との間で交換される情報は、今や、2つのTLS−PSKトンネルの使用に起因して、保全性と機密性との両方についてセキュアにされる。これは、上で説明した問題に起因する従来技術のプライバシリスクおよび潜在的なセキュリティリスクを軽減する。この利益は、ローカル鍵確立の処理だけではなく、GBA_U処理およびセキュリティアソシエーション処理にも適用可能である。第3に、どちらもが既存の加入者秘密Kまでトレース可能ではない別々の共有秘密KUIおよびKIHの使用は、UICC 1260およびHLR/HSS 1280によって共有される加入者秘密へのトンネリングの処理を分離し、これは、KUI鍵およびKIH鍵の潜在的漏洩が加入者秘密を暴露しないので、セキュリティリスクを減らす。第4に、IKC 1250の使用は、IKC 1250が、その信頼性がWTRU 1200上のMTM 1240によってセキュアにされる(検証可能かつ証明可能な)信頼されるエンティティなので、セキュリティの利益を加える。ローカル鍵(Ks_local)および鍵材料が、信頼されるIKC 1250によって処理されるので、また、IKC 1250が、この情報を保持するMTM 1240のセキュアストレージ機能ならびにRANDxおよびRANDyの作成用の乱数ジェネレータなどのMTM 1240のセキュアにされた機能を使用できるので、総合的な処理セキュリティが強化される。最後に、IKC 1250の(ならびに、IKC 1250および端末が別々のエンティティである時には端末の)保全性を検証し、鍵および鍵材料をセキュアに格納し、ナンスとして使用される乱数をセキュアに生成するためのMTM 1240の使用は、ローカル鍵を確立する処理(パート1からパート3)のセキュリティおよび信頼性を増し、端末が、IKC 1250およびUICC 1260によって生成されたローカル鍵を、そのローカル鍵の保全性がMTM 1240によって検証された後に限って使用することをも可能にする。
【0091】
本発明の特徴および要素は、望ましい実施形態において特定の組合せにより説明されるが、各特徴または要素を、望ましい実施形態の他の特徴および要素を伴わずに単独において、または本発明の他の特徴および要素を伴ってもしくは伴わずにさまざまな組合せにおいて使用することができる。本発明において提供される方法またはフローチャートは、汎用コンピューターまたはプロセッサによる実行のためにコンピューター読み取り可能な記憶媒体において明白に実装される、コンピュータープログラム、ソフトウェア、またはファームウェアに実装することができる。コンピューター読み取り可能な記憶媒体の例は、読み取り専用メモリ(ROM)、ランダム・アクセス・メモリ(RAM)、レジスター、キャッシュメモリ、半導体メモリデバイス、例えば内蔵ハードディスク、取外し可能なディスクなどの磁気媒体、光磁気媒体、および例えばCD−ROMディスク、デジタル多用途ディスク(DVD)などの光媒体を含む。
【0092】
適切なプロセッサは、たとえば、汎用プロセッサ、特殊目的プロセッサ、従来のプロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアに関連する1つまたは複数のマイクロプロセッサ、コントローラー、マイクロコントローラー、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲート・アレイ(FPGA)回路、他のすべての型の集積回路(IC)、および/または状態機械を含む。
【0093】
ソフトウェアに関連するプロセッサを使用して、WTRU(ワイヤレス送受信ユニット)、ユーザー機器(UE)、端末、ME、基地局、ワイヤレスネットワークコントローラ(RNC)、またはすべてのホストコンピューターにおいて使用されるラジオ周波数トランシーバーを実装することができる。WTRUは、例えば、カメラ、ビデオ・カメラ・モジュール、ビデオ電話機、スピーカホン、振動デバイス、スピーカー、マイクロホン、テレビジョントランシーバー、ハンズ・フリー・ヘッドセット、キーボード、Bluetooth(登録商標)モジュール、周波数変調(FM)ラジオユニット、液晶ディスプレイ(LCD)ディスプレイユニット、有機発光ダイオード(OLED)ディスプレイユニット、デジタル音楽プレイヤー、メディアプレイヤー、ビデオ・ゲーム・プレイヤー・モジュール、インターネットブラウザー、および/またはすべてのワイヤレス・ローカル・エリア・ネットワーク(WLAN)モジュールなどのハードウェアおよび/またはソフトウェアで実装されるモジュールに関連して使用される。
【0094】
(実施形態)
1.セキュア通信を確立する方法であって、
a)内部鍵センター(IKC)とBSF(bootstrapping server function)との間のTLS−PSKトンネルの確立を要求することと、
b)HSS/HLR(home subscriber system/home location register)から複数の事前共有鍵を取り出すことと、
c)IKCとBSFとの間のTLS−PSKトンネルを確立することと、
d)BSFから、トンネルを通じて複数の事前共有鍵のうち少なくとも1つをIKCに送信することと、
e)UICCとIKCとの間のTLS−PSKトンネルを確立することと、
f)UICCとBSFとの間の少なくとも1つの加入者認証鍵を確立することと
を備えた方法。
2.事前にプロビジョニングされる対称鍵をIKCにより直接に共有することをさらに備えた上記実施形態のいずれかにおける方法。
3.複数の鍵をIKCに送信することと、
正しい鍵が識別されるまでUICCを用いて妥当性検査することと
をさらに備えた上記実施形態のいずれかにおける方法。
4.妥当性検査することは、チャレンジ−レスポンスタイプの鍵検証を含む上記実施形態のいずれかにおける方法。
5.事前共有鍵の証拠をUICCから受信することと、
証拠をBSFに送信することと、
複数の事前共有鍵から正しい鍵を識別することと
をさらに含む上記実施形態のいずれかにおける方法。
6.要求メッセージを受信することであって、要求メッセージはペイロードとしてIKC識別子を含む、受信することをさらに含む上記実施形態のいずれかにおける方法。
7.事前共有鍵は、IKCとBSFとの間のTLS−PSKトンネルを確立するのに使用される上記実施形態のいずれかにおける方法。
8.事前共有鍵は、UICCとIKCとの間のトンネルを確立するのに使用される上記実施形態のいずれかにおける方法。
9.UICCによってNAF識別子を構成することをさらに含む上記実施形態のいずれかにおける方法。
10.IKCおよびBSFは、IKC識別子について公開鍵ベースの暗号化および公開鍵ベースの暗号化解除を使用する上記実施形態のいずれかにおける方法。
11.複数の異なる公開鍵から選択することであって、公開鍵は、ネットワークからブロードキャストされる、選択することをさらに含む上記実施形態のいずれかにおける方法。
12.Diffie−Hellman鍵交換プロトコルが使用される上記実施形態のいずれかにおける方法。
13.公開鍵への共通インデックスを計算する方法であって、
ネットワークおよびIKCによって2つの値について一致することであって、2つの値は、素数pおよび生成元gを含む、一致することと、
ネットワークが乱数(RANDi)を選択することと、
【0095】
【数10】
を計算することと、
ネットワークが
【0096】
【数11】
【0097】
をIKCに送信することと(1≦RANDi≦p−2)、
IKCが乱数(FRESH)を計算することであって、gFRESH≡gFRESH mod pである、計算することと、
gFRESHをネットワークに送信することと(1≦FRESH≦p−2)、
ネットワークが
【0098】
【数12】
【0099】
を計算することと、
IKCが
【0100】
【数13】
【0101】
を計算することと
を備えた方法。
14.IKC識別子を含んでいるメッセージを暗号化することをさらに備えた上記実施形態のいずれかにおける方法。
15.TLS−PSKトンネリング確立処理中に公開鍵を交換することをさらに備えた上記実施形態のいずれかにおける方法。
16.DH対応TLS−PSK用のTLS_DHE_PSK_WITH_3DES_EDE_CBC_SHA暗号スイートをさらに備えた上記実施形態のいずれかにおける方法。
17.DH対応TLS−PSK用のTLS_DHE_PSK_WITH_AES_128_CBC_SHAをさらに備えた上記実施形態のいずれかにおける方法。
18.DH対応TLS−PSK用のTLS_DHE_PSK_WITH_AES_256_CBC_SHAをさらに備えた上記実施形態のいずれかにおける方法。
19.セキュリティアソシエーションの方法であって、
UICCとIKCとの間およびIKCとBSFとの間の情報を交換することであって、UICC、IKC、およびBSFは交換をセキュアにするのにTSL−PSKトンネルを使用する、交換すること
を備えた方法。
20.UICC上の有効な加入者認証鍵について検査することをさらに備えた上記実施形態のいずれかにおける方法。
21.UICCがそれとのセキュリティアソシエーションを確立することを望むNAFのアイデンティティデータを、確立されたトンネル(TUI)を介してUICCから取り出すことをさらに備えた上記実施形態のいずれかにおける方法。
22.UICCが複数のNAF固有鍵を導出することをさらに備えた上記実施形態のいずれかにおける方法。
23.加入者認証鍵の確立のためにUICCベースの強化を有するgeneral bootstrapping architecture(GBA_U)を開始することをさらに備えた上記実施形態のいずれかにおける方法。
24.複数のトンネルのうちの1つを介してIKCからBSFにアイデンティティデータを送信することをさらに備えた上記実施形態のいずれかにおける方法。
25.少なくとも1つのNAFに認証要求を送信することをさらに備えた上記実施形態のいずれかにおける方法。
26.BSFにおいてNAFから少なくとも1つの認証応答を受信することをさらに備えた上記実施形態のいずれかにおける方法。
27.BSFが複数のNAF固有鍵を導出することをさらに備えた上記実施形態のいずれかにおける方法。
28.複数のNAF固有鍵、ブートストラップ時刻、および鍵の有効期間をBSFから複数のNAFに転送することをさらに備えた上記実施形態のいずれかにおける方法。
29.NAFからBSFへ、NAF固有鍵、鍵の有効期間、およびブートストラップ時刻の受信を示す肯定応答メッセージを送信することをさらに備えた上記実施形態のいずれかにおける方法。
30.バルク・セキュリティ・アソシエーション・メッセージをBSFからIKCに送信することであって、バルク・セキュリティ・アソシエーション・メッセージはそれぞれが特定のNAFに対応する複数のNAFメッセージ認証コード(MACNAF)を含む、送信することをさらに備えた上記実施形態のいずれかにおける方法。
31.IKCがBSFから受信したバルク・セキュリティ・アソシエーション・メッセージをUICCに転送することをさらに備えた上記実施形態のいずれかにおける方法。
32.NAFに固有のMACUICC_SA atをUICCで計算することをさらに備えた上記実施形態のいずれかにおける方法。
33.UICCによってバルク・セキュリティ・アソシエーション応答メッセージを生成すること をさらに備えた上記実施形態のいずれかにおける方法。
34.NAFの対応するMACUICC_SAに対するMACIKCは一致しない場合に、セッションの失敗を検出することをさらに備えた上記実施形態のいずれかにおける方法。
35.MACIKCがそれに対応するMACUICC_SAと一致した場合に、成功を検出することをさらに備えた上記実施形態のいずれかにおける方法。
36.NAF固有鍵およびMACアルゴリズムを使用して成功応答を送信することをさらに備えた上記実施形態のいずれかにおける方法。
37.IKCを介し、複数のトンネルを介してバルク・セキュリティ・アソシエーション応答メッセージをBSFに送信することをさらに備えた上記実施形態のいずれかにおける方法。
38.BSFによって、セキュリティアソシエーションの試みの失敗または成功の状況をNAFに示すことをさらに備えた上記実施形態のいずれかにおける方法。
39.NAFで成功状況を受信することと、
NAF固有鍵、ブートストラップ時刻、および関連する鍵の有効期間を格納することと
をさらに備えた上記実施形態のいずれかにおける方法。
40.端末とUMTS Integrated Circuit Card(UICC)との間の鍵を確立する方法であって、
2つのTLS−PSKトンネルを使用してセキュアな形で情報を交換すること
を含むことを特徴とする方法。
41.内部鍵センター(IKC)によって、UICC上の少なくとも1つの有効な加入者認証鍵の存在を識別することと、
ブートストラッピングトランザクション識別子および少なくとも1つのNAF(network application function)識別子をUICCから取り出すことと
をさらに備えた上記実施形態のいずれかにおける方法。
42.少なくとも1つの加入者認証鍵を確立するためにUICCベースの強化を有するgeneral bootstrapping architecture(GBA_U)処理を開始することと、
ブートストラッピングトランザクション識別子および少なくとも1つのNAF識別子をUICCから取り出すことと
をさらに備えた上記実施形態のいずれかにおける方法。
43.UICCとIKCとの間のTLS−PSKトンネルを介して情報交換を送信することをさらに備えた上記実施形態のいずれかにおける方法。
44.それぞれが要求されるNAFのNAF識別子に対応する少なくとも1つのIKC鍵に関するアプリケーション要求をIKCからBSF(bootstrapping server function)に送信することと、
IKCはブートストラッピングトランザクション識別子および少なくとも1つのNAF識別子をKs_IKC_NAF(RANDy)ナンスについてICKによって生成された複数の対応するランダムチャレンジと一緒に送信することと
をさらに備えた上記実施形態のいずれかにおける方法。
45.それぞれが要求されるNAFのそれぞれに固有の少なくとも1つのIKC鍵を計算することをさらに備えた上記実施形態のいずれかにおける方法。
46.少なくとも1つのIKC鍵および鍵の有効期間を含んでいるアプリケーション応答をIKCに送信することをさらに備えた上記実施形態のいずれかにおける方法。
47.IKCが、少なくとも1つのcounter limit値を生成することと、
少なくとも1つのローカル鍵を導出することと
をさらに備えた上記実施形態のいずれかにおける方法。
48.IKCが、トンネルTUIを介してアプリケーション要求メッセージをUICCに送信することと、
NAF識別子に固有のローカル鍵を作成するようにUICCに要求することであって、要求は、NAF識別子、端末識別子、端末アプリケーション識別子、UICCアプリケーション識別子、およびcounter limit値を含む、要求することと
をさらに備えた上記実施形態のいずれかにおける方法。
49.端末がMACIKCを計算することをさらに備えた上記実施形態のいずれかにおける方法。
50.UICCが、受信されたNAF識別子に関連するKs_int_NAFおよびブートストラッピングトランザクション識別子を取り出すことをさらに備えた上記実施形態のいずれかにおける方法。
51.int_NAF鍵およびRANDyに基づいてIKC−NAF鍵を導出することをさらに備えた上記実施形態のいずれかにおける方法。
52.UICCがローカル鍵を導出することであって、ローカル鍵は、IKC−NAF鍵、ブートストラッピングトランザクション識別子、端末識別子、integrated circuit card identification(ICCID)、端末アプリケーション識別子、UICCアプリケーション識別子、RANDx、およびCounter Limitの関数として決定される、導出すること
をさらに備えた上記実施形態のいずれかにおける方法。
53.UICCが端末から受信されたMACIKC値を検証することをさらに備えた上記実施形態のいずれかにおける方法。
54.UICCが、鍵一致手順を終了することと、
ローカル鍵導出要求に応答してMAC検証失敗メッセージを返すことと
をさらに備えた上記実施形態のいずれかにおける方法。
55.UICCがローカル鍵および関連するパラメーターを格納することと、
UICCが鍵ローカル鍵およびMACアルゴリズムを使用してASCII符号化されたストリングのMACを含んでいるローカル鍵導出応答を送信することと
をさらに備えた上記実施形態のいずれかにおける方法。
56.IKCがローカル鍵および鍵の有効期間を格納することをさらに備えた上記実施形態のいずれかにおける方法。
57.ローカル鍵から実際の共有鍵を導出することと、
導出された共有鍵を更新することと
をさらに備えた上記実施形態のいずれかにおける方法。
58.認証することおよび暗号化することが、remote authentication dial−in user serviceを通じて拡張認証プロトコルを組み合わせることをさらに備えた上記実施形態のいずれかにおける方法。
59.内部鍵センターを使用してセキュアに通信する方法であって、携帯電話機(UE)のMTM(mobile trusted module)を使用して鍵をセキュアにすることを備えた方法。
60.IKCがMTM内にローカル鍵を格納することをさらに備えた上記実施形態のいずれかにおける方法。
61.ローカル鍵から導出されたすべてのプラットフォーム固有鍵またはアプリケーション固有鍵をMTMによって格納することをさらに備えた上記実施形態のいずれかにおける方法。
62.端末が、ローカル鍵を使用する前に、ローカル鍵を使用するようにIKCに要求することをさらに備えた上記実施形態のいずれかにおける方法。
63.IKCは、MTMが端末の保全性を検証するように要求することをさらに備えた上記実施形態のいずれかにおける方法。
64.MTMが端末の保全性を検証することをさらに備えた上記実施形態のいずれかにおける方法。
65.IKCは、MTMが、それ自体とUICCとの間の通信に使用される、端末によって要求される複数の鍵を公開すること認証することをさらに備えた上記実施形態のいずれかにおける方法。
66.少なくとも1つのローカル鍵をMTMから端末に公開することをさらに備えた上記実施形態のいずれかにおける方法。
67.端末が、UICCとの少なくとも1つのセキュアチャネルを確立するためにローカル鍵を送信することをさらに備えた上記実施形態のいずれかにおける方法。
68.UICCによって実行される上記実施形態のいずれかにおける方法。
69.BSFによって実行される上記実施形態のいずれかにおける方法。
70.WTRU(ワイヤレス送受信ユニット)によって実行される上記実施形態のいずれかにおける方法。
71.基地局によって実行される上記実施形態のいずれかにおける方法。
72.IKCによって実行される上記実施形態のいずれかにおける方法。
【特許請求の範囲】
【請求項1】
WTRUによって使用され、セキュア通信を確立する方法であって、
前記WTRU内のIKCとUICCとの間の一時的なセキュアチャネルを確立するステップと、
前記確立された一時的なセキュアチャネルによりGBA_U処理およびローカル鍵設定処理を実行することによって前記UICCとIKCとの間のセキュアチャネルを確立するステップと
を備えたことを特徴とする方法。
【請求項2】
前記一時的なセキュアチャネルを確立するステップは、
前記IKCとBSFとの間のセキュアトンネルを確立するステップと、
前記確立されたセキュアトンネルにより第1の鍵を受信するステップであって、前記一時的なセキュアチャネルは前記第1の鍵を使用して確立される、受信するステップと
を含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記セキュアトンネルは、TLS−PSKトンネルであることを特徴とする請求項1に記載の方法。
【請求項4】
前記一時的なセキュアチャネルは、TLS−PSKトンネルであることを特徴とする請求項1に記載の方法。
【請求項5】
前記一時的なセキュアチャネルは、共有秘密を使用して確立されることを特徴とする請求項1に記載の方法。
【請求項6】
前記共有秘密は、前記IKCおよび前記UICCにおいてあらかじめプロビジョニングされることを特徴とする請求項5に記載の方法。
【請求項7】
セキュア通信を確立するよう構成されたWTRUであって、
一時的なセキュアチャネル、UICCを確立して、
前記確立された一時的なセキュアチャネルによりGBA_U処理およびローカル鍵設定処理を実行することによって前記UICCとBSFとの間のセキュアチャネルを確立する
よう構成されたIKC
を備えたことを特徴とするWTRU。
【請求項8】
前記ICKは、
前記IKCと前記BSFとの間のセキュアトンネルを確立して、
前記セキュアにされたトンネルにより第1の鍵を受信する
ようさらに構成され、前記一時的なセキュアチャネルは前記第1の鍵を使用して確立されることを特徴とする請求項7に記載のWTRU。
【請求項9】
前記セキュアトンネルは、TLS−PSKトンネルであることを特徴とする請求項8に記載の方法。
【請求項10】
前記一時的なセキュアチャネルは、TLS−PSKトンネルであることを特徴とする請求項7に記載の方法。
【請求項11】
前記一時的なセキュアチャネルは、共有秘密を使用して確立されることを特徴とする請求項7に記載の方法。
【請求項12】
前記共有秘密は、前記IKCおよび前記UICCにおいてあらかじめプロビジョニングされることを特徴とする請求項11に記載の方法。
【請求項13】
IKCによって使用されるセキュア通信の方法であって、
UICCにより第1のセキュアにされたトンネルを確立するステップと、
BSFにより第2のセキュアにされたトンネルを確立するステップと、
前記第1のトンネルおよび前記第2のトンネルを使用して、前記UICCに少なくも2つのネットワークアプリケーション機能のセキュリティアソシエーション情報を提供するステップと
を備えたことを特徴とする方法。
【請求項14】
前記第1のトンネルおよび前記第2のトンネルを使用して、セキュリティアソシエーション応答を前記UICCから前記BSFへ転送するステップをさらに備えたことを特徴とする請求項13に記載の方法。
【請求項15】
前記第1のトンネルおよび前記第2のトンネルは、TLS−PSKトンネルであることを特徴とする請求項13に記載の方法。
【請求項16】
IKCを含むWTRUによって使用されるセキュアローカル鍵を確立する方法であって、
有効な鍵がUICCに存在するかどうかを判定するステップと、
B−TIDおよび少なくとも1つのNAF−IDを前記UICCから取り出すステップと、
鍵に関するアプリケーション要求をBSFへ送信するステップと、
少なくとも1つの鍵を含んでいるアプリケーション応答を受信するステップと、
counter limitを生成して、少なくとも1つのNAFに関連するパラメーターからローカル鍵を導出するステップと、
鍵確立に関するアプリケーション要求を前記UICCへ送信するステップと、
前記ローカル鍵の成功した検証を示すローカル導出応答を受信するステップと、
前記ローカル鍵および前記関連するパラメーターのすべてを前記IKCに格納するステップと
を備えたことを特徴とする方法。
【請求項17】
前記B−TIDおよび少なくとも1つのNAF−IDを前記UICCから取り出すステップが、第1のセキュアトンネルを通じて行われることを特徴とする請求項16に記載の方法。
【請求項18】
前記鍵に関するアプリケーション要求をBSFへ送信するステップが、第2のセキュアトンネルを通じて行われることを特徴とする請求項16に記載の方法。
【請求項19】
前記少なくとも1つの鍵を含んでいるアプリケーション応答を受信するステップが、前記第2のセキュアチャネルを通じて行われることを特徴とする請求項18に記載の方法。
【請求項20】
前記第1のトンネルは、TLS−PSKトンネルであることを特徴とする請求項19に記載の方法。
【請求項21】
前記第2のトンネルは、TLS−PSKトンネルであることを特徴とする請求項19に記載の方法。
【請求項1】
WTRUによって使用され、セキュア通信を確立する方法であって、
前記WTRU内のIKCとUICCとの間の一時的なセキュアチャネルを確立するステップと、
前記確立された一時的なセキュアチャネルによりGBA_U処理およびローカル鍵設定処理を実行することによって前記UICCとIKCとの間のセキュアチャネルを確立するステップと
を備えたことを特徴とする方法。
【請求項2】
前記一時的なセキュアチャネルを確立するステップは、
前記IKCとBSFとの間のセキュアトンネルを確立するステップと、
前記確立されたセキュアトンネルにより第1の鍵を受信するステップであって、前記一時的なセキュアチャネルは前記第1の鍵を使用して確立される、受信するステップと
を含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記セキュアトンネルは、TLS−PSKトンネルであることを特徴とする請求項1に記載の方法。
【請求項4】
前記一時的なセキュアチャネルは、TLS−PSKトンネルであることを特徴とする請求項1に記載の方法。
【請求項5】
前記一時的なセキュアチャネルは、共有秘密を使用して確立されることを特徴とする請求項1に記載の方法。
【請求項6】
前記共有秘密は、前記IKCおよび前記UICCにおいてあらかじめプロビジョニングされることを特徴とする請求項5に記載の方法。
【請求項7】
セキュア通信を確立するよう構成されたWTRUであって、
一時的なセキュアチャネル、UICCを確立して、
前記確立された一時的なセキュアチャネルによりGBA_U処理およびローカル鍵設定処理を実行することによって前記UICCとBSFとの間のセキュアチャネルを確立する
よう構成されたIKC
を備えたことを特徴とするWTRU。
【請求項8】
前記ICKは、
前記IKCと前記BSFとの間のセキュアトンネルを確立して、
前記セキュアにされたトンネルにより第1の鍵を受信する
ようさらに構成され、前記一時的なセキュアチャネルは前記第1の鍵を使用して確立されることを特徴とする請求項7に記載のWTRU。
【請求項9】
前記セキュアトンネルは、TLS−PSKトンネルであることを特徴とする請求項8に記載の方法。
【請求項10】
前記一時的なセキュアチャネルは、TLS−PSKトンネルであることを特徴とする請求項7に記載の方法。
【請求項11】
前記一時的なセキュアチャネルは、共有秘密を使用して確立されることを特徴とする請求項7に記載の方法。
【請求項12】
前記共有秘密は、前記IKCおよび前記UICCにおいてあらかじめプロビジョニングされることを特徴とする請求項11に記載の方法。
【請求項13】
IKCによって使用されるセキュア通信の方法であって、
UICCにより第1のセキュアにされたトンネルを確立するステップと、
BSFにより第2のセキュアにされたトンネルを確立するステップと、
前記第1のトンネルおよび前記第2のトンネルを使用して、前記UICCに少なくも2つのネットワークアプリケーション機能のセキュリティアソシエーション情報を提供するステップと
を備えたことを特徴とする方法。
【請求項14】
前記第1のトンネルおよび前記第2のトンネルを使用して、セキュリティアソシエーション応答を前記UICCから前記BSFへ転送するステップをさらに備えたことを特徴とする請求項13に記載の方法。
【請求項15】
前記第1のトンネルおよび前記第2のトンネルは、TLS−PSKトンネルであることを特徴とする請求項13に記載の方法。
【請求項16】
IKCを含むWTRUによって使用されるセキュアローカル鍵を確立する方法であって、
有効な鍵がUICCに存在するかどうかを判定するステップと、
B−TIDおよび少なくとも1つのNAF−IDを前記UICCから取り出すステップと、
鍵に関するアプリケーション要求をBSFへ送信するステップと、
少なくとも1つの鍵を含んでいるアプリケーション応答を受信するステップと、
counter limitを生成して、少なくとも1つのNAFに関連するパラメーターからローカル鍵を導出するステップと、
鍵確立に関するアプリケーション要求を前記UICCへ送信するステップと、
前記ローカル鍵の成功した検証を示すローカル導出応答を受信するステップと、
前記ローカル鍵および前記関連するパラメーターのすべてを前記IKCに格納するステップと
を備えたことを特徴とする方法。
【請求項17】
前記B−TIDおよび少なくとも1つのNAF−IDを前記UICCから取り出すステップが、第1のセキュアトンネルを通じて行われることを特徴とする請求項16に記載の方法。
【請求項18】
前記鍵に関するアプリケーション要求をBSFへ送信するステップが、第2のセキュアトンネルを通じて行われることを特徴とする請求項16に記載の方法。
【請求項19】
前記少なくとも1つの鍵を含んでいるアプリケーション応答を受信するステップが、前記第2のセキュアチャネルを通じて行われることを特徴とする請求項18に記載の方法。
【請求項20】
前記第1のトンネルは、TLS−PSKトンネルであることを特徴とする請求項19に記載の方法。
【請求項21】
前記第2のトンネルは、TLS−PSKトンネルであることを特徴とする請求項19に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12a】
【図12b】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12a】
【図12b】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公表番号】特表2011−501908(P2011−501908A)
【公表日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願番号】特願2010−528201(P2010−528201)
【出願日】平成20年10月6日(2008.10.6)
【国際出願番号】PCT/US2008/078893
【国際公開番号】WO2009/046400
【国際公開日】平成21年4月9日(2009.4.9)
【出願人】(596008622)インターデイジタル テクノロジー コーポレーション (871)
【Fターム(参考)】
【公表日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願日】平成20年10月6日(2008.10.6)
【国際出願番号】PCT/US2008/078893
【国際公開番号】WO2009/046400
【国際公開日】平成21年4月9日(2009.4.9)
【出願人】(596008622)インターデイジタル テクノロジー コーポレーション (871)
【Fターム(参考)】
[ Back to top ]