JP2005529569A - サービス合意の否認防止(non−repudiation) - Google Patents

サービス合意の否認防止(non−repudiation) Download PDF

Info

Publication number
JP2005529569A
JP2005529569A JP2004514264A JP2004514264A JP2005529569A JP 2005529569 A JP2005529569 A JP 2005529569A JP 2004514264 A JP2004514264 A JP 2004514264A JP 2004514264 A JP2004514264 A JP 2004514264A JP 2005529569 A JP2005529569 A JP 2005529569A
Authority
JP
Japan
Prior art keywords
service
user
service agreement
information
agreement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004514264A
Other languages
English (en)
Other versions
JP4213664B2 (ja
Inventor
ロルフ ブロム,
アンドラス メヘス,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/278,362 external-priority patent/US7194765B2/en
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2005529569A publication Critical patent/JP2005529569A/ja
Application granted granted Critical
Publication of JP4213664B2 publication Critical patent/JP4213664B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は一般的には通信システムにおけるユーザ(10)とサービスプロバイダ(20)との間のサービス合意の効率的な否認防止に関するものである。所謂、サービス合意マネージャと呼ばれる付加的な信頼のおけるパーティ(30)が導入され、本発明は、サービス合意マネージャ(30)が秘密キー(Ki)をユーザ端末(10)と共有し、サービスプロバイダ(20)はサービス合意マネージャ(30)と信頼関係にあるという考えに基づいている。本発明により提案される否認防止の方式はさらに、関連するサービス合意情報、共有秘密キー(Ki)に基づくこの情報の暗号化処理(14/34)に基づいて、ユーザ署名のサービス合意の検証情報を生成する。ユーザ署名の検証情報はその後、サービスプロバイダ(20)に転送され、サービスプロバイダ(20)とサービス合意マネージャ(30)との間の信頼関係に基づいたサービス合意の検証(26/36)を可能にする。

Description

本発明は一般には移動体通信システムのような現代の通信システムにおける耐性があり安全な電子商取引に関するものである。
移動体通信システムを含む、今日の多くの通信システムは、システムの安全性と耐性とを改善するために認証と暗号化の手順を採用している。
移動体通信システムでは、例えば、ユーザはネットワークとサービスプロバイダとの内、少なくともいずれかに対して認証を行って基本的なネットワークサービスと他のサービスとに対するアクセスを取得し、また、その認証はユーザに対する課金のためのベースとしての役割を果たしている。現代の通信システムの基本的な機密保護プロトコルは通常、たいていは秘密キー暗号法に基づいたチャレンジ・レスポンス認証手順に関係している。チャレンジ・レスポンス認証はこの分野ではよく知られたものであり、基本的なチャレンジ・レスポンス認証手順についてはいくつかの標準が、例えば、GSM(汎欧州デジタル移動電話方式)やUMTS(地球規模の移動体通信システム)のネットワークについて存在している。
電子商取引、特に、小額の支払いシステムにおいて、サービスプロバイダはユーザがサービスへの支払いに同意したこと(サービス課金/サービス合意のユーザによる否認防止(non-repudiation))を証明できることが不可欠なことである。
否認防止(non-repudiation)についての知られた技術では通常、公開鍵暗号化方式に基づいたデジタル署名を採用している。これは計算上の観点からすると高価なものである。
本発明は従来技術の構成のこれらの欠点を克服するものである。
本発明の一般的な目的は、通信システムにおけるサービスプロバイダとユーザとの間のサービスの合意の否認を防止するための効率的で耐性のある機構を提供することである。
本発明の目的は、サービスプロバイダがユーザが与えられたサービス合意を全く受け入れたことを証明或いは検証できるようにする機構を提供することである。
例えば、サービスプロバイダにとって、ユーザがその受け入れたサービスの料金の検証を含めて、サービスへの支払いに同意したことを証明できることは関心のあることであるかもしれない。
本発明の別の目的は、通信システムにおける認証及びキー合致(AKA)に基づいた改善されたチャレンジ・レスポンスに対する機構を提供することである。
これらの目的は添付した特許請求の範囲によって定義されるような本発明に合致している。
簡単に言えば、本発明は通常は、信用のおける第3者、所謂、サービス合意マネージャを関与させる。本発明はそのサービス合意マネージャがユーザ端末と秘密キーを共有し、サービスプロバイダはそのサービス合意マネージャと信頼関係をもつという考えに基づいたものである。またさらに、本発明によって提案されている否認防止(non-repudiation)方式は、ユーザ署名のサービス合意の検証情報を生成するために、関連するサービス合意の情報の準備と、共有秘密キーに基づくこの情報の暗号化処理とに基づいている。ユーザ署名の検証情報はその後、サービスプロバイダに転送され、サービスプロバイダとサービス合意マネージャとの間の信頼関係に基づいたサービス合意の検証を可能にする。
そのサービス合意マネージャは、サービスプロバイダとユーザとの間のサービス合意を管理するか、さもなければ、その管理に参画する何らかの信頼されたもので良く、例えば、通信システムにおけるネットワークオペレータ側で実施されるかもしれない。
そのサービス合意マネージャは、異なるノード間、或いはパーティ間に分散されることさえもあるかもしれず、例えば、ユーザ・アイデンティティ・ブローカーと、そのサービスプロバイダとそのアイデンティティ・ブローカーとの間に配置される支払いブローカーとを含んでも良い。この場合、信頼のきずなが、サービスプロバイダと、支払いブローカーと、アイデンティティ・ブローカーとの間に確立されており、そこでは、ユーザ端末は普通は秘密キーをアイデンティティ・ブローカーと共有する。
サービス合意の情報の準備は通常、サービスプロバイダによってなされるか、或いは初期化されるが、この情報は、ユーザとサービスプロバイダとの両者がその合意を受け入れる限りにおいては、関与する複数のパーティのいずれかによって準備されても良いことを理解すべきである。
サービス合意の情報の暗号化処理は通常、ユーザ側で実行されるが、ある場合には、サービス合意マネージャを同様に関与させても良い。好ましくは、ユーザ端末が、共有秘密キーから局所的に導出される否認防止キーに基づいて暗号化処理を実行し、要求される検証情報を生成する。
サービスプロバイダがユーザ署名の検証情報を受信し、この情報を格納するための能力をもっているという単なる事実があると、ユーザに加入したサービス合意を否認することを思いとどまらせることになる。もし望むなら、或いはさもなければ適切であれば、実際の検証が、サービス合意マネージャ、或いはサービスプロバイダによってさえも直接に、オンライン、或いはオフラインで実行される。
例えば、サービス合意マネージャは、少なくとも部分的にはその準備されたサービス合意の情報と共有秘密キーとに基づいて期待される検証情報を生成してもよく、必要とされるとき、サービスプロバイダから転送されたユーザ署名の検証情報が実際にその期待される検証情報に対応していることを検証する。
都合の良いことに、ユーザ署名の検証情報は、サービス合意マネージャからの始められたチャレンジにレスポンスして、或いは、ユーザ側で始められたチケットに基づいて、与えられたサービス合意の情報と関連して両方に場合に、ユーザ端末で生成されても良い。
その代わりに、しかしながら、サービス合意の情報の暗号化処理は、サービス合意マネージャ側とユーザ側の両方で実行される。この場合、サービス合意マネージャは、共有秘密キーに基づいたサービス合意の情報の暗号化表現を生成することが好ましく、この表現をユーザ端末に(普通はサービスプロバイダを介して)転送し、それから、受信した暗号化表現がユーザ側で共有秘密キーに基づいて処理されて、正しい検証情報を生成する。
例えば、チケットを基本にした解決策に関し、サービス合意マネージャ側での暗号化処理は、準備されたサービス合意の情報に基づいて生成されたチケットの暗号化を含むと良く、そして、ユーザ側での処理にはその時、一般にはその暗号化されたチケットの復号化を含む。
理解されるべきことであるが、サービス合意の情報は一般には電子契約で良い。しかしながら、本発明は、そのサービス合意の情報がサービス料金請求情報を含み、そのサービス合意マネージャが支払いプロバイダ或いはサービスプロバイダのための料金請求センタとして作用するアプリケーションにおいて特に有用となる。
一般的な契約署名について、サービスプロバイダによるオフライン検証を可能にする特別に設計された実施例は、サービス合意マネージャにより生成された期待される検証情報と同じマスク関数の局所的な実例によるユーザ署名の検証情報との両方に関与させる。共有秘密キーに基づいて生成される期待される検証情報と一般的な契約とは、サービス合意マネージャによりマスクされ、サービスプロバイダに転送される。ユーザ署名の検証情報がユーザ側から受信されて、サービスプロバイダによりマスクされ、従って、サービスプロバイダ側ではサービス合意の検証を、そのマスクされた期待された検証情報とそのマスクされたユーザ署名の検証情報とを比較することにより可能にする。
都合の良いことに、サービス合意マネージャは期待されるサービス合意の検証情報を、認証及びキー合致手順に基づいた通常のチャレンジ・レスポンスにおけるランダムなチャレンジとして契約の暗号化ハッシュを適用することにより生成する。
一連の特に有用な実施例において、サービス合意の否認防止は、認証及びキー合致(AKA)に対して通常は採用される同じ共有秘密キーを用いて、ネットワークアクセス(例えば、GMS/UMTS AKA)に対してチャレンジ・レスポンスを基本としたAKA手順に組み込まれる。このことは現存するインフラストラクチュアを再利用できることを意味する。
本発明とは明瞭に異なり、サービス合意の否認防止を提供する従来の技術は、非対称な鍵のペアを採用した、サービスプロバイダとユーザ端末との間での直接的な公開鍵暗号化方式に基づいている。
必ずしも必要のないことであるが、サービス合意の否認防止のための鍵をかけるデータを通常のAKAのための鍵をかけるデータ(keying material)から孤立させることは有益であることが分かった。この点に関して、否認防止のための鍵をかけるデータは、認証マネージャと相互動作する具体的な支払いブローカーと結合さえしても良く、この場合には、ユーザ端末は秘密キーを認証マネージャと共有する。
本発明の他の関係した側面から見ると、上記の孤立化機構の基本的な原理は、チャレンジ・レスポンスを基本とした認証及びキー合致(AKA)を改善するために採用されている。要するに、通常のAKA手順は、ネットワークオペレータにより管理されるネットワークへのアクセスのための第1のセットのAKAパラメータを入力として、第1のセットのAKAパラメータの少なくとも一部の表現を用いて、例えば、擬似ランダム関数のような所定の関数によりサービスプロバイダによるサービスへのアクセスのための第2のセットのAKAパラメータから孤立させ、第2のセットのAKAパラメータを生成することにより改善される。これは、たとえサービスアクセスのための鍵をかけるデータが失われたり盗まれたりしたとしても、基本的なネットワークアクセスのために用いることができないという利点をもつ。
本発明は次のような利点を提供している。
・通信システムにおけるサービス合意の効率的で耐性のある否認防止。
・ユーザに加入したサービス合意を否認することを思いとどまらせる。
・ネットワークオペレータが信頼されるサービス合意マネージャとして振舞うための新しいビジネスの可能性を提供する。例えば、オペレータが支払いプロセスにける当然の役割を獲得することもある。
・UMTS/GSM AKAのような基本的なチャレンジ・レスポンス手順を拡張して、支払いの合意にユーザ認証を結合させることを可能にする効率的な方法。
・現存するインフラストラクチュアからの容易な移行。
・新しいGSM或いはUMTS加入者アイデンティティモジュール(SIM)を導入することなく、容易に実施可能。端末は新しい支払いプロトコルを組み込むためにどうにかして変更しなければならない。
本発明により提供されるその他の利点については、以下の本発明の実施例の説明を読むときに認識されるであろう。
本発明と、その更なる目的と利点とは共に、添付図面と共にとられた説明を参照することで最良の理解が得られる。
図面全体を通じて、同じ参照記号は対応する或いは類似の要素に対して用いられる。
概要
提案された発明に従う通信システムの概要を示す図である図1に関して、基本的な参画者とその相互関係について概観することで説明を始めることは有益であるかもしれない。
基本的な参画者はユーザ10、サービスプロバイダ20、トラスト(trust)プロバイダ30と一般には呼ばれる付加的なパーティを含む。トラストプロバイダ30はサービスプロバイダとユーザとの内、少なくともいずれかのために種々のタスクを実行する。トラストプロバイダ30は、共有秘密キーを介して確立されたユーザ(或いは、むしろ正しく構成されたユーザ端末)との信頼関係がある。トラストプロバイダ30とサービスプロバイダとは契約上の信頼関係として明白にされた合意があるかもしれない。ユーザ10とサービスプロバイダ20との間の関係は通常は、帰納された(induced)信頼関係とみなされ、それはサービスプロバイダによって提供されるサービスが要求されたとき、さもなければそれが始められたときに確立される。
トラストプロバイダは例えば、ユーザが、例えば、加入或いは前払い口座によって確立された信頼関係をもっているネットワークオペレータと関係付けられても良い。
この確立された信頼関係は通常は、GMS/UMTSのためのAKA(認証及びキー合致)手順のようなチャレンジ・レスポンス手順と類似の手順との内の少なくともいずれかを可能にする共有秘密キー(対象性暗号化処理)を介した暗号処理の関係で明白にされる。ネットワークオペレータはサービスプロバイダとの合意があるかもしれない。その合意は通常は、類似の暗号化処理の関係で明白にされる。サービスプロバイダはその時、GSM/UMTS AKAのようなチャレンジ・レスポンスをそのサービスのエンドユーザとの間接的な相互認証のために採用するかもしれない。
図2と図3に図式的に例示されているように、所謂訪ねた(visited)オペレータにより管理される別のネットワークに移動体ユーザがローミングするとき、ユーザ認証のための信頼のベースとしてホームオペレータを用いることは知られている。
図2は移動体ユーザが訪ねたネットワークにローミングするとき、移動体通信システムにおいてホームオペレータによるオンライン検証をともなうユーザ認証についての信号交換を模式的に示した図である。
基本的なUMTS AKA手順は、ユーザ−オペレータ加入に関係した加入者キー或いはそれに由来するキーのような共有秘密キーKiを採用し、チャレンジと2つのセションキーに対する応答を生み出している。それら2つのキーの1つは、秘密保護(Ck)のためのものであり、もう1つはユーザと訪ねたオペレータとの間のトラフィックの完全性保護(Ik)のためのものである。ホームオペレータ、或いは、より具体的にはHSS/AuC(ホーム加入者サーバ/認証センタ)とHLR/AuC(HLR:ホームロケーションレジスタ)はランダムチャレンジ(RAND)を認証トークン(AUTN)とともに生成する。認証トークンは後になってユーザにより用いられ、そのチャレンジが新しいもので、ホームオペレータにより生成されたものであることを検証する。このチャレンジから、レスポンス(RES/XRES)とキー(Ck、Ik)が共有秘密キーを用いて計算される。GSM AKAにおいて、完全性キーや認証トークンが生成されることはないが、基本的なチャレンジ・レスポンス手順は同じである。共有秘密キーは伝統的には、AKA実施に依存するが、GSMの移動体ユニットで用いられるSIMカード或いはUMTS移動体ユニットで用いられるUMTS SIMカード(USIM)で実施される。
多かれ少なかれ標準化された拡張認証プロトコル(Extensible Authentication Protocol:EAP)に対応している図2において、必要な信号発信を実施する1つの方法は以下のように要約される。
初期フェーズにおいて、ユニットは識別子を訪ねたオペレータに送信すると、その訪ねたオペレータはその識別子をホームオペレータに転送する。この識別子に基づいて、ホームオペレータにおけるHSS/AuC或いはその同等物が対応する秘密キーを取り出して、5つの組の情報(RAND、AUTN、Ck、Ik、XRES)を生成し、訪ねたオペレータに送信する。
1.チャレンジ(RAND)、認証トークン(AUTN)
これらのパラメータはユーザに対して訪ねたオペレータにより転送される。
2.チャレンジ(RAND)、認証トークン(AUTN)
ユーザはAUTNをチェックし、もし、それがOKであれば、レスポンス(RES)、秘密キー(Ck)、及び完全性キー(Ik)を計算する。そのレスポンスはホームオペレータに対して訪ねたオペレータを介して返信される。
3.レスポンス(RES)
4.レスポンス(RES)
ホームオペレータはRESが期待されるレスポンス(XRES)と等しいかどうかをチェックする。もし、そうであればキーは訪ねたオペレータに安全に転送される。
5.安全性と秘密キー(IkとCk
ホームオペレータはエンドユーザからのRESを見て、そのエンドユーザが訪ねたオペレータを介して認証されたことを検証できる。しかしながら、ホームオペレータはどんなサービス合意をユーザが受け入れたのかの証拠はもっていない。
もし今日のセルラシステムでなされているような方法で信号発信が実施されるなら、ホームオペレータはユーザ認証のどんな証拠さえももつことはないであろう。この場合、図3を参照すると、その信号発信は以下のとおりである。
1.RAND、AUTN、Ik、Ck、XRES
2.RAND、AUTN
ユーザはAUTNをチェックし、もし、それがOKであれば、レスポンスRES、秘密キーCk、及び完全性キー(Ik)を計算する。
3.RES
訪ねたオペレータはRESが期待されるレスポンス(XRES)と等しいかどうかをチェックする。もし、そうであればユーザは認証されたのである。
サービス合意の否認防止のための代表的な方式概略
図4は本発明の好適な実施例に従うサービス合意の否認防止のために提案された方式概要についての全体的な構造と基本とを例示した図である。
発明者は、サービスプロバイダにとってユーザが与えられたサービス合意を受け入れたこと、特に、ユーザが受け入れたサービス請求料金の検証を含むサービスに対する支払いに同意したこと(サービス合意/サービス料金のユーザによる否認防止)を証明できることは不可欠なことであると理解している。このことは、ユーザ認証と支払い/料金請求がネットワークオペレータやそれと同等のもののような信頼できる第3者の援助を介して/を伴って実行されるときには、特に重要である。
それ故に、トラストプロバイダ30が一般的なサイズ合意マネージャとしてサービスプロバイダとユーザとの内少なくともいずれかのために、サービスプロバイダとユーザとの間のサービス合意の否認防止のために作用することが提案される。本発明の好適で基本的な実施例に従う否認防止方式は、関係するサービス合意の情報の準備と、サービス合意マネージャとユーザ端末との間で共有される秘密キーに基づいて準備された情報を暗号化処理することとを含み、ユーザ署名のサービス合意の検証情報を生成する。ユーザ署名の検証情報は後で、サービスプロバイダに転送されて、サービスプロバイダとサービス合意マネージャとの間の信頼関係に基づいたサービス合意の検証を可能にする。
適切な電子的形式(電子契約)におけるサービス合意情報の準備は通常、契約準備/初期化ユニット22においてサービスプロバイダにより実行されるか、或いは少なくとも初期化される。しかしながら、この情報は、ユーザとサービスプロバイダの両者がその合意を受け入れる限り、複数の関係するパーティのいずれかにより準備されても良い。例えば、サービス合意マネージャ30は随意的にサービスプロバイダ20のためにサービス合意の情報を準備できる。
サービス合意の情報の暗号化処理は通常、ユーザ側のユーザ端末10の耐タンパー性のモジュール12で実行される。好適には、ユーザ端末10は、共有秘密キーから局所的に導出された否認防止キーに基づいて暗号化エンジン14で暗号化処理を実行し、必要な検証情報を生成する。しかしながら、ある実施形では、その暗号化処理がユーザ端末10の暗号化エンジン14とサービス合意マネージャ30の暗号化エンジン34の両方により実行されても良い。
ユーザ署名の検証情報が安全にユーザ端末10からサービスプロバイダ20に転送されるという単なる事実は、否認を阻止する効果があるかもしれない。しかしながら、好適には、検証はオンライン或いはオフラインでサービス合意マネージャにより、或いはその代わりにサービスプロバイダにより直接的にさえ実行される。オフライン手順では、少なくともユーザ署名の検証部分を含む検証情報と、また好適には対応するチャレンジ或いはユーザアイデンティティを伴う他の入力が通常は、記憶場所に格納され、そこから後でサービスプロバイダ20により取り出されて、ユーザがサービス合意を受け入れたという証拠として呈示される。オンライン手順では、その検証情報は通常、多かれ少なかれサービスプロバイダ20からサービス合意マネージャ30に直接転送され、オンライン証明を可能にしている。呈示された検証情報に基づいて、そのとき、サービス合意マネージャ30は、検証ユニット36において、ユーザが実際にサービス合意を受け入れたことを検証するために、関係する計算と比較との内、少なくともいずれかを実行する。
サービス合意マネージャは、ユーザIDと複数のユーザのセットについての関連秘密キーKiとを含むデータベースと都合よく関係付けられても良い。これにより、サービス合意マネージャは、ユーザ認証パラメータの生成、サービス合意の情報とサービス合意の検証との少なくともいずれかの暗号化処理のような種々の目的のために、対応するユーザIDに基づいた与えられたユーザのための関連する秘密キーへのアクセスを取得できる。
後述のように、検証はその代わりに、サービスプロバイダ20の検証ユニット26により直接実行されても良い。
サービスプロバイダ20とサービス合意マネージャ30との間の信頼関係は、サービス合意マネージャによりなされた陳述或いは提供されたデータについて、そのサービスプロバイダに対する保証を提供すべきである。送信される情報(例えば、サービス合意情報と、料金請求データと、認証パラメータと、他の適切な情報との内、少なくともいずれか)は一般には注意を払うべきものと考えられており、通信を行うパーティのアイデンティティは、上述した保証のためには欠くことのできないものであるので、サービスプロバイダとサイズ合意マネージャとの間の通信リンクは安全に保護されるべきである。このことは、例えば、TLS、或いはIPSecにより、或いは個々のメッセージを暗号化して署名することによりなされる。
AKA内蔵のサービス合意の否認防止/検証の例
AKA内蔵のサービス合意の否認防止/検証の環境下で本発明の説明を始めることは有益であるかもしれない。
一連の好適な実施例において、サービス合意と特にサービス料金請求の否認防止は、通常はAKAに対して採用された同じ共有秘密キーを用いて、ネットワークアクセス(例えば、GMS/UMTS AKA、或いは類似の認証)のために認証とキー合致(AKA)に基づくチャレンジ・レスポンスとともに組み込まれる。AKA内蔵の否認防止による大きな利点は既存のインフラストラクチュアを再利用できる点である。
この環境下では、通常は、信頼されたサービス合意マネージャが、ユーザを認証すること、サービスに対するユーザのアクセスを認可すること、ユーザがサービスを利用するための条件に同意したことの証明を確立することの少なくともいずれかを行うための認証/支払いマネージャとして作用すると仮定している。典型的なシナリオでは、ネットワークオペレータが、ユーザとアクセスポイントとの安全で信頼のおける通信を確立するセキュリティシステムとして認証/支払いマネージャの機能を実現するかもしれない。そのオペレータはまた、サービスプロバイダと信頼関係をもち、これらと保護されたリンクにより通信を行う。サービスアクセス要求に応答して、認証/支払いマネージャは、要求を行ったユーザと共有する秘密キー(一般にはKiと記載される)を用い、認証と、認可と、否認防止と、支払い或いは料金請求手順の内、少なくともいずれかを支援する。
サービス料金請求に関して、サービス料金の支払いのユーザ合意はUMTS/GSM AKA或いは類似の認証と結合されても良い。このことは好適には、ユーザが後の段階でサービス合意を否定できないことがサービスプロバイダには保証されるようにして実行されるべきである。
図5は専用の否認防止キーを用いたサービス合意の否認防止についての代表的な信号交換を、可能なオフライン検証とともに、模式的に示した図である。この例においては、通常のチャレンジ・レスポンス(AKA)方式が、ユーザ側とオペレータ側との間で共有される付加的なセションキーから導出された物とともに、付加的なサービス合意の情報で拡張される。
サービスプロバイダにより提供されるサービスにアクセスしたいユーザのことを考慮してみる。そのユーザは通常は、そのサービスが提供される前に認証されねばならない。そのユーザIDは公開された識別子ではあってはならず、ユーザに関連した秘密キーKiへのマッピングを可能にすべきである。そのキーにより料金請求が正しく、例えば、正しいアカウントに対して実行される。例えば、もしユーザがホームオペレータに加入しているか、或いは前払いのアカウントに関連した暗号化キーをもっているなら、キーKiは、加入者キーで良い。ユーザIDの転送は一般には破線で示されている。なぜなら、これが初期化フェーズとみなされ、また部分的にはこれがおそらくはサービスプロバイダとオペレータとの間の認証ベクトルのバッチ処理の一部であるからである。通常、サービスプロバイダは、そのユーザが関係している認証/支払いマネージャのアイデンティティ、例えば、ユーザのホームオペレータのアイデンティティを決定するのに用いられるユーザからの情報を受信することが必要である。これにより、サービスプロバイダはユーザIDをAKAパラメータの要求において、関連する認証/支払いマネージャに転送することが可能になる。受信ユーザIDに基づいて、認証/支払いマネージャは秘密キーKiを識別し、適切なAKAパラメータを生成する。認証/支払いマネージャはランダムチャレンジRANDを生成し、秘密キーKiに基づいた期待されるレスポンスXRESと、与えられる関数gに対する入力としてランダムチャレンジRANDを計算し、また、KiとRANDとに基づいた通常の完全性と秘密キーIkとCkとを生成する。
また、ユーザはサービスに対する支払いに同意すべきである。その合意はサービスプロバイダが後でユーザが確かに同意したことを証明できるようになされるべきである。ここでの考えは、ユーザ認証とキーの合致とが実行され、そして、RANDやXRESのような認証パラメータ、また、(完全性)と秘密キーIkとCkが生成されるのと同時に、サービス合意の否認防止について、Rkと表記される付加的なキーを生成することにある。
基本的な代表的な信号交換は以下のように要約される。
1.RAND,AUTN,Ik,Ck,XRES
サービスプロバイダは、サービスの識別、サービス料金、有効時間、サービスプロバイダ識別子などの1つ以上の情報項目を含むサービス合意の情報を生成する。次に、サービス合意情報が、与えられた値、サービスユニットのコストを示すコストパラメータCOST_UNITにより例証される。このコストパラメータは望むなら、それを乱数化する臨時の機器(nonce)、有効時間を示すタイムスタンプ、サービス識別子、及びサービスプロバイダ識別子が伴っても良い。
2.RAND,AUTN,COST_UNIT
ユーザはAUTNをチェックし、もしそれがOKであれば、レスポンスRES、秘密キーCk、完全性キーIkを標準のAKA方式のように計算する。これに加えて、拡張AKA方式は、共有秘密キーKiとRANDとにも基づいた否認防止キーRkを生成する。それから、Rkが用いられてMAC(メッセージ認証コード)、RANDによるCOST_MAC、及びCOST_UNITを計算する。COST_MAC=MAC(Rk,RAND||COST_UNIT)。COST_MACは認証レスポンスRESと共にサービスプロバイダに返却される。サービスプロバイダは、システムが否認防止の目標を達成するためにCOST_MACを偽造することができてはならない。
3.RES,COST_MAC
サービスプロバイダはRESがXRESと合致することをチェックする。また、サービスプロバイダは、例えば、ユーザID、RAND、COST_UNIT、COST_MACのような検証情報をユーザ合意の後での証拠のために保持する。
もし望むなら、或いは要求されるなら。サービスプロバイダは後でその検証情報をオペレータ側の認証/支払いマネージャに転送しても良い。
4.COST_UNIT,COST_MAC,USER ID,RAND
その時、オペレータ側の認証/支払いマネージャは、検証器として動作し、ユーザがサービス合意とサービスコストとを受け入れたことを検証するために、COST_MACが期待されたXMAC=MAC(Rk,RAND||COST_UNIT)に等しいことをチェックする。
もちろん、COST_MACを偽造するリスクはある。結局のところ、COST_MACのランダムなオンラインテストのためのいくつかの方針が用いられ、ユーザにそのような行動をとらせるのをためらわせるようにしても良い。
本質的には、この代表的なやり方は基本的なAKAをオペレータとユーザとの間で共有するが、サービスプロバイダには分配されていない否認防止キーで拡張することに基づいている。この否認防止キーは、オペレータが検証のできる“署名”メッセージに対してユーザにより用いられる。上述のように、代表的な解決策は、RANDから導出されるキーを用いてRANDと共にユーザに送信されるMACデータに対してであり、そのデータの正当性を検証する。
理解すべきことであるが、第1に通常のAKAシグナリングを実行して、RESがXRESと等しいことをサービスプロバイダで検証し、後で、ユーザが安全に保護されたリンクによりサービスプロバイダにサービスを要求するときに、否認防止シグナリングを実行することも同じように可能である。このことは、ユーザ認証が成功した後に、サービスプロバイダがコストパラメータCOST_UNITと関連情報をユーザからのサービス要求時にそのユーザに送信することを意味している。その時、ユーザはCOST_MACを計算し、そのCOST_MACをサービスプロバイダに返送し、サービス合意の検証を可能にする。
図6Aは専用の否認防止キーを用いたサービス合意のオンライン検証について代表的な信号交換を模式的に示した図である。この例にはオンラインのユーザ認証とサービス合意の検証とを関与させる。
基本的な代表的な信号交換は以下のように要約される。
1.RAND,AUTN
サービスプロバイダは、サービスコストパラメータCOST_UNITのような関連するサービス合意をユーザへの転送のために生成する。
2.RAND,AUTN,COST_UNIT
ユーザはAUTNをチェックし、もしそれがOKであれば、レスポンスRES、秘密キーCk、完全性キーIk、そして否認防止キーRkを計算する。COST_MACが計算され、認証レスポンスRESと共にサービスプロバイダに返却される。
3.RES,COST_MAC
オンライン認証のために、サービスプロバイダはRESをオペレータ側に転送する。また、COST_UNIT、及びCOST_MACの情報が同時にRESに付加されても良い。
4.RES,COST_UNIT,COST_MAC
認証/支払いマネージャは、RESが期待されたレスポンス(XRES)に等しく、COST_MACが期待されたXMACに等しいことをチェックする。もし、ユーザが前払いのアカウントをもっているなら、そのマネージャはユーザがそのアカウントに十分な資金があることもチェックするかもしれない。これらの条件が合致するなら、キーがサービスプロバイダに送信される。
5.Ik,Ck
サービスプロバイダがユーザとサービスプロバイダとの間のセションを保護するためのキーを受信するとき、このことはまた、サービス合意がOKであることを示す。
或いは、オフラインの場合に関して前に検討したように、第1に通常のAKAシグナリングを実行して、後で、ユーザが安全に保護されたリンクによりサービスプロバイダにサービスを要求するときに、否認防止シグナリングを実行することが可能である。このことは一般に、RESが検証され、キーIkとCkとがサービスプロバイダに送信され、その後に、特別な否認防止シグナリングがサービス要求時にサービスプロバイダにより開始されることを意味している。次に、しかしながら、AKAが内蔵された例を、主として、内蔵AKAと否認防止シグナリングと共に説明する。
図6Bは否認防止キーとして現存するAKAキーを用いたサービス合意のオンライン検証についての代表的な信号交換を模式的に示した図である。もし、サービスプロバイダが常にキーがオペレータ側がら送信される前にサービス合意のオンライン検証を実行するなら、COST_MACが否認防止キーとしてIkとともに生成され、AKAを拡張して特別な否認防止キーRkを生成する必要はない。しかしながら、サービスプロバイダは、後でセションの完全性の保護のために用いられるキーIkを受信するので、サービス合意の証明を記録し保持する能力をもっていない。オペレータがその合意のハッシュを保持し、サービスプロバイダがデータを過去を振り返って変更できないようにしても良い。
マスクされた認証データと結合した否認防止
図7Aと図7Bとに例示されているように、マスクされた検証データを導入することによりユーザ認証が変形されて識別証明を可能にし、サービスプロバイダがユーザが実際に認証されたことの正当な証拠を呈示するようにできる。
全体的な認証は、認証/支払いマネージャが期待されたレスポンスXRESを生成し、ユーザがその後で対応するレスポンスRESを生成するというチャレンジ・レスポンス手順に基づいている。ここでの基本的な考えは、生成された期待されたレスポンスをマスクし、初期の期待されたレスポンスXRESの代わりにマスクされた期待されたレスポンスXRS′をサービスプロバイダに送信するマスキング関数fを導入することにある。ユーザは従来の方法で対応するユーザレスポンスRESを生成し送信する。そして、サービスプロバイダはオペレータ側からマスクされた期待されたレスポンスXRES′とともにユーザから通常のユーザレスポンスRESを受信する。その時、サービスプロバイダは、オペレータ側で用いられた同じマスキング関数の実例によってマスクされたユーザレスポンスRES′を計算する。ユーザを認証するために、サービスプロバイダは単純に計算されたマスクされたユーザレスポンス′がオペレータ側から受信されたマスクされた期待されたレスポンスXRES′に対応していることを検証する。マスキング手順により、サービスプロバイダはユーザが正しく認証されたことを証明することができ、同時に、通信を傍受した攻撃を防止或いはその攻撃を和らげたりすることの少なくともいずれかのことを行う。
それから、サービスプロバイダは、支払いが転送される前に、レスポンス値或いは好ましくはチャレンジ・レスポンスのペアと、ユーザが実際にネットワークに存在するか或いは他のサービスを利用したかの少なくともいずれかを証明するためのサービス合意の検証情報との少なくともいずれかを提供するようにチャレンジを受けるかもしれない。
明らかに認証/支払いマネージャとサービスプロバイダとは、マスキング関数が認証/支払いマネージャとサービスプロバイダとの間で交換されたことを示唆する関係にある。また、このことは、2つのパーティに対して共通でなければならない類似の情報と関数との少なくともいずれかに対して真実でもある。
図7Aはサービス合意のオフライン検証と結合したマスクされた認証データによりユーザ認証の証明を確立するための代表的な信号交換を模式的に示した図である。通常のAKAパラメータに加えて、認証/支払いマネージャはXRESの関数としてマスクされた期待されたレスポンスXRES′と随意的なマスキングランダムチャレンジSALTとを生成する。例えば、マスキングランダムチャレンジはランダムチャレンジRANDに基づいているかもしれないし、或いは完全に独立なランダム値として生成されるかもしれない。その後で、マスクされた期待されたレスポンスXRES′とランダムチャレンジRANDとが、おそらくは随意的なマスキングランダムSALTとともに、サービスプロバイダに送信される。もし、Rkをもつサービス合意のオフライン検証が用いられるなら、IkとCkとはRAND、AUTN、及びXRES′とともに分配される。
基本的な代表的な信号交換は以下のように要約される。
1.RAND,AUTN,XRES′,Ik,Ck,[SALT]
2.RAND,AUTN,COST_UNIT
3.RES,COST_MAC
サービスプロバイダは同じマスキング関数fと同じランダム入力RAND/SALTとの実例を用いてRES′を生成し、マスクされたレスポンスRES′がマスクされた期待されたレスポンスXRES′に等しいことをチェックする。サービスプロバイダは、必要であれば、ユーザ認証とサービスの合意の証拠として、後での取り出しのために適切な場所にサービス合意の検証情報としてのCOST_UNITとCOST_MACと共に認証証明情報としてRES,RAND,及びUSER IDを格納することが好ましい。あるユーザの認証と受け入れたサービス合意の証明とを提供するために、認証/支払いマネージャ或いは何か他の関係するパーティによりチャレンジを受けたなら、サービスプロバイダはその情報をオペレータ側に送信できる。
4.RES,RAND,USER ID,COST_UNIT,COST_MAC
なお、サービスプロバイダによって提供された数多くのサービスについてのランダム化されたサービス合意の検証情報のバッチは何の再認証なくオフラインで転送される。
好適には、その時、認証/支払いマネージャはそのユーザに関連した秘密キーKiを取り出して、受信されたRANDと秘密キーKiとに基づいて期待されたレスポンス値XRESを計算し、最後に受信RES値と計算されたXRES値とを比較してユーザが実際にサービスプロバイダで認証されたかどうかを検証する。もし、RES値がXRES値と合致しているなら、証明情報は正当であると考えられる。同じようにして、認証/支払いマネージャが、否認防止キーRkとサービスプロバイダから受信したRAND、COST_UNITに基づいて、期待されたサービス合意の検証情報XMACを計算する。それから、認証/支払いマネージャはCOST_MACとXMACとを検証してサービスの合意を検証する。
またその代わりに、サービスプロバイダは単純にRES値とユーザのユーザIDとを送信する。この場合には、認証/支払いマネージャは通常、そのユーザ用のXRES値(或いは、対応するXRES値の再計算を可能にするRAND値)を格納して、RESとXRESとの比較が実行できるようにする必要がある。
もし随意的なマスキングランダムチャレンジSALTが認証/支払いマネージャから明瞭に送信されなかったのであれば、サービスプロバイダは、認証の検証に先立って、好ましくはランダムチャレンジRANDに基づいてそれを導出しても良い。その時、マスクされたユーザレスポンスRES′が、マスキング関数fに対する入力としてのユーザレスポンスRESと、随意的か受信されたか或いは導出されたマスキングランダムチャレンジSALTとにより、サービスプロバイダによって計算される。
上述のように、マスキングランダムチャレンジSALTはオプションであり、認証手順から省略されても良い。そのような場合、ランダムチャレンジSALTは、マスクされた期待されたレスポンスXRES′とマスクされたユーザレスポンスRES′とを夫々計算するマスキング関数fに入力される。しかしながら、機密保護を強化するために、そして、計算前の攻撃(pre-computation attack)を打ち負かすために、マスキングランダムチャレンジSALTはマスキング関数入力として含まれることが好ましい。従って、マスキングランダムチャレンジSALTは認証/支払いマネージャにより完全なランダム値として生成され、その後、マスクされた期待されたレスポンスXRES′とランダムチャレンジRANDと共にサービスプロバイダに送信される。しかしながら、オペレータ側とサービスプロバイダとの間の余分なシグナリングを避けるために、マスキングランダムチャレンジSALTが代替的にランダムチャレンジRANDから導出されても良い。この場合、認証/支払いマネージャは、ランダムチャレンジRANDのある関数hによりマスキングランダムチャレンジSALTを生成する。それ故に、特別なマスキングランダムチャレンジSALTがサービスプロバイダに送信される必要があり、そのサービスプロバイダはその代わりに同じ関数hを用いてランダムチャレンジRANDからマスキングランダムチャレンジSALTを生成する。有用なマスクされたランダムチャレンジSALTの例は、マスクされたランダムチャレンジSALTとして、統一関数(unity function)として表現されるhと共にランダムチャレンジRANDを単純に再利用することである。
関数hは公開関数でも良いし、或いはサービスプロバイダと認証/支払いマネージャの(例えば、ホームオペレータのような)法的パーティ(legal party)との間の業務合意に関連して配布された関数でも良い。
マスクされた期待されたレスポンスを生成する認証/支払いマネージャにより一方では用いられ、他方ではマスクされたユーザレスポンスを計算するためにサービスプロバイダにより用いられるマスキング関数fは、一方向関数とハッシュ関数との少なくともいずれかで良い。好適には、マスキング関数は、共通値に対してハッシュを実行する、一方向関数性と2つの明瞭な入力を見出すことを不可能にする特性とをもつ暗号化ハッシュ関数である。
マスキング関数fは公開関数でも良いし、或いは、認証/支払いマネージャとサービスプロバイダとによって知られるプライベート関数でも良い。後者の場合には、プライベートマスキング関数は、与えられたホームオペレータのような、認証/支払いマネージャの法的なパーティとサービスプロバイダとの間の業務合意に関係している。もし、認証/支払いマネージャの法的パーティ、例えば、ホームオペレータがいくつかの異なるサービスプロバイダとのそのような業務合意をしているなら、対応するプライベート関数が、各プロバイダについてそのオペレータにより用いられる。即ち、各オペレータ−プロバイダ合意がプライベートマスキング関数において明白にされる。
現存するインフラストラクチュアとの関係で円滑な移行を可能にするために、サービスプロバイダは、分配される期待されたレスポンスを計算するときにマスキング関数が用いられたかどうかを通知されるのが好ましい。従って、認証パラメータを分配するプロトコルはそのような指示とともに拡張されるのが好ましい。同様に、異なるマスキング関数の間での選択があるなら、どのマスキング関数を用いるのかの指示がそのプロトコルに含まれていても良い。
図7Bに例示されているように、オンライン手順が望まれるなら、認証証明情報とサービス合意の検証情報とが多かれ少なかれ、直接にサービスプロバイダから認証/支払いマネージャに転送される。
基本的な代表的な信号交換は以下のように要約される。
1.RAND,AUTN,XRES′,[SALT]
2.RAND,AUTN,COST_UNIT
3.RES,COST_MAC
RES′を生成し、マスクされたレスポンスRES′がマスクされた期待されたレスポンスXRES′に等しいことをチェックする。それからシグナリングが進行する。
4.RES,COST_UNIT,COST_MAC
オペレータ側では、RESとCOST_MACとがXRESとXMACと夫々比較される。もし、その検証がうまくいくなら、そのキーは安全にサービスプロバイダに転送される。
5.Ik,Ck
前に検討したように、サービス合意のオンライン検証に関し、専用の否認防止キーRkか或いは完全性キーIkをCOST_MACとXMACパラメータを計算するための否認防止キーとして用いることができる。
マスキング手順についてのもっと多くの情報については、ここで本願に組み込まれる2002年10月22日出願の係属中の米国特許出願シリアル番号第10/278,362号を参照すると良い。
代表的なチケットを基本としたアプローチ
次にチケットを基本としたアプローチでAKA内蔵のサービス合意の否認防止についてのいくつかの例を説明する。
チケットをべースにした支払いシステムは一般には、この分野では良く知られたものであり、その例については例えば米国特許第5,739,511号を見られたい。
特定のチケットシステムは、BASE_TICKETは繰り返し所定の回数Nだけ知られたハッシュ関数によりSTART_TICKETへとハッシュされるという考えに基づいている。
START_TICKET:
START_TICKET=
HASH(HASH(..HASH(BASE_TICKET)))
ここで、BASE_TICKETは通常はTICKET_Nに対応しており、START_TICKETはTICKET_0に対応する。支払いをするパーティは用いられるSTART_TICKET或いは最後のTICKETのプリイメージを生成する。支払いを受けるパーティはそれから、そのプリイメージがそのチケットへとハッシュすることをチェックできる。そのチケットはハッシュ関数或いは他の適切な1方向関数により相互関係をもつので、START_TICKETは何らかのさらなるチケットからその関数を繰り返し適用することにより取得できる。このことは、支払取引の進行を複雑で時間を消費する検証過程を繰り返し実行する必要なく、チェックできることを意味している。ハッシュ関数が最初のチケットを取得するために適用されねばならない回数は、サービスのユーザによって消費されるチケットの数に直接関係している。
そのようなチケットをベースにしたシステムが安全であるための条件は、べースチケットが予測不可能であることである。ベースチケットは従って、いくつかのランダムなエンティティと他の知られた情報要素のハッシュとのつながりにより形成される。
本発明に従えば、変形例(variant)をもつ前述の否認防止の方式が、ユーザがSTART_TICKETと、TICKET_MACと表記されるSTART_TICKETの鍵がかけられた(keyed)否認防止MACと、COST_UNITとを返却して、オペレータと繰り返し接触したり、或いは新しいユーザ認証を実行することなく、いくつかのイベント/サービスについての否認できない支払いを可能するように拡張される。
どのようにSTART_TICKETが生み出されるのかについてはいくつかの変形例がある。主要な特徴はサービスプロバイダがSTART_TICKETが真正なものであり、認証されたユーザにより、或いは認証されたユーザのための発行されたものであることを検証することが可能であるべきことである。
チケット生成についての特別な解決策は、ユーザがBASE_TICKETを生成し、START_TICKETを生じさせることである。それから、ユーザはRkのような否認防止キーを利用し、否認防止TICKET_MACをSTART_TICKETとCOST_UNITとにより計算し、そのSTART_TICKETとTICKET_MACとをサービスプロバイダに送信する。サービスプロバイダはオフライン手順における随意的な後での検証のために検証情報を格納したり、或いは、そのチケットを受け入れるために、TICKET_MACの検証のためにオペレータ側にオンラインでメッセージを送信する。
図8Aはチケットを基本にした否認防止について代表的な信号交換を、可能なオフライン検証とともに、模式的に示した図である。
基本的な代表的な信号交換は以下のように要約される。
1.RAND,AUTN,Ik,Ck,XRES
サービスプロバイダは、ここではコストパラメータCOST_UNITにより例証されている関連しるサービス合意情報を生成し、好適にはこの情報を必要なAKAパラメータとともにユーザへと転送する。
2.RAND,AUTN,COST_UNIT
ユーザはAUTNをチェックし、もしそれがOKであれば、RES、キーIk、Ckを、好ましくはRkも計算する。ユーザはBASE_TICKETを生成し、選択された回数だけハッシュを繰り返すことにより、START_TICKETを導出する。それから、Rkが用いられてSTART_TICKETとCOST_UNITとによりTICKET_MACを計算する。TICKET_MAC=MAC(Rk,START_TICKET||COST_UNIT)。もし、明瞭な乱数化が望まれるなら、TICKET_MACが代わりにMAC(Rk,START_TICKET||COST_UNIT||RAND)として計算される。TICKET_MACとSTART_TICKETはRESと共にサービスプロバイダに返却される。
3.RES,START_TICKET,TICKET_MAC
サービスプロバイダは検証情報、例えば、ユーザID、RAND、COST_UNIT、及びCOST_MACをユーザ合意の後での証拠のために保持する。
チケットがユーザによって消費されるので、サービスプロバイダは各チケットに対して、TICKET_i−1=HASH(TICKET_i)或いはSTART_TICKETがハッシュ関数を繰り返し適用することにより得られることをチェックする。
もし望まれるなら、或いは要求されるなら、サービスプロバイダは後で、COST_UNIT、START_TICKET、LAST_TICKET、及びTICKET_MACのような検証情報をオペレータ側の認証/支払いマネージャに対して転送しても良い。これにより、認証/支払いマネージャはTICKET_MACを検証し、消費されたチケットの数を決定して、ユーザに対して正しい金額で請求することが可能になる。
図8Bはチケットを基本にした否認防止について代表的な信号交換を、オンライン検証とともに、模式的に示した図である。この例にはオンラインユーザ認証と、サービス合意のチケットを基本とした検証とを関与させる。
基本的な代表的な信号交換は以下のように要約される。
1.RAND,AUTN
サービスプロバイダは、ユーザへの転送のために、サービスコストパラメータCOST_UNITのような関係するサービス合意情報を生成する。
2.RAND,AUTN,COST_UNIT
ユーザはAUTNをチェックし、もしそれがOKであれば、RES、キーIk、Ckを、好ましくはRkも計算する。ユーザはBASE_TICKETを生成し、START_TICKETを導出し、それから、TICKET_MACが計算される。TICKET_MACとSTART_TICKETはRESと共にサービスプロバイダに返却される。
3.RES,START_TICKET,TICKET_MAC
オンラインの認証と検証とのために、サービスプロバイダはRESをオペレータ側に転送する。COST_UNIT、START_TICKET、及びTICKET_MAC情報は同時にRESに付加されても良い。
4.RES,COST_UNIT,START_TICKET,TICKET_MAC
認証/支払いマネージャは、RESが期待されたレスポンス(XRES)と等しいかどうかをチェックし、TICKET_MACが期待されたXMACと等しいことをチェックする。もし、これらの条件に合致するなら、キーがサービスプロバイダに送信される。
5.Ik,Ck
ユーザはそれからチケットを消費することを開示し、サービスプロバイダはそのチケットをチェックする。受信されたLAST_TICKETは最後にはサービスプロバイダからオペレータ側に検証と支払いのこれに続く処理のために転送される。
図9は基本チケットがユーザのために認証/支払いマネージャにより準備された場合のチケットを基本にした否認防止について代表的な信号交換を模式的に示した図である。この例では、オペレータ側はCOST_UNITに基づいたBASE_TICKETとサービスプロバイダから受信された(或いは、サービスプロバイダのためにオペレータによって準備された)他の関連データとを生成し、START_TICKETを導出する。オペレータはそれから、Rkのような否認防止キーをもつBASE_TICKETをENC_TICKET=ENC(Rk,BASE_TICKET)へと暗号化し、それをSTART_TICKETとともにサービスプロバイダへと送信する。それから、サービスプロバイダはENC_TICKETを好ましくはRANDとAUTNと共に、ユーザへと転送する。ユーザは復号化によりそのBASE_TICKETを取り出すかもしれない。その時、ユーザはSTART_TICKETを導出可能であり、一度サービスプロバイダが必要なセションキーIkとCkとへアクセスするなら、チケットの消費を開始できる。ユーザだけがBASE_TICKETを復号化でき、従って正しいプレイメージを生成するので、否認防止は確実なものとされる。
基本的な代表的な信号交換は以下のように要約される。
1.RAND,AUTN,ENC_TICKET,START_TICKET
2.RAND,AUTN,ENC_TICKET
ユーザはAUTNをチェックし、もしそれがOKであれば、RES、キーIk、Ckを、好ましくはRkも計算する。都合よく、ユーザはRkを用いてENC_TICKETを復号化することにより、BASE_TICKETを再生成し、それからSTART_TICKETを導出する。ユーザはRESをサービスプロバイダに返却する。
3.RES
オンライン認証のために、サービスプロバイダはRESをオペレータ側に転送する。
4.RES
認証/支払いマネージャは、RESが期待されたレスポンスXRESと等しいかどうかをチェックし、認証が成功するとき、セションキーをサービスプロバイダに送信する。
5.Ik,Ck
それから、ユーザはチケットの消費を開始し、サービスプロバイダはチケットをチェックする。受信されたLAST_TICKETは最後に検証とこれに続く支払いの処理のためにサービスプロバイダからオペレータ側に転送される。
なお、チケット発行手順は全体的なシグナリングの認証に含まれなければならないのではなく、後で実行しても良い。
一般的な契約の署名
以前に示唆したように、サービス合意の情報は、一般的な電子的契約でよい。一般的な契約の署名に関し、サービスプロバイダによるオフライン検証を可能する特別に設計された実施例は、サービス合意マネージャにより生成された期待された検証情報と同じマスキング関数の局所的な実例によるユーザ署名の検証情報との両方のマスキングに関与する。
種々のサービス合意情報を含む契約に署名する以下に示す解決策は、上述した支払いについてのチケットを基本としたシステムと類似性があり、また、その基本的な形式において、ユーザ認証の否認防止のために用いられたのと類似のマスキング機構を利用する。
その解決策はユーザと一般的なサービス合意マネージャとは共有する秘密をもつという仮定に基づいている。全体的な手順の支払い部分に少し多く焦点を合わせるとき、サービス合意マネージャはしばしば次の支払いプロバイダとして言及される。もし、その支払いプロバイダがセルラのGSM/UMTSオペレータであれば、そのような共有する秘密が存在し、それはユーザ側では(U)SIMに格納される。図10には相対的には一般的な設定が例示されている。
好適には、サービスプロバイダ20或いは支払いプロバイダ30はユーザ10により署名される契約を準備する。通常、その契約はそれから安全に全ての関係するパーティに配布される。オペレータ側の支払いプロバイダ30は鍵がかけられた(keyed)ハッシュ関数で共有する秘密を用いて、契約の署名ハッシュと表記される鍵がかけられたハッシュを計算する。鍵のかけられた(keyed)ハッシュ関数は、トゥルー・キード・ハッシュ(true keyed hash)或いは鍵がかけられた関数が続くハッシュとして実行される。AKAと(U)SIMの場合に適合する特別な解決策は、契約を、AKA手順における通常のRANDに対応する可変RAND_CONTへとハッシュし、このRAND_CONTをAKA手順へフィードし、このようにして、通常のRESに対応する署名MACを生成することである。署名MACはまた、AKA手順から生まれる複数のキーの1つの助けを借りて生成されても良い。これは通常、正しいAUTN変数が利用可能であるか、或いはメカニズムをチェックするシーケンス番号が不能とされることを仮定している。
署名MACはそれから、(公開)マスキング関数(これは前述のマスキング関数fの一般化したものを指している)を通過する。そのマスキング関数は暗号化ハッシュ関数である。即ち、実際上は、その関数から出力のプレイメージを見出すことは不可能である。マスクされた署名MACは使用されることになるサービスプロバイダ20へと送信されて、契約のユーザ署名を検証する。
ユーザが契約に署名するとき、その人はまた共有秘密を用い、鍵がかけられたハッシュ関数により署名MACを計算する。ユーザは署名MACを、公開マスキング関数を知り、従ってその署名をチェックできるサービスプロバイダに送信する。
ユーザに契約の正当性をチェックするための簡単な手順を与えるために、マスクされた署名MACが契約それ自身と同時にユーザに送信される。その契約にはまた、例えば、公開マスキング関数において用いられるSALTのような、完全な支払い手順で用いられる他の情報を含んでいても良い。
AKA手順が用いられるとき、契約に署名するという考えはAKA手順におけるRANDをユーザが署名しなければならない契約のハッシュにさせるところまで要約される。
図11は図10の契約署名の実施のため、AKA手順を再利用するときの代表的な信号交換を示す図である。
ユーザからのサービス要求時、サービスプロバイダは受信したUSER IDを、そのサービスプロバイダにより準備されているならばおそらくは契約CONTとともにサービス合意マネージャに転送する。そのサービス合意マネージャは契約CONTの関数yとしてRAND_CONTを生成すると良い、それから、サービス合意マネージャは、KiとRAND_CONT:XMAC=g(Ki,RAND_CONT)に基づいて、XMACと表記される期待された署名MACを計算する。この署名MACは、その時、汎用マスキング関数mにより、随意的にそのマスキング関数への付加的な入力としてランダムマスキングチャレンジRAND/SALTを用いて、XMAC′と表記される、マスクされた期待された署名MACへとマスクされる。
1.XMAC′,RAND/SALT
サービスプロバイダはその時、契約CONTをユーザに転送する。
2.CONT
関数yの実例を用いて、ユーザは、もし、このパラメータがオペレータ側から転送されていないなら、RAND_CONTを生成し、また、KiとRAND_CONT:XMAC=g(Ki,RAND_CONT)に基づいて、ユーザ署名MACを計算する。このMACはサービスプロバイダに転送される。
3.MAC
サービスプロバイダはそれから、汎用マスキング関数mの実例を用いて、XMAC′と表記される、マスクされたユーザ署名MACを計算し、そして、最後に計算されたXMAC′とオペレータ側から準備したXMAC′とを比較してその契約を検証する。好ましくは、サービスプロバイダはMAC、RAND_CONT/CONT、及びUSER IDのような検証情報を保持する。もし、サービス合意マネージャによりチャレンジを受けるならば、或いはサービス合意マネージャをもつオンライン手順が望まれるなら、サービスプロバイダはこの検証情報をサービス合意マネージャに転送しても良い。
サービス合意マネージャはその時、MACがXMACと等しいことを検証する。このことは、契約に基づくサービス合意が最後には検証され、ユーザは少なくとも暗に認証されていることを意味する。
一般的な検証署名手順の新規性とは、サービスプロバイダによるオフライン検証がマスクされた検証データの導入により可能となる点である。言い換えると、サービスプロバイダ(SP)とオペレータとの間で実行される契約準備は、時間的にユーザとサービスプロバイダ(SP)との間で実行される契約署名/検証と分離されても良い。この方式の自然な適用は、数多くの契約が異なる条件で(例えば、異なる時間やサービスレベルで)同じユーザに対し、或いは、類似の条件で(例えば、加入の提案を提供するとき)多数のユーザに対して1つのSP−オペレータセションで準備されるときの場合を含む。
鍵をかけるデータ(keying material)の孤立化
別のアプローチでは、AKA内蔵のサービス合意の否認防止に再び戻ると、AKAデータは擬似ランダム関数(PRF)への秘密入力として用いられ、新しいセットのAKAデータと否認防止キーとの内少なくともいずれかを導出することができる。
例えば、AKA手順の直接的な拡張を行って付加的なキーRkを生成する代わりに、キーCkとIkとが擬似ランダム関数への秘密入力として用いられる。その関数は新しい機密性(C' k)と完全性キー(I' k)と否認防止キー(Rk)と新しいレスポンス(RES′)とを導出する。C' kとI' kとが用いられて、CkとIkとの代わりに分配される。このようにして、スマートカードで通常実施されている元々のAKA方式が変更される必要はない。
主要な利点は、サービスにアクセスするとき、GSM/UMTSでの使用のための鍵をかけるデータと、ユーザ認証と否認防止とに用いられる鍵をかけるデータとを孤立させることができる点にある。従って、サービスのための鍵をかけるデータがたとえ失われても、或いは盗まれても、それが基本的な通信サービスにアクセスするために用いられない。
孤立化のステップを利用することの変形例は、それを用いて完全なAKA方式で用いられる新しい共有秘密を生成することである。
一般に鍵をかけるデータ(keying material)をK(i)と表記するなら、導出工程はK(i+1)=PRF(K(i),SALT)と表記される。ここで、PRFは擬似ランダム関数である。SALTはランダム情報を含むべきであり、例えば、サービスとサービスプロバイダとの内の少なくともいずれかに対してユニークな情報を含んでも良い。例えば、PRFは機密保護された実時間転送プロトコル(Secure Real-Time Transport Protocol:SRTP)におけるように実施されても良い。
K(i)は通常基本的なAKAから出力されるが、他のデータはPRF関数への引数として用いられても良いことが理解されるべきである。加えて、入力引数と結果変数の数は手近な特定のアプリケーションに従って変動しても良い。
図12Aは異なる孤立した鍵をかけるセットに基づいたAKAが組み込まれたサービス合意の否認防止について代表的な信号交換を、可能なオフライン検証とともに、模式的に示した図である。
認証/支払いマネージャは、秘密キーKiとランダムチャレンジRANDとに基づいた通常のAKAデータを生成する。K(0)=[Ck,Ik,XRES]とする。認証/支払いマネージャは、K(1)=[C' k,I' k,Rk,XRES′]=PRF(K(0),RAND/SALT)を計算する。SALTはサービスプロバイダId,SP_IDと結合したRANDと等しくても良い。
1.RAND,AUTN,I' k,C' k,XRES′,[SALT]
2.RAND,AUTN,COST_UNIT,[SALT]
ユーザはAUTNをいつものようにチェックする。それから、AKAを実行し、K(0)=Ik,Ck,XRESを導出し、K(0)におけるPRFを適用してK(1)=C' k,I' k,Rk,RES′を導出する。ユーザはまた、Rkを用いて、RANDとCOST_UNITによるCOST_MACを生成する。
3.RES′,COST_MAC
サービスプロバイダはRES′がオペレータから受信したXRES′と合致していることをチェックし、もし必要なら、後での取り出しのために検証情報を格納する。もし、チャレンジを受けたりするなら、或いは自己主導で、サービスプロバイダは検証情報をサービス合意の検証のためにオペレータ側に転送しても良い。
図12Bは異なる孤立した鍵をかけるセットに基づいたAKAが組み込まれたサービス合意の否認防止について代表的な信号交換を、可能なオンライン検証とともに、模式的に示した図である。
1.RAND,AUTN,XRES′,[SALT]
2.RAND,AUTN,COST_UNIT,[SALT]
ユーザはAUTNをいつものようにチェックする。それから、AKAを実行し、K(0)=Ik,Ck,XRESを導出し、K(0)におけるPRFを適用してK(1)=C' k,I' k,Rk,RES′を導出する。ユーザはまた、Rkを用いて、RANDとCOST_UNITによるCOST_MACを生成する。
3.RES′,COST_MAC
サービスプロバイダはRES′がオペレータ側から受信したXRES′と合致していることをチェックし、サービス合意の検証のために検証情報をオペレータ側に転送する。
4.COST_UNIT,COST_MAC
もしCOST_MACとXMACとが合致するなら、セションキーI' k,C' kが、サービスプロバイダとユーザとの間の通信での利用のためにサービスプロバイダに転送される。
5.C' k,I' k
もちろん、上述のチケットをベースにした解決策も、初期のAKAパラメータから生じる鍵をかけるデータに基づいていても良い。
なお、認証からの通常のネットワークアクセスのための鍵をかけるデータと、サービスプロバイダによって提供されたサービスに対するアクセスのための鍵をかけるデータとを孤立化することは本発明の概念的な独立的な特徴であり、それはサービス合意の否認防止との何らかの組み合わせに限定されるものではない。
上述の手順において、SALTはオペレータでもユーザでも利用可能であると仮定されている。もしSALTがRANDと等しいなら、このことは取るに足らないことであるが真実である。しかし、タイムスタンプやRAND値に独立なSALTのような他の情報が用いられるべきであれば、これらの値は合致して/ユーザに送信されねばならない。特に重要な場合とは、ユーザがコンテキストから本当のSP_ID(サービス・プロバイダ・アイデンティティ)を決定できないのではなく、受信情報を当てにしなければならず、そして、このSP_IDが異なるサービスプロバイダのためのパラメータを孤立化させるために用いられるときである。この場合、情報は標準的なAKA手順のAUTNパラメータで転送されるか、或いは上述の契約署名について説明したようなMAC化されたメッセージ、即ち、機密扱いのパラメータを保護する鍵がかけられたMACにおいて送信される。鍵のかけられたMACに用いられるキーは、オペレータとユーザとによりだけ共有されるキー、例えば、Ik或いはRkであるべきである。
これは一般には、基本的なAKA手順からのサービスに依存したAKAパラメータを生成することに対応する。
支払いブローカーが関与する代表的なアプリケーション
図13はアイデンティティ・ブローカーと支払いブローカーとサービスプロバイダとの間の確立された信頼のきずなを採用した、アイデンティティ・ブローカーと支払いブローカーとを関与させた分散実施における代表的なブロック図である。
ここで説明するシナリオでは、付加的な参画者、即ち、支払いブローカー40を導入する。従って、図13のセットアップでは、ユーザ10と、サービスプロバイダ20と、ユーザと秘密を共有する認証マネージャ30と、支払いブローカー40とを含む。支払いブローカーはいくつかのオペレータ/認証マネージャとの関係をもち、オペレータとサービスプロバイダとの間のユーザ認証情報を仲介し、支払いのための支払い/ユーザ能力を検証することの支援を行い、支払い/料金請求のデータを処理する。支払いブローカーは、ユーザのサービス合意を検証できる信頼のおける第3者の役割を果たすかもしれない。
支払いはユーザが既に支払いの関係があるオペレータにリンクされていても良いし、或いは独立のパーティにリンクされて、そのパーティを介して或いは支払いブローカー自身により実行されても良い。
また、通常は認証マネージャと関連したオペレータ側に構成される、ユーザ・アイデンティティ・ブローカーの概念を導入する。ユーザは異なるサービスに対して異なるアイデンティティを用いることを望むかもしれない。アイデンティティ・ブローカーは通常、サービスアクセスについてのユーザ・アイデンティティを、オペレータについてのユーザ・アイデンティティ(即ち、IMSI)にマップする。アイデンティティの仲介を行うことは幾つかのステップにおいて生じる。
ユーザサービスIDとオペレータにおけるユーザのIDとの間の関係は、アイデンティティ・ブローカーに与えられねばならない。通常、アイデンティティ・ブローカーを実行するオペレータはこのペアリングを生成する。機密保護のため、オペレータによって実行された最後のアイデンティティ・ブローカー関数をもつことは当然である。
そのサービスIDはいつかの部分をもっている。個々の部分は支払いブローカーと用いられるアイデンティティ・ブローカーとを示しているかもしれない。もちろん、1つのユーザが幾つかの支払いブローカーを与えられたオペレータ・アイデンティティに対して使用しても良い。支払いブローカーは、与えられたユーザサービスIDがどのオペレータに関連付けられているのかを示す記録を、もし、その情報がユーザサービスIDから導出されないのであれば、保持しても良い。
以下、2つのシグナリング方式を図13に示したシナリオを参照して説明する。最初の方式は後払い方式で加入したユーザのためのものであり、第2の方式は前払いサービスに関するものである。
後払いシナリオ
図14は図13に示されたセットアップにおける後払いのシナリオにおけるサービス合意の否認防止についての代表的な信号交換を模式的に示した図である。
1.支払いブローカーのID、USER_SERVICE_ID,PB_IDを含むユーザサービスID
2.USER_SERVICE_ID,SP_ID
支払いブローカーは、ユーザサービスidがどのオペレータ/アイデンティティ・ブローカーに関連付けられるのかを知っている。
3.USER_SERVICE_ID,SP_ID,PB_ID
アイデンティティ・ブローカーの役割を果たしているオペレータはUSER_SERVICE_IDをオペレータ内部のID(IMSI)にマップして、対応するAKAパラメータRAND、AUTN、K(0)=[Ck,Ik,XRES]を取り出す。オペレータは、K(1)=[C' k,I' k,XRES′]=PRF(K(0),[RAND,PB_ID])を導出する。ここで、PB_IDは支払いブローカーIDであり、RANDはオプションである。明らかにK(1)をPB_IDに依存させることにより、鍵をかけるデータは具体的な支払いブローカーに結合される。
4.RAND,AUTN,C' k,I' k,(SP_ID||PB_ID,keyedMAC(Ik,SP_ID||PB_ID)
キーC' k,I' kが支払いブローカーとユーザとの間の機密保護された通信のために用いられる。従って、I' kは、例えば、COST_MACを計算するときに否認防止キーとして用いられても良いし、C' kは、例えば、ENC_TICKETを導出するために用いられても良い。
支払いブローカーはそれから、K(2)=[C" k,I" k,XRES"]=PRF(K(1),[RAND,SP_Id])を導出する。
5.RAND,AUTN,C" k,I" k,XRES",(SP_ID||PB_ID,keyedMAC(Ik,SP_ID||PB_ID)
6.RAND,AUTN,COST_UNIT,(SP_ID||PB_ID,keyedMAC(Ik,SP_ID||PB_ID))
ユーザはAUTNをチェックし、共有秘密キーKi、受信したRAND、擬似ランダム関数を用いてK(0)、K(1)、及びK(2)を計算する。
7.RES"
サービスプロバイダはRES"をチェックして、ユーザの認証レベルを決定する。サービスプロバイダは今やC" kとI" kとを用いてユーザへの機密保護された接続の使用を開始する。
ユーザが支払いをしなければならないサービスが求められるとき、ユーザはCOST_MACを送信すべきである。
8.COST_MAC
9.COST_UNIT,COST_MAC
支払いブローカーはそのCOST_MACを検証し、支払い手順を開始する。
10.OK
前払いのシナリオ
図15は図13に示されたセットアップにおける前払いのシナリオにおけるサービス合意の否認防止についての代表的な信号交換を模式的に示した図である。
この場合では、ユーザがプリペイドのアカウントを利用し、支払いブローカーによって生成されたチケットを取得する場合について例示する。ここで、孤立したAKAパラメータの導出のためのコンテキスト情報の要求される転送は省略した。
1.USER_SERVICE_ID,PB_ID
2.USER_SERVICE_ID,COST_UNIT,SP_ID
支払いブローカーは、ユーザサービスidがどのオペレータ/アイデンティティ・ブローカーに関連付けられるのかを知っている。
3.USER_SERVICE_ID,COST_UNIT,SP_ID,PB_ID
オペレータはUSER_SERVICE_IDをオペレータ内部のID(IMSI)にマップして、対応するAKAパラメータRAND、AUTNを取り出し、K(0)=[Ck,Ik,XRES]を生成する。オペレータは、K(1)=[C' k,I' k,XRES′]=PRF(K(0),[RAND,PB_Id])を導出する。ここで、PB_IDは支払いブローカーIdであり、RANDはオプションである。明らかにK(1)をPB_Idに依存させることにより、鍵をかけるデータは具体的な支払いブローカーに結合される。
オペレータはまた、ユーザのプリペイドのアカウントをチェックする。採用されたポリシーに依存して、オペレータはユーザアカウントのCOST_UNITの数N#を予約して、N#を支払いブローカーに送信する。
4.RAND,AUTN,C' k,I' k,N#
支払いブローカーはBASE_TICKETを生成して、暗号化キーとしてC' kを用いてSTART_TICKETとENC_TICKETとを計算する。START_TICKETは、それが、COST_UNITSのある数N'#≦N#に対して妥当であるように生成される。
支払いブローカーはそれから、K(2)=[C" k,I" k,XRES"]=PRF(K(1),[RAND,SP_Id])を導出する。
5.RAND,AUTN,C" k,I" k,XRES",ENC_TICKET,START_TICKET
6.RAND,AUTN,COST_UNIT,START_TICKET,ENC_TICKET
ユーザはAUTNをチェックし、共有秘密キーKi、受信したRAND、擬似ランダム関数を用いてK(0)、K(1)、及びK(2)を計算する。
7.RES"
サービスプロバイダはRES"をチェックして、C" kとI" kとを用いてユーザへの機密保護された接続の使用を開始する。
ユーザが支払いをしなければならないサービスが求められるとき、ユーザはTICKETをサービスプロバイダに送信すべきである。このことを行うことができるために、ユーザはENC_TICKETを復号化し、HASH関数を反復(iterate)してユーザがもっているチケットの数をチェックし、START_TICKETが正当なものであることをチェックする。
それから、TICKET、即ち、TICKET_iを送信する。
8.TICKET_i
サービスプロバイダは受信したチケットをチェックする、そのセションがクローズするとき、サービスプロバイダは受信した最後のチケットを支払いブローカーに送信する。
9.LAST_TICKET
支払いブローカーはその受信したチケットし、オペレータに送信される料金請求の記録を生成する。
10.料金請求の記録
最後に、ユーザのアカウントはそれに従って調整される。
再認証
サービスプロバイダは異なる理由のために、ユーザを再認証する可能性をもつことを望むかもしれない。これを成し遂げる1つの方法は、K(n)生成を反復することである。即ち、n番目の認証が発生するとき、鍵をかけるデータK(n+1)=PRF(K(n),[RAND,SP_ID])が用いられる。このことは、サービスプロバイダが擬似ランダム関数PRFの実例にアクセスし、必要な認証パラメータとセションキーとを生成することができることを意味する。要するに、サービスプロバイダは新しいセションキーとn+1のオーダの期待されたレスポンスを擬似ランダム関数を用いて生成し、再認証要求においてユーザにRANDを送信する。そのとき、ユーザは、擬似ランダム関数を用いて新しいセションキーとn+1のオーダのユーザレスポンスを生成し、その生成されたn+1のオーダのユーザレスポンスをサービスプロバイダに返却する。それから、サービスプロバイダは受信レスポンスを検証し、新しいセションキーに基づいてユーザとの通信を開始する。
好ましくは、nがユーザに送信され,ユーザではリプレイ攻撃に対する保護のために簡単なリプレイリストを保持すると良い。
実施上の側面からの更なる特徴
上述の工程、動作、及びアルゴリズムは、ソフトウェア/ハードウェア、或いはその組み合わせで実施されると良い。ハードウェアで実施する場合、ASIC(アプリケーション専用集積回路)の技術や何らかの他の従来の回路技術が用いられると良い。特別な耐タンパー性のあるハードウェアが安全上の理由から好ましいかもしれず、正しく保護されたソフトウェアによる実施がしばしば、より都合が良いものである。
図16は本発明の好適な実施例に従うサービス合意マネージャの例を図示したブロック図である。図16のサービス合意マネージャ30は基本的には、外部通信リンク用の通信インタフェース31、データベース32、認証及びキーイングユニット33、検証ユニット36、オプションのチケット発行ユニット37、及び支払い/料金請求ユニット38を含んでいる。データベース32は、ユーザIDや関連する秘密キーKi情報のような情報を含む。認証及びキーイングユニット33は、関連する認証及びキーパラメータを生成するのに動作し、また、種々の実施例で用いられるオプションのマスキング関数と擬似ランダム関数とを保持しても良い。検証ユニット36は、関連する計算と比較との少なくともいずれかを実行し、ユーザが与えられたサービス合意を受け入れたことを検証する。オプションのチケット発行ユニット37は、ユーザのために関連するチケットを生成するか、チケット検証を実行するかの少なくともいずれかを行うと良い。その名称が示唆するように、支払いユニット38は、支払いの転送を処理し、例えば、料金請求が正しく、例えば、正しいアカウントに対して実行されることを確認する。
図17は本発明の好適な実施例に従うサービスプロバイダの例を図示したブロック図である。図17のサービスプロバイダ20は基本的には、外部通信リンク用の通信インタフェース21、契約準備ユニット22、オプションの認証ユニット23、情報の転送或いは格納の少なくともいずれかを行うユニット25、及びオプションの認証ユニット26を含んでいる。契約準備ユニット22において、サービスプロバイダは通常、要求されたサービスに従って関連するサービス合意情報とそのサービス利用のための現在の条件とを準備する。その代わりに、契約準備はサービスプロバイダのためにある別のパーティによって実行されても良いが、しかし、普通は、そのような外部での契約準備はとにかく、そのサービスプロバイダから初期化される。マスクされた契約署名とユーザ認証との少なくともいずれかに関し、サービスプロバイダは受け入れたサービス合意の検証とユーザ認証との内の少なくともいずれかを、検証ユニット26と認証ユニット23との少なくともいずれかにおいて実行すると良い。オフライン手順では、サービスプロバイダは後でサービス合意マネージャ30或いはそのサービス合意マネージャにより割当てられた他のパーティへの転送のために、ユニット25に検証情報を格納することを望むかもしれない。
図18は本発明の好適な実施例に従うユーザ端末の例を図示したブロック図である。図18のユーザ端末10は基本的には、外部通信リンク用の通信インタフェース11と耐タンパー性モジュール12を含んでいる。取り外し可能に構成されたSIM或いはUSIMカードに似ているかもしれない耐タンパー性モジュール12は、I/Oユニット101、AKAアルゴリズムユニット102、安全に組み込まれた(カプセル化された)共有秘密キーKi103、MAC/復号化のような目的のための暗号化処理ユニット104、及びチケットを基本とした否認防止のためのオプションのチケット発行ユニット105とを含んでいる。AKAユニットとアプリケーション・ツールキット環境との間に適切なインタフェースがあれば、暗号処理やチケット発行のような機能をソフトウェアとして(U)SIMカードの(U)SIMアプリケーション・ツールキット環境に組み込むことにより、現存する(U)SIMカードを変更することさえも可能であるかもしれない。
上述の実施例は単に例として与えられたものであり、本発明はそれに限定されるものではないことを理解されたい。ここで開示され請求されている請求の範囲の基本的な基幹となる原理を留める更なる変形、変更、改善は、本発明の範囲と精神との中にあるものである。
本発明の好適な実施例に従う基本的な参画者とその相互関係の概要を示す図である。 移動体ユーザが訪ねたネットワークにローミングするときの移動体通信システムにおけるホーム認証についての信号交換を模式的に示した図である。 今日のセルラシステムで通常実施されている方法で委任された検証を伴う認証のための信号交換を模式的に示した図である。 本発明の好適な実施例に従うサービス合意の否認防止のために提案された方式概要についての全体的な構造と基本とを例示した図である。 専用の否認防止キーを用いたサービス合意の否認防止について代表的な信号交換を、可能なオフライン検証とともに、模式的に示した図である。 専用の否認防止キーを用いたサービス合意のオンライン検証について代表的な信号交換を模式的に示した図である。 否認防止キーとして現存するAKAキーを用いたサービス合意のオンライン検証について代表的な信号交換を模式的に示した図である。 サービス合意のオフライン検証と結合したマスクされた認証データによりユーザ認証の証明を確立するための代表的な信号交換を模式的に示した図である。 認証とサービス合意の両方のオンライン検証と結合したマスクされた認証データによるユーザ認証の証明を、専用キーか或いはサービス合意の否認防止のための現存するAKAキーを用いて、確立するための代表的な信号交換を模式的に示した図である。 チケットを基本にした否認防止について代表的な信号交換を、可能なオフライン検証とともに、模式的に示した図である。 チケットを基本にした否認防止について代表的な信号交換を、オンライン検証とともに、模式的に示した図である。 基本チケットがユーザのために認証/支払いマネージャにより準備された場合のチケットを基本にした否認防止について代表的な信号交換を模式的に示した図である。 サービスプロバイダによるオフライン検証を可能にするマスクされた検証データの導入に基づく契約署名についての代表的なブロック図である。 図10の契約署名のための代表的な信号交換を示す図である。 異なる孤立したキーイング(keying)セットに基づいたAKAが組み込まれたサービス合意の否認防止について代表的な信号交換を、可能なオフライン検証とともに、模式的に示した図である。 異なる孤立したキーイングセットに基づいたAKAが組み込まれたサービス合意の否認防止について代表的な信号交換を、可能性のあるオンライン検証とともに、模式的に示した図である。 アイデンティティ・ブローカーと支払いブローカーとサービスプロバイダとの間の確立された信頼のきずなを採用した、アイデンティティ・ブローカーと支払いブローカーとを関与させた分散実施における代表的なブロック図である。 図13に示されたセットアップにおける後払いのシナリオにおけるサービス合意の否認防止についての代表的な信号交換を模式的に示した図である。 図13に示されたセットアップにおける前払いのシナリオにおけるサービス合意の否認防止についての代表的な信号交換を模式的に示した図である。 本発明の好適な実施例に従うサービス合意マネージャの例を図示したブロック図である。 本発明の好適な実施例に従うサービスプロバイダの例を図示したブロック図である。 本発明の好適な実施例に従うユーザ端末の例を図示したブロック図である。

Claims (47)

  1. 通信システムにおけるユーザとサービスプロバイダとの間のサービスの合意を否認防止(non-repudiation)の方法であって、前記方法は
    ユーザ端末と、前記サービスプロバイダとの信頼関係をもっているサービス合意マネージャとの間の秘密キーを安全に共有する工程と、
    サービスの合意情報を準備する工程と、
    前記共有秘密キーに基づいて前記サービスの合意情報を暗号処理して、ユーザ署名のサービス合意の検証情報を生成する工程と、
    前記ユーザ署名の検証情報を前記サービスプロバイダに転送して、前記サービスプロバイダと前記サービス合意マネージャとの間の信頼関係に基づいた前記サービスの合意の検証を可能にする工程とを有することを特徴とする方法。
  2. 前記サービスの合意情報を暗号処理する工程は、前記ユーザ端末において安全に実行されて前記ユーザ署名の検証情報を生成することを特徴とする請求項1に記載の方法。
  3. 前記サービスの合意情報を暗号処理する工程は、前記共有秘密キーから局所的に導出される否認防止キーに基づいて実行されることを特徴とする請求項1又は2に記載の方法。
  4. 前記サービス合意マネージャにおいて、少なくとも部分的には前記サービスの合意情報と前記共有秘密キーとに基づいて、期待される検証情報を生成する工程と、
    前記サービス合意マネージャにおいて、前記ユーザ署名の検証情報が前記期待される検証情報に対応していることを検証する工程とを有することを特徴とする請求項2に記載の方法。
  5. 前記ユーザ署名の検証情報は、前記サービス合意マネージャから開始されるランダムチャレンジと前記サービスの合意情報とにレスポンスして、前記ユーザ端末において生成されることを特徴とする請求項2に記載の方法。
  6. 前記ユーザ署名の検証情報は、ユーザ側で初期化されたチケットと前記サービスの合意情報とに基づいて、前記ユーザ端末において生成されることを特徴とする請求項2に記載の方法。
  7. 前記サービスの合意情報を準備する工程は、前記サービスプロバイダによって初期化されることを特徴とする請求項1に記載の方法。
  8. 前記サービスの合意情報を暗号処理する工程は、
    前記サービス合意マネージャが、前記共有秘密キーに基づいて前記サービスの合意情報の暗号処理を実行し、前記ユーザに転送される、前記サービスの合意情報の暗号化表現を生成する工程と、
    前記ユーザ端末が、前記共有秘密キーに基づいて前記暗号化表現の暗号処理を実行して前記ユーザ署名の検証情報を生成する工程とを有することを特徴とする請求項1に記載の方法。
  9. 前記サービスの合意マネージャが暗号処理を実行する工程は、
    前記サービスの合意情報に基づいてチケットを生成する工程と、
    前記共有秘密キーから局所的に導出される否認防止キーに基づいて前記チケットを暗号化する工程とを有し、
    前記ユーザ端末が暗号処理を実行する工程は、
    前記共有秘密キーから局所的に導出される前記否認防止キーに基づいて前記暗号化されたチケットを復号化する工程を有することを有することを特徴とする請求項1に記載の方法。
  10. 前記サービスの合意情報は一般的な電子契約であり、
    前記方法はさらに、
    前記サービス合意マネージャが前記共有秘密キーと前記電子契約とに基づいて、期待されるサービス合意の検証情報を生成する工程と、
    前記サービス合意マネージャが前記期待される検証情報をマスク関数によりマスクする工程と、
    前記サービス合意マネージャが前記マスクされた期待される検証情報を前記サービスプロバイダに転送する工程と、
    前記サービスプロバイダが前記ユーザ署名の検証情報を前記同じマスク関数の実例によりマスクして、マスクされたユーザ署名の検証情報を生成する工程と、
    前記サービスプロバイダが前記マスクされたユーザ署名の検証情報が前記サービス合意マネージャから取得された前記マスクされた期待される検証情報に対応していることを検証する工程とをに有することを特徴とする請求項1に記載の方法。
  11. 前記サービス合意マネージャが期待されるサービス合意の検証情報を生成する工程は、認証及びキー合致手順に基づいて、通常のチャレンジ・レスポンスにおけるランダムチャレンジとして前記契約のハッシュを適用することを特徴とする請求項10に記載の方法。
  12. 前記マスク関数は、暗号化ハッシュ関数であることを特徴とする請求項10に記載の方法。
  13. 前記方法は、ネットワークアクセスに対する認証及びキー合致(AKA)手順に基づいたチャレンジ・レスポンスに組み込まれ、前記共有秘密キーはAKAに対して用いられる秘密キーと同じであることを特徴とする請求項1に記載の方法。
  14. 前記サービス合意の否認防止のために鍵をかけるデータ(keying material)は、前記AKA手順に基づくチャレンジ・レスポンス手順に対して鍵をかけるデータからは孤立させられることを特徴とする請求項13に記載の方法。
  15. 前記否認防止のために鍵をかけるデータは、擬似ランダム関数に対する入力としてAKAに対して鍵をかけるデータに基づいた前記擬似ランダム関数により生成されることを特徴とする請求項14に記載の方法。
  16. 前記否認防止のために鍵をかけるデータは、認証マネージャと相互動作する具体的な支払いブローカーに結合されており、
    前記認証マネージャと前記ユーザ端末とは前記秘密キーを共有することを特徴とする請求項14に記載の方法。
  17. 前記否認防止のために鍵をかけるデータは前記サービスプロバイダに結合され、前記鍵をかけるデータを別のサービスプロバイダのための対応する鍵をかけるデータから孤立させることを特徴とする請求項14に記載の方法。
  18. 前記サービスの合意情報はサービス料金請求情報を含み、
    前記サービス合意マネージャは、前記ユーザのために前記サービスの支払いを処理する支払いプロバイダであることを特徴とする請求項1に記載の方法。
  19. 前記サービス合意マネージャは、ユーザ・アイデンティティ・ブローカーと、前記サービスプロバイダと前記アイデンティティ・ブローカーとの間に配置される支払いブローカーとを含み、
    信頼のチェインが、前記サービスプロバイダと、前記支払いブローカーと、前記アイデンティティ・ブローカーとの間に確立されており、
    前記アイデンティティ・ブローカーは前記秘密キーを前記ユーザ端末と共有することを特徴とする請求項1に記載の方法。
  20. 前記共有秘密キーに基づいて導出され、前記アイデンティティ・ブローカーから得られる否認防止キーに基づいて、前記ユーザ署名の検証情報を前記支払いブローカーが検証する工程をさらに有することを特徴とする請求項19に記載の方法。
  21. 通信システムにおけるユーザとサービスプロバイダとの間のサービスの合意を否認防止のシステムであって、前記システムは
    ユーザ端末と、前記サービスプロバイダとの信頼関係をもっているサービス合意マネージャとの間の秘密キーを安全に共有する手段と、
    サービスの合意情報を準備する手段と、
    前記共有秘密キーに基づいて前記サービスの合意情報を暗号処理して、ユーザ署名のサービス合意の検証情報を生成する手段と、
    前記ユーザ署名の検証情報を前記サービスプロバイダに転送して、前記サービスプロバイダと前記サービス合意マネージャとの間の信頼関係に基づいた前記サービスの合意の検証を可能にする手段とを有することを特徴とするシステム。
  22. 前記サービスの合意情報を暗号処理する手段は、前記ユーザ端末において安全に実施されることを特徴とする請求項21に記載のシステム。
  23. 前記サービスの合意情報を暗号処理する手段は、前記共有秘密キーから局所的に導出される否認防止キーに基づいて動作することを特徴とする請求項21又は22に記載のシステム。
  24. 前記サービス合意マネージャに、少なくとも部分的には前記サービスの合意情報と前記共有秘密キーとに基づいて、期待される検証情報を生成する手段と、
    前記サービス合意マネージャに、前記ユーザ署名の検証情報が前記期待される検証情報に対応していることを検証する手段とをさらに有することを特徴とする請求項22に記載のシステム。
  25. 前記ユーザ署名の検証情報は、前記サービス合意マネージャから開始されるランダムチャレンジと前記サービスの合意情報とにレスポンスして、前記ユーザ端末において生成されることを特徴とする請求項22に記載のシステム。
  26. 前記ユーザ署名の検証情報は、ユーザ側で初期化されたチケットと前記サービスの合意情報とに基づいて、前記ユーザ端末において生成されることを特徴とする請求項22に記載のシステム。
  27. 前記サービスの合意情報は、前記サービスプロバイダによって準備されることを特徴とする請求項21に記載のシステム。
  28. 前記サービスの合意情報を暗号処理する手段は、
    前記サービス合意マネージャにおける、前記共有秘密キーに基づいて前記サービスの合意情報の暗号処理を実行し、前記ユーザに転送される、前記サービスの合意情報の暗号化表現を生成する手段と、
    前記ユーザ端末における、前記共有秘密キーに基づいて前記暗号化表現の暗号処理を実行して前記ユーザ署名の検証情報を生成する手段とを有することを特徴とする請求項21に記載のシステム。
  29. 前記サービスの合意マネージャにおいて暗号処理を実行する手段は、
    前記サービスの合意情報に基づいてチケットを生成する手段と、
    前記共有秘密キーから局所的に導出される否認防止キーに基づいて前記チケットを暗号化する手段とを有し、
    前記ユーザ端末において暗号処理を実行する手段は、
    前記共有秘密キーから局所的に導出される前記否認防止キーに基づいて前記暗号化されたチケットを復号化する手段を有することを有することを特徴とする請求項21に記載のシステム。
  30. 前記サービスの合意情報は一般的な電子契約であり、
    前記システムは、
    前記サービス合意マネージャに、前記共有秘密キーと前記電子契約とに基づいて、期待されるサービス合意の検証情報を生成する手段と、
    前記サービス合意マネージャに、前記期待される検証情報をマスク関数によりマスクする手段と、
    前記サービス合意マネージャに、前記マスクされた期待される検証情報を前記サービスプロバイダに転送する手段と、
    前記サービスプロバイダに、前記ユーザ署名の検証情報を前記同じマスク関数の実例によりマスクして、マスクされたユーザ署名の検証情報を生成する手段と、
    前記サービスプロバイダに、前記マスクされたユーザ署名の検証情報が前記サービス合意マネージャから取得された前記マスクされた期待される検証情報に対応していることを検証する手段とをさらに有することを特徴とする請求項21に記載のシステム。
  31. 前記期待されるサービス合意の検証情報を生成する手段は、認証及びキー合致手順に基づいて、通常のチャレンジ・レスポンスにおけるランダムチャレンジとして前記契約の暗号化ハッシュを適用する手段を有することを特徴とする請求項30に記載のシステム。
  32. 前記マスク関数は、暗号化ハッシュ関数であることを特徴とする請求項30に記載のシステム。
  33. 前記システムは、ネットワークアクセスに対する認証及びキー合致(AKA)手順に基づいたチャレンジ・レスポンス用のシステムに組み込まれ、
    前記共有秘密キーはAKAに対して用いられる秘密キーと同じであることを特徴とする請求項21に記載のシステム。
  34. 前記サービス合意の否認防止のために鍵をかけるデータを、前記AKA手順に基づくチャレンジ・レスポンス手順に対して鍵をかけるデータからは孤立させる手段をさらに有することを特徴とする請求項33に記載のシステム。
  35. 前記否認防止のために鍵をかけるデータは、擬似ランダム関数に対する入力としてAKAに対して鍵をかけるデータに基づいた前記擬似ランダム関数により生成されることを特徴とする請求項34に記載のシステム。
  36. 前記否認防止のために鍵をかけるデータは、認証マネージャと相互動作する具体的な支払いブローカーに結合されており、
    前記認証マネージャと前記ユーザ端末とは前記秘密キーを共有することを特徴とする請求項34に記載のシステム。
  37. 前記否認防止のために鍵をかけるデータは前記サービスプロバイダに結合され、前記鍵をかけるデータを別のサービスプロバイダ用の対応する鍵をかけるデータから孤立させることを特徴とする請求項34に記載のシステム。
  38. 前記サービスの合意情報はサービス料金請求情報を含み、
    前記サービス合意マネージャは、前記ユーザのために前記サービスの支払いを処理する支払いプロバイダであることを特徴とする請求項21に記載のシステム。
  39. 前記サービス合意マネージャは、ユーザ・アイデンティティ・ブローカーと、前記サービスプロバイダと前記アイデンティティ・ブローカーとの間に配置される支払いブローカーとを含み、
    信頼のチェインが、前記サービスプロバイダと、前記支払いブローカーと、前記アイデンティティ・ブローカーとの間に確立されており、
    前記アイデンティティ・ブローカーは前記秘密キーを前記ユーザ端末と共有することを特徴とする請求項21に記載のシステム。
  40. 前記支払いブローカーに、前記共有秘密キーに基づいて導出され、前記アイデンティティ・ブローカーから得られる否認防止キーに基づいて、前記ユーザ署名の検証情報を検証する手段をさらに有することを特徴とする請求項39に記載のシステム。
  41. サービスプロバイダとの信頼関係をもっている外部のサービス合意マネージャと共有する秘密キーを安全に保持する手段と、
    ユーザとサービスプロバイダとの間のサービスの合意を表す情報を受信する手段と、
    前記共有秘密キーに基づいて前記サービスの合意を表す情報の暗号処理を安全に実行して、ユーザ署名のサービス合意の検証情報を生成する手段と、
    前記ユーザ署名の検証情報を前記サービスプロバイダに転送して、前記サービスプロバイダと前記サービス合意マネージャとの間の信頼関係に基づいた前記サービスの合意の検証を可能にする手段とを有することを特徴とするユーザ端末。
  42. 通信システムにおけるユーザとサービスプロバイダとの間のサービスの合意の管理を支援するサービス合意マネージャであって、前記サービス合意マネージャは、
    前記サービスプロバイダとの信頼関係をもっており、ユーザ端末と共有する秘密キーを安全に保持する手段と、
    前記サービスの合意を表す情報と前記共有秘密キーとに基づいて、前記ユーザ端末により生成されるユーザ署名のサービス合意の検証情報を受信する手段と、
    前記共有秘密キーに基づいて、前記ユーザ署名のサービス合意の検証情報を検証し、前記サービス合意のユーザによる受け入れを確認する手段とを有することを特徴とするサービス合意マネージャ。
  43. 通信システムにおけるユーザとサービスプロバイダとの間での与えられたサービスの合意に従って前記ユーザにサービスを提供するサービスプロバイダであって、前記サービスプロバイダは、
    ユーザ端末と秘密キーを共有するサービス合意マネージャとの信頼関係を確立する手段と、
    前記ユーザ端末から、少なくとも部分的には、前記サービスの合意を表す情報と前記共有秘密キーとに基づいて生成されるユーザ署名のサービス合意の検証情報を受信する手段と、
    マスク関数によりマスクされたユーザ署名の検証情報を生成する手段と、
    前記サービス合意マネージャから、前記同じマスク関数の実例によりマスクされた、少なくとも部分的には、前記サービスの合意の情報と前記共有秘密キーとに基づいて生成された、期待される検証情報を受信する手段と、
    前記マスクされたユーザ署名の検証情報が前記マスクされた期待される検証情報に対応していることを検証し、前記サービスの合意のユーザによる受け入れを確認する手段とを有することを特徴とするサービスプロバイダ。
  44. ユーザと、サービスプロバイダと、前記サービスプロバイダと信頼関係にあり、認証及びキー合致(AKA)パラメータの相互生成のために前記ユーザと秘密キーを共有するネットワークオペレータとが関与するAKAに基づくチャレンジ・レスポンスの改善された方法であって、
    前記改善は、前記ネットワークオペレータによって管理されるネットワークへのアクセスのための第1のセットのAKAパラメータを入力として、前記第1のセットのAKAパラメータの少なくとも一部の表現を用いた所定の関数により前記サービスプロバイダによるサービスへのアクセスのための第2のセットのAKAパラメータから孤立させて、前記第2のセットのAKAパラメータを生成することにより定められることを特徴とする方法。
  45. 前記第1のセットのAKAパラメータと前記第2のセットのAKAパラメータとが、前記共有秘密キーと前記ネットワークオペレータ側で始めに生成されたチャレンジとに基づいて、前記ネットワークオペレータ側でも前記ユーザ側でも生成され、
    前記第2のセットのAKAパラメータは前記ネットワークオペレータから前記サービスプロバイダに安全に転送されることを特徴とする請求項44に記載の方法。
  46. 前記サービスプロバイダは、入力として前記第2のセットのAKAパラメータの少なくとも一部を用いて、前記所定の関数の実例により、再認証のために、AKAパラメータのさらなるセットを生成することを特徴とする請求項45に記載の方法。
  47. 前記所定の関数は擬似ランダム関数であることを特徴とする請求項44に記載の方法。
JP2004514264A 2002-06-12 2003-06-04 サービス合意の否認防止(non−repudiation) Expired - Fee Related JP4213664B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US38850302P 2002-06-12 2002-06-12
US10/278,362 US7194765B2 (en) 2002-06-12 2002-10-22 Challenge-response user authentication
US45529103P 2003-03-17 2003-03-17
PCT/SE2003/000934 WO2003107584A1 (en) 2002-01-02 2003-06-04 Non-repudiation of service agreements

Publications (2)

Publication Number Publication Date
JP2005529569A true JP2005529569A (ja) 2005-09-29
JP4213664B2 JP4213664B2 (ja) 2009-01-21

Family

ID=29740732

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004514264A Expired - Fee Related JP4213664B2 (ja) 2002-06-12 2003-06-04 サービス合意の否認防止(non−repudiation)

Country Status (6)

Country Link
JP (1) JP4213664B2 (ja)
CN (1) CN1659820A (ja)
AU (1) AU2003238996A1 (ja)
DE (1) DE10392788T5 (ja)
GB (1) GB2403880B (ja)
WO (1) WO2003107584A1 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010530699A (ja) * 2007-06-20 2010-09-09 エムチェク インディア ペイメント システムズ プライベート リミテッド セキュアな真正証明のための方法及びシステム
JP2011505770A (ja) * 2007-12-03 2011-02-24 西安西電捷通無線網絡通信有限公司 軽量アクセス認証方法、及びシステム
KR101400736B1 (ko) 2013-10-16 2014-05-29 (주)씽크에이티 신뢰기관과의 연계를 통한 부인방지기능을 포함한 전화인증서 구현방법 및 시스템
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
JP2018506239A (ja) * 2015-03-31 2018-03-01 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd Uav相互認証のためのシステム、方法、及びコンピュータ可読媒体
JP2019531658A (ja) * 2017-04-11 2019-10-31 華為技術有限公司Huawei Technologies Co.,Ltd. ネットワーク認証方法、デバイス、およびシステム
US11094202B2 (en) 2015-03-31 2021-08-17 SZ DJI Technology Co., Ltd. Systems and methods for geo-fencing device communications
US11120456B2 (en) 2015-03-31 2021-09-14 SZ DJI Technology Co., Ltd. Authentication systems and methods for generating flight regulations

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100563153C (zh) * 2004-04-07 2009-11-25 华为技术有限公司 一种在端到端无线加密通讯系统中用户登记鉴权的方法
BRPI0519861A2 (pt) * 2005-01-28 2009-03-24 Ericsson Telefon Ab L M métodos para autenticar um cliente, e para operar servidor de autenticação dentro de um sistema de comunicações, servidor de autenticação, método para operar um cliente acoplado a uma rede de comunicação, terminal de cliente, e, método para autenticar equipamento de usuário
US7877787B2 (en) * 2005-02-14 2011-01-25 Nokia Corporation Method and apparatus for optimal transfer of data in a wireless communications system
KR100755394B1 (ko) * 2006-03-07 2007-09-04 한국전자통신연구원 Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
PT1999930T (pt) * 2006-03-28 2017-04-07 ERICSSON TELEFON AB L M (publ) Método e aparelho para gestão de chaves utilizadas para cifra e integridade
US9106409B2 (en) 2006-03-28 2015-08-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity
CN101436930A (zh) * 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、系统和设备
WO2010128348A1 (en) * 2009-05-08 2010-11-11 Telefonaktiebolaget L M Ericsson (Publ) System and method of using a gaa/gba architecture as digital signature enabler
CN102296770B (zh) * 2011-06-07 2013-05-01 广州市致盛建筑材料有限公司 建筑装饰用三维人造石板的制造方法
FR3003979B1 (fr) * 2013-03-28 2015-04-24 Idcapt Procede d'authentification
CN110462622B (zh) * 2016-07-14 2023-05-30 S·库马尔 抗共谋、可验证和可证明公平的令牌游戏的客户端-服务器系统及其采用的方法
US10869190B2 (en) * 2018-07-13 2020-12-15 Micron Technology, Inc. Secure vehicular services communication

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69533328T2 (de) * 1994-08-30 2005-02-10 Kokusai Denshin Denwa Co., Ltd. Beglaubigungseinrichtung
US6199052B1 (en) * 1998-03-06 2001-03-06 Deloitte & Touche Usa Llp Secure electronic transactions using a trusted intermediary with archive and verification request services
CA2386502A1 (en) * 1999-10-01 2001-04-26 Ecomxml Inc. A method for non-repudiation using a trusted third party

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010530699A (ja) * 2007-06-20 2010-09-09 エムチェク インディア ペイメント システムズ プライベート リミテッド セキュアな真正証明のための方法及びシステム
JP2011505770A (ja) * 2007-12-03 2011-02-24 西安西電捷通無線網絡通信有限公司 軽量アクセス認証方法、及びシステム
US8560847B2 (en) 2007-12-03 2013-10-15 China Iwncomm Co., Ltd. Light access authentication method and system
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
KR101400736B1 (ko) 2013-10-16 2014-05-29 (주)씽크에이티 신뢰기관과의 연계를 통한 부인방지기능을 포함한 전화인증서 구현방법 및 시스템
JP2018506239A (ja) * 2015-03-31 2018-03-01 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd Uav相互認証のためのシステム、方法、及びコンピュータ可読媒体
US11094202B2 (en) 2015-03-31 2021-08-17 SZ DJI Technology Co., Ltd. Systems and methods for geo-fencing device communications
US11120456B2 (en) 2015-03-31 2021-09-14 SZ DJI Technology Co., Ltd. Authentication systems and methods for generating flight regulations
US11367081B2 (en) 2015-03-31 2022-06-21 SZ DJI Technology Co., Ltd. Authentication systems and methods for generating flight regulations
US11961093B2 (en) 2015-03-31 2024-04-16 SZ DJI Technology Co., Ltd. Authentication systems and methods for generating flight regulations
JP2019531658A (ja) * 2017-04-11 2019-10-31 華為技術有限公司Huawei Technologies Co.,Ltd. ネットワーク認証方法、デバイス、およびシステム
US11223954B2 (en) 2017-04-11 2022-01-11 Huawei Technologies Co., Ltd. Network authentication method, device, and system

Also Published As

Publication number Publication date
JP4213664B2 (ja) 2009-01-21
GB2403880A (en) 2005-01-12
GB0424869D0 (en) 2004-12-15
CN1659820A (zh) 2005-08-24
AU2003238996A1 (en) 2003-12-31
WO2003107584A1 (en) 2003-12-24
DE10392788T5 (de) 2005-05-25
GB2403880B (en) 2005-11-09

Similar Documents

Publication Publication Date Title
JP4213664B2 (ja) サービス合意の否認防止(non−repudiation)
US7047405B2 (en) Method and apparatus for providing secure processing and data storage for a wireless communication device
JP4546240B2 (ja) チャレンジ/レスポンス方式によるユーザー認証方法及びシステム
CN109728909B (zh) 基于USBKey的身份认证方法和系统
US8539559B2 (en) System for using an authorization token to separate authentication and authorization services
US8887246B2 (en) Privacy preserving authorisation in pervasive environments
ES2644739T3 (es) Solicitud de certificados digitales
US7707412B2 (en) Linked authentication protocols
KR101158956B1 (ko) 통신 시스템에 증명서를 배분하는 방법
CN101156352B (zh) 基于移动网络端到端通信的认证方法、系统及认证中心
US6487660B1 (en) Two way authentication protocol
US20020166048A1 (en) Use and generation of a session key in a secure socket layer connection
CN1977559B (zh) 保护在用户之间进行通信期间交换的信息的方法和系统
KR100910432B1 (ko) 무선 통신 장치용 보안 처리 및 데이터 저장을 제공하는 방법 및 장치
CN100450305C (zh) 一种基于通用鉴权框架的安全业务通信方法
JP2001134534A (ja) 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置
CN101192927A (zh) 基于身份保密的授权与多重认证方法
CN114666114A (zh) 一种基于生物特征的移动云数据安全认证方法
JP3634279B2 (ja) 複数icカード間及び同一icカード内のアプリケーション連携方法
Halonen Authentication and authorization in mobile environment
CN103888263B (zh) 一种应用于移动商务系统的安全解决方法
Vandenwauver et al. Public Key Extensions used in SESAME V4
Almuhaideb et al. A hybrid mobile authentication model for ubiquitous networking
Wang et al. Delegation-Based Roaming Payment Protocol with Location and Purchasing Privacy Protection

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070709

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20071002

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20071010

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20071102

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20071109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071210

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080911

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081017

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081030

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111107

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121107

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121107

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131107

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees