JP2014514860A - セキュリティアソシエーションの発見法 - Google Patents

セキュリティアソシエーションの発見法 Download PDF

Info

Publication number
JP2014514860A
JP2014514860A JP2014506431A JP2014506431A JP2014514860A JP 2014514860 A JP2014514860 A JP 2014514860A JP 2014506431 A JP2014506431 A JP 2014506431A JP 2014506431 A JP2014506431 A JP 2014506431A JP 2014514860 A JP2014514860 A JP 2014514860A
Authority
JP
Japan
Prior art keywords
computing device
key
secret value
seed
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014506431A
Other languages
English (en)
Other versions
JP5775210B2 (ja
Inventor
サンダラム,ガナパテイー・エス
ミジコフスキー,セミヨン・ビー
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2014514860A publication Critical patent/JP2014514860A/ja
Application granted granted Critical
Publication of JP5775210B2 publication Critical patent/JP5775210B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

通信環境において形成されたセキュリティアソシエーションを発見する技術を開示する。たとえば、第1のコンピューティングデバイス(たとえば、第1のクライアント)と第2のコンピューティングデバイス(たとえば、第2のクライアント)の間に発見可能なセキュリティアソシエーションを形成する方法は、以下のステップを含む。第1のコンピューティングデバイスは、第2のコンピューティングデバイスとの通信を安全にする際に使用される鍵を計算するために、第1のコンピューティングデバイスによって使用される秘密値を生成するために、第1のコンピューティングデバイスによって使用されるシードを提供される。秘密値は、シードの知識に基づいて再計算可能であり、鍵は、第3のコンピューティングデバイス(たとえば、傍受サーバ)が、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスには気づかれずに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために再計算された鍵を使用できるように、秘密値の知識に基づいて再計算可能である。一例として、鍵は、識別情報ベースの認証された鍵の交換の結果であってもよい。

Description

本出願は、「Out−of−Band Lawful Discovery of Security Associations」と題された、2011年4月22日に出願され、通し番号61/478,153で識別され、開示内容全体が引用により本明細書に組み込まれる米国仮特許出願の優先権主張するものである。
本発明は一般に通信セキュリティに関し、より詳細には、通信環境内のセキュリティアソシエーションを発見する技術に関する。
インターネットプロトコル(IP)通信および電話通信システムが広く普及している。2つのクライアント間のエンドツーエンドIP通信の初期の一例にはインスタントメッセージングがあったが、そのすぐ後にボイスオーバー(Voice−over)IPが登場し、現在では多くのプロバイダ(たとえば、ネットワーク事業者およびアプリケーションプロバイダ)が、エンドツーエンドのビデオオーバー(Video−over)IPを提供している。しかしながら、無線移動体ネットワークのアクセスが狭帯域の回線交換アクセスネットワークによって占められている状況があって、こういった傾向は主として有線の固定ネットワークに制限されていた。しかしながら、広帯域の4G(第4世代)無線ネットワークが最近配備されたことで、アクセスのタイプに依らず、あらゆる形態のマルチメディアオーバー(multimedia over)IPによるエンドツーエンドの通信のためのステージが設定されている。
エンドツーエンドのIPセッションに移行して、市場では、これらのオープンなIPネットワーク上でのセキュリティおよびプライバシーに対する関心ならびに意識が再起している。最初のステップとして、エンドツーエンドの暗号化および認証が注目を集めているパラダイムである。商取引および企業イントラネットのアクセスを含む現代のインターネットトランザクションは、これまで10年間エンドツーエンドで安全にされてきたが、IPでの会話アプリケーションの安全保護は主として、たとえばSKYPE(TM)(LuxembourgのSkype Technologies S.A.の商標)などのアプリケーションプロバイダに任せられていた。
あらゆるIPネットワークの出現で、ネットワーク事業者またはその他の、オーディオ、ビデオ、およびメッセージングサービスを提供する事業者が、法的な通信傍受およびセキュリティアソシエーションの発見をサポートするための要件に準拠しつつ、エンドツーエンドのセキュリティを確保することがますます必要になりつつある。そのような法的な通信傍受およびセキュリティアソシエーションの発見は、法の執行の目的で、または単に法の執行以外の何らかの目的で必要なことがあり、それによって、当事者および/またはデバイス間で送信される暗号化メッセージを復号できることが必要であるかまたは望ましい。
IETF RFC4568、「Security Descriptions for Media Streams」、July 2006 IETF RFC4120、「Kerberos Network Authentication Service」、July 2005 IETF RFC6043、「Ticket−based Modes of Key Distribution in Multimedia Internet Keying」、March 2011 M.BellareおよびP.Rogaway、「Entity Authentication and Key Distribution」、Advances in Cryptology、Crypto ’93、LNCS 773、Ed.D.Stinson、Springer−Verlag、1994 IETF RFC2631、「Diffie−Hellman Key Agreement Method」、June 1999 W.Diffie、M.Hellman、「New Directions in Cryptography」、IEEE Transactions on Information Theory、vol.IT−22、Nov.1976、pp:644−654 Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001) IETF RFC5408 IETF RFC5409 FIPS 180−1、「Secure Hash Standard」、April 1995 3GPP TS 33.220 BurmesterおよびDesmedt、「A secure and efficient conference key distribution system」、Proceedings of Eurocrypt ’94、LNCS vol.950、275−286ページ、Springer 1995
本発明の原理は、通信環境において形成されたセキュリティアソシエーションを発見する技術を提供する。
たとえば、本発明の一態様において、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間に発見可能なセキュリティアソシエーションを形成する方法が、以下のステップを含む。第1のコンピューティングデバイスは、第2のコンピューティングデバイスとの通信を安全にする際に使用される鍵を計算するために、第1のコンピューティングデバイスによって使用される秘密値を生成するために、第1のコンピューティングデバイスによって使用されるシードを提供される。秘密値は、シードの知識に基づいて再計算可能であり、鍵は、第3のコンピューティングデバイスが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスには気づかれずに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために再計算された鍵を使用できるように、秘密値の知識に基づいて再計算可能である。
さらなる例として、本発明の第2の態様において、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間に形成されたセキュリティアソシエーションを発見する方法が、以下のステップを含む。第3のコンピューティングデバイスは秘密値を第4のコンピューティングデバイスから取得する。秘密値は、第1のコンピューティングデバイスによって生成される同じ秘密値であり、第1のコンピューティングデバイスは、第4のコンピューティングデバイスによって提供されたシードに基づいて秘密値を生成しており、第1のコンピューティングデバイスは、シードを使用して秘密値を生成し、秘密値を使用して、第2のコンピューティングデバイスとの通信を安全にする際に使用される鍵を計算している。第3のコンピューティングデバイスは、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスには気づかれずに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために、秘密値に基づいて鍵を再計算する。
本発明の例示的な原理は、鍵管理のための公開鍵方法に依存するシステムに特に適用可能であるが、それには限られない技術を使用して、限定はしないが、エンドツーエンドの暗号化されたセッション用の鍵および他の暗号データを含む、セキュリティアソシエーションを合法的に発見する方法を提供する。たとえば、本発明の技術は、非対称相互に認証された鍵の交換および/または任意のディフィーヘルマン(Diffie−Hellman)に基づく鍵交換を実施するシステムおよびプロトコルに従って使用されてもよい。特に、本発明のオーバーレイ手順は、種々の遵守要件を満たしつつ、検出不能である。本発明の原理は、インターネットプロトコルマルチメディアサブシステム(IMS)環境に特に適しているが、本発明をそのように限定する意図はないことを理解されたい。すなわち、本発明の原理は一般に、合法的なセキュリティアソシエーション発見機能を提供することが望ましい任意の適切な通信システムに適用可能である。一例に過ぎないが、そのような本発明の技術が適用されてもよい別の通信システムは、IMS信号送信枠組みまたは任意の他の信号送信枠組みに基づく会議呼び出しシステムである。
本発明のこれらおよびその他の目的、特徴および利点は、添付の図面と併せて読まれるべき、本発明の例示的実施形態の以下に示す詳細な説明から明らかになろう。
クライアントベースの鍵転送方法を示す図である。 ネットワーク支援型の鍵転送方法を示す図である。 相互に認証された対称鍵の交換方法を示す図である。 識別情報ベースの認証された鍵の交換方法を示す図である。 第三者介在(man−in−the−middle)鍵発見方法を示す図である。 本発明の一実施形態による、擬似乱数生成器を示す図である。 本発明の一実施形態による、秘密値再生でセッション鍵を合法的に発見する方法を示す図である。 本発明の一実施形態による、秘密値再生でセッション鍵を合法的に発見するための呼のフローを示す図である。 本発明の一実施形態による、会議呼び出し環境における秘密値再生でセッション鍵を合法的に発見する方法を示す図である。 本発明の諸実施形態による、方法およびプロトコルのうちの1つまたは複数を実施するのに適したデータネットワークおよび通信(コンピューティング)デバイスの汎用ハードウェアアーキテクチャを示す図である。
本明細書において、語句「マルチメディア通信システム」は全般的に、メディアプレーンを介して、限定はしないが、テキストベースのデータ、グラフィックベースのデータ、音声ベースのデータおよびビデオベースのデータを含むより多くのタイプうちの1つのメディアを運搬することが可能な任意の通信システムとして定義する。
本明細書において、語句「メディアプレーン」は全般的に、呼のセッションにおいて2つ以上の当事者間で1つまたは複数のタイプのメディアが交換される際に従うマルチメディア通信システムの機能的な部分として定義する。これは、呼のセッションを確立するために呼のネゴシエーション/スケジューリングが実行される際に従うマルチメディア通信システムの機能的な部分である「制御プレーン」とは対照的なものである。本発明の技術が使用できるメディアプレーンアプリケーションの例としては、ボイスオーバーIP(VoIP)、インスタントメッセージング(IM)、ビデオ/オーディオIM、ビデオシェア(Video Share)、およびビデオオーバーIPが挙げられるが、これらに限定はされない。メディアプレーンは、アプリケーション層のトラフィックを含むことが理解される。しかしながら、本発明の合法的なセキュリティアソシエーション発見技術は、通信システムの任意のプレーンまたは層に適用することができる。
本明細書において、用語「鍵」は全般的に、限定はしないが、エンティティの認証、プライバシー、メッセージの保全などの目的で、暗号のプロトコルに入るものとして定義する。
本明細書において、語句「セキュリティアソシエーション」は全般的に、2つ以上の当事者および/またはデバイスが通信する通信環境におけるセキュリティ定義を指す。ある例においては、セキュリティ定義は、限定はしないが、セッション鍵を含んでいてもよい。
本明細書において、用語「シード」は全般的に、少なくとも1つの乱数を含む数の組を指す。
本明細書において、「クライアント」は全般的に、通信デバイスまたは何らかの他のコンピューティングシステムもしくはデバイスを指すことがあり、これらは、1つまたは複数のユーザ、当事者またはエンティティが、ある通信環境において、別のクライアントなどといった1つまたは複数の他の通信デバイスまたは他のコンピューティングシステムと通信できるようにするものである。本明細書において、「クライアント」は全般的に、コンピューティングデバイス上のアプリケーションまたは他のコンピュータプログラムを指すこともある。したがって、クライアントという用語は、以下ではデバイスと呼ぶことがあるが、クライアントという用語はハードウェアには限定されず、ソフトウェア、またはハードウェアとソフトウェアの組み合わせであってもよいことを理解されたい。
本明細書において、「通信セッション」は全般的に、2つのデバイス間の通信目的での、少なくとも2つの通信デバイス間または他のコンピューティングシステム(たとえば、クライアント)間の接続を指す。したがって、本明細書において、「エンドツーエンド」の通信セッションは、概して一方のデバイス(たとえば、クライアント)から他方のデバイス(たとえば、クライアント)までの接続経路全体を指す。また、通信セッションに参加中の2つ以上のクライアントは、「エンドポイントデバイス」または単に「エンドポイント」と呼ぶ。しかしながら、本発明の合法的なセキュリティアソシエーション発見技術は、クライアントだけではなく、任意のコンピューティングデバイスまたは通信デバイスに適用することができる。
本明細書において、「アプリケーション」(または「アプリケーションプログラム」)は全般的に、実行されたとき、1つまたは複数の所与の機能を実施する1つまたは複数のコンピュータプログラムを指す。
本明細書において、用語「合法的」は全般的に、政府のまたは私的な権威あるエンティティに関する1つまたは複数の遵守要件またはガイドラインを満たすこととして定義する。そのような権威あるエンティティは、法の執行機能または法の執行以外の機能を果たすことができる。すなわち、合法的という用語は、法の執行に限定する意図はなく、むしろ法の執行以外の意味における遵守を含んでいてもよい。
参照しやすくするために、詳細な説明を以下のように分割する。セクションIでは、本発明の原理が適用できる例示的な使用のケースおよびプロバイダを説明する。セクションIIでは、既存のエンドツーエンドの鍵管理方法を説明する。セクションIIIでは、既存の鍵解決方法を説明する。セクションIVでは、インターネットプロトコル(IP)マルチメディアサブシステム(IMS)環境の場面における、本発明の例示的な原理による合法的なセキュリティアソシエーション発見の解決策を説明する。セクションVでは、会議呼び出し環境の場面における、本発明の例示的な原理による合法的なセキュリティアソシエーション発見の解決策を説明する。セクションVIでは、本発明による1つまたは複数の合法的なセキュリティアソシエーション発見方法を実施するための例示のコンピューティングシステムを説明する。
I.例示的な使用のケースおよびプロバイダ
本発明の原理が適用できる、本明細書に記載の例示的な使用のケースは、エンドツーエンドの暗号化されたクライアント間通信セッションを含む。一例に過ぎず、いかなる方法でも限定することは意図していないが、そのような使用のケースは以下を含む:
1.テキストベースのIMまたはインスタントメッセージングアプリケーション。
2.エンドツーエンドのインターネットプロトコルに基づくマルチメディアメッセージングアプリケーション(オーディオおよび/またはビデオを含む)。
3.種々のパケット交換式アクセスネットワークを介したボイスオーバーIP。
4.種々のパケット交換式アクセスネットワークを介したビデオオーバーIP。
5.参加者のグループが関与するテキストおよびマルチメディアアプリケーションの会議。
これらの例示的な使用のケースは、種々のプロバイダに等しく十分に適用される。一例として、プロバイダを以下の3つのカテゴリに分類することができる:
1.サービスプロバイダは企業であり得る(ここでは、最高情報責任者、すなわちCIOがアプリケーションの公開、管理、および運用を統制する)。企業は法人または政府エンティティであり得ることに注意されたい。
2.サービスプロバイダはアプリケーションプロバイダ(たとえば、Skype、Googleトークなど)であってもよく、そのようなサービスは、ネットワークおよびタイプを越えて「オーバーザトップ(over the top)」で提供される。
3.サービスプロバイダはネットワークプロバイダ(たとえば、Verizon Wireless、AT&T、Sprint、T−Mobile、Vodafoneなど)であり得る。
本発明の原理に従って説明する問題および解決策の例示的な範囲は、すべてのプロバイダに等しく十分に適用され、特に、エンドツーエンドの通信タイプまたはアプリケーションに左右されない。
II.エンドツーエンドの鍵管理
エンドツーエンドのIPセッション、およびエンドツーエンドのセキュリティを提供する要求を想定して、エンドツーエンドの鍵管理方式が考案された。一例として、そのような方式を以下の4つのカテゴリに分類することができる:(1)クライアントベースの鍵転送プロトコル、(2)ネットワーク支援型の鍵転送プロトコル、(3)相互に認証された対称鍵の交換プロトコル、および(4)相互に認証された非対称鍵の交換プロトコル。
(1)クライアントベースの鍵転送プロトコル。図1のプロトコル100に示されるように、「開始側」(すなわち、特定の通信セッションを開始するクライアント)と呼ばれるクライアントデバイス102−Iが、「安全鍵」を、1つまたは複数のネットワーク要素104−1、104−2を介して「応答側」(すなわち、特定の通信セッションの開始側に応答するクライアント)と呼ばれるクライアントデバイス102−Rに移送する安全な信号送信に適用可能な、確立されたホップバイホップ(hop−by−hop)の安全なメッセージング方式を使用する。次いで、通信セッションにおけるすべての当事者が、その鍵(またはその派生)を使用して、そのセッションを安全にする。図1に示す例は、安全なリアルタイムトランスポートプロトコル(Secure Real−time Transport Protocol)用の鍵を決めるために使用されるプロトコルであるセッション記述プロトコル(Session Description Protocol)(SDP)に基づいており、たとえば、開示内容の全体が引用により本明細書に組み込まれる、セッション記述プロトコル(SDP)インターネット技術タスクフォース(Internet Engineering Task Force)(IETF)コメント要求(Request for Comment)(RFC)4568、「Security Descriptions for Media Streams」、July 2006を参照されたい。そのような場合には、クライアント102−Iは、SDP提供を、(エンドツーエンドの)ネットワークを介してクライアント102−Rに送信し、クライアント102−Rは、SDP返答で応答し、それによって、その特定のセッションに関する通信を安全にする際に使用される安全鍵を確立する。
(2)ネットワーク支援型の鍵転送プロトコル。図2のプロトコル200に示されるように、クライアントデバイス202−I(開始側)は、所与のセッション用の鍵を、プロバイダネットワーク(またはデータセンタ)内のサーバ204(鍵管理サーバすなわちKMS)に要求し、次いで、鍵および鍵の「ポインタ」(チケットまたはトークンの形態)がサーバ204から開始側に供給される。次いで、開始側が、確立されたホップバイホップのセキュリティアソシエーションを使用して、「ポインタ」をクライアントデバイス202−R(応答側)と安全に共有し、その後、応答側が、「ポインタ」をサーバ204に提示することによってそこから鍵を取得する。そのようなネットワーク支援型のプロトコルの2つの例には、IETF RFC4120、「Kerberos Network Authentication Service」、July 2005に記載されたKerberosシステム、およびIETF RFC6043、「Ticket−based Modes of Key Distribution in Multimedia Internet Keying」、March 2011に記載されたMIKEY−Ticketシステムがあり、その開示内容は全体が引用により本明細書に組み込まれる。
(3)相互に認証された対称鍵の交換プロトコル。図3のプロトコル300に示されるように、開始側(302−A)と応答側(302−B)が対称鍵を共有し、次いで、これらはこの鍵を使用して、乱数および/または同期させたカウンタを伴う相互に認証された鍵の交換プロトコルを実行する。そのようなプロトコルの1つの例が、M.BellareおよびP.Rogaway、「Entity Authentication and Key Distribution」、Advances in Cryptology、Crypto ’93、LNCS 773、Ed.D.Stinson、Springer−Verlag、1994に記載されており、その開示内容は全体が引用により本明細書に組み込まれる。
(4)非対称公開鍵プロトコルを使用する認証された鍵の交換。このタイプのプロトコルにおいては、開始側および応答側がそれぞれ一対の鍵(秘密鍵と公開鍵)を所有する。典型的な例では、鍵交換のための公開鍵方法に従って、互いに認証するために秘密鍵を使用するが、互いに話しかけるために公開鍵を使用することを必要とする。図4のプロトコル400は、IBAKE(識別情報ベースの認証された鍵の交換(identity based authenticated key exchange))プロトコルおよび非対称公開鍵方法の使用を示す。IBAKEプロトコルは、開示内容の全体が引用により本明細書に組み込まれ、通し番号12/372,242で識別される、2009年2月17日出願の米国特許出願に記載されている。
図4のプロトコル400に示されるように、IBAKEプロトコルは、2つのエンドポイント、すなわち開始側A(クライアント402−A)と応答側B(クライアント402−B)の間での相互認証および鍵交換を定義する。開始側および応答側はともにそれぞれ一対の鍵、すなわち、それらの公開鍵および秘密鍵を有する。公開鍵暗号法と同様に、公開鍵は暗号化に使用され、秘密鍵は復号に使用される。標準的な公開鍵方法と識別情報ベースの公開鍵方法との根本的な違いは、後者では、公開鍵は「識別情報」に対応し、対応する秘密鍵が、信頼できるサーバ(鍵管理サーバすなわちKMSと呼ばれる)によって生成されることである。
図示したプロトコルの主なコンセプトは、開始側と応答側が、互いを認証し、かつ鍵管理サーバ(図示せず)によって提供される秘密鍵を使用してセッション鍵を生成するが、それでもサーバはセッション鍵を特定できないことである。
図4では、開始側Aが、ランダムな秘密値「x」を選択し、かつ値「xP」を計算し(ここで、Pは有限体での楕円曲線上の点である)、その後、「xP」を応答側Bに送信することに注意されたい。同様に、応答側はランダムな秘密値「y」を選択し、かつ値「yP」を計算し、その後、「yP」を開始側Aに送信する。開始側は「x」および「yP」を使用して「xyP」を計算し、同様に、応答側は「y」および「xP」を使用して「xyP」を計算する。これによって、両当事者は通信セッション用の一致した鍵を得ることができる。しかしながら、鍵管理サーバ(KMS)は「xP」および「yP」を入手できるが、「xyP」を計算することはできない。
上で挙げた(4つの)鍵移送/交換プロトコルのすべてにおいて、通信タイプまたはプロバイダに依らず、規制上の要件および/または遵守要件が存在し、プロバイダはそれに従って、エンドツーエンドの安全鍵の発見および共有(「合法的な発見」と呼ぶ)を行うことが合法的に要求され得ることが理解される。
この要件は、プロトコルタイプ1および2では比較的容易に満たされ得る。プロトコルタイプ1(図1)においては、対象となる安全鍵はホップバイホップの保護でネットワークのノード間を輸送され、そのため、この輸送に関与するネットワークノード(たとえば、図1のネットワーク要素104−1、104−2)に知られている。プロトコルタイプ2(図2)においては、セッション鍵がサーバ(たとえば、図2のKMS204)によって生成され、そのため、プロバイダにとって利用可能である。
プロトコルタイプ3(図3)においては、通常、プロバイダはこれらのペアの共有秘密値を供給することに関与しており、したがって、これらの秘密値を認識している。そのような場合、プロバイダがセッション鍵を発見し、法的要件および遵守要件を満たすことは実に明瞭である。
しかし、この合法的な発見の問題は、プロバイダが鍵管理トランザクションに対する唯一のイネーブラであるがトランザクションの参加者ではないプロトコルタイプ4(図4)では特に困難なことである。要するに、特に非対称公開鍵プロトコルがエンドツーエンドの鍵管理に使用されるとき、問題はエンドツーエンドの安全鍵を発見することである。さらに、そのような発見は、通信セッションの間、目立たず、かつ検出不能であることが要求される。
III.非対称公開鍵プロトコルにおける鍵解決
このセクションでは、エンドツーエンドの鍵管理についての非対称公開鍵プロトコルにおける鍵解決を行う既存の方法を説明する。
(1)一般的なプロトコル記述
ここで、ディフィーヘルマンタイプの鍵交換を使用するプロトコル(たとえば、開示内容の全体が引用により本明細書に組み込まれる、IETF RFC2631、「Diffie−Hellman Key Agreement Method」、June 1999を参照)に具体的に注目する。本発明者らはこのプロトコルを、DiffieおよびHellmanによる、素数pを法とした有限体の乗法群についての画期的な論文(開示内容は全体が引用により本明細書に組み込まれる、W.Diffie、M.Hellman、「New Directions in Cryptography」、IEEE Transactions on Information Theory、vol.IT−22、Nov.1976、pp:644−654)に古典的に記載されたものと同様に記載する。しかしながら、ディフィーヘルマンプロトコルは、任意の群に拡張させることができるが、プロトコルのセキュリティは、その群の特性に依存することがよく知られている。
このプロトコルにおいて、2つのエンドポイント(AおよびB)のそれぞれは、G(生成元)が、大きい素数Pを法としたゼロでない整数の乗法群の生成元となるように、GおよびP(大きい素数)について公に知られている値を選択する。
プロトコルを実行するために、Aはランダムな秘密値xを選択し、a=G^x(mod P)を計算する。同様に、Bはランダムな秘密値yを選択し、b=G^y(mod P)を計算する。秘密値xおよびyはP未満のランダムな正の整数であることを理解されたい。
Aは次いで値aをBに送信し、Bは値bをAに送信する。
Aは、値bを受信すると、k=b*x(mod P)を計算し、同様に、Bは、値aを受信すると、k=a*y(mod P)を計算する。k=(a)*y(mod P)=(b)*x(mod P)であり、kが相互に計算された共通のセッション鍵であることを確認するのは容易である。
(2)IBAKEにおけるディフィーヘルマンの特殊な使用
IBAKEプロトコル(図4に示している)は、有限体での楕円曲線上の点の群を使用し、したがって、有限体での楕円曲線における点の群についての対応するディフィーヘルマン問題に依存する。各エンドポイント(たとえば、A)は、Aへの公開鍵(PUB_A)を作成するために任意の他のエンドポイント(たとえば、B)によって使用され得る知られている公開識別情報を有する。同様に、任意の他のエンドポイントは、Bの公開識別情報が分かるとPUB_Bを作成することができる。
時折かつ周期的に、各エンドポイント(たとえば、A)は、特別なネットワークベースの機能である鍵管理サーバ(KMS)に接触し、対応する公開鍵(PUB_A)に計算上対応付けられている特別に計算された秘密鍵(たとえば、PR_A)を受信する。同様に、他のエンドポイントも同じことを行う。その結果、各エンドポイントは公開鍵と秘密鍵のペアを保有するが、公開鍵はエンドポイントの識別情報に基づいている。
プロトコルを実行するために、各エンドポイントは、ランダムな秘密値の数字を選択する。xを、Aが選択する乱数とし、yを、Bが選択する乱数とする。
まず、AはxPを計算し、ここでPは、楕円曲線E上の公に知られている点であり(すなわち、加法を用いて自らにx回加算されたP)、Bの公開鍵PUB_Bを使用してそれを暗号化し、Bに送信する。このステップでは、暗号化は、開示内容の全体が引用により本明細書に組み込まれる、Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001)、ならびにIETF RFC5408および5409に記載された識別情報ベースの暗号化を指す。
暗号化されたメッセージを受け取ると、Bはメッセージを復号し、xPを取得する。
続いてBはyPを計算し、Aの公開鍵PUB_Aを使用してペア{xP,yP}を暗号化し、次いでそれをAに送信する。
Aは、このメッセージを受信すると、メッセージを復号し、yPを取得する。続いて、Aは、Bの公開鍵を使用してyPを暗号化し、それをBに送信して戻す。
この後、AおよびBがともにk=xyPをセッション鍵として計算する。具体的に言うと、Aは、受信し、復号したyPを自らにx回加算することによってk=xyPを計算する。同様に、Bは、受信し、復号したxPを自らにy回加算することによってk=xyPを計算する。
(3)セッション鍵を合法的に発見するための第三者介在鍵解決
典型的かつよく知られている、ディフィーヘルマン鍵交換での鍵発見の方法は、いわゆる「第三者介在(man−in−the−middle)」(MitM)方法に基づく。この方法では、アクティブな媒介装置Cが、それ自体を通信リンクのエンドポイントAとBの間に配置している。媒介装置Cはそれ自体を、Aに対してはB、かつ、Bに対してはAとして呈する。
媒介装置Cは、それ自体の秘密値x’およびy’を作成する。CがaをAから受信したとき、Cはb’=G^y’(mod P)で応答し、同様にa’=G^x’(mod P)をBに送信する。
交換が完了したとき、AおよびCは、k1=(G^x(mod P))*y’(mod P)=(G^y’(mod P))*x)(mod P)を生成し、CおよびBは、k2=(G^x’(mod P))*y(mod P)=(G^y(mod P))*x’(mod P)を生成する。その結果、AおよびBとの2つの独立した安全なセッションを維持することによって、アクティブな媒介装置Cは、AとBの間の通信を復号し、再度暗号化することができる。
しかしながら、高度なエンドポイントデバイスによっては、相互に計算された鍵の画像または署名表現のいずれかを交換し、実際に2つの異なる鍵を計算したことを認識できるものもある。これによって、MitM機能が発見されることになり、これはセッション鍵の合法的な発見においては望ましくない。
図5は、MitM方法がクライアント502−Aとクライアント502−Bの間で使用されるプロトコル500を示す。合法的な傍受(LI)が、2つのエンドポイントデバイス間の信号を傍受する傍受制御要素(ICE)506と、2つのエンドポイントデバイス間のメディアを傍受する傍受ネットワーク要素(INE)508とによって試みられることに留意されたい。ICEが、必要な秘密鍵(たとえば、PR_AおよびPR_B)をKMS504からどのように取得するかに留意されたい。しかしながら、すでに述べたように、そのようなLI機能は、ある種の高度なエンドポイントデバイスによって検出可能なことがある。
(4)秘密値の強制的な作成による鍵解決
別の方法では、エンドポイントのうちの少なくとも1つ(たとえば、A)に、セッション鍵の合法的な発見に関与する特化したネットワークノードにやはり知られている秘密値(x)を強制的に作成させる。この方式では、エンドポイントAは秘密値xを選択せず、むしろ、ネットワークが臨時値(nonce)(N)などの特別なパラメータを送信してくるのを待機し、次いでこの臨時値を、ネットワークと共有する別の秘密値(S)とハッシュ処理する。その結果、エンドポイントAおよび特化したネットワークノードは、x=H(S,N)を生成する。続いて、この生成されたxは、ディフィーヘルマン交換において指数として使用される。
特化したネットワークノードはk=(G^y(mod P))*x(mod P)を計算でき、したがって、AとBの間の通信リンクの秘密鍵を知ることが容易に分かる。
しかしながら、臨時値を受信することを予期することによって、エンドポイントデバイスは、ネットワークの存在およびセッション鍵を合法的に発見しようとするその意図を十分に認識し、これは極めて望ましくない。特に、この鍵発見の解決策は、通信セッションの間に結託しているエンドポイントデバイスによって検出可能で、さらに、結託しているエンドポイントデバイスが存在する場合にのみ機能する。
(5)供託サーバへの鍵の転送
さらに別の方法は、ネットワークノードからエンドポイントデバイスに送信される特別な要求に基づく。この要求によって、エンドポイントデバイスは、A−B通信リンクを暗号化するために使用される計算された鍵kまたはその派生鍵を、ネットワークベースの鍵供託データベースに強制的にアップロードさせられる。通常、このアップロードは、エンドポイントと鍵供託データベースの間に確立された安全なトンネルによる保護の下で行われる。
しかしながら、そのような要求を受信するエンドポイントデバイスは、鍵供託データベースの存在、したがって、安全な通信の可能な傍受を明確に認識し、これは、セッション鍵の合法的な発見のためには望ましくない。
IV.セキュリティアソシエーションの改良された合法的な発見
本発明の例示的な実施形態によれば、通信セッションにおける少なくとも1つの参加者の「ランダムな秘密値」を発見するプロバイダに依存する、鍵発見問題の解決策が提供される。特に、方法(以下により詳細に説明する)は以下のように機能する。
擬似乱数生成器(PRG)が、クライアントアプリケーションに含まれる(たとえば、埋め込まれる)。これはプロバイダが行うことができるが、別のエンティティ、たとえば、アプリケーションの開発者または作成者が行うこともできる。後者のシナリオの場合、プロバイダは、クライアントアプリケーションに含まれるPRGを認識させられる。
ネットワーク事業者またはアプリケーション所有者、たとえば企業は、アプリケーションに、クライアント識別情報に関連付けられた秘密のランダムなシード(S)を供給する。このランダムなシードは通常は乱数であり、またはより一般的には、少なくとも1つの乱数を含む数の組である。さらにシードは、必要に応じてよく更新されることがあり、本発明の解決策は、シードを供給するために使用される方法またはシードが更新される頻度の影響は受けない。
この関連性、すなわちシードと識別情報は、ネットワーク事業者またはアプリケーション所有者、たとえば企業が管理するサーバに格納される。また、本発明者らは、必要とあれば所与の識別情報に対するシードを更新できるようにしているが、クライアントに対する任意の更新もサーバで実施する必要がある。
ディフィーヘルマン、IBAKEなどの鍵交換プロトコルを実行するために、アプリケーションがセッション(たとえば、x)用の乱数(秘密値)の生成を必要とするとき、PRGが呼び出される。PRGは、シードおよびタイムスタンプまたは外部で管理されるカウンタ(C)などの決定論的かつ単調に増加する数量(値)を使用して、必要な擬似乱数値xを生成する。この値は、リセットまたは増分などについて独自の規則をもつセッションカウンタ、タイムスタンプ、または単純なカウンタの値などの、任意のタイプの単調に増分する値であり得ることを理解されたい。基準は、シードの存続期間に、同じデバイスでのセッションからセッションの間にこの値が繰り返されないことである。
図6は、本発明の一実施形態による擬似乱数生成器600を示す。この例示的な実施形態に示されるように、PRGは、FIPSの刊行物である、開示内容の全体が引用により本明細書に組み込まれるFIPS 180−1、「Secure Hash Standard」、April 1995に定義されるSHA1アルゴリズムに基づく。しかしながら、本発明の原理は、この特定のアルゴリズムに限定されないことが理解されるべきである。
擬似乱数のxを生成するために、事前に構成された128ビットのランダムなシード(S)の、SHA1アルゴリズムに規定された従来の初期ベクトル(IV)とのXOR(602における排他的論理和関数)をとる。
タイムスタンプまたは外部で管理される単調増加カウンタ(C)は、任意選択で、事前に構成された別の定数(たとえば、512ビットの定数)とのXORをとり(604)、SHA1の入力への「メッセージ」として適用される(606)。SHA1の実行から生じる160ビットの値sがさらに、sの各ビットの硬度を確実に等しくするために、Rs+Q mod G関数で「白色化」され(608)、得られる160ビットの値x(610)がディフィーヘルマンタイプのプロトコルに出力される。ここで、RおよびQは、2進数体内の係数をもつ、公に知られている事前に選択された大きい多項式であり、Gは多項式(T160+T+T+1)である。別法として、任意の有限体を使用することができ(2進数体だけではない)、この有限体での任意の既約多項式を使用することができる(上記の特定のGだけではない)。より一般的には、硬いビットを抽出するために、任意の白色化関数を使用することができる(線形合同ハッシュ関数Rs+Q mod Gだけではない)。
安全通信クライアントアプリケーションの各インスタンスが、シリアル番号またはクライアント識別情報を使用して追跡される。たとえば、Alice@abcenterprise.comが、シリアル番号(またはAliceの識別情報)を有する「abc enterprises」から、安全通信クライアントソフトウェアのインスタンスを受け取る。プロバイダは、関連する事前に構成されたランダムなシードSおよびシステム時間などの単調に増加するカウンタ値Cの履歴を記録管理する。これによって、プロバイダは、他の誰かとの鍵交換セッションの間にAliceが生成する同じ乱数を再生成できるようになる。
鍵を発見し、会話を傍受するための法律上の要件が存在するとき、プロバイダは次いで、先行の鍵交換セッションとともに、暗号化された通信セッションの記録に移行する。オフラインのサーバが次いで、やり取りされた群要素を計算するために、鍵交換プロトコルにおいて開始側(または応答側(複数可))によって使用されたランダムな秘密値を計算する。有利には、これによって、オフラインのサーバは、開始側(および応答側(複数可))が計算した同じセッション鍵を計算できるようになる。
図6に示したPRGは、使用されてもよいPRGの一例でしかないことを理解されたい。別の例として、開示内容の全体が引用により本明細書に組み込まれる3GPP TS 33.220において規定された鍵導出関数KDFと呼ばれるPRGが使用されてもよい。さらに別のPRGも使用され得る。
図7は、本発明の一実施形態による、秘密値再生でセッション鍵を合法的に発見する方法700を示す。特に、この実施形態は、クライアントデバイス702−Aとクライアントデバイス702−Bの間の、傍受および鍵を含むセキュリティアソシエーションの発見を示す。
図示のように、企業サーバ708が、移動体ごとの秘密シードSを、全クライアントデバイス(移動体)に供給し、またこれと平行させて、前記クライアントデバイスに関連する企業サーバ加入に供給することに留意されたい。シードの値は、クライアント加入の存続期間において存在することができ、企業ポリシーに基づいて修正することもできる。クライアントおよび企業サーバにシードSを供給する方法は、たとえば、工場でのプログラム書き込みから、標準的または事業者固有の供給手順の実行に対する既存の他のセキュリティ資格証明書のブートストラッピングに至るまでの知られている技術のうちの多数を使用することができる。
さらに、図示のように、(本明細書では、信号およびメディアの両方にアクセスできると想定される「傍受ネットワーク要素」と同様に示される)傍受エンティティ704が、すべての必要な情報を他のネットワークノードに要求するが、エンドポイントデバイス(702−A、702−B)自体には要求しない。したがって、エンドポイントデバイスは、試みられる傍受を認識しない。また、この情報交換は、傍受要件に応じて、通信セッションを実際に開始するかなり前の時間に、またはセッションが終わった後の時間に実施され得る。したがって、この情報交換は、通信セッション中でないことを意味する「オフライン」と呼んでもよい。これによって、ネットワーク要素間で必要とされる調整に関する複雑さが、(図5に示すMitM解決策と比較して)劇的に減少する。しかしながら、代替として、そのような交換または交換の各部分は、通信セッションの間に実施されてもよい。
したがって、図示のように、傍受エンティティ704は、クライアントデバイス702−Aに関連付けられた複製されたランダムな「秘密値」xを、企業サーバ708に要求し、取得する(秘密値という用語は、ここではあえて括弧付きにしており、すなわち、xは他者にとって秘密の値であり、したがって厳密に秘密値であるが、xは、xを再生成できる企業サーバおよび傍受エンティティの両方にとっては秘密の値ではないことに留意されたい)。すなわち、安全鍵を生成するためにクライアント702−Aが使用するアプリケーションは、企業サーバ708によってクライアントに提供されたときにクライアント702−Aの識別情報に関連付けられる秘密のランダムなシード(S)とともに、(クライアント702−Aには気づかれずに)事前に構成されるので、企業サーバ708は、同じランダムな「秘密値」xを傍受要素704に提供する。企業サーバは、アプリケーションプロバイダ/所有者および/またはネットワーク事業者によって管理されてもよいことを想起されたい。傍受サーバは、C(図6のセッションカウンタ値Cを想起されたいが、代替としてCはセッションのタイムスタンプであってもよい)およびクライアントが監視を望む自らの識別子(この例では、ID_A)を送信することによって、企業サーバ708に「秘密値」xを要求することにも留意されたい。識別情報は、第1のコンピューティングデバイスに関連付けられた加入またはユーザ識別情報でもあり得る。
さらに、傍受エンティティ704はKMS706と安全な信頼関係をもつと仮定されており、KMSは、監視下でエンドポイント(この場合、クライアント702−A)に関連付けられた秘密鍵を提供する義務を負った状態である。企業環境では、これは規制上の要件の義務というよりは、遵守要件の問題が大きい。これらのパラメータ(エンドポイントの秘密鍵およびランダムな「秘密値」x)が受信されると、傍受エンティティ704は、トラフィックを暗号化する際にAおよびBによって使用される秘密のセッション鍵を再生成するためのすべての必要な情報を有し、セッション鍵の合法的な発見は、エンドポイントのそれについての知識なしで適用され得る。
KMSもネットワーク事業者/企業も、エンドポイント間の通信ストリームを自らが個別に復号することは不可能であり、データの秘密状態はエンドツーエンドで保存されることに注意することは重要である。KMS706は、エンドポイント702−Aおよび702−Bの秘密鍵にアクセスできるので、IBAKEプロトコルメッセージの、IBEで暗号化されたペイロードを復号することが可能であり、これによって、IBAKEメッセージに含めてエンドポイント間で交換されるxPおよびyPパラメータを取得できるようになる。しかし、KMS706は、xまたはyのいずれかが分からないので、所望のxyPセッション鍵を再生成する能力はない。同様に、事業者/企業サーバ708はxまたはyのいずれかを再生成することができるが、エンドポイント702−Aおよび702−Bの秘密鍵がない状態で、IBAKEメッセージの、IBEで暗号化されたペイロードを復号する能力はない。したがって、事業者/企業サーバ708は、所望のセッション鍵xyPの再生成にも成功することはできない。セッション鍵を合法的に発見する機能を実施し、KMS706および企業サーバ708の両方からパラメータを受信するエンティティのみ(すなわち、傍受エンティティ704)が、トラフィックを復号することができる。しかしながら、両方のエンドポイントが同じ事業者/企業の加入者である場合、企業サーバは、KMSと協働することなく、セッション鍵を発見するためにセッションで使用されるxおよびyの値を簡単に発見することができる。KMSからの情報は、エンドポイントが、企業サーバが計算したxおよびyの値を実際に使用したことを確認することのみに有用である。かかる状況において、そのような確認が必要でない場合、セッション鍵は、さらにセキュリティアソシエーションを合法的に発見する処理を単純化する信号トランザクションの記録さえもなしで発見できることに留意されたい。
図8は、本発明のIBAKEの実施形態による、秘密値の再生でセッション鍵を合法的に発見するための呼のフローを示す。理解のしやすさと一貫性のために、呼のフローにおける各要素は、図7に示したものと同じ参照符号を付してあることに留意されたい。また、本発明の合法的なセキュリティアソシエーション発見技術は、任意の特定のプロトコルでの使用に限定されず、したがって、本実施形態におけるIBAKEプロトコル(および、下記の図9の場面の中で説明する会議呼び出しの実施形態)は例示目的で使用されていることに留意されたい。
図8に示すように、ステップ1、2、および3は、エンドポイントAとBの間での典型的なIBAKEプロトコルによる交換を表すことに留意されたい。これらのステップは前述している。AまたはBのいずれかが合法的な傍受の対象である場合、傍受サーバ(傍受エンティティ)704は、本発明のセキュリティアソシエーション発見技術を使用することによって、これらの信号トランザクションを監視および記録する。
すなわち、図8のステップ4および5において、傍受サーバ704は、AおよびB用の秘密鍵をKMS706に要求する。このトランザクションは、AおよびBが傍受の対象になるときである実際のIBAKEイベントの前に多くが行われ得る。そのような場合、AおよびBが通信を開始するとき、AおよびBの公開鍵および秘密鍵は傍受サーバにおいてすでに利用可能である。
ステップ6および7は、実際のA−B間の通信セッションの前、間、および後の任意の時間に実行されることもある。たとえば、通信セッションが、暗号化された形で傍受サーバによって記録された場合、傍受サーバは、企業サーバ708に対する特定のセッションに関連付けられたCの値(タイムスタンプまたはカウンタ)を提供し、そのセッションに関連付けられたxを受信する。次いで、傍受サーバは、図示のようにkを計算し、AとBの間の通信を復号することができる。
エンドポイントAおよびBが、異なる事業者/企業の加入者であるだけでなく、秘密鍵を提供するための異なるKMSを使用する場合、傍受がどのように実現されるのかをここでさらに説明する。すなわち、対象のクライアントAを含むセッションを傍受するために、図8のステップ4および5において、傍受サーバ704は、A用の秘密鍵を、クライアントAに関連するKMS706に要求する。このトランザクションは、Aが傍受の対象となるときである実際のIBAKEイベントの前に多くが行われ得る。
ステップ6および7が、傍受サーバ704とクライアントAに関連する企業サーバ708との間で実行され、傍受サーバが、そのセッションに関連付けられたxを受信する。
クライアントBが傍受の対象である場合、図8のステップ4および5において、傍受サーバ704は、B用の秘密鍵を、クライアントBに関連するKMS706に要求する。図8のステップ6および7において、傍受サーバ704は、クライアントBに関連する企業サーバ708からyを取得する。
次いで、傍受サーバは、図8のステップ3で送信される情報を復号し、クライアントAが送信するxPパラメータを取得することができる。yおよびxPの値を知ると、次いで、傍受サーバは、図示のようにkを計算し、AとBの間の通信を復号することができる。
V.グループセッティングにおける改良された合法的なセキュリティアソシエーション発見
次に、会議呼び出し環境などのグループセッティングについて説明する。会議呼び出しにおいて、参加者のグループは鍵要素(material)を交換し、グループ鍵を一致させる。具体的には、ディフィーヘルマンの鍵交換が、グループセッティングに拡張され(たとえば、開示内容の全体が引用により本明細書に組み込まれる、BurmesterおよびDesmedt、「A secure and efficient conference key distribution system」、Proceedings of Eurocrypt ’94、LNCS vol.950、275−286ページ、Springer 1995参照)、さらにIBAKEが、グループセッティング内での認証された鍵の交換に対処するように拡張されている(たとえば、通し番号12/549,907で識別され、開示内容全体が引用により本明細書に組み込まれる、2009年8月28日に出願の米国特許出願を参照)。この例では、語句「グループセッティング」は、2を超えるユーザのグループを指し、プロトコルによって、すべてのユーザが、安全でない環境で情報を交換できるようになり、限定はしないが会議システムに適用可能なものとして「グループ鍵」を交換できるようになることに注意されたい。
図9は、本発明の一実施形態による、会議呼び出し環境における秘密値の再生でセッション鍵を合法的に発見する方法900を示す。特に、図9は、IBAKEを使用するグループ鍵の交換を示す。このセッティングにおいて、中央調整サーバ904(会議セキュリティサーバと呼ぶ)は、グループ鍵の交換に参加するために、各ユーザ(デバイス902−1から902−N)を確認し、認証する。しかしながら、IBAKE計算から得られるグループ鍵は、中央調整サーバ904には知られていない。それでも、遵守要件および他の規制上の要件によって、会議プロバイダはしばしばグループ鍵を発見することが要求される。
図に示すように、個々のユーザが、会議サーバとの間でIBAKEを実行する。これによって、サーバは、確認され、許可された参加者のみが呼に入れることを確実にできる。この後、サーバは、ディフィーヘルマン鍵コンポーネントを呼にいる全員と共有し、それによって、各参加者は、追加の鍵コンポーネントを計算し、参加者の残りと(サーバを介して)共有できるようになる。初歩的な群論を用いて、すべての参加者が同じグループ鍵を計算することができるが、会議サーバは鍵を特定することはできないことが容易に観察できる。プロトコルは、図9に906として記載してある。
上記のセクションIVに記載したように、本発明の合法的な鍵発見技術は、簡単な方法でこのセッティングにも拡張させることができる。ネットワーク事業者または企業または「オーバーザトップ(over the top)」アプリケーションのプロバイダは、以上説明したように、エンドポイントクライアント(902−1から902−N)上で動作するアプリケーションに含まれる同じ擬似乱数生成器のコピーを使用して、ランダムな秘密値を生成し、したがって、計算されたグループ鍵も発見することができる。これは、同じ擬似乱数生成器を使用し、生成器を呼び出すために使用されるパラメータを発見することにより、傍受サーバ(この場合、会議サーバ904または何らかの他の傍受エンティティ)が、グループ鍵を計算するためにプロトコルで使用される1つまたは複数の乱数を再生成できるようになるということから導き出される。計算の詳細は、初歩的な群論における簡単なものである。
VI.例示的なコンピューティングシステム
図10は、本発明による、ネットワーク環境の汎用ハードウェアアーキテクチャ1000と、2つのエンティティ間に安全な鍵管理プロトコルを実施し、かつ合法的なセキュリティアソシエーション発見を実施するのに適したコンピューティングデバイスの形態の通信デバイスとを示す。
図10は、図示のエンティティのうちの2つのみについて詳細な下位構成要素を示すが、他のエンティティも同じ構成を有し得ることを理解されたい。したがって、上記の安全な鍵管理プロトコルおよび合法的なセキュリティアソシエーション発見に関して、詳細に示した2つのエンティティは、開始側クライアントデバイス702−A(第1の当事者またはA)および応答側クライアントデバイス702−B(第2の当事者またはB)であってもよい。しかしながら、KMS(706)、会議サーバ(904)、傍受サーバ(704)、機能的要素、追加のクライアントデバイス(当事者)および追加のサーバ(708)が、図10のコンピューティングデバイスに示されるような同じアーキテクチャを備えて実装されてもよい。したがって、一例として、傍受サーバ1020、企業サーバ1022およびKMS1024を図10に示してあり、これらはデバイス1002および1004に示したものと同じコンピューティングアーキテクチャを有すると理解される。しかしながら、簡単にするために、本発明のプロトコルに参加できるすべてのコンピューティングデバイス(通信デバイス)は図10に図示していないことを理解されたい。
図示のように、1002で示すAのコンピューティングデバイスと、1004で示すBのコンピューティングデバイスとが、ネットワーク1006を介して結合される。ネットワークは、それを介してデバイス同士が通信できる任意のネットワークであってもよく、たとえば、上記の実施形態のように、ネットワーク1006は、ネットワーク事業者(たとえば、Verizon、AT&T、Sprint)が運用するセルラー通信ネットワークなどの公にアクセス可能な広域通信ネットワークを含み得る。しかしながら、本発明は、特定のタイプのネットワークには限定されない。通常、デバイスはクライアントマシンであり得る。本明細書に記載のプロトコルに参加するために当事者によって使用され得るクライアントデバイスの例としては、セルラー電話、スマートフォン、デスクトップフォン、携帯情報端末、ラップトップコンピュータ、パーソナルコンピュータなどが挙げられるが、これらに限定はされない。すでに説明したように、クライアントは、コンピューティングデバイス(たとえば、スマートフォン)上のアプリケーションでもあり得ることも想起されたい。しかしながら、デバイスの1つまたは複数は、サーバ(たとえば、傍受サーバ、企業サーバ、KMSサーバなど)であり得る。したがって、本発明のプロトコルおよび方法は、コンピューティングシステムがそれぞれクライアントとサーバである場合に限らず、代わりに、2つのネットワーク要素を含む任意のコンピューティングデバイスに適用可能であることを理解されたい。
当業者には容易に明らかとなるように、サーバおよびクライアントは、コンピュータプログラムコードの制御下で動作するプログラム制御型コンピュータとして実装されてもよい。コンピュータプログラムコードはコンピュータ可読記憶媒体(たとえば、メモリ)に格納され、かつ、コードはコンピュータのプロセッサによって実行されることになる。本発明の本開示から、本明細書に記載のプロトコルを実施するために、当業者は適切なコンピュータプログラムコードを容易に生成することができよう。
その上で、図10は、ネットワーク上で通信する各コンピュータシステムについての例示的なアーキテクチャを全体として示す。図示のように、デバイス1002は、I/Oデバイス1008−A、プロセッサ1010−A、およびメモリ1012−Aを備える。デバイス1004は、I/Oデバイス1008−B、プロセッサ1010−B、およびメモリ1012−Bを備える。本明細書において、用語「プロセッサ」は、中央処理装置(CPU)などの1つもしくは複数の処理デバイス、または、1つもしくは複数の信号プロセッサ、1つもしくは複数の集積回路などが挙げられるがそれらに限定はされない他の処理回路を含むことを意図していることを理解されたい。また、本明細書において、用語「メモリ」は、RAM、ROM、固定型メモリデバイス(たとえば、ハードディスクドライブ)、または取り外し可能なメモリデバイス(たとえば、ディスケットもしくはCD−ROM)などのプロセッサまたはCPUに接続されたメモリを含むことを意図している。また、メモリはコンピュータ可読記憶媒体の一例である。また、本明細書において、用語「I/Oデバイス」は、データを処理部に入力するための1つまたは複数の入力デバイス(たとえば、キーボード、マウス)とともに、処理ユニットに関連する結果を表すための1つまたは複数の出力デバイス(たとえば、CRTディスプレイ)を含むことを意図している。
したがって、本明細書に記載している本発明の方法を実施するためのソフトウェア命令またはコードは、関連するメモリデバイス、たとえばROM、固定型または取り外し可能なメモリのうちの1つまたは複数に格納されていてもよく、使用できるようになったとき、RAMにロードされ、CPUによって実行されてもよい。
本明細書において、添付の図面を参照しながら本発明の例示的な実施形態を説明してきたが、本発明はそれらの厳密な実施形態には限定されないこと、ならびに他のさまざまな変更および修正が本発明の範囲または趣旨から逸脱することなく、当業者によって施されてもよいことを理解されたい。

Claims (10)

  1. 第1のコンピューティングデバイスと第2のコンピューティングデバイスの間に発見可能なセキュリティアソシエーションを形成する方法であって、
    第2のコンピューティングデバイスとの通信を安全にする際に使用される鍵を計算するために、第1のコンピューティングデバイスによって使用される秘密値を生成するために、第1のコンピューティングデバイスによって使用されるシードが、第1のコンピューティングデバイスに提供されるステップであって、第3のコンピューティングデバイスが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスには気づかれずに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために再計算された鍵を使用できるように、秘密値はシードの知識に基づいて再計算可能であり、鍵は秘密値の知識に基づいて再計算可能である、提供されるステップを含む、方法。
  2. 第1のコンピューティングデバイスが、擬似乱数生成器を含むアプリケーションプログラムを取得する、請求項1に記載の方法。
  3. 第1のコンピューティングデバイスが、アプリケーションプログラムを第4のコンピューティングデバイスから取得する、請求項2に記載の方法。
  4. アプリケーションプログラムがシードを提供され、シードが、第1のコンピューティングデバイスに関連付けられた識別子に関連付けられている、請求項2に記載の方法。
  5. アプリケーションプログラムが、擬似乱数生成器を呼び出して、シードに基づいて秘密値を生成する、請求項1に記載の方法。
  6. シードが、少なくとも1つの乱数を含む数の組を含む、請求項1に記載の方法。
  7. 第1のコンピューティングデバイスと第2のコンピューティングデバイスの間に形成されたセキュリティアソシエーションを発見する方法であって、
    第3のコンピューティングデバイスが秘密値を第4のコンピューティングデバイスから取得するステップであって、秘密値が、第1のコンピューティングデバイスによって生成される同じ秘密値であり、第1のコンピューティングデバイスが、第4のコンピューティングデバイスによって提供されたシードに基づいて秘密値を生成しており、第1のコンピューティングデバイスが、シードを使用して秘密値を生成し、秘密値を使用して、第2のコンピューティングデバイスとの通信を安全にする際に使用される鍵を計算している、取得するステップと、
    第1のコンピューティングデバイスおよび第2のコンピューティングデバイスには気づかれずに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために、第3のコンピューティングデバイスが、秘密値に基づいて鍵を再計算するステップと
    を含む、方法。
  8. 第3のコンピューティングデバイスが、第1のコンピューティングデバイスに関連付けられた識別情報に関連付けられた値を、第4のコンピューティングデバイスに提供し、それにより、第4のコンピューティングデバイスが、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために第3のコンピューティングデバイスによって鍵の再計算に必要とされる秘密値を返す、請求項7に記載の方法。
  9. 第1のコンピューティングデバイスと第2のコンピューティングデバイスの間に発見可能なセキュリティアソシエーションを形成する装置であって、
    メモリと、
    メモリに結合され、第2のコンピューティングデバイスとの通信を安全にする際に使用される鍵を計算するために、第1のコンピューティングデバイスによって使用される秘密値を生成するために、第1のコンピューティングデバイスによって使用されるシードが、第1のコンピューティングデバイスに提供されるように構成されたプロセッサとを備え、第3のコンピューティングデバイスが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスには気づかれずに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために再計算された鍵を使用できるように、秘密値はシードの知識に基づいて再計算可能であり、鍵は秘密値の知識に基づいて再計算可能である、装置。
  10. 第1のコンピューティングデバイスと第2のコンピューティングデバイスの間に形成されたセキュリティアソシエーションを発見する装置であって、
    メモリと、
    メモリに結合され、第3のコンピューティングデバイスが、秘密値を第4のコンピューティングデバイスから取得するように構成されたプロセッサとを備え、秘密値が、第1のコンピューティングデバイスによって生成される同じ秘密値であり、第1のコンピューティングデバイスが、第4のコンピューティングデバイスによって提供されたシードに基づいて秘密値を生成しており、第1のコンピューティングデバイスが、シードを使用して秘密値を生成し、秘密値を使用して第2のコンピューティングデバイスとの通信を安全にする際に使用される鍵を計算しており、したがって、第3のコンピューティングデバイスが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスには気づかれずに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信を傍受するために、秘密値に基づいて鍵を再計算する、装置。
JP2014506431A 2011-04-22 2012-04-03 セキュリティアソシエーションの発見法 Expired - Fee Related JP5775210B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201161478153P 2011-04-22 2011-04-22
US61/478,153 2011-04-22
US13/097,184 US8769288B2 (en) 2011-04-22 2011-04-29 Discovery of security associations
US13/097,184 2011-04-29
PCT/US2012/032031 WO2012145161A1 (en) 2011-04-22 2012-04-03 Discovery of security associations

Publications (2)

Publication Number Publication Date
JP2014514860A true JP2014514860A (ja) 2014-06-19
JP5775210B2 JP5775210B2 (ja) 2015-09-09

Family

ID=47022190

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014506431A Expired - Fee Related JP5775210B2 (ja) 2011-04-22 2012-04-03 セキュリティアソシエーションの発見法

Country Status (6)

Country Link
US (1) US8769288B2 (ja)
EP (1) EP2700187B1 (ja)
JP (1) JP5775210B2 (ja)
KR (1) KR101517713B1 (ja)
CN (1) CN103493427B (ja)
WO (1) WO2012145161A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019054364A (ja) * 2017-09-14 2019-04-04 Kddi株式会社 解析装置、監視システム、監視方法及び解析プログラム

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9231926B2 (en) * 2011-09-08 2016-01-05 Lexmark International, Inc. System and method for secured host-slave communication
CA2860989C (en) * 2012-01-12 2021-11-30 Michael Eoin Buckley System and method of lawful access to secure communications
US9065642B2 (en) * 2012-03-07 2015-06-23 Certicom Corp. Intercepting key sessions
US9094471B2 (en) * 2012-08-22 2015-07-28 Certicom Corp. Method of lawful interception for UMTS
KR101451214B1 (ko) * 2012-09-14 2014-10-15 주식회사 엘지씨엔에스 결제 방법, 이를 실행하는 결제 서버, 이를 저장한 기록 매체 및 이를 실행하는 시스템
US9148449B2 (en) 2013-03-13 2015-09-29 Authentify, Inc. Efficient encryption, escrow and digital signatures
US9467283B2 (en) 2013-06-24 2016-10-11 Blackberry Limited Securing method for lawful interception
US9544376B1 (en) * 2013-07-11 2017-01-10 Marvell International Ltd Method and apparatus for securely discovering services in a wireless network
US9350550B2 (en) * 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
DE102014200116A1 (de) * 2014-01-08 2015-07-09 Robert Bosch Gmbh Verfahren und Vorrichtung zur Freigabe von Funktionen eines Steuergerätes
CN105207972B (zh) * 2014-06-17 2018-03-30 腾讯科技(深圳)有限公司 信道的数据处理方法和装置
JP6508688B2 (ja) * 2014-10-31 2019-05-08 コンヴィーダ ワイヤレス, エルエルシー エンドツーエンドサービス層認証
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
KR102001753B1 (ko) 2015-03-16 2019-10-01 콘비다 와이어리스, 엘엘씨 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증
CN106130716B (zh) * 2015-05-06 2020-01-21 三星Sds株式会社 基于认证信息的密钥交换系统及方法
US11170094B2 (en) * 2016-01-27 2021-11-09 Secret Double Octopus Ltd. System and method for securing a communication channel
US10237305B2 (en) * 2016-02-17 2019-03-19 Nagravision S.A. Methods and systems for enabling legal-intercept mode for a targeted secure element
US11139975B2 (en) 2018-11-19 2021-10-05 International Business Machines Corporation Authentication in non-secure communication channels via secure out-of-bands channels
US11206144B2 (en) 2019-09-11 2021-12-21 International Business Machines Corporation Establishing a security association and authentication to secure communication between an initiator and a responder
US11201749B2 (en) * 2019-09-11 2021-12-14 International Business Machines Corporation Establishing a security association and authentication to secure communication between an initiator and a responder
CN113011459B (zh) * 2021-02-19 2024-04-26 支付宝(杭州)信息技术有限公司 模型训练方法、装置和计算设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002217885A (ja) * 2001-01-16 2002-08-02 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd キーエスクロー方式
JP2003521197A (ja) * 2000-01-31 2003-07-08 フランス テレコム 鍵暗号化の供託および回復システムによる通信方法
US20050063544A1 (en) * 2001-12-07 2005-03-24 Ilkka Uusitalo Lawful interception of end-to-end encrypted data traffic
WO2011031439A1 (en) * 2009-08-28 2011-03-17 Alcatel-Lucent Usa Inc. Secure key management in multimedia communication system
JP2011508991A (ja) * 2007-11-30 2011-03-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュアな通信のための鍵管理

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US5937066A (en) * 1996-10-02 1999-08-10 International Business Machines Corporation Two-phase cryptographic key recovery system
US6061454A (en) * 1997-06-27 2000-05-09 International Business Machines Corp. System, method, and computer program for communicating a key recovery block to enable third party monitoring without modification to the intended receiver
US6058188A (en) * 1997-07-24 2000-05-02 International Business Machines Corporation Method and apparatus for interoperable validation of key recovery information in a cryptographic system
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
US20020007453A1 (en) * 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method
US7116786B2 (en) 2001-09-10 2006-10-03 Motorola, Inc. Interception of secure data in a mobile network
GB2376392B (en) 2001-12-07 2003-05-07 Ericsson Telefon Ab L M Legal interception of IP traffic
US7447909B2 (en) * 2003-06-05 2008-11-04 Nortel Networks Limited Method and system for lawful interception of packet switched network services
US7735120B2 (en) * 2003-12-24 2010-06-08 Apple Inc. Server computer issued credential authentication
US7743145B2 (en) * 2004-04-19 2010-06-22 Microsoft Corporation Verifying measurable aspects associated with a module
EP1626598A1 (en) * 2004-06-21 2006-02-15 Axalto SA Method for securing an authentication and key agreement protocol
US7441271B2 (en) * 2004-10-20 2008-10-21 Seven Networks Method and apparatus for intercepting events in a communication system
US8934609B2 (en) * 2006-06-21 2015-01-13 Genband Us Llc Method and apparatus for identifying and monitoring VoIP media plane security keys for service provider lawful intercept use
US8418235B2 (en) * 2006-11-15 2013-04-09 Research In Motion Limited Client credential based secure session authentication method and apparatus
US20080276294A1 (en) * 2007-05-02 2008-11-06 Brady Charles J Legal intercept of communication traffic particularly useful in a mobile environment
KR101490687B1 (ko) * 2007-08-20 2015-02-06 삼성전자주식회사 홈 네트워크에서 디바이스들이 비밀 정보를 공유하는 방법및 이를 위한 장치
CN101431453B (zh) * 2007-11-09 2011-05-25 北京华旗资讯数码科技有限公司 使通信终端与无线接入点间保密通信的方法
US8356345B2 (en) * 2008-06-03 2013-01-15 International Business Machines Corporation Constructing a secure internet transaction
US7877503B2 (en) * 2008-07-02 2011-01-25 Verizon Patent And Licensing Inc. Method and system for an intercept chain of custody protocol
US8510558B2 (en) 2009-02-17 2013-08-13 Alcatel Lucent Identity based authenticated key agreement protocol
US8301883B2 (en) 2009-08-28 2012-10-30 Alcatel Lucent Secure key management in conferencing system
EP2363977B1 (en) * 2010-02-26 2012-10-24 Research In Motion Limited Methods and devices for computing a shared encryption key
WO2011133156A1 (en) 2010-04-22 2011-10-27 Hewlett-Packard Development Company, L.P. System and method for balancing input current with parallel power supplies
WO2012004838A1 (en) * 2010-07-09 2012-01-12 Takeshi Mizunuma Service provision method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003521197A (ja) * 2000-01-31 2003-07-08 フランス テレコム 鍵暗号化の供託および回復システムによる通信方法
JP2002217885A (ja) * 2001-01-16 2002-08-02 Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd キーエスクロー方式
US20050063544A1 (en) * 2001-12-07 2005-03-24 Ilkka Uusitalo Lawful interception of end-to-end encrypted data traffic
JP2011508991A (ja) * 2007-11-30 2011-03-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュアな通信のための鍵管理
WO2011031439A1 (en) * 2009-08-28 2011-03-17 Alcatel-Lucent Usa Inc. Secure key management in multimedia communication system

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ALCATEL LUCENT, MIKEY-IBAKE FOR LI, vol. 3GPP TSG-SA3LI,SA3#38LI,SA3LI10_093, JPN6014042862, September 2010 (2010-09-01), ISSN: 0003098947 *
ALCATEL LUCENT, MIKEY-IBAKE FOR LI, vol. 3GPP TSG-SA3LI,SA3#41LI,SA3LI11_083, JPN6014042860, May 2011 (2011-05-01), ISSN: 0003098946 *
C.-Y. CHEN ET AL.: "An efficient end-to-end security mechanism for IP multimedia subsystem", COMPUTER COMMUNICATIONS, vol. 31, no. 18, JPN6014042857, 18 December 2008 (2008-12-18), pages 4259 - 4268, XP025715310, ISSN: 0002914817, DOI: 10.1016/j.comcom.2008.05.025 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019054364A (ja) * 2017-09-14 2019-04-04 Kddi株式会社 解析装置、監視システム、監視方法及び解析プログラム

Also Published As

Publication number Publication date
EP2700187B1 (en) 2021-01-27
WO2012145161A1 (en) 2012-10-26
KR20130136551A (ko) 2013-12-12
US20120272064A1 (en) 2012-10-25
CN103493427B (zh) 2016-07-06
JP5775210B2 (ja) 2015-09-09
KR101517713B1 (ko) 2015-05-04
EP2700187A1 (en) 2014-02-26
US8769288B2 (en) 2014-07-01
CN103493427A (zh) 2014-01-01

Similar Documents

Publication Publication Date Title
JP5775210B2 (ja) セキュリティアソシエーションの発見法
JP5727093B2 (ja) 公開鍵を利用した鍵管理のためのセキュリティアソシエーションの発見
US9166778B2 (en) Secure group messaging
US9106410B2 (en) Identity based authenticated key agreement protocol
US8769259B2 (en) Methods and apparatuses for secure information sharing in social networks using randomly-generated keys
US20110055567A1 (en) Secure Key Management in Multimedia Communication System
US20130179951A1 (en) Methods And Apparatuses For Maintaining Secure Communication Between A Group Of Users In A Social Network
EP3624393B1 (en) Key distribution system and method, key generation device, representative user terminal, server device, user terminal and program
TWI761243B (zh) 群組即時通訊的加密系統和加密方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140904

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141007

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150623

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150702

R150 Certificate of patent or registration of utility model

Ref document number: 5775210

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees