JP2009296576A - ブロードキャストのメッセージを認証する方法および装置 - Google Patents
ブロードキャストのメッセージを認証する方法および装置 Download PDFInfo
- Publication number
- JP2009296576A JP2009296576A JP2009113559A JP2009113559A JP2009296576A JP 2009296576 A JP2009296576 A JP 2009296576A JP 2009113559 A JP2009113559 A JP 2009113559A JP 2009113559 A JP2009113559 A JP 2009113559A JP 2009296576 A JP2009296576 A JP 2009296576A
- Authority
- JP
- Japan
- Prior art keywords
- key
- signing
- user device
- master key
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/601—Broadcast encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】 比較的小さなビット数しか利用できない環境においてもブロードキャストメッセージの認証を実行することが可能な方法を提供する。
【解決手段】 本発明において、ユーザ装置UEへ送信されるべきブロードキャストメッセージを認証する方法であって、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、署名局とユーザ装置UEとの間で共有されるマスター鍵MKを使用してそれに基づいて、認証されるべきメッセージに署名するための署名鍵を導出するステップと、署名鍵によって認証されるべきメッセージに署名し、その署名をユーザ装置UEによって検証するステップとを含む方法が提供される。マスター鍵MKは、定期的に更新され、マスター鍵MKは、暗号鍵Vkiを用いて暗号化された形で署名局からユーザ装置UEへ送信され、暗号鍵は、マスター鍵を送信するネットワークとユーザ装置との間で共有される秘密鍵である。
【選択図】 図3
【解決手段】 本発明において、ユーザ装置UEへ送信されるべきブロードキャストメッセージを認証する方法であって、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、署名局とユーザ装置UEとの間で共有されるマスター鍵MKを使用してそれに基づいて、認証されるべきメッセージに署名するための署名鍵を導出するステップと、署名鍵によって認証されるべきメッセージに署名し、その署名をユーザ装置UEによって検証するステップとを含む方法が提供される。マスター鍵MKは、定期的に更新され、マスター鍵MKは、暗号鍵Vkiを用いて暗号化された形で署名局からユーザ装置UEへ送信され、暗号鍵は、マスター鍵を送信するネットワークとユーザ装置との間で共有される秘密鍵である。
【選択図】 図3
Description
本発明はブロードキャストメッセージを認証するための方法および装置に関する。
地震津波警報システムETWS(Earthquake and Tsunami Warning System)は、日本の地震津波警報システムに対して重要である要件に制約された公的警報システムPWS(public warning system)の一部である。
こうした種類のETWS警報システムには、次のような2つの主な脅威がある。
1)警報メッセージのなしすまし。これはアタッカが偽の警報メッセージを送信する脅威である。
2)警報メッセージが遅れてリプレイされること。
アタッカは、ユーザの“緊急行動”を引き起こすためにこれら両方を使用することが可能であり、従ってユーザのセキュリティ/安全性が危険にさらされることになる。
1)警報メッセージのなしすまし。これはアタッカが偽の警報メッセージを送信する脅威である。
2)警報メッセージが遅れてリプレイされること。
アタッカは、ユーザの“緊急行動”を引き起こすためにこれら両方を使用することが可能であり、従ってユーザのセキュリティ/安全性が危険にさらされることになる。
ここで問題は、ブロードキャスト(同報)されるメッセージが限られた長さ(ビット数)しか持たず、従ってセキュリティまたは認証を確保するために使用することができる情報量が限られているということである。
そこで、本発明の課題は、利用可能なビット数が比較的小さな環境においても認証を実現することにある。本発明の更なる課題は、どのようにしてあるシークレットを署名局(signing authority)とユーザ装置UE(user equipment)との間で共有して、共有されたシークレットによって作成された署名が数十ビット程度に過ぎない比較的小さな場合でも、セキュリティを最大にするかにある。
本発明は、上記課題を解決するための手段として、ユーザ装置へ送信されるべきブロードキャストメッセージを認証する方法を提供する。
本方法は、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、そのマスター鍵に基づいて、認証されるべきメッセージに署名するための署名鍵を導出するステップと、
前記署名鍵によって認証されるべきメッセージに署名し、その署名を前記ユーザ装置によって検証するステップとを含み、
前記マスター鍵は、定期的に更新され、かつ、
前記マスター鍵は、暗号鍵を用いて暗号化された形で前記署名局から前記ユーザ装置へ送信され、前記暗号鍵が、送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である。
本方法は、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、そのマスター鍵に基づいて、認証されるべきメッセージに署名するための署名鍵を導出するステップと、
前記署名鍵によって認証されるべきメッセージに署名し、その署名を前記ユーザ装置によって検証するステップとを含み、
前記マスター鍵は、定期的に更新され、かつ、
前記マスター鍵は、暗号鍵を用いて暗号化された形で前記署名局から前記ユーザ装置へ送信され、前記暗号鍵が、送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である。
マスター鍵を定期的に更新し、この更新されたマスター鍵をユーザ装置へ暗号化された形で送信することにより、システムは署名鍵を変更し続け、その結果、システムへの攻撃をより困難にすることができる。
本方法において、前記ユーザ装置がそのホームネットワーク内に存在する場合には、前記暗号鍵は、前記ユーザ装置のホームネットワーク内の信頼できるノードと前記ユーザ装置との間で共有されるホーム鍵であり、
前記ユーザ装置が訪問先ネットワーク内に存在する場合には、前記暗号鍵は、前記ユーザ装置の前記ホーム鍵に基づいて導出された鍵である。
前記ユーザ装置が訪問先ネットワーク内に存在する場合には、前記暗号鍵は、前記ユーザ装置の前記ホーム鍵に基づいて導出された鍵である。
これより、ユーザ装置が信頼できるノードとシークレットを共有しないような区域外ネットワーク内(foreign network)にそのユーザ装置が存在する場合でも、マスター鍵をユーザ装置へ安全な形で配送(あるいは配信)することができる。
本方法において、前記ユーザ装置が前記訪問先ネットワーク内に存在する場合には、前記暗号鍵は、前記ホーム鍵と前記訪問先ネットワークの識別子とに基づいて導出される。
こうして、マスター鍵を暗号化した状態で配送するための、訪問先ネットワークに特有の鍵(暗号鍵)が作成されることになる。
本方法において、前記マスター鍵は、第1の時間間隔(T)で定期的に更新されるとともに前記ユーザ装置に送信され、
前記署名鍵は、前記第1の時間間隔(T)より短い第2の時間間隔(t)で定期的に更新される。
前記署名鍵は、前記第1の時間間隔(T)より短い第2の時間間隔(t)で定期的に更新される。
2つの時間間隔、すなわち、マスター鍵を更新するための第1の時間間隔と署名鍵を更新するための第2の時間間隔を設定することにより、セキュリティが更に高まり、攻撃は更に困難になる。
本方法において、前記署名鍵は、前記マスター鍵または前記マスター鍵から導出された入力に鍵導出関数(key derivation function)を繰り返し適用することによって繰り返し更新される。
これにより、署名鍵は、同じ鍵導出関数を使用する場合において、反復または繰り返し作成することができる。
本方法において、(一連の第2の時間間隔の中の)ある第2の時間間隔における前記署名鍵は、前記マスター鍵と1つ前の第2の時間間隔の署名鍵とに基づく入力に前記鍵導出関数を適用することによって導出される。
これにより、署名鍵の反復作成が可能となり、その結果、どんな攻撃も実行することは極めて困難になる。
本方法において、前記第2の時間間隔は、(一連の第2の時間間隔の中の)n番目の時間間隔がtnと表されるようにインデックスが付けられており、前記ユーザ装置における前記署名の検証は、現在有効な第2の時間間隔tnの間だけでなく、(その前後の)1以上の近隣の時間間隔の間においても実行される。
これにより、ユーザ装置のクロックが完全に正確でなく、そのために実際の時間間隔(のインデックtn)を正確に決定することができない場合であっても、ユーザ装置による検証を行うことができる。
本方法において、現在有効な第2の時間間隔(t)のインデックスが、前記マスター鍵と一緒に前記署名局から前記ユーザ装置へ送信される。
このようにして、ユーザ装置は現在アクティブな第2の時間間隔(t)に“同期”することができる。
本方法は、2つのページングメッセージを同じ時間スロット上に多重化するステップを更に含み、前記2つのページングメッセージのうちの1つは、現在のマスター鍵M(T)を使用しているものであり、もう1つは、まだ更新されていないもの、すなわち、1つ前のマスター鍵M(T−1)を使用しているものであり、これらのページングメッセージの各メッセージは、2つの異なる鍵から導出されたそれぞれの有効な署名を搬送するものである。
このようにして、時間間隔Tの同期を実行することができる。
本方法は、次の時間スロットへ進むことを合図する信号を前記ユーザ装置または前記ユーザ装置内における保護された環境に送信するステップを更に含む。
これは、ユーザ装置が実際の時間スロットを決定することが不可能な場合に有用となると考えられる。
本方法において、前記ユーザ装置は署名を検証する試行回数に対して頻度制限(rate limitation)を実行する、かつ/または、
前記ユーザ装置は、クロック超過(over-clocking)を検出する動作を実行する。
前記ユーザ装置は、クロック超過(over-clocking)を検出する動作を実行する。
これにより、システムのセキュリティが更に向上する。
本方法において、前記マスター鍵は、ブロードキャストグループ、すなわちページンググループ(paging group)に依存するものである。
これにより、システムのセキュリティが更に向上する。
本発明は、上記課題を解決するための手段として、ユーザ装置へ送信されるべきブロードキャストメッセージを認証する装置を提供する。
本装置は、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、そのマスター鍵に基づいて、認証されるべきメッセージに署名するための署名鍵を導出するためのモジュールと、
前記署名鍵によって認証されるべきメッセージに署名して、前記ユーザ装置がその署名を検証することができるようにするためのモジュールと、
前記マスター鍵を定期的に更新するためのモジュールと、
暗号鍵を用いて暗号化した形で、前記マスター鍵を前記署名局から前記ユーザ装置へ送信するためのモジュールであって、前記暗号鍵が、マスター鍵を送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である、モジュールと
を備えるものである。
本装置は、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、そのマスター鍵に基づいて、認証されるべきメッセージに署名するための署名鍵を導出するためのモジュールと、
前記署名鍵によって認証されるべきメッセージに署名して、前記ユーザ装置がその署名を検証することができるようにするためのモジュールと、
前記マスター鍵を定期的に更新するためのモジュールと、
暗号鍵を用いて暗号化した形で、前記マスター鍵を前記署名局から前記ユーザ装置へ送信するためのモジュールであって、前記暗号鍵が、マスター鍵を送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である、モジュールと
を備えるものである。
このようにして、認証されるべきメッセージの送信を実行するネットワーク内のノードまたはエンティティを実現することができる。
本発明は、上記課題を解決するための手段として、ユーザ装置によって受信されるべきブロードキャストメッセージを認証する装置を提供する。
本装置は、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、それに基づいて、認証されるべきメッセージに署名するための署名鍵を導出するためのモジュールと、
前記署名鍵を用いて署名された署名を復号して、前記ユーザ装置がその署名を検証することができるようにするためのモジュールと、
暗号鍵を用いて暗号化された形で前記署名局から前記ユーザ装置へ送信された前記マスター鍵の(マスター鍵が定期的に更新されることを前提として)更新版を定期的に受信するためのモジュールであって、前記暗号鍵が、前記マスター鍵を送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である、モジュールと
を備えるものである。
本装置は、ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、それに基づいて、認証されるべきメッセージに署名するための署名鍵を導出するためのモジュールと、
前記署名鍵を用いて署名された署名を復号して、前記ユーザ装置がその署名を検証することができるようにするためのモジュールと、
暗号鍵を用いて暗号化された形で前記署名局から前記ユーザ装置へ送信された前記マスター鍵の(マスター鍵が定期的に更新されることを前提として)更新版を定期的に受信するためのモジュールであって、前記暗号鍵が、前記マスター鍵を送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である、モジュールと
を備えるものである。
このようにして、メッセージの認証を実行する、例えばネットワーク内のユーザ装置または端末といった、ネットワーク内のノードまたはエンティを実現することができる。
上記装置は、本発明の上記いずれかの態様の方法を実行するためのモジュールを更に備えるものである。
本発明は、上記課題を解決するための手段として、コンピュータ上で実行される際にこのコンピュータが本発明の上記いずれかの態様の方法を実行することを可能にするコンピュータプログラムコードを含むコンピュータプログラムも提供する。
公的警報システムETWSは、一次通知(primary notification)と二次通知(secondary notification)とから構成される2段階警報システムを提案している。以下の実施形態では、本発明の原理がこうした種類の警報システムにどのように適用できるかについて説明する。実施形態によれば、本明細書はいわゆるETWSの“一次通知”を対象としている。しかしながら、一般に本メカニズムは、認証を必要とする全種類のブロードキャストシステムに再利用することができる。
実施形態によれば、認証されるべきメッセージ(例えば、ETWSの一次通知)は、限られた長さの共有鍵で保護することができる。また、以下の二重の役割を果たす鍵スケジューリングメカニズムが提供される。
・総当たり攻撃に対して鍵の安全性を高めること
・起こり得るリプレイ攻撃を短い時間窓(時間区間)に制限すること
次に、このことについてより詳しく説明する。
・総当たり攻撃に対して鍵の安全性を高めること
・起こり得るリプレイ攻撃を短い時間窓(時間区間)に制限すること
次に、このことについてより詳しく説明する。
署名のために、警報メッセージを送信する機関(authority)(例えば、警報通知プロバイダ、無線ネットワークまたはPLMN(public land mobile network)からメッセージを集約するアグリゲータ)は、署名局(signing authority)とユーザ装置UE上の機密保護改竄防止環境(confidentiality-preserving, tamper-proof environment)との間において共有され定期的に更新されるシークレットを使用する。このUEにおける環境は、この共有されたシークレットを使用して、警報内の認証情報を検証する機能も提供する必要がある。
図1は、ETWSにおいて実行することができる認証手順を示している。最初の通知の後、ユーザ装置UEは、セキュリティデータを例えばより高い帯域で聞く(listen)ように設定されている。次いで、セキュリティデータがより高い帯域のチャネルで送信される。このセキュリティデータは、図1に示すデータを含み得る。このセキュリティデータは、プロトコルバージョン(1バイト)、災害タイプ(1バイト)、タイムスタンプ(4バイト、分単位の精度で7860年間)、署名局のID(3バイト、内訳は国名に1バイト、内部IDに2バイト)を含むことができる。代替として、そのセキュリティデータは、署名局までの信頼の連鎖(例えば、DNSSEC)によって保証された完全修飾ドメイン名FQDN(fully qualified domain name)を含んでもよい。この場合、タイムスタンプを含み得るセキュリティデータの署名は、例えば、現在時刻の前後のある特定の時間窓内で検証される。
しかしながら、一次通知は、ページングメッセージで既に送信されている場合があり、同じメッセージ内で認証される必要がある。斯かるケースでは、そのメッセージ自体に利用可能な、それを認証するための、(利用可能なビット数で)非常に限られた量の情報しか存在しない。
図2は、斯かる方法に対して利用可能なビットリソースを示している。約20ビットがページングメッセージの“ペイロード”に利用され、約30ビットが署名用に利用できることが図から見て取れる。
署名用のビット数がこのように限られているため、リプレイ攻撃の可能性はあると考えられる。しかしながら、以下においてより詳しく説明するように、本発明の実施形態によるメカニズムはこうした種類の攻撃のリスクを低減する。
実施形態によれば、署名局とUEとの間の共有されたシークレットの定期的な更新を実行するメカニズムが提供される。共有されたシークレットから署名鍵を導出するために鍵階層(key hierarchy)が使用される。
署名鍵を保護するためにいくつかのメカニズムを使用することができる。例えば、
・訪問先ネットワークの署名局ごと、かつUEごとに異なるマスター鍵
・共有されたシークレットの低頻度(例えば1ヶ月に一度、または1日に一度)のユニキャスト更新
・一方向性関数を使用して、署名鍵のより高頻度(例えば1分に一度)の更新
・総当たり攻撃(brute force attacks)を防止するための署名検証の頻度の制限
が挙げられる。
・訪問先ネットワークの署名局ごと、かつUEごとに異なるマスター鍵
・共有されたシークレットの低頻度(例えば1ヶ月に一度、または1日に一度)のユニキャスト更新
・一方向性関数を使用して、署名鍵のより高頻度(例えば1分に一度)の更新
・総当たり攻撃(brute force attacks)を防止するための署名検証の頻度の制限
が挙げられる。
以下、これらのメカニズムについてより詳しく説明する。
提案されたメカニズムによれば、実際の通知メッセージの中にセキュリティ用に非常に少ないビット数しか確保されていなくても、かなり高いセキュリティが実現できる。
アタッカが鍵を破る可能性が50%に達するまでの時間でセキュリティが測定される場合においては、鍵を頻繁に更新することによって、本ソリューションのセキュリティを最大40%まで増加させることができる。
また、鍵を頻繁に更新することにより、アタッカが警報メッセージをリプレイすることができる期間が短くなり、その結果、リプレイされたメッセージの影響が低減する。
図3には、本発明を適用することができる環境が概略的に示されている。通知プロバイダNP(Notification Provider)は、警報メッセージの発信元である。ここで、通知プロバイダが、その警報メッセージを複数のネットワークに配送したいと思っている状況を想定する。この複数のネットワークのうちの1つは、ノードUE1〜UE6に対するホームネットワークHN(home network)である。もう1つのネットワークVNは、ノードUE7に対するホームネットワークではあるが、HNをホームネットワークとするノードUE4〜UE6の訪問先ネットワーク(visited network)である。
各ユーザ装置UEは、関連するホーム鍵(Home key)を有する。これは、UEがホームネットワーク(例えばHSS(Home Subscriber Server))内の信頼できるノードと共有する共有シークレットである。ホーム鍵HKは、UEとそのホームネットワークに特有である。これは、図3にHK1〜HK7として示されている。ホーム鍵HK1〜HK6は、ノードUE1〜UE6とそれらのホームネットワークHNにそれぞれ属している。ホーム鍵HK7は、UE7とこのUE7のホームネットワークであるネットワークVNに属している。
さらに、所与の通信事業者(運営者)に登録された全てのノードは、共通鍵MK(あるいはマスター鍵MK(master key))をその通信事業者と共有している。この鍵は、定期的に更新される。
警報メッセージを認証するために署名鍵SK(signing key)が使用される。この署名鍵は、UEが現在登録されているエリア内で使用されるマスター鍵MKに基づいて、例えば鍵導出関数KDFを適用することによって導出される。マスター鍵は、暗号化された形でUEへ送信することができる。例えば、UEがホームネットワーク内に存在する場合にはホーム鍵HKを用いてそのマスター鍵を暗号化し、UEが訪問先ネットワーク内に存在する場合には訪問先ネットワーク鍵VKnを用いてそのマスター鍵を暗号化することによって、UEへ送信することができる。
この手順は図3に示されている。図中、マスター鍵MKは、HNからUE1、UE2およびUE3へ、これらのUEのそれぞれのホーム鍵でそれを暗号化した状態で送信される。しかしながら、UE4、UE5、およびUE6に関しては、ネットワークとUEはホーム鍵を共有しておらず、それ故に代わりに、マスター鍵をUE4〜UE6へ送信する前に、訪問先ネットワークで有効な訪問先ネットワーク鍵VKが、マスター鍵を暗号化するために使用されなければならない。この手順は、図3において(MK)Vkiで示されている。これは、マスター鍵MKがユーザ装置UE4〜UE6へ暗号化された形で送られる前に、これらのユーザ装置UE4〜UE6のそれぞれの訪問先ネットワーク鍵Vkiを使ってマスター鍵MKが暗号化されることを示している。代わりに、ユーザ装置UEがホームネットワークHN内に存在している場合でも、訪問先ネットワーク鍵を導出するために使用されるものとできる限り同じやり方または同じアルゴリズムに基づいてホーム鍵HKによって導出された鍵が、UEがホームネットワークに存在する場合において、マスター鍵をUEに送信する前に、そのマスター鍵を暗号化するために使用されることができる。
UE7に関しては、VNはホームネットワークであるので、マスター鍵をUE7に送信する前にそのマスター鍵を暗号化するためにホーム鍵HKを使用することができる。別の実施形態では、訪問先ネットワーク鍵を導出するために使用されるものと同じアルゴリズムに基づいて、マスター鍵をUE7に送信する前に、ホーム鍵に基づいて導出された鍵がそのマスター鍵を暗号化するために使用される。
マスター鍵に基づいて、認証されるべきメッセージに署名するために使用される署名鍵を導出することができる。送り手ノードとUEの双方は、鍵導出関数をMKに適用することによってこの署名鍵を導出することができる。ネットワーク(NW:network)側においては、署名鍵は、認証されるべきメッセージに署名するために使用される。UE側においては、署名は、メッセージを認証するために署名鍵を使って復元される。
次に、更なる実施形態をより詳しく説明する。
図3に既に示したように、また図4にも示しているように、各UEは、1つのシークレット(HKi)をホームネットワークHN内の信頼できるノード、例えばHSSと共有している。
ホームネットワークから離れて、かつ訪問先ネットワークVNと共有する共有鍵を持たないノード(例えば図3におけるUE4、UE5、およびUE6)に関しては、訪問先ネットワークにおける署名局は、訪問しているノードの鍵VKiをそのホームネットワークから要求することができる。
実施形態によれば、保護された環境PE(Protected Environment)(例えばUICCまたはSIMカード)において、UEは、HKiから、更に例えば署名局のIDに基づいて、この鍵VKiを導出することができる。
所与の通信事業者(運営者)に登録された全てのノードは、その通信事業者と共通鍵MKを共有している。この鍵は、定期的に更新される。
マスター鍵MKは、時間に依存するように定期的に更新されることができ、したがって、MK(T)と表すことができる。この更新は、例えば数時間、数日、または数ヶ月といった間隔で実行することができる。実施形態によれば、この更新は、数日おきもしくは数ヶ月おき、または日に一度もしくは月に一度の頻度で実行される。
訪問先ネットワークの共有シークレットMK(T)は、訪問先ネットワーク鍵VKiを使ってユニキャストでUEにおける保護された環境PEに送信される。この共有シークレットMK(T)は、訪問先ネットワーク内の全てのUEの間で共有される。
ある実施形態における共有シークレットMK(T)は、図5に示すように低頻度で更新される。その共有シークレットは、暗号化された形でユーザ装置UEに送信される。暗号化に使用される鍵は、移動端末UEがホームネットワーク内に存在するか訪問先ネットワーク内に存在するかに応じて、ホーム鍵HKiまたは訪問先ネットワーク鍵VKiとなる。この暗号化により不正な(悪事を働く)UEを選択的に排除することができる。
ネットワークといくつかのノードとの間で共有されるマスター鍵MK(T)は、例えばマスター鍵MK(T)にそれ自身を連結したものに鍵導出関数KDFを適用することによって署名鍵SigK(T,t=0)を導出するために使用される:SigK(T,t=0)=H(MK(T)||MK(T))。マスター鍵は、必ずしもそれ自身と連結される必要はなく、任意の他の更なる入力(例えば固定数のビットシーケンス)も使用されてもよい。別の可能性としては、署名鍵を生成するのにマスター鍵だけを使用することである。
ある実施形態において、鍵導出関数KDFはハッシュ関数とすることができる。
時間間隔T(“第1の時間間隔”と見なすことができる)は、マスター鍵MK(T)が更新される間隔である。更新されたマスター鍵は、警報メッセージ(およびマスター鍵も)を送信する送信局が役目を果たすエリア内に現在位置する異なるユーザ装置UEに配送されることができる。
署名鍵を導出するための基礎を形成するこのマスター鍵の更新に加えて、署名鍵はそれ自体、時間に依存してもよく、Tより短い時間間隔t(“第2の時間間隔”と見なすことができる)内で変化させてもよい。
その目的のため、ある実施形態によれば、各時間間隔Tは、図5の下部にtで示すように、より短い時間スライス(図2参照)に分割される。SigK(T,t=0)は、マスター鍵MK(T)が有効な時間スロットt=0においてメッセージに署名するために使用される。ある時間間隔tにおける署名鍵は、ハッシュ関数をマスター鍵またはマスター鍵から導出された入力に反復適用することによって導出することができる。
署名局は、マスター鍵(または更新されたマスター鍵)と一緒に、現時間間隔tのインデックスを送信することができる。このようにして、UEは、マスター鍵を送信するノードまたはステーションのクロックによって指定され得る現時間間隔tを知ることができる。マスター鍵の異なるUEへの配送は、ポイント・ツー・ポイントで実行されるべきであるので、いくつかのユーザ装置は、マスター鍵を異なる時間に、従って異なる(インデックスの)時間間隔tに受信する場合がある。また時間間隔tのインデックスを送信することによって、ユーザ装置は、そのカウントを正しい時点、つまり現在有効な時間間隔である正しい時間間隔tにセットすることができる。
ある特定の実施形態によれば、例えば、署名鍵SigK(T,t)は、マスター鍵MK(T)に前回の署名鍵を連結したものについてハッシュ値を計算することよって計算される:SigK(T,t)=KDF(MK(T)||SigK(T,t−1))。この署名鍵SigK(T,t)は、例えば、警報メッセージへの署名として使用することができるハッシュ関数(HMAC:Keyed-Hashing for Message Authentication code)に鍵をかけることによって、署名を計算することに使用することができる。ある実施形態において、署名の最後の30ビットが、図2に示すように初期のページングメッセージに組み込まれる。
また、署名の検証は、時間スロットが完全に整列していない場合があることを考慮し、従って、UE内における保護された環境は、例えば、tの現在値に対するHMACだけでなく、tの近隣の値(近傍値)に対するHMACも計算し、比較することができる。
Tの同期化は、2つのページングメッセージを同じ時間スロット上に多重化することによって実行される。その2つのページングメッセージのなかの1つは、現在のマスター鍵MK(T)を使用しているものであり、もう1つは、まだ更新されていないもの、すなわち、その前のマスター鍵MK(T−1)を使用しているものである。これらのページングメッセージの各メッセージは、2つの異なる鍵から導出されたそれぞれの有効な署名を搬送するものである。
UE内における保護された環境は、その時間スロットを決定することが不可能な場合がある。それ故、実施形態によれば、そのUE内の保護環境は、次の時間スロットに進むための外部信号を受信することができる。
ある実施形態によれば、UE内における保護された環境は、署名を検証する試行回数に対して頻度制限(rate limitation)を実行する。
UE内における保護された環境が、信頼できるクロックを持たない場合には、その保護された環境は、所定数のクロックサイクル分だけチェック結果の返送を遅らせることができる。これを実行するため、UE内における保護された環境には、クロック超過(over-clocking)を検出するためのモジュールが提供されてもよい。
また、マスター鍵MK(T)をブロードキャストグループ、つまりページンググループ、に依存して作ることによって、更なる改良を実現することができる。
上記の実施形態は、ハードウェア、ソフトウェア、あるいはハードウェアとソフトウェアの組み合わせによって実施することができることは当業者であれば理解できるだろう。本発明の実施形態に関連して述べたモジュールおよび機能は、全体的または部分的に、本発明の実施形態に関連して説明された方法の通りに動作するように適切にプログラムされたマイクロプロセッサまたはコンピュータによって実装することができる。本発明の実施形態を実現する装置は、例えば、実施形態で述べたメカニズムを実行することが可能なように適切にプログラムされたネットワーク内のノードその他の構成要素を構成することができる。
本発明の実施形態として、データキャリアに格納され、あるいは他のやり方で記録媒体もしくは伝送リンクといった何らかの物理的手段によって具現化されたコンピュータプログラムが提供される。このコンピュータプログラムは、コンピュータ上で実行する際にこのコンピュータが上記実施形態に従って動作することを可能にする。
本発明の実施形態は、例えば、上述したメカニズムに従って動作するようにプログラムされたネットワーク内のノードその他のネットワーク内の任意のエンティティによって実施することができる。
HK1〜7 ホーム鍵
Hki、Vki 暗号鍵
MK マスター鍵
(MK)Hki、(MK)Vki 暗号鍵で暗号化されたマスター鍵
HN ホームネットワーク
NP 警報通知プロバイダ
NW ネットワーク
UE1〜7 ユーザ装置
VN 訪問先ネットワーク
Hki、Vki 暗号鍵
MK マスター鍵
(MK)Hki、(MK)Vki 暗号鍵で暗号化されたマスター鍵
HN ホームネットワーク
NP 警報通知プロバイダ
NW ネットワーク
UE1〜7 ユーザ装置
VN 訪問先ネットワーク
Claims (15)
- あるユーザ装置へ送信されるべきブロードキャストメッセージを認証する方法であって、前記ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、そのマスター鍵に基づいて、認証されるべきメッセージに署名するための署名鍵を導出するステップと、
前記署名鍵によって認証されるべきメッセージに署名し、その署名を前記ユーザ装置によって検証するステップとを含み、
前記マスター鍵は、定期的に更新され、かつ、
前記マスター鍵は、暗号鍵を用いて暗号化された形で前記署名局から前記ユーザ装置へ送信され、前記暗号鍵は、前記マスター鍵を送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である、方法。 - 前記ユーザ装置がそのホームネットワーク内に存在する場合には、前記暗号鍵は、前記ユーザ装置のホームネットワーク内の信頼できるノードと前記ユーザ装置との間で共有されるホーム鍵であり、
前記ユーザ装置が訪問先ネットワーク内に存在する場合には、前記暗号鍵は、前記ユーザ装置の前記ホーム鍵に基づいて導出された鍵である、請求項1に記載の方法。 - 前記ユーザ装置が前記訪問先ネットワーク内に存在する場合には、前記暗号鍵は、前記ホーム鍵と前記訪問先ネットワークの識別子(ID)とに基づいて導出されるものである、請求項2に記載の方法。
- 前記マスター鍵は、第1の時間間隔(T)で定期的に更新されるとともに、前記ユーザ装置に送信され、
前記署名鍵は、前記第1の時間間隔(T)より短い第2の時間間隔(t)で定期的に更新される、請求項1ないし3のいずれか一項に記載の方法。 - 前記署名鍵は、前記マスター鍵または前記マスター鍵から導出された入力に対して鍵導出関数を繰り返し適用することによって繰り返し更新される、請求項4に記載の方法。
- ある第2の時間間隔における前記署名鍵は、前記マスター鍵と1つ前の第2の時間間隔の署名鍵とに基づく入力に前記鍵導出関数を適用することによって導出される、請求項4または5に記載の方法。
- 前記第2の時間間隔は、n番目の時間間隔がtnと表されるようにインデックスが付けられており、
前記ユーザ装置における前記署名の検証は、現在有効な第2の時間間隔tnの間だけでなく、1以上の近隣の時間間隔の間においても実行される、請求項4ないし6のいずれか一項に記載の方法。 - 現在有効な第2の時間間隔(t)のインデックスが、前記マスター鍵と一緒に前記署名局から前記ユーザ装置へ送信される、請求項4ないし7のいずれか一項に記載の方法。
- 2つのページングメッセージを同じ時間スロット上において多重化するステップを更に含んでおり、
前記2つのページングメッセージのうちの1つは、現在のマスター鍵M(T)を使用しているものであり、前記2つのページングメッセージのうちのもう1つは、まだ更新されていないもの、すなわち、1つ前のマスター鍵M(T−1)を使用しているものであり、
これらのページングメッセージの各メッセージは、2つの異なる鍵から導出されたそれぞれの有効な署名を搬送するものであり、請求項1ないし8のいずれか一項に記載の方法。 - 次の時間スロットへ進むことを合図する信号を前記ユーザ装置または前記ユーザ装置内における保護された環境に送信するステップを更に含む請求項1ないし9のいずれか一項に記載の方法。
- 前記ユーザ装置は、署名を検証する試行回数に対して頻度制限を実行する、かつ/または、
前記ユーザ装置は、クロック超過を検出する動作を実行する、かつ/または、
前記マスター鍵は、ブロードキャストグループ、すなわちページンググループに依存するものである、請求項1ないし10のいずれか一項に記載の方法。 - あるユーザ装置へ送信されるべきブロードキャストメッセージを認証する装置であって、前記ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、そのマスター鍵に基づいて、認証されるべきメッセージに署名するための署名鍵を導出するためのモジュールと、
前記署名鍵によって認証されるべきメッセージに署名して、前記ユーザ装置がその署名を検証することができるようにするためのモジュールと、
前記マスター鍵を定期的に更新するためのモジュールと、
暗号鍵を用いて暗号化した形で前記マスター鍵を前記署名局から前記ユーザ装置へ送信するためのモジュールであって、前記暗号鍵が、マスター鍵を送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である、モジュールと
を備えるものである装置。 - あるユーザ装置によって受信されるべきブロードキャストメッセージを認証する装置であって、前記ブロードキャストメッセージが、認証のために署名局によって署名されたものであり、
前記署名局と前記ユーザ装置との間で共有されるマスター鍵を使用して、そのマスター鍵に基づいて、認証されるべきメッセージに署名するための署名鍵を導出するためのモジュールと、
前記署名鍵を用いて署名された署名を復号して、前記ユーザ装置がその署名を検証することができるようにするためのモジュールと、
暗号鍵を用いて暗号化された形で前記署名局から前記ユーザ装置へ送信された前記マスター鍵の更新版を定期的に受信するためのモジュールであって、前記暗号鍵が、前記マスター鍵を送信するネットワークと前記ユーザ装置との間で共有される秘密鍵である、モジュールと
を備えるものである装置。 - 請求項2ないし11のいずれか一項に記載の方法を実行するためのモジュールを更に備えるものである請求項12または13に記載の装置。
- コンピュータ上で実行される際にそのコンピュータが請求項1ないし11のいずれか一項に記載の方法を実行することを可能にするコンピュータプログラムコードを含むコンピュータプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP20080155931 EP2117200B1 (en) | 2008-05-08 | 2008-05-08 | Method and apparatus for broadcast authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009296576A true JP2009296576A (ja) | 2009-12-17 |
Family
ID=40291135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009113559A Pending JP2009296576A (ja) | 2008-05-08 | 2009-05-08 | ブロードキャストのメッセージを認証する方法および装置 |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP2117200B1 (ja) |
| JP (1) | JP2009296576A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015008114A1 (en) * | 2013-07-18 | 2015-01-22 | Freescale Semiconductor, Inc. | Illegal message destroyer |
| JP2015506637A (ja) * | 2012-01-16 | 2015-03-02 | アルカテル−ルーセント | 公衆警告メッセージの検証のための公開鍵の管理 |
| JP2016504795A (ja) * | 2012-11-09 | 2016-02-12 | ▲ホア▼▲ウェイ▼技術有限公司 | メッセージ検証のための方法および端末 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2826201B1 (en) | 2012-03-15 | 2019-05-08 | BlackBerry Limited | Method for securing messages |
| US9219610B2 (en) | 2012-03-15 | 2015-12-22 | Blackberry Limited | Method for securing messages |
| CN103378970A (zh) * | 2012-04-20 | 2013-10-30 | 中兴通讯股份有限公司 | 一种公共警报系统中的密钥更新方法、装置和系统 |
| US9210578B2 (en) * | 2012-07-12 | 2015-12-08 | Nokia Technologies Oy | Methods and apparatus for authentication |
| JP2015535153A (ja) * | 2012-11-07 | 2015-12-07 | ▲ホア▼▲ウェイ▼技術有限公司 | Ca公開鍵を更新するための方法および装置、ueおよびca |
| WO2018162397A1 (en) * | 2017-03-08 | 2018-09-13 | Philips Lighting Holding B.V. | Control device, apparatus for use in a luminaire, methods of operation and server |
| CN108616542A (zh) * | 2018-05-10 | 2018-10-02 | 清华大学 | 一种设备身份验证和信息交互的系统和方法 |
| EP3912381A4 (en) * | 2019-01-16 | 2022-10-19 | Telefonaktiebolaget Lm Ericsson (Publ) | METHOD, NETWORK NODE AND WIRELESS DEVICE FOR VERIFICATION OF BROADCASTING MESSAGE |
| CN115297118B (zh) * | 2022-10-09 | 2023-01-31 | 北京航空航天大学杭州创新研究院 | 一种基于区块链的数据共享方法及数据共享系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005537713A (ja) * | 2002-08-28 | 2005-12-08 | クゥアルコム・インコーポレイテッド | 移動通信システムにおける安全なデータ伝送のための方法および装置 |
| JP2007536853A (ja) * | 2004-05-12 | 2007-12-13 | ノキア コーポレイション | ストリーミングコンテンツの完全性保護 |
| WO2007148701A1 (ja) * | 2006-06-19 | 2007-12-27 | Ntt Docomo, Inc. | 移動通信システム、移動通信方法、配信サーバ、無線回線制御局及び移動局 |
-
2008
- 2008-05-08 EP EP20080155931 patent/EP2117200B1/en not_active Expired - Fee Related
-
2009
- 2009-05-08 JP JP2009113559A patent/JP2009296576A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005537713A (ja) * | 2002-08-28 | 2005-12-08 | クゥアルコム・インコーポレイテッド | 移動通信システムにおける安全なデータ伝送のための方法および装置 |
| JP2007536853A (ja) * | 2004-05-12 | 2007-12-13 | ノキア コーポレイション | ストリーミングコンテンツの完全性保護 |
| WO2007148701A1 (ja) * | 2006-06-19 | 2007-12-27 | Ntt Docomo, Inc. | 移動通信システム、移動通信方法、配信サーバ、無線回線制御局及び移動局 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015506637A (ja) * | 2012-01-16 | 2015-03-02 | アルカテル−ルーセント | 公衆警告メッセージの検証のための公開鍵の管理 |
| JP2016504795A (ja) * | 2012-11-09 | 2016-02-12 | ▲ホア▼▲ウェイ▼技術有限公司 | メッセージ検証のための方法および端末 |
| US10218513B2 (en) | 2012-11-09 | 2019-02-26 | Huawei Technologie Co., Ltd. | Method and terminal for message verification |
| WO2015008114A1 (en) * | 2013-07-18 | 2015-01-22 | Freescale Semiconductor, Inc. | Illegal message destroyer |
| US9894084B2 (en) | 2013-07-18 | 2018-02-13 | Nxp Usa, Inc. | Illegal message destroyer |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2117200A1 (en) | 2009-11-11 |
| EP2117200B1 (en) | 2012-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2009296576A (ja) | ブロードキャストのメッセージを認証する方法および装置 | |
| EP2850862B1 (en) | Secure paging | |
| EP2950506B1 (en) | Method and system for establishing a secure communication channel | |
| US8627092B2 (en) | Asymmetric cryptography for wireless systems | |
| EP2528268B1 (en) | Cyptographic key generation | |
| JP4199074B2 (ja) | 安全なデータ通信リンクのための方法と装置 | |
| KR100747825B1 (ko) | 세션 키 설정 방법 | |
| CN101455025B (zh) | 用于安全分组传输的加密方法 | |
| EP2702741B1 (en) | Authenticating a device in a network | |
| CN1602643B (zh) | 在通信系统中提供用户标识和特性的私密性的方法和装置 | |
| CN101116284B (zh) | 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统 | |
| US10341107B2 (en) | Method, server, and communication device for updating identity-based cryptographic private keys of compromised communication devices | |
| CN101405987B (zh) | 无线系统的非对称加密 | |
| JP7139420B2 (ja) | 電気通信ネットワークの物理的要素又は仮想要素にセキュリティエレメントに格納されている暗号化されたサブスクリプション識別子を送信する方法、対応するセキュリティエレメント、物理的要素又は仮想要素及びこのセキュリティエレメントと協働する端末 | |
| US9264404B1 (en) | Encrypting data using time stamps | |
| JP4740134B2 (ja) | 通信システムにおけるブロードキャスト・マルチキャスト通信のための認証された呼掛けを供給するための方法及び装置 | |
| JP6614304B2 (ja) | モバイル通信システム、グループゲートウェイ、ue及び通信方法 | |
| CA2865069C (en) | Method and device for rekeying in a radio network link layer encryption system | |
| CN104303583A (zh) | 用于在通信系统中建立安全连接的系统和方法 | |
| Verheul | Activate Later Certificates for V2X--Combining ITS efficiency with privacy | |
| Saxena et al. | BVPSMS: A batch verification protocol for end-to-end secure SMS for mobile users | |
| KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
| Kahya et al. | Formal analysis of PKM using scyther tool | |
| CN116569516A (zh) | 防止移动终端的认证序列号泄露的方法 | |
| US20230345234A1 (en) | A method for sending a message from a remote server to a terminal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111104 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120302 |