JP2016513899A - ユーザデバイスとサーバとの間の通信を準備する方法およびシステム - Google Patents

ユーザデバイスとサーバとの間の通信を準備する方法およびシステム Download PDF

Info

Publication number
JP2016513899A
JP2016513899A JP2015560720A JP2015560720A JP2016513899A JP 2016513899 A JP2016513899 A JP 2016513899A JP 2015560720 A JP2015560720 A JP 2015560720A JP 2015560720 A JP2015560720 A JP 2015560720A JP 2016513899 A JP2016513899 A JP 2016513899A
Authority
JP
Japan
Prior art keywords
server
information
user device
secure element
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015560720A
Other languages
English (en)
Other versions
JP6096327B2 (ja
Inventor
カラメ、ガッサン
ジラオ、ジョアオ
ドブレ、ダン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Europe Ltd
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Publication of JP2016513899A publication Critical patent/JP2016513899A/ja
Application granted granted Critical
Publication of JP6096327B2 publication Critical patent/JP6096327B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、ユーザデバイスとサーバとの間の通信を準備する方法に関する。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能である。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。該方法は、a)セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送るステップと、b)前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行するステップと、c)前記セキュア要素内に保存された鍵情報を用いずに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成するステップと、d)前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを前記サーバに保存するステップと、e)所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るステップと、f)前記セキュア要素が、前記セキュア要素内に保存された鍵情報を用いずに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するステップと、g)前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するステップとを備える。また、本発明は、ユーザデバイスとサーバとの間の通信を準備するシステムにも関する。

Description

本発明は、ユーザデバイスとサーバとの間の通信を準備する方法に関する。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能である。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
また、本発明は、ユーザデバイスとサーバとの間の通信を準備するシステムに関する。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能であり、好ましくは請求項1ないし11のいずれか1項に記載の方法を実行する。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
本発明は、一般に1つ以上の決定的アルゴリズムを提供するセキュア要素に適用可能であるが、以下ではSIMカードに関して説明する。
最近、会社や企業では、従業員が仕事のために自分のタブレット、ラップトップコンピュータ、あるいはスマートフォン等のデバイスを持ち込むことを許容する傾向がある。その理由は、例えば、会社は各従業員用に会社のラップトップコンピュータを提供する必要がなければコストが削減されるからである。別の理由は、例えば、従業員は自分で自分のデバイスを選択できたほうがよいからである。しかしこれにより、大企業および中小企業のいずれにおいても、「外部」あるいは「外来」のデバイスが大幅に増加することになる。デバイスは依然としてその従業員の所有であるが、企業は、自らのセキュリティポリシーを施行し、危険にさらされたデバイスに関する責任を低減するように注意しなければならない。したがって、企業のセキュリティポリシーを施行する際には、従業員の個人データ、個人ポリシーや、自己のデバイスを変更したりその機能を制限したりすることへの従業員の抵抗を考慮に入れる必要がある。
上記の問題を解決してモバイルデバイスに保存された機密情報の秘密を保護するためには、スマートカード、SIMカード、TMPチップ等のセキュア要素(セキュリティ保護された要素)が使用される。これについては、非特許文献1〜7を参照されたい。
上記の非特許文献5では、NFC無線インタフェースを用いたユーザ認証のためにSIMカードが使用されている。NFCインタフェースは、暗号鍵を転送するために使用され、SIMカードは、SIMカードにマスタ暗号鍵を保存するために使用される。次の初期セキュリティ設定を実行する必要がある。すなわち、マスタ鍵をSIMカードに保存しなければならない。また、この鍵は、アイデンティティ管理者のデータベースに登録しなければならない。
しかし、一般に、これらのセキュア要素に依拠することにより、企業は、自己の要素に保存されたすべての情報を管理し、それらのセキュリティ鍵にアクセスできる必要がある。これは通常、企業がこれらのセキュア要素を用意することを必要とする。
したがって、欠点の1つとして、複数の現実的な状況においてはこの仮定を満たせないことがある。例えば、企業は、機密情報を保存するためにSIMカードに依拠したい場合には、SIMカード内に保存されている鍵にアクセスするために、対応するモバイル事業者と協力するか、または、自らSIMカードを用意する必要があるが、これは多大な管理の手間とコストがかかる。
"Bootstrapping Trust in Commodity Computers", B. Parno, J.M. Mc Cune, A. Perrig IEEE S&P 2010 "OSLO: Improving the security of Trusted Computing", Bernhard Kauer Trusted Computing Group http://www.trustedcomputinggroup.org IBM 4758 Basic Services Manual: http://www-03.ibm.com/security/cryptocards/pdfs/IBM_4758_Basic_Services_Manual_Release_2_54.pdf Kalman, G., Noll, J., UniK, K.: SIM as secure key storage in communication networks. In: International Conference on Wireless and Mobile Communications (ICWMC) (2007) Noll, J., Lopez Calvet, J.C., Myksvoll, K.: Admittance services through mobile phone short messages. In: International Multi-Conference on Computing in the Global Information Technology. pp. 77-82. IEEE Computer Society, Washington, DC, USA (2006) Mantoro, T., Milisic, A.: Smart card authentication for Internet applications using NFC enabled phone. In: International Conference on Information and Communication Technology for the Muslim World (ICT4M) (2010)
したがって、本発明の目的は、セキュア要素内に保存された鍵等のセキュア情報の知識なしに、既存のセキュア要素のセキュア機能を利用する方法およびシステムを提供することである。
本発明のもう1つの目的は、ユーザが自分のデバイスを持ち込むことができる状況において、ブートストラップ認証を可能にする方法およびシステムを提供することである。
本発明のもう1つの目的は、認証中に起こり得る攻撃を効果的に検出することが可能な方法およびシステムを提供することである。
本発明のもう1つの目的は、従来の方法およびシステムにおいて容易に実施可能な方法およびシステムを提供することである。
上記の目的は、請求項1の方法および請求項12のシステムによって達成される。
請求項1において、ユーザデバイスとサーバとの間の通信を準備する方法が提供される。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能である。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
請求項1によれば、該方法は、
a)セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送るステップと、
b)前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行するステップと、
c)前記セキュア要素内に保存された鍵情報を用いずに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成するステップと、
d)前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを前記サーバに保存するステップと、
e)所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るステップと、
f)前記セキュア要素が、前記セキュア要素内に保存された鍵情報を用いずに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するステップと、
g)前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するステップと
を備えたことを特徴とする。
請求項12において、ユーザデバイスとサーバとの間の通信を準備するシステムが提供される。前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバから問合せ可能であり、好ましくは請求項1ないし11のいずれか1項に記載の方法を実行する。鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能である。
請求項12によれば、該システムは、
前記サーバが、セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報で前記セキュア要素に対してチャレンジを送り、前記サーバ情報および前記セキュアチャネル経由で前記サーバへ送信された前記1つ以上の署名付きレスポンスを保存し、所定のサーバ情報の1つで前記セキュア要素に対してチャレンジを送るように動作可能であり、
前記セキュア要素が、前記セキュア要素上で前記サーバ情報に基づいて前記決定的アルゴリズムの1つを実行し、前記セキュア要素内に保存された鍵情報を用いずに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンスを生成し、前記セキュア要素内に保存された鍵情報を用いずに、前記所定のサーバ情報を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報を生成するように動作可能であり、
前記サーバおよび/または前記ユーザデバイスが、前記保存された署名付きレスポンスおよび前記生成されたレスポンス情報に基づく照合に基づいて、前記ユーザデバイスと前記サーバとの間の通信を準備するように動作可能である
ことを特徴とする。
本発明によって認識されたこととして、特に、従来のSIMカードのセキュアな機能を、SIMカード内に保存された鍵の知識なしに、利用することができる。
また、本発明によって認識されたこととして、ユーザデバイス内に保存された鍵へのアクセスを必要とせずに、セキュア要素の一方向認証プロセスを利用して、ユーザデバイスとの相互認証を行うことができる。
また、本発明によって認識されたこととして、企業は、例えば従業員が電子メールを読んだりバーチャルプライベートネットワークにアクセスしたりするために、従業員のユーザデバイスとセキュアに通信を行うことが可能となる。
また、本発明によって認識されたこととして、モバイルデバイスの使用は妨げられず、セキュア要素、特にSIMカードの設計およびプロトコルに影響を及ぼさない。本発明は、例えば基本的なGSMセキュリティ機能を実施するすべてのセキュア要素において適用可能である。
また、本発明によって認識されたこととして、企業は、自らセキュア要素を用意することも、例えばモバイル事業者と協力することも不要である。
また、本発明によって認識されたこととして、例えばSIMカードおよび加入者鍵に依拠した従来の解決法と比較して、セキュリティのレベルは低下しない。
また、本発明によって認識されたこととして、起こり得る不正行為、なりすまし攻撃等を、サーバおよびユーザデバイスの両方により簡易かつ効果的に検出することが可能となる。
さらなる特徴、効果および好ましい実施形態は、後続の従属請求項に記載される。
好ましい実施形態によれば、前記生成されたレスポンス情報が前記サーバに提供され、前記照合が、前記保存された署名付きレスポンスおよびステップf)の前記生成されたレスポンス情報を用いて直接に実行され、一致した場合、前記ユーザデバイスは、前記サーバとの通信について認証される。これにより、サーバ側でユーザデバイスの認証手続きを提供する容易な方法が可能となる。サーバは、サーバに保存された署名付きレスポンスと、サーバ情報で問合せされた例えばSIMカードから提供されたレスポンスとを比較する。
また、好ましい実施形態によれば、前記ユーザデバイスおよび前記サーバの両方が、前記保存された署名付きレスポンスおよび前記レスポンス情報に基づいて互いに独立にセキュア情報を生成し、これがステップg)による照合のために使用される。これにより、生成されたセキュア情報に基づいて通信を用意する容易な方法が可能となる。サーバおよびユーザデバイスの両方がセキュア情報を生成する場合、生成されたセキュア情報を事前に交換することを必要とせずに、セキュア情報を用いてサーバとユーザデバイスとの間で通信を確立することができる。
また、好ましい実施形態によれば、前記セキュア情報がセッション鍵の形態で提供され、該セッション鍵が、前記セキュア要素内に保存された鍵情報を使用せずに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスに基づいて計算される。これにより、ユーザデバイスとサーバとの間の通信セッションに対するセッション鍵を生成する容易な方法が可能となる。例えば、セッション鍵は、ユーザデバイスがサーバで認証された後に生成することが可能である。
また、好ましい実施形態によれば、前記1つ以上の署名付きレスポンスを生成するため、および/または、前記セッション鍵を計算するためのカウンタ情報がステップc)に含められる。これにより、中間者攻撃を容易に検出することが可能となる。例えば、アクティブな攻撃がない場合、カウンタ情報はセッション情報に等しいかまたは相当する。一方、アクティブな攻撃の場合、カウンタ情報はセッション情報からずれる。
また、好ましい実施形態によれば、カウンタ情報が、前記ユーザデバイスおよび/または前記サーバによって確立されたセッションの数に対するカウンタを示す。これにより、カウンタ情報が容易な方法で提供され、中間者攻撃を検出するために、カウンタ情報とセッション情報との間の高速で効率的な比較が可能となる。
また、好ましい実施形態によれば、前記サーバ情報を提供するために暗号学的ハッシュ関数が使用される。これにより、衝突耐性のある一方向性のハッシュ関数によって前記チャレンジを提供することが可能となる。
また、好ましい実施形態によれば、ステップc)を実行するための決定的アルゴリズムとしてGSM−A3アルゴリズムが使用され、および/または、前記セキュア要素内に保存された鍵情報を用いずに前記セッション鍵を生成するための決定的アルゴリズムとしてGSM−A8アルゴリズムが使用される。これにより、現行のGSMプロトコルにおける容易で効率的な実施が可能となる。
また、好ましい実施形態によれば、チャレンジ送信後にステップf)による正しいレスポンスを提供する時間が測定され、該測定された時間に基づいて、ステップg)が実行されるか、または、実行されない。例えばSIMカードが正しいレスポンスで応答するのにかかる時間を測定し、この測定時間が所定しきい値を超える場合には、例えば、サーバは、通信を用意するためのさらなるステップ、例えば認証確認、を拒否する。例えば、ユーザデバイスに対する無線での攻撃は、認証段階に成功するためには、往復(RTT)の伝搬時間の2倍を必要とする。したがって、好ましくは、無線攻撃に対してこれに対応してしきい値を設定することにより、このような攻撃の検出が向上する。
また、好ましい実施形態によれば、前記カウンタ情報が、所定のサーバ情報の数に対してチェックされる。これにより、中間者攻撃を検出する可能性が増大する。
また、好ましい実施形態によれば、ステップa)による前記1つ以上のチャレンジが128ビット以上のチャレンジである。これにより、一方では、高度の擬似ランダム性が保証され、他方では、特にGSMプロトコルにおける容易な実施が可能となる。
請求項12のシステムの好ましい実施形態によれば、前記サーバおよび/または前記ユーザデバイスが、セッション鍵に基づいて前記サーバと前記ユーザデバイスとの間の通信セッションを確立するように動作可能であり、該セッション鍵が、前記セキュア要素内に保存された鍵情報を使用せずに、前記サーバと前記ユーザデバイスとの間の共有鍵、セッション情報および事前に署名されたレスポンスの1つ、に基づいて計算される。これにより、認証後のユーザデバイスとサーバとの間の通信のためのセッション鍵を確立する容易な方法が可能となる。
本発明を好ましい態様で実施するにはいくつもの可能性がある。このためには、一方で請求項1および請求項12に従属する諸請求項を参照しつつ、他方で図面により例示された本発明の好ましい実施形態についての以下の説明を参照されたい。図面を用いて本発明の好ましい実施形態を説明する際には、本発明の教示による好ましい実施形態一般およびその変形例について説明する。
モバイル事業者においてユーザデバイスを認証する従来の方法を模式的に示す図である。 本発明の実施形態による方法を模式的に示す図である。
図1は、モバイル事業者においてユーザデバイスを認証する従来の方法を模式的に示している。
図1には、SIMカードとモバイル事業者MOとの間の基本的な認証が示されている。SIMカードは、ユーザデバイスUDで使用される。図1では、SIMカード付きのユーザデバイスUDと、モバイル事業者MOが、同じ加入者鍵Kiを共有する。ユーザデバイスUDあるいはSIMカードを認証するため、第1ステップS1で、モバイル事業者MOは、ランダムに選択されたチャレンジRANDをユーザデバイスUDへ送信する。ユーザデバイスUDは、次のステップS12で、加入者鍵KiおよびチャレンジRANDを入力としてGSMプロトコルによるA3アルゴリズムを実行し、第2ステップS2で、署名付きレスポンスSRESを出力し、署名付きレスポンスSRESをモバイル事業者MOへ返送する。
次に、モバイル事業者MOは、提供されたチャレンジRANDおよび加入者鍵Kiを入力として使用して自らA3アルゴリズムを再実行することにより、署名付きレスポンスSRESの正しさを検証することによって、ユーザデバイスUDあるいはSIMカードを認証する。
ユーザデバイスUDとモバイル事業者MOとの間の通信セッションのためのセッション鍵Kcを生成するためには、このセッション鍵Kcは、ユーザデバイスUDあるいはSIMカードでGSMプロトコルによるA8アルゴリズムを使用して生成されることが可能である。例えば第1ステップS1で提供されたモバイル事業者からのチャレンジRANDが入力されると、ユーザデバイスUDあるいはSIMカードは、共有している加入者鍵Kiとともに、A3アルゴリズムの出力すなわち署名付きレスポンスSRESを入力する。そして、次のステップS23で、SIMカードおよびモバイル事業者MOのサーバの両方でA8アルゴリズムが実行される。そして、A8アルゴリズムは、共有セッション鍵Kcを出力する。
図2は、本発明の実施形態による方法を模式的に示している。
図2には、本発明による実施形態が示されている。より詳細には、企業Eは、与えられたユーザUのモバイルデバイスUDを認証したい。このため、企業は、認証対象のユーザデバイスUDが、SIMカードに結び付けられた鍵を備えていることを確かめる必要がある。これにより、企業Eによって識別可能なSIMカードにアクセスしなくても、デバイス間でのそれらの鍵の偽造および/または複製が不可能であることが保証される。
第1ステップE1で、設定段階が実行される。設定段階を開始するため、企業は、短い限定された時間、ユーザデバイスUDすなわちSIMカードにアクセスする。この時間中、企業Eは、セキュアな秘匿性チャネルを用いてユーザデバイスUDすなわちSIMカードとインタフェースをとる。例えば、このセキュアな秘匿性チャネルは、企業Eによって提供される完全に信頼されたモバイルデバイス内にSIMカードを挿入することによって提供することができる。次に、企業Eは、企業Eによって擬似ランダムに選択された乱数に対応する署名付きレスポンス値SRESについてSIMカードに問い合わせる。好ましくは、企業Eは、鍵付きハッシュ法を適用することにより、128ビットのチャレンジRANDを選択する(RAND1=H(Ke || 1),...,RANDX=H(Ke || X)等)。H()は暗号学的ハッシュ関数(すなわち、衝突耐性のある一方向性のハッシュ関数)であり、Keは秘密鍵を表す。Xは、例えば、生成されるレスポンスの数あるいはより一般的なカウンタ情報を示す。企業Eは、これらのチャレンジを全部でN個生成する(RAND1,RAND2,...,RANDN)。
次に、第1ステップT1で、企業Eは、ユーザデバイスUD内のSIMカードのGSMプロトコルによるA3アルゴリズムに対してチャレンジRAND1,RAND2,...,RANDNのそれぞれを送り、対応する署名付きレスポンスSRES1,SRES2,...,SRESNを取得する。次に、企業Eは、秘密鍵Keおよびすべての問合せされた署名付きレスポンスSRES1,SRES2,...,SRESNを保存する。すべてのRANDチャレンジおよび署名付きレスポンスSRESは、秘匿性チャネルを通じて交換される。
設定段階後の第2ステップE2で、企業Eは、セッションXにおいて、ユーザデバイスUDあるいはユーザデバイス内のSIMカードを次のように認証することができる。企業Eは、公式RANDX=H(Ke || X)により、秘密鍵Keを用いてセッションXに対するチャレンジRANDXを計算する。
次に、企業Eは、計算されたチャレンジRANDXの1つを用いて第1ステップT1でユーザデバイスUDあるいはSIMカードに問合せを行い、レスポンスRESPを待機する。SIMカードは、公式RESP=H(K || RANDX || SRESX|| CTR)によりレスポンスを計算する。ただし、Kは共有鍵であり、RANDXはセッションXに対するチャレンジであり、SRESXはチャレンジRANDXに対するGSMプロトコルによるA3アルゴリズムの出力であり、CTRはモバイルデバイスおよび/または企業Eが確立したセッションの数に対するカウンタである。アクティブな攻撃がない場合、CTRはセッションXの識別番号に等しい。
次に、企業Eは、レスポンスRESPが、事前に設定段階E1中に企業Eによって収集されたSRESXと一致するかどうかをチェックし、一致する場合、認証は成功する。こうして、企業Eは、正しいSIMカードおよび正しい鍵Kにアクセス可能なユーザデバイスUDと通信していることが確認される。好ましくは、企業Eは、SIMカードが正しいレスポンスRESPで応答するのにかかる時間を測定する。この時間が所定のしきい値を超える場合、企業Eは、認証確認を拒否してもよい。モバイル事業者とモバイルデバイスUDとの間のすべての通信が、共有鍵Kを用いてセキュアチャネル上で実行可能であるのが好ましい。
セッション鍵を確立するため、認証段階E2と同様の段階E3が実行される。セッションXに対するセッション鍵Kcを確立するため、企業Eは、RANDX=H(Ke || X)によりセッションXに対するチャレンジRANDXを計算し、チャレンジRANDXを用いてユーザデバイスUDすなわちSIMカードに問合せを行う。ユーザデバイスUDおよび企業Eは、セッションCTRにおけるセッション鍵として、Kc=H(K || SRESX || CTR)によりセッション鍵Kcを別個に計算する。鍵Kは、ユーザデバイスUDと企業Eとの間で共有された鍵である。例えば、共有鍵Kは、ユーザが入力したパスワードから導出されることも可能である。したがって、セッション鍵Kcは、ユーザデバイスUDが正しいSIMカードにアクセスすることによってのみ導出可能である。企業EとモバイルデバイスUDとの間のすべての通信が、ユーザデバイスUDと企業Eとの間の共有鍵Kを用いてセキュアチャネル上で実行可能であるのが好ましい。
要約すれば、セッション鍵Kcは、ユーザデバイスUDと企業Eとの間でただ1つのメッセージを交換することによって、すなわちユーザデバイスUDへチャレンジRANDXを送信することによって、効果的に確立することができる。セッション鍵を確立する前に、対話的な認証段階、例えば段階E2を実行可能であることが好ましい。
以下、図2による方法のセキュリティがGSMセキュリティに帰着し、起こり得るセッション乗っ取りはモバイル事業者MOによって結局検出されることを示す。図2によれば、a)SIMカードにアクセス可能であり、b)適切なユーザパスワードを取得可能であり、c)正しいチャレンジRANDでSIMカードに問合せすることが可能である、というユーザデバイスUDのみが、認証段階を通過し、企業Eとの間でセッション鍵Kcを確立することができる。
・共有鍵Kにアクセスできない外部の攻撃者は、企業EとユーザデバイスUDとの間の通信を傍受することができない。
・いかなる攻撃者もKiすなわち加入者鍵を取得できない。というのは、加入者鍵は、SIMカード内の不正操作できないストレージに保存されており、SIMカードから取り出せないからである。
・いかなる攻撃者もチャレンジの値を予測できない。また、各チャレンジは1回だけ使用される。チャレンジは擬似ランダムであり、チャレンジ空間は少なくとも128ビットである。これにより、いかなる攻撃者も、企業Eによって選択されたチャレンジ空間を全数探索することは実現不可能である。
・したがって、チャレンジが送信されるときに正しいSIMカードにアクセスできないいかなる主体も、認証チェックに失敗することになる。
・SIMカードへのアクセスは、物理アクセスを用いて、または、無線(OTA)アクセスにより実現可能である。SIMカードにOTAアクセスすることは、悪意者にとって、モバイル基地局になりすますために用いられる技術への投資を必要とする。OTA攻撃は、基礎となるGSMプロトコルスイートに対する攻撃に帰着する。このような種類の攻撃は通常、企業Eによって実行されるタイミング測定によって軽減される。実際、いかなるOTA攻撃も、認証段階に成功するためには2RTTの伝搬時間を必要とする。
・また、攻撃者は、共有鍵Kを取得するためにモバイルデバイスに侵入する必要があることが指摘される。これは、この攻撃を実行するコストをさらに高価にする。
・たとえ攻撃者がSIMカードへのOTAアクセスができ、SIMカードにアクセスしたとしても、企業Eは結局、確立する次のセッション中に直ちにその攻撃を検出する。これは、ハッシュ計算(認証およびセッション確立段階の両方における)内のローカルカウンタに基づいて実現される。攻撃者が1回の攻撃に成功した場合、モバイルデバイス上のローカルカウンタは、企業Eに保存されているカウンタと相違することになる。これにより、企業Eによるモバイルデバイスのさらなる認証を効果的に防止する。その場合、企業Eは、問題が存在すること、および、モバイルデバイスが危険にさらされているおそれがあることを検出して、続いてKを変更し、ユーザアカウントを保護する等を行うことができる。
要約すれば、本発明は、自分のデバイスを持ち込むことができる状況において、好ましくはSIMカードを用いて、その加入者鍵を知ることなしに認証をブートストラップ処理するために、特にGSMセキュリティの性質を特に利用する。また、本発明によれば、認証・鍵確立段階に対して起こり得る攻撃を効果的に検出するために、SIMカードの使用をセキュリティプロトコルおよびタイミング測定と組み合わせることが可能であり、セキュアで効率的なSIMカード秘密取得段階に依拠する。
本発明によれば、SIMカード内で動作する加入者鍵を知ることなしに、挿入されたSIMカードに基づくモバイルデバイスの認証が可能となる。また、本発明によれば、SIMカード内に保存された秘密に基づいて非対話的なセッション鍵確立を構築することが可能となる。さらに、本発明は、GSMセキュリティプロトコル上でなりすまし攻撃および中間者攻撃の効果的な検出が可能な方法およびシステムを提供する。本発明は、モバイルデバイスの使用を妨げず、SIMカードの設計およびプロトコルに影響を及ぼさず、基本的なGSMセキュリティ機能を実施するすべてのSIMカードで適用可能である。
本発明は、とりわけ、以下の利点を有する。従来の方法およびシステムとは異なり、本発明は、SIMカード内に保存された加入者鍵の知識を必要とせず、また、例えばモバイル事業者と協力することによって、企業が自らセキュア要素を用意することを必要としない。本発明による別の利点として、SIMカードやその加入者鍵に基づく従来の解決法と比較して、セキュリティのレベルは低下しない。また、本発明によれば、セキュリティプロトコルを備えた従来のGSMセキュリティを利用することにより、起こり得る不正行為、なりすまし、攻撃等を、企業およびモバイルデバイスの両方により簡易かつ効果的に検出することが保証される。
上記の説明および添付図面の記載に基づいて、当業者は本発明の多くの変形例および他の実施形態に想到し得るであろう。したがって、本発明は、開示した具体的実施形態に限定されるものではなく、変形例および他の実施形態も、添付の特許請求の範囲内に含まれるものと解すべきである。本明細書では特定の用語を用いているが、それらは総称的・説明的意味でのみ用いられており、限定を目的としたものではない。

Claims (13)

  1. ユーザデバイス(UD)とサーバ(E)との間の通信を準備する方法において、前記ユーザデバイス(UD)は、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバ(E)から問合せ可能であり、鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能であり、
    a)セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報(RAND1,RAND2,...)で前記セキュア要素に対してチャレンジを送るステップと、
    b)前記セキュア要素上で前記サーバ情報(RAND1,RAND2,...)に基づいて前記決定的アルゴリズムの1つを実行するステップと、
    c)前記セキュア要素内に保存された鍵情報を用いずに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンス(SRES1,SRES2,...)を生成するステップと、
    d)前記サーバ情報(RAND1,RAND2,...)および前記セキュアチャネル経由で前記サーバ(E)へ送信された前記1つ以上の署名付きレスポンス(SRES1,SRES2,...)を前記サーバ(E)に保存するステップと、
    e)所定のサーバ情報(RAND1,RAND2,...)の1つで前記セキュア要素に対してチャレンジを送るステップと、
    f)前記セキュア要素が、前記セキュア要素内に保存された鍵情報を用いずに、前記所定のサーバ情報(RAND1,RAND2,...)を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報(RESP)を生成するステップと、
    g)前記保存された署名付きレスポンス(SRES1,SRES2,...)および前記生成されたレスポンス情報(RESP)に基づく照合に基づいて、前記ユーザデバイス(UD)と前記サーバ(E)との間の通信を準備するステップと
    を備えたことを特徴とする、ユーザデバイスとサーバとの間の通信を準備する方法。
  2. 前記生成されたレスポンス情報(RESP)が前記サーバ(S)に提供され、前記照合が、前記保存された署名付きレスポンス(SRES1,SRES2,...)およびステップf)の前記生成されたレスポンス情報を用いて直接に実行され、一致した場合、前記ユーザデバイス(UD)は、前記サーバ(S)との通信について認証されることを特徴とする請求項1に記載の方法。
  3. 前記ユーザデバイス(UD)および前記サーバ(E)の両方が、前記保存された署名付きレスポンス(SRES1,SRES2,...)および前記レスポンス情報(RESP)に基づいて互いに独立にセキュア情報を生成し、これがステップg)による照合のために使用されることを特徴とする請求項1に記載の方法。
  4. 前記セキュア情報がセッション鍵(Kc)の形態で提供され、該セッション鍵(Kc)が、前記セキュア要素内に保存された鍵情報を用いずに、前記サーバ(E)と前記ユーザデバイス(UD)との間の共有鍵(K)、セッション情報(X)および事前に署名されたレスポンス(SRESX)に基づいて計算されることを特徴とする請求項3に記載の方法。
  5. 前記1つ以上の署名付きレスポンス(SRES1,SRES2,...)を生成するため、および/または、前記セッション鍵(Kc)を計算するためのカウンタ情報(CTR)がステップc)に含められることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
  6. カウンタ情報(CTR)が、前記ユーザデバイス(UD)および/または前記サーバ(E)によって確立されたセッションの数(X)に対するカウンタを示すことを特徴とする請求項5に記載の方法。
  7. 前記サーバ情報を提供するために暗号学的ハッシュ関数(H())が使用されることを特徴とする請求項1ないし6のいずれか1項に記載の方法。
  8. ステップc)を実行するための決定的アルゴリズムとしてGSM−A3アルゴリズムが使用され、および/または、前記セキュア要素内に保存された鍵情報を用いずに前記セッション鍵(Kc)を生成するための決定的アルゴリズムとしてGSM−A8アルゴリズムが使用されることを特徴とする請求項1ないし7のいずれか1項に記載の方法。
  9. チャレンジ送信後にステップf)による正しいレスポンス(RESP)を提供する時間が測定され、該測定された時間に基づいて、ステップg)が実行されるか、または、実行されないことを特徴とする請求項1ないし8のいずれか1項に記載の方法。
  10. 前記カウンタ情報(CTR)が、所定のセッションの数(X)に対してチェックされることを特徴とする請求項1ないし9のいずれか1項に記載の方法。
  11. ステップa)による前記1つ以上のチャレンジが128ビット以上のチャレンジであることを特徴とする請求項1ないし10のいずれか1項に記載の方法。
  12. ユーザデバイス(UD)とサーバ(E)との間の通信を準備するシステムにおいて、前記ユーザデバイスは、セキュア要素、好ましくはSIMカード、によって1つ以上の決定的アルゴリズムを実行するように動作可能であるとともに前記サーバ(E)から問合せ可能であり、好ましくは請求項1ないし11のいずれか1項に記載の方法を実行し、鍵情報、好ましくはモバイル事業者の加入者鍵、が前記セキュア要素に保存可能であり、
    前記サーバ(E)が、セキュアチャネルを用いて、区別不可能かつ推測不可能なサーバ情報(RAND1,RAND2,...)で前記セキュア要素に対してチャレンジを送り、前記サーバ情報(RAND1,RAND2,...)および前記セキュアチャネル経由で前記サーバ(E)へ送信された前記1つ以上の署名付きレスポンス(SRES1,SRES2,...)を保存し、所定のサーバ情報(RAND1,RAND2,...)の1つで前記セキュア要素に対してチャレンジを送るように動作可能であり、
    前記セキュア要素が、前記セキュア要素上で前記サーバ情報(RAND1,RAND2,...)に基づいて前記決定的アルゴリズムの1つを実行し、前記セキュア要素内に保存された鍵情報を用いずに、前記決定的アルゴリズムの出力に基づいて1つ以上の署名付きレスポンス(SRES1,SRES2,...)を生成し、前記セキュア要素内に保存された鍵情報を用いずに、前記所定のサーバ情報(RAND1,RAND2,...)を用いて前記決定的アルゴリズムを実行することにより、レスポンス情報(RESP)を生成するように動作可能であり、
    前記サーバ(E)および/または前記ユーザデバイスが、前記保存された署名付きレスポンス(SRES1,SRES2,...)および前記生成されたレスポンス情報(RESP)に基づく照合に基づいて、前記ユーザデバイス(UD)と前記サーバ(E)との間の通信を準備するように動作可能である
    ことを特徴とする、ユーザデバイスとサーバとの間の通信を準備するシステム。
  13. 前記サーバ(E)および/または前記ユーザデバイス(UD)が、セッション鍵(Kc)に基づいて前記サーバ(E)と前記ユーザデバイス(UD)との間の通信セッションを確立するように動作可能であり、該セッション鍵(Kc)が、前記セキュア要素内に保存された鍵情報を用いずに、前記サーバ(E)と前記ユーザデバイス(UD)との間の共有鍵(K)、セッション情報(X)および事前に署名されたレスポンス(SRESX)の1つ、に基づいて計算されることを特徴とする請求項12に記載のシステム。
JP2015560720A 2013-03-08 2014-03-10 ユーザデバイスとサーバとの間の通信を準備する方法およびシステム Active JP6096327B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP13158289 2013-03-08
EP13158289.2 2013-03-08
PCT/EP2014/054607 WO2014135707A1 (en) 2013-03-08 2014-03-10 Method and system for preparing a communication between a user device and a server

Publications (2)

Publication Number Publication Date
JP2016513899A true JP2016513899A (ja) 2016-05-16
JP6096327B2 JP6096327B2 (ja) 2017-03-15

Family

ID=50424191

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015560720A Active JP6096327B2 (ja) 2013-03-08 2014-03-10 ユーザデバイスとサーバとの間の通信を準備する方法およびシステム

Country Status (3)

Country Link
EP (1) EP2965488B1 (ja)
JP (1) JP6096327B2 (ja)
WO (1) WO2014135707A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018082362A (ja) * 2016-11-17 2018-05-24 Kddi株式会社 通信システム、通信装置、サーバ装置、通信方法、及びコンピュータプログラム
WO2022065016A1 (ja) * 2020-09-22 2022-03-31 渡辺浩志 自動認証icチップ

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2548428B (en) * 2016-08-08 2018-05-16 Quantum Base Ltd Nondeterministic response to a challenge

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050149740A1 (en) * 2003-12-31 2005-07-07 Kotzin Michael D. Method and apparatus for device authentication
JP2007234030A (ja) * 2000-03-30 2007-09-13 Nokia Corp 加入者の認証
JP2009530887A (ja) * 2006-03-16 2009-08-27 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー チャレンジ・レスポンスを保存するために一時的にsimを提供される装置の認証のための方法、装置、ソフトウェア
JP2011198317A (ja) * 2010-03-24 2011-10-06 National Institute Of Advanced Industrial Science & Technology 認証処理方法及び装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
US20110191842A1 (en) * 2008-09-09 2011-08-04 Telefonaktiebolaget L M Ericsson (Publ) Authentication in a Communication Network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007234030A (ja) * 2000-03-30 2007-09-13 Nokia Corp 加入者の認証
US20050149740A1 (en) * 2003-12-31 2005-07-07 Kotzin Michael D. Method and apparatus for device authentication
JP2009530887A (ja) * 2006-03-16 2009-08-27 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー チャレンジ・レスポンスを保存するために一時的にsimを提供される装置の認証のための方法、装置、ソフトウェア
JP2011198317A (ja) * 2010-03-24 2011-10-06 National Institute Of Advanced Industrial Science & Technology 認証処理方法及び装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018082362A (ja) * 2016-11-17 2018-05-24 Kddi株式会社 通信システム、通信装置、サーバ装置、通信方法、及びコンピュータプログラム
WO2022065016A1 (ja) * 2020-09-22 2022-03-31 渡辺浩志 自動認証icチップ

Also Published As

Publication number Publication date
WO2014135707A1 (en) 2014-09-12
JP6096327B2 (ja) 2017-03-15
EP2965488A1 (en) 2016-01-13
EP2965488B1 (en) 2020-04-29

Similar Documents

Publication Publication Date Title
Chuang et al. An anonymous multi-server authenticated key agreement scheme based on trust computing using smart cards and biometrics
Das et al. A secure and efficient uniqueness-and-anonymity-preserving remote user authentication scheme for connected health care
US20170289197A1 (en) Transport layer security token binding and trusted signing
JP2018521417A (ja) 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ
US20170171183A1 (en) Authentication of access request of a device and protecting confidential information
JP2016502377A (ja) 安全計算を用いて安全性を提供する方法
Petrov et al. Towards the era of wireless keys: How the IoT can change authentication paradigm
US8918844B1 (en) Device presence validation
JP6096327B2 (ja) ユーザデバイスとサーバとの間の通信を準備する方法およびシステム
Akram et al. A privacy preserving application acquisition protocol
Huang et al. RFID systems integrated OTP security authentication design
US11606196B1 (en) Authentication system for a multiuser device
US11003744B2 (en) Method and system for securing bank account access
Vorugunti et al. Improving security of lightweight authentication technique for heterogeneous wireless sensor networks
Arfaoui et al. Practical and privacy-preserving TEE migration
US11856105B1 (en) Secure multi-factor authentication system including identity verification of an authorized user
Coruh et al. Lightweight offline authentication scheme for secure remote working environment
US11799632B1 (en) Optimized authentication system
US11949772B2 (en) Optimized authentication system for a multiuser device
Wang et al. Secure authentication and authorization scheme for mobile devices
US11528144B1 (en) Optimized access in a service environment
TWI625643B (zh) 無線感測網路的匿名認證方法
Kbar et al. Challenge Token-based Authentication–CTA
de Souza et al. Multi-factor authentication in key management systems
Atzeni et al. Authentication

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170118

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170215

R150 Certificate of patent or registration of utility model

Ref document number: 6096327

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350