JP2018533883A - Diffie−Hellman手順によるセッション鍵生成のための方法およびシステム - Google Patents

Diffie−Hellman手順によるセッション鍵生成のための方法およびシステム Download PDF

Info

Publication number
JP2018533883A
JP2018533883A JP2018523801A JP2018523801A JP2018533883A JP 2018533883 A JP2018533883 A JP 2018533883A JP 2018523801 A JP2018523801 A JP 2018523801A JP 2018523801 A JP2018523801 A JP 2018523801A JP 2018533883 A JP2018533883 A JP 2018533883A
Authority
JP
Japan
Prior art keywords
key
diffie
hellman public
network
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018523801A
Other languages
English (en)
Inventor
ハイグアン・ワン
ジエ・シ
シン・カン
Original Assignee
ホアウェイ インターナショナル ピーティーイー. リミテッド
ホアウェイ インターナショナル ピーティーイー. リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ホアウェイ インターナショナル ピーティーイー. リミテッド, ホアウェイ インターナショナル ピーティーイー. リミテッド filed Critical ホアウェイ インターナショナル ピーティーイー. リミテッド
Publication of JP2018533883A publication Critical patent/JP2018533883A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明の実施形態は、セッション鍵生成のための方法および装置を提供し、これらは、ユーザ機器およびネットワークの両方においてDiffie-Hellman手順を使用して、攻撃者がUSIMカードの資格証明書を所持するときに、攻撃者が、信号交換を受動的にリスニングするだけで、セッション鍵を破ることを防ぐ。

Description

本発明の実施形態は、LTE、5GまたはWLANネットワークのためのセッション鍵生成におけるDiffie-Hellman手順の適用に関し、相互認証中またはその後に行われ得る。
モバイルデバイスおよびネットワークがデータ通信中に盗聴または操作されることを防ぐために、通常はユーザ機器(UE)とも呼ばれるモバイルデバイスおよびネットワークが本物であることを保証するために、4Gネットワークにおいて相互認証が採用される。相互認証を実行するためには、UEおよびネットワークの両方が、互いの識別を確立することができるいくつかの資格証明書を保持する必要がある。
3G/4Gネットワークにおいては、ネットワーク側では、資格証明書は、ホーム加入者サーバ(HSS)と呼ばれるサーバにおいて保持され、一方でUE側では、資格証明書は、ユニバーサル加入者識別モジュール(USIM)カードと呼ばれる隔離されたデバイスにおいて保持される。USIMカードは、UE内部のUSIMスロットに埋め込まれたコンピューティングデバイスである。USIMおよびUEは、特別なインタフェースを介して情報を交換することができる。現在、3G/4Gネットワークは、相互認証において対称鍵を使用する。従って、所与の国際移動加入者識別(IMSI)については、対応するUSIMおよびHSSにおいて保持される資格証明書は同じである。
UEがネットワークにアクセスしてデータを送信したい場合、UEはまずネットワークに接続しなければいけない。認証は、進化型パケットシステム認証および鍵合意(EPS AKA)として知られている接続および認証手順中に実行される。
EPS AKA手順においては、UEはまず、進化型ノードB(eNodeB)を介して、移動管理エンティティ(MME)に接続要求を送信する。MMEは、UEと共有される資格証明書に基づいて認証ベクトルをその後生成するHSSに、接続要求を転送する。認証ベクトルは、認証マテリアルをUEにその後送信するMMEに送信される。UEはネットワークを認証して、次いで、認証コードをMMEに送信する。MMEは、認証コードを検証して、UEを認証する。認証後、UEは、コントロールおよびデータプレーン用のセッション鍵をさらに生成するために、鍵マテリアルをMMEおよびeNBと交換する。図1は、既存の認証シグナリング交換手順を示す。
図2は、ロングタームエボリューション(LTE)ネットワークの鍵アーキテクチャを示す。全ての鍵は、USIMおよびHSSにおいて保持されるルート鍵と、UEおよびコアネットワーク間で交換されるパラメータにも基づいて導出される。前述の手順によってコントロールおよびデータプレーン用に生成されるセッション鍵は、ルート鍵が開示されない限り安全であることが証明されている。しかしながら、最近、SIMカード用のルート鍵が盗まれた場合、これは、USIMにおける資格証明書が開示された可能性があることを意味する。USIMカードの資格証明書の攻撃者への開示は、深刻なセキュリティリスクを生じる。現在のシステムによると、SIMカード内の資格証明書が攻撃者に晒されると、攻撃者は、UEおよびネットワーク間の接続および認証シグナリング交換を盗聴することによって、ユーザのセッション鍵を導出することができる。
別の技術傾向は、モバイル業界は、USIMにおいて保持される資格証明書の更新または変更をサポートするより柔軟な設計を必要としていることである。これらの資格証明書は、第三者に晒される可能性があり、セキュリティリスクを増大する。
USIMカードの資格証明書を第三者に晒すか、偶発的に盗まれる問題を克服するには、例えば、Diffie-Hellman手順等のより強力なフォワード秘密技術によってセッション鍵生成を強化するというのは1つの方法である。別の可能な方法は、公開鍵に基づく認証等、新しい認証技術を採用することである。
CN 101969638 Bは、モバイル通信における国際移動加入者識別(IMSI)を保護するための方法を提供する。CN 101969638 Bにおいて提案されているように接続要求送信における公開鍵によってIMSIを保護することによって、SIMカード内の資格証明書が開示されていても、攻撃者が関連ユーザのセッション鍵を破る困難性は増す。その理由は、IMSIを知らないと、攻撃者は、どの資格証明書がセッション鍵を破るために使用されることができるかわからないためである。しかしながら、攻撃者はオフライン辞書攻撃を行い、セッション鍵を破ることができるため、保護は不十分である。オペレータのユーザの数は限られており、通常、数十万から数億の間で変動するため、特に1つのオペレータに所属するユーザの数が多くない場合には、攻撃者がセッション鍵を破ることは困難ではない。従って、公開鍵によってIMSIを保護することは、辞書攻撃を使用してセッション鍵を破ることを防ぐことはできない。
CN 102664725はフェムトセル基地局およびフェムトセル無線通信システムのセキュリティ証明方法を提供する。CN 102664725は、ネットワークを認証するための公開鍵の使用を提案している。方法は、ネットワークの認証に有効である。しかしながら、ネットワークが公開鍵によってUEを認証する方法は提供されていない。従って、このソリューションは、セルラネットワークには完全ではない。また、認証後にセッション鍵を生成する方法は提供されていない。
USIMカード資格証明書の損失に起因する可能性のあるセキュリティの脅威、および既存のソリューションを考慮して、上記のおよび他の問題に対処するための改善された方法およびシステムが非常に望ましい。
本発明の実施形態は、USIMカードの資格証明書を所有し得る攻撃者が、信号交換を単にリスニングすることによって、生成されたセッション鍵を破ることを防ぐことができる、セッション鍵生成のための方法、装置およびシステムを提供する。
本発明の1つの態様によると、鍵生成のための方法が提供される。方法は、
ユーザ機器(UE)およびネットワーク間の相互認証手順の間または後に、第1の対称鍵を生成して、第1のDiffie-Hellman公開鍵(A)を受信するステップと、
第1のDiffie-Hellman公開鍵(A)に基づいて、第2の対称鍵を生成するステップと、
第1の対称鍵および第2の対称鍵の両方に基づいてセッション鍵を生成するステップとを含む。
本発明の1つの態様によると、鍵生成のための方法が提供される。方法は、
ネットワークにおいて、
第1の対称鍵を有するステップと、
第1のDiffie-Hellman公開鍵(A)を生成および送信するステップと、
第2のDiffie-Hellman公開鍵(B)を受信するステップと、
第2のDiffie-Hellman公開鍵(B)に基づいて、第2の対称鍵を生成するステップと、
第1の対称鍵および第2の対称鍵の両方に基づいて、セッション鍵を生成するステップとを含む。
本発明の1つの態様によると、鍵生成装置が提供される。装置は、
ネットワークから、少なくとも第1のDiffie-Hellman公開鍵(A)を受信するように構成される受信ユニットと、
ネットワークと相互認証し、少なくとも第1の対称鍵を生成するように構成される認証ユニットと、
第1のDiffie-Hellman公開鍵(A)に基づく第2の対称秘密鍵を生成するように構成されるDiffie-Hellman手順ユニットと、
第1のDiffie-Hellman公開鍵(B)を送信するように構成される送信ユニットと、
第1の対称鍵および第2の対称鍵の両方に基づいて、少なくともセッション鍵を生成するように構成されるセッション鍵生成ユニットとを含む。
本発明の1つの態様によると、鍵生成装置が提供される。装置は、
ユーザ機器(UE)と相互認証し、少なくとも第1の対称鍵を提供するように構成される認証ユニットと、
第1のDiffie-Hellman公開鍵(A)と、第2のDiffie-Hellman公開鍵(B)に基づく第2の対称鍵とを生成するように構成されるDiffie-Hellman手順ユニットと、
UEから、少なくとも第2のDiffie-Hellman公開鍵(B)を受信するように構成される受信ユニットと、
第1のDiffie-Hellman公開鍵(A)を送信するように構成される送信ユニットと、
第1の対称鍵および第2の対称鍵の両方に基づいて、少なくともセッション鍵を生成するように構成されるセッション鍵生成ユニットとを含む。
本発明の1つの態様によると、通信システムが提供される。
通信システムは、
請求項20乃至28のいずれか1項に記載の鍵生成装置を含むユーザ機器と、
請求項29乃至36のいずれか1項に記載の鍵生成装置を含むネットワーク機器とを含む。
本発明の上述の態様のそれぞれの実施形態では、第1の対称鍵は、K1、KASMEを含んでよく、第2の対称鍵はKDHを含んでよい。
本発明の上述の態様の様々な実施形態は、添付の特許請求の範囲においてさらに記載される。
本発明の実施形態は、以下を含む図面を参照して、以下に開示される:
図1は、既存の認証シグナリング交換手順を示す。 図2は、ロングタームエボリューション(LTE)ネットワークの鍵アーキテクチャを示す。 図3は、本発明の1つの実施形態に係る、セッション鍵を生成するための方法を示すフローチャートである。 図4は、本発明の1つの実施形態に係る、セッション鍵を生成するための方法を示すフローチャートであり、コアネットワークはLTEネットワーク内にある。 図5は、本発明の1つの実施形態に係る、セッション鍵を生成するための方法を示すフローチャートである。 図6は、本発明の1つの実施形態に係る、LTEネットワークにおいてセッション鍵を生成するための方法を示すフローチャートである。 図7は、本発明の1つの実施形態に係る、WLANネットワークにおいて相互認証後にセッション鍵を生成するための方法を示すフローチャートである。 図8は、鍵生成装置の概略表現である。 図9は、通信システムの概略表現である。
以下の説明では、本発明の様々な例示的な実施形態の完全な理解を提供するために、多数の具体的な詳細が示される。しかしながら、本発明の実施形態は、これらの具体的な詳細の一部または全て無しに行われ得ることは、当業者には理解される。他の例では、周知のプロセス動作は、説明されている実施形態の関連する態様を不必要に不明瞭にしないために、詳細には説明されていない。図面においては、同様の参照番号は、いくつかの図を通して、同じまたは同様の機能または特徴を指す。
本発明の実施形態は、SIMカードにおける資格証明書の開示の結果生じる脅威を緩和する方法を提供する。
1つの実施形態では、Diffie-Hellman(DH)手順は、攻撃者がUSIMカードの資格証明書を所有している場合に、シグナリング交換を受動的にリスニングするだけで、攻撃者がセッション鍵を破ることを防ぐためのセッション鍵生成に適用される。DH手順は、有限体暗号(FFC)群または楕円曲線暗号(ECC)群のいずれかに基づくことができる。
FFCが使用される場合、所与の乱数aに対して、DH手順は、公開鍵をA = ga mod pとして導出し、gは巡回群Gの発生器であり、pは素数であるとともに公開モジュラスでもあり、共有セッション鍵をKDH = Ba mod pとして導出し、Bはピアから受信したDH公開鍵である。g、Gおよびpの値は、例えば、本発明におけるUEおよびCN等、DH手順に関与する当事者によって事前に共有される。
ECCが使用される場合、所与の乱数aに対して、DH手順は、公開鍵をA = aPとして導出し、Pは発生器(楕円曲線上の基点)であり、pは素数であるとともに公開モジュラスでもあり、共有セッション鍵をKDH = aBとして導出し、Bはピアから受信したDH公開鍵である。本発明において使用されるECC群は、
Figure 2018533883
によって定義されることができ、ここで、pは素数であり、cおよびdは、式y2 = x3 + cx + d modulo pによって定義される楕円曲線を指定し、
Figure 2018533883
は発生器(楕円曲線上の基点)であり、rは、
Figure 2018533883
の素数次数であり、hは補因子である。
図3は、本発明の1つの実施形態に係る、セッション鍵を生成するための方法を示すフローチャート300である。本実施形態では、DH手順は、ユーザ機器(UE)およびコアネットワーク(CN)の相互認証中に埋め込まれる。
ブロック301では、UEは、少なくともUEの識別情報を含む、第1のメッセージをCNに送信する。
ブロック302では、第1のメッセージを受信した後、CNは、UEおよびCN間の共有資格証明書に基づいて認証ベクトルを生成し、対称または共有鍵K1、すなわち、CN生成対称鍵をさらに生成する。
ブロック303では、CNは、乱数a、すなわち、CN生成プライベート乱数を生成または導出することによって、且つ、FFC群またはECC群のいずれかの使用により、DH公開鍵Aを計算することによって、DH手順を開始する。
ブロック304では、CNは、認証ベクトルおよびAを含む第2のメッセージをUEに送信する。
ブロック305では、CNから第2のメッセージを受信した後、UEは、第2のメッセージから認証ベクトルおよびAを抽出し、受信した認証ベクトルに基づいてCNを認証する。その後、UEは、K1と同じである対称または共有鍵、すなわち、UE生成対称鍵、および第2のメッセージで受信されたデータに基づく他の認証ベクトルを生成する。
ブロック306では、UEは、乱数b、すなわち、UE生成プライベート乱数を生成し、FFCまたはECC群の使用により、DH公開鍵を計算する。例えば、FFCの使用によると、B = gb mod pであり、ここで、BはUE生成Diffie-Hellman公開鍵と呼ばれ、ECCの使用によると、B = bPである。
同時に、UEは、受信されたパラメータに基づいて、DH対称プライベート鍵KDHを導出または生成してよく、例えば、FFCが使用される場合、KDH = (Ab mod p) = gbaであり、または、ECCが使用される場合、KDH = bA = baPである。UEは、K1およびKDHの両方をハッシュ関数または他の適切な関数への入力としてとることにより、セッション鍵K、すなわち、UE生成セッション鍵を生成する。
ブロック307では、UEは、UE生成認証ベクトルおよびBを含む第3のメッセージをCNに送信する。
ブロック308では、CNは、第3のメッセージにおいて受信された認証ベクトルに基づいて、UEを認証する。CNは、交換されるパラメータに基づいて、DH対称プライベート鍵、FFCが使用される場合のKDH = (Ba mod p) = gabまたはECCが使用される場合のKDH = aBを導出または生成する。CN生成DH鍵KDHおよびUE生成DH鍵KDHの両方は同じである。その後、CNは、K1およびKDHの両方をハッシュ関数または他の適切な関数への入力としてとることによって、セッション鍵K、すなわち、CN生成セッション鍵を生成する。1つの実施形態では、UEは、K1およびKDHを連結して連結された文字列にし、連結された文字列を関数への入力として使用し、例えば、K = SHA256(KASME || KDH)であり、‘||’は、2つの文字列を1つに連結するための演算子である。
図4は、本発明の1つの実施形態に係る、セッション鍵を生成するための方法を示すフローチャート400であり、コアネットワークはLTEネットワーク内で提供される。本実施形態では、DH手順は、ユーザ機器(UE)およびLTEコアネットワークの相互認証中に埋め込まれる。LTEネットワークでは、UEがネットワークを介してデータを送信することができる前に、UEは、移動管理エンティティ(MME)およびホーム加入者サーバ(HSS)を含むLTEコアネットワークとの相互認証をしなければならない。
ブロック401では、UEは、要求に含まれるUE識別情報と共に、接続要求をMMEに送信する。
ブロック402では、接続要求を受信すると、MMEは、認証データ要求を生成して、この要求をHSSに送信する。
ブロック403では、HSSは、認証ベクトル、例えば、RAND(ランダムチャレンジ番号)、AUTN(認証トークン)、XRES(期待応答)、KAMSE(マスター鍵)を生成する。RANDは、他の認証ベクトルおよび鍵を生成するために、HSSまたはUEによって使用される。AUTNは、LTEコアネットワークを認証するためにUEによって使用される。XRESは、UEを認証するためにLTEコアネットワークによって使用される。KAMSEは、セッション鍵生成において使用される鍵であり、図3のフローチャートに関連して説明されるK1と同様の対称鍵であってよい。
ブロック404では、HSSは、この応答に含まれる、RAND、AUTN、XRES、KAMSE等の認証ベクトル(ブロック403において生成される)と共に認証データ応答をMMEに送信する。
ブロック405では、MMEは、乱数a、すなわち、CN生成プライベート乱数を生成または導出すること、および、gは巡回群Gの発生器であり、pは素数であるとともに公開モジュラスでもある、A = ga mod pを計算すること、または、PはECC群Gのための基点である、A = aPを計算することのいずれかによって、DH手順を開始する。AはCN生成Diffie-Hellman公開鍵と呼ばれる。g、Gおよびpの値は、LTEコアネットワークおよびUEによって事前に共有される。
ブロック406では、CN生成MAC(メッセージ認証コード)、すなわち、MACAが、KASMEを持つA、RAND、AUTNに基づいて計算される。
ブロック407では、MMEは、ブロック406で計算されるA、RAND、AUTN、CN生成MACコードを含む、認証要求をUEに送信する。
ブロック408では、UE内部のエンティティである、モバイル機器(ME)は、認証要求を受信する。UEは、認証要求に含まれるMACDHに基づいてLTEコアネットワークを認証する。UEは、XMAC、RESおよびKASMEを生成する。
ブロック409では、UEは、認証要求メッセージからDH公開鍵AおよびMACDHを抽出する。UEは、UEによって生成されるKASMEによってMACAを検証する。
ブロック410では、UEは、別の乱数b、すなわち、UE生成プライベート乱数をさらに生成して、FFC群に関するB = gb mod p、またはECC群に関するB = bP mod pを計算し、BはUE生成Diffie-Hellman公開鍵である。
ブロック411では、UEは、Diffie-Hellman鍵、KDH = Ab mod pを導出または生成する。
ブロック412では、UEは、KAMSEおよびKDHに基づいて、セッション鍵K’AMSEを導出または生成する。方法のうちの1つは、K’AMSEをKAMSE XOR KDHとして導出すること、すなわち、KAMSEおよびKDHに対して排他的論理和演算を実行することである。
ブロック413では、UEは、KAMSEを持つRESおよびBに基づいて、MACコード、MACBを計算する。あるいは、UEは、KDHを持つRESおよびBに基づいて、または、K’AMSEを持つRESおよびBに基づいて、MACコードを計算してよい。
ブロック414では、UEは、応答に含まれる、BおよびUE生成MACコード、MACBの両方を持つ、認証応答をMMEに送信し、UE生成MACコードは、ブロック414で計算された。別の実施形態では、UEはまた、MAC計算にDH公開鍵Aを含んでよい。
ブロック415では、認証応答を受信した後、MMEはまず、応答からBおよびUE生成MACコードを抽出する。MMEは、次いで、KASMEを持つB、XRESに基づいて、MAC’コードを計算する。別の実施形態では、MMEはまた、UEおよびMMEがMAC計算にDH公開鍵Aを含めることに合意した場合、MAC計算にDH公開鍵Aを含んでよい。
ブロック416では、MMEは、ネットワーク生成MAC’をUE生成MACであるMACBと比較することによって、UEを認証する。両方の値が等しい場合、UEは成功裏に認証される。両方の値が等しくない場合、UEは認証に失敗する。
ブロック417では、MMEは、DH鍵KDHを(B)a mod pとして生成する。DH鍵(A)b mod pと(B)a mod pは同じである。
ブロック418では、MMEは、KDHおよびKASMEの両方、またはそれらの派生物において、EPSアルゴリズムまたは他の適切な関数への入力としてとることによって、セッション鍵K’ASMEを生成する。例えば、UEはまず、拡張後に、拡張KASMEがビット数でKDHと同じになるように、KASMEの最初または最後にゼロを追加またはパディングすることによって、KASMEのビット数を拡張してよい。別の実施形態では、UEは、ビット数においてKASMEと同じ長さを持つKDHから別の数を導出するためにハッシュ関数等の関数を使用してよい。その後、UEは、セッション鍵K’ASME = KDH XOR Pad(KASME)またはK’ASME = Hash( KDH) XOR KASMEを生成するために排他的論理和関数を実行してよい。さらに別の実施形態では、UEは、KASMEおよびKDHからそれぞれ導出された文字列を連結して、連結された文字列を、例えば、3GPP標準で定義されたKDF関数またはSHA256等の所与のハッシュ関数等の関数への入力として使用してよい。1つの例は、K’ASME = SHA256(KASME || KDH)であり、‘||’は、2つの文字列を連結して1つにするための演算子である。K’ASMEは、次いで、KNASenc、KNASintおよびKeNB等の他の鍵の生成において使用される。
上の例では、MMEの役割は、次世代ネットワークにおける接続管理に対して責任を持つ、認証、認可および課金(AAA)サーバまたは接続マネージャ(CM)によって置き換えられてよく、上述の手順は依然として適用可能である。
図5は、本発明の1つの実施形態に係る、セッション鍵を生成するための方法を示すフローチャートである。本実施形態では、DH手順は、UEおよびCNの相互認証が完了した後の管理メッセージの交換中に埋め込まれる。
ブロック501では、CNおよびUEは互いに相互認証する。認証結果は、相互認証が完了すると生成される。
ブロック502および503では、UEおよびCNのそれぞれによる認証結果に基づいて、対称的な統合保護鍵K1が導出される。その後、セッション鍵導出のために、第1のメッセージがCNからUEへ、またはその逆に送信される。
ブロック504は、第1のメッセージがCNからUEに送信されると仮定する。第1のメッセージは、DHパラメータAを含み、CNにおけるノードによって生成される、前に定義された、FFC群を使用するA = ga mod pまたはECC群を使用するA = aPであり、aはCNによって生成される乱数、すなわち、CN生成プライベート乱数である。ネットワーク生成MACコードは、攻撃者がAの値を変更することを防ぐために、第1のメッセージの整合性を保護するために生成される。
ブロック505では、CNは、Aおよびネットワーク生成MACコードを含む、第1のメッセージをUEに送信する。
ブロック506では、UEが第1のメッセージを受信した後、UEは、第1のメッセージからAを抽出して、ネットワーク生成MACコードをチェックする。統合チェックがパスすると、その後、UEは別の値Bを生成し、FFC群によるB = gb mod pまたはECC群によるB = bPであり、BはUE生成Diffie Hellman公開鍵であり、bはUEによって生成される乱数である。
ブロック507では、UEは、BおよびUE生成MACを含む、第2のメッセージをCNに送信する。第2のメッセージのためにUE生成MACを計算することにおいて、AおよびBの両方はMAC計算への入力である。
ブロック508および506では、UEおよびCN内のノードは、FFC群によりそれぞれ(ga)bおよび(gb)a、またはECC群によりそれぞれb(aP)およびa(bP)として、DH鍵KDHを導出および生成する。UEおよびCN側の両方におけるDH鍵は同じである。UEおよびノードCNは、排他的論理和関数等の適切な関数を使用して、セッション鍵Kを生成するために、セッション鍵Kを生成するためのベースとしてどちらかのKDHを使用するか、または、KDHおよびK1の両方を使用する。KDHまたはKDHおよびK1の両方に基づいて導出されたこのセッション鍵Kは、SHA256関数を使用する等、本開示における前の実施形態で提案されているような、他の鍵の導出または生成のために使用されてよい。
図6は、本発明の1つの実施形態に係る、LTEネットワークにおいてセッション鍵を生成するための方法を示すフローチャート600である。本実施形態では、DH手順は、UEおよびLTEネットワークの認証が完了した後に埋め込まれる。
ブロック601では、HSSおよびUEは互いに相互認証する。認証結果は、相互認証が完了すると生成される。
ブロック602および603では、UEおよびMMEは、マスター鍵KAMSEを別々に導出または生成する。
認証後、UEおよびMMEは、NASレイヤにおいてセキュリティコンテキストを設定するために、2つの管理メッセージである、NASセキュリティモードコマンドおよびNASセキュリティモード完了を交換する。第1の管理メッセージ、すなわち、NASセキュリティモードコマンドメッセージを送信する前に、DH手順は開始される。
ブロック604では、MMEは乱数a、すなわち、CN生成プライベート乱数を生成して、FFC群の使用によるA = ga mod pまたはECC群によるA = aPを計算する。AはCN生成Diffie-Hellman公開鍵と呼ばれる。g、Gおよびpの値は、LTEコアネットワークおよびUEによって事前に共有される。
ブロック605では、MME/CMは、DH公開鍵Aを含む、NASセキュリティモードコマンドに含まれるパラメータを介してMACを計算する。
ブロック606では、MMEは、NASセキュリティモードコマンドにAを含み、NASセキュリティモードコマンドをUEに送信する。
ブロック607では、UEが上記NASセキュリティモードコマンドを受信して、そのNAS-MACを検証した後、UEは、メッセージから値Aを抽出する。
ブロック608では、UEは乱数b、すなわち、UE生成プライベート乱数を生成して、FFC群の使用によるB = gb mod pまたはECC群によるB = bPを計算し、BはUE生成Diffie-Hellman公開鍵である。
ブロック609では、UEは、DH対称プライベート鍵KDHをAb mod pとしてそれぞれ導出または生成する。
ブロック610では、UEは、パラメータを介して、MAC、すなわち、NAS-MACを計算する。NAS-MACおよびDH公開鍵Bは、NASセキュリティモード完了メッセージに含まれる。別の実施形態では、UEはまた、DH公開鍵AをMAC計算に含んでよい。
ブロック611では、UEは、KASMEおよびKDHに基づいて、セッション鍵K’ASMEを導出する。方法は、SHA256関数を使用する等、本明細書における前の実施形態で提案されたものと同様であることができる。
ブロック612では、UEは、NASセキュリティモード完了メッセージを、メッセージに含まれるBおよび関連NAS-MACと共に、MMEに送信する。
ブロック613では、NASセキュリティモード完了メッセージを受信した後、MMEは、NAS-MACコードを検証して、セッション鍵生成のためにBを抽出する。別の実施形態では、UEおよびMMEがNAS-MAC計算にDH公開鍵Aを含めることに合意した場合、MMEはまた、DH公開鍵AをMAC計算に含んでよい。
ブロック614では、MME/CMは、FFC群の使用によるBa mod pまたはECC群の使用によるaB mod pとして、DH対称プライベート鍵KDHを導出または生成する。UEおよびMME側両方におけるDH鍵は同じである。
ブロック615では、MME/CMは、KDHまたはKDHおよびKASMEの両方において、EPSアルゴリズム、排他的論理和関数、3GPP仕様において定義されたKDF関数またはSHA256ハッシュ関数等の適切な関数への入力としてとることによって、NASレイヤおよびASレイヤのためのセッション鍵K’ASMEを生成する。
図7は、本発明の1つの実施形態による、無線ローカルエリアネットワーク(WLAN)においてセッション鍵を生成するための方法を示すフローチャート700である。本実施形態では、DH手順は、ユーザ機器(UE)およびWLANネットワークの認証が完了した後に埋め込まれる。UEは、図7におけるオーセンティケータによって表される。
ブロック701では、サプリカントはまず、図7のオーセンティケータによって表される、WLANアクセスポイント(AP)を認証して、それと関連付ける。
ブロック702では、サプリカントおよびAAAサーバは、互いに相互認証する。認証結果は、相互認証が完了すると生成される。
ブロック703および704では、サプリカントおよびオーセンティケータはペアワイズマスター鍵PMKを導出または生成する。
認証後、サプリカントおよびオーセンティケータは、サプリカントおよびオーセンティケータにおけるセキュリティコンテキストを設定するために、いずれもEAPoL-Keyフレームである2つの管理メッセージを交換する。オーセンティケータによって、第1の管理メッセージ、すなわち、EAPoL-Keyを送信する前にDH手順は開始される。
ブロック705では、オーセンティケータは、乱数a、すなわち、CN生成プライベート乱数を生成して、FFC群によりDH公開鍵A = ga mod pまたはECC群によるA = aPを計算する。
ブロック706では、オーセンティケータは、EAPoL-KeyフレームにAを含み、EAPoL-Keyフレームをサプリカントに送信する。
ブロック707では、サプリカントが上記EAPoL鍵を受信した後、サプリカントは、メッセージから値Aを抽出する。その後、サプリカントは、乱数b、すなわち、UE生成プライベート乱数を生成して、FFC群によるB = gb mod pまたはECC群によるB = bPを計算し、BはUE生成Diffie-Hellman公開鍵である。
ブロック708では、サプリカントはまた、DH鍵KDHをAb mod pとして導出または生成する。サプリカントは、IEEE 802.11-2012標準において定義されるPRF-X等の、鍵生成関数への入力として少なくともKDHおよびPMKを持つペアワイズトランジェント鍵PTKを導出または生成する。サプリカントは、次いで、少なくともBおよびメッセージ完全性コード(MIC)を含む、メッセージEAPoL-Keyを生成する。EAPoL-Keyにおいて計算されるMICコードは、AおよびBの両方を入力として含む。
ブロック709では、サプリカントは、IEEE 802.11-2012標準において定義されるPRF-X等の鍵生成関数への入力としてKDHおよびPMKを持つペアワイズトランジェント鍵PTKを生成する。1つの例は、サプリカントは、PMKおよびKDHを介してXOR演算を実行して、次いで、PRF-X関数への入力としてその結果を使用することである。
ブロック710では、サプリカントは、EAPoL-Keyフレームを、メッセージに含まれるBおよび関連MICと共に、オーセンティケータに送信する。
ブロック711では、EAPoL-Keyフレームを受信した後、オーセンティケータはMICコードを検証して、セッション鍵生成のためにBを抽出する。オーセンティケータは、次いで、FFC群によるBa mod pまたはECC群によるaBとしてDH鍵KDHを導出または生成する。サプリカント(例えば、UEまたは局)およびオーセンティケータ(例えば、APまたはコントローラ)の両方におけるDH鍵は同じである。
ブロック712では、オーセンティケータは、IEEE 802.11-2012標準において定義されるPRF-X等の鍵生成関数への入力としてKDHおよびPMKを持つペアワイズトランジェント鍵PTKを生成する。1つの実施形態では、オーセンティケータは、PMKおよびKDHを介してXOR演算を実行して、次いで、PRF-X関数への入力としてその結果を使用することである。別の実施形態では、オーセンティケータは、KDH and PMKを変換して、その後、IEEE 802.11仕様で定義されたKDF関数またはSHA256関数のいずれかに文字列を入力して、PTKを導出する。
図8は、UEおよび/またはCNに配置され得る鍵生成装置を提供する、本発明の別の実施形態を示す。鍵生成装置は、
少なくともネットワーク側機器からの認証ベクトルおよびDiffie-Hellman公開鍵を受信するように構成される少なくとも1つの受信ユニットと、
ネットワークと相互認証し、少なくとも第1の対称鍵を生成するように構成される少なくとも1つの認証ユニットと、
少なくともDiffie-Hellman公開鍵および受信されたDiffie-Hellman公開鍵に基づく第2の対称鍵を生成するように構成される少なくとも1つのDiffie-Hellman手順ユニットと、
Diffie-Hellman公開鍵のための少なくともメッセージ認証コードを生成し、少なくともDiffie-Hellman公開鍵およびメッセージ認証コードを送信するように構成される少なくとも1つの送信ユニットと、
第1の対称鍵および第2の対称鍵の両方に基づいて、少なくともセッション鍵を生成するように構成される少なくとも1つのセッション鍵生成ユニットとを含む。
UEに鍵生成装置が配置される1つの実施形態では、鍵生成装置は、添付の請求項20乃至28に従って動作する。
CNに鍵生成装置が配置される1つの実施形態では、鍵生成装置は、添付の請求項29乃至36に従って動作する。
図9は、通信システムを提供する本発明の別の実施形態を示し、システムは、ユーザ機器およびネットワーク側機器の両方を含み、
認証ベクトルおよびDiffie-Hellman公開鍵を少なくとも受信するために使用され、少なくともDiffie-Hellman公開鍵およびメッセージ認証コードを送信し、認証手順およびDiffie-Hellman手順から生成される鍵に基づいて、少なくともセッション鍵を導出または生成する、少なくとも1つのユーザ機器と、
少なくとも認証ベクトルおよびDiffie-Hellman公開鍵を少なくとも送信するために使用され、少なくともDiffie-Hellman公開鍵およびメッセージ認証コードを受信し、認証手順およびDiffie-Hellman手順から生成される鍵に基づいて、少なくともセッション鍵を導出または生成する、少なくとも1つのネットワーク側機器とを含む。
通信システムは、添付の請求項37に従って動作する。
DH手順およびUEとのCNの相互認証を使用して、セッション鍵を生成するための上述の方法および装置は、3G/4G仕様によって指定されるシステムまたは3GPP標準組織によって定義される3G/4G仕様によって指定されるシステムから進化したシステムにおいて実施されることができる。
他の実施形態は、本明細書の考察および本発明の実施から当業者には明らかである。さらに、特定の用語が説明を明確にするために使用されているが、本発明の開示された実施形態を限定するためには使用されていない。上述の実施形態および特徴は、例示的であると考えられるべきである。

Claims (37)

  1. 鍵生成のための方法であって、前記方法は、
    ユーザ機器(UE)およびネットワーク間の相互認証手順の間または後に、第1の対称鍵を生成して、第1のDiffie-Hellman公開鍵(A)を受信するステップと、
    前記第1のDiffie-Hellman公開鍵(A)に基づいて、第2の対称鍵を生成するステップと、
    前記第1の対称鍵および前記第2の対称鍵の両方に基づいてセッション鍵を生成するステップとを含む方法。
  2. 前記セッション鍵を生成するステップは、
    前記第1の対称鍵および前記第2の対称鍵に対して排他的論理和(XOR)演算を実行するステップか、または、
    前記第1の対称鍵および前記第2の対称鍵を連結して連結された文字列にし、前記連結された文字列を、鍵導出関数およびハッシュ関数のうちの1つに入力するステップのいずれかを含む、請求項1に記載の方法。
  3. 乱数(b)を生成するステップと、
    有限体暗号(FFC)群に基づいて、第2のDiffie-Hellman公開鍵(B)を生成することであって、前記FFC群によりB = gb mod pであり、pは素数であり、gは巡回群Gにおける発生器であり、pおよびGは、前記UEおよび前記ネットワークによって共有される、生成することか、または、
    楕円曲線暗号(ECC)群に基づいて、第2のDiffie-Hellman公開鍵(B)を生成することであって、前記ECC群によりB = bPであり、Pは前記ECC群の基点であり、Pは前記UEおよび前記ネットワークによって共有される、生成することのいずれかを実行するステップとをさらに含み、
    第2の対称鍵を生成するステップは、前記FFC群が使用されるときのAb mod pに基づいて、または、前記ECC群が使用されるときのbAに基づいて、前記第2の対称鍵を生成するステップを含む、請求項1に記載の方法。
  4. 前記第2のDiffie-Hellman公開鍵(B)、
    前記UEのネットワーク認証のために生成される認証コードおよび
    前記セッション鍵、前記第1の対称鍵および前記第2の対称鍵のうちの1つに基づいて、
    メッセージ認証コード(MAC)を生成するステップをさらに含む、請求項3に記載の方法。
  5. 前記第2のDiffie-Hellman公開鍵(B)および前記MACを送信するステップをさらに含む、請求項4に記載の方法。
  6. 前記ネットワークは、ロングタームエボリューション(LTE)ネットワークまたはその進化において提供され、
    前記第1の対称鍵はマスター鍵(KASME)であり、
    前記UEのネットワーク認証のために生成される前記認証コードは、応答コード(RES)であり、前記第2のDiffie-Hellman公開鍵(B)および前記MACを送信するステップは、認証応答メッセージによって、前記第2のDiffie-Hellman公開鍵(B)および前記MACを送信するステップを含む、請求項5に記載の方法。
  7. 前記ネットワークは、ロングタームエボリューション(LTE)ネットワークまたはその進化において提供され、
    第1のDiffie-Hellman公開鍵(A)を受信するステップは、セキュリティモードコマンドメッセージによって、前記第1のDiffie-Hellman公開鍵(A)を受信するステップを含み、前記方法は、
    セキュリティモード完了メッセージによって、前記第2のDiffie-Hellman公開鍵(B)を送信するステップをさらに含む、請求項3に記載の方法。
  8. 前記ネットワークは、ロングタームエボリューション(LTE)ネットワークまたはその進化において提供され、
    第1のDiffie-Hellman公開鍵(A)を受信するステップは、セキュリティモードコマンドメッセージによって、前記第1のDiffie-Hellman公開鍵(A)を受信するステップを含む、請求項1および2のいずれか1項に記載の方法。
  9. 前記第1の対称鍵は、マスター鍵(KASME)である、請求項7および8のいずれか1項に記載の方法。
  10. 前記ネットワークは無線ローカルエリアネットワーク(WLAN)またはその進化において提供され、
    前記第1の対称鍵はペアワイズマスター鍵(PMK)であり、
    第1のDiffie-Hellman公開鍵(A)を受信するステップは、EAPoL-Keyフレームによって、前記第1のDiffie-Hellman公開鍵(A)を受信するステップを含み、
    前記セッション鍵は、ペアワイズトランジェント鍵(PTK)であり、
    前記方法は、
    前記セッション鍵を生成する前に、EAPoL-Keyフレームによって、前記第2のDiffie-Hellman公開鍵(B)を送信するステップをさらに含む、請求項3に記載の方法。
  11. 前記ネットワークは無線ローカルエリアネットワーク(WLAN)またはその進化において提供され、
    前記第1の対称鍵はペアワイズマスター鍵(PMK)であり、
    第1のDiffie-Hellman公開鍵(A)を受信するステップは、EAPoL-Keyフレームによって、前記第1のDiffie-Hellman公開鍵(A)を受信するステップを含み、
    前記セッション鍵は、ペアワイズトランジェント鍵(PTK)である、請求項1および3のいずれか1項に記載の方法。
  12. 鍵生成のための方法であって、前記方法は、
    ネットワークにおいて、
    第1の対称鍵を有するステップと、
    第1のDiffie-Hellman公開鍵(A)を生成および送信するステップと、
    第2のDiffie-Hellman公開鍵(B)を受信するステップと、
    前記第2のDiffie-Hellman公開鍵(B)に基づいて、第2の対称鍵を生成するステップと、
    前記第1の対称鍵および前記第2の対称鍵の両方に基づいて、セッション鍵を生成するステップとを含む方法。
  13. 前記セッション鍵を生成するステップは、
    前記第1の対称鍵および前記第2の対称鍵に対して排他的論理和(XOR)演算を実行するステップか、または、
    前記第1の対称鍵および前記第2の対称鍵を連結して連結された文字列にし、前記連結された文字列を、鍵導出関数およびハッシュ関数のうちの1つに入力するステップのいずれかを含む、請求項12に記載の方法。
  14. 第1のDiffie-Hellman公開鍵(A)を生成および送信するステップは、
    乱数(a)を生成するステップと、
    有限体暗号(FFC)群に基づいて、前記第1のDiffie-Hellman公開鍵(A)を生成することであって、前記FFC群によりA = ga mod pであり、pは素数であり、gは巡回群Gにおける発生器であり、pおよびGは、前記ネットワークおよびユーザ機器(UE)によって共有される、生成することか、または、
    楕円曲線暗号(ECC)群に基づいて、前記第1のDiffie-Hellman公開鍵(A)を生成することであって、前記ECC群によりA = aPであり、Pは前記ECC群の基点であり、Pは前記ネットワークおよびユーザ機器(UE)によって共有される、生成することのいずれかを実行するステップとを含む、請求項12に記載の方法。
  15. 前記第2のDiffie-Hellman公開鍵(B)に基づいて、第2の対称鍵を生成するステップは、
    前記FFC群が使用されるときのBa mod pに基づいて、または、前記ECC群が使用されるときのaBに基づいて、前記第2の対称鍵を生成するステップを含む、請求項14に記載の方法。
  16. 前記第2のDiffie-Hellman公開鍵(B)を受信するステップは、UE生成メッセージ認証コード(MAC)を受信するステップを含み、
    前記方法は、
    前記第2のDiffie-Hellman公開鍵(B)、
    前記UEのネットワーク認証のために生成される認証コードおよび
    前記セッション鍵、前記第1の対称鍵および前記第2の対称鍵のうちの1つに基づいて、ネットワーク生成MACを生成するステップと、
    前記ネットワーク生成MACを、前記受信されたUE生成MACと比較するステップと、
    前記ネットワーク生成MACおよび前記受信されたUE生成MACが等しい場合、前記UEを成功裏に認証するステップと、
    前記ネットワーク生成MACおよび前記受信されたUE生成MACが等しくない場合、前記UEの認証を失敗するステップとをさらに含む、請求項12、14および15のいずれか1項に記載の方法。
  17. 前記ネットワークは、ロングタームエボリューション(LTE)ネットワークまたはその進化において提供され、
    前記第1の対称鍵は、マスター鍵(KASME)であり、
    前記UEの前記ネットワーク認証のために生成される前記認証コードは、期待応答コード(XRES)であり、
    前記第1の対称鍵を有するステップは、前記第1の対称鍵を、ホーム加入者サーバ(HSS)において生成するステップを含み、
    第1のDiffie-Hellman公開鍵(A)を生成および送信するステップは、モビリティ管理エンティティ(MME)において、前記第1のDiffie-Hellman公開鍵(A)を生成し、認証要求メッセージによって、前記MMEから前記UEに、前記第1のDiffie-Hellman公開鍵(A)を送信するステップを含み、
    第2のDiffie-Hellman公開鍵(B)を受信するステップは、前記MMEにおいて、認証応答メッセージによって、前記Diffie-Hellman公開鍵(B)を受信するステップを含み、
    UE生成メッセージ認証コード(MAC)を受信するステップは、前記MMEにおいて、前記認証応答メッセージによって、前記UE生成MACを受信するステップを含む、請求項16に記載の方法。
  18. 前記ネットワークは、ロングタームエボリューション(LTE)ネットワークまたはその進化において提供され、
    前記第1の対称鍵は、マスター鍵KASMEであり、
    第1の対称鍵を有することは、モビリティ管理エンティティ(MME)、認証、認可および課金(AAA)サーバおよび接続マネージャ(CM)のうちの1つにおいて、前記第1の対称鍵を生成するステップを含み、
    第1のDiffie-Hellman公開鍵(A)を生成および送信するステップは、前記MMEにおいて、前記第1のDiffie-Hellman公開鍵(A)を生成し、セキュリティモードコマンドメッセージによって、前記MMEから前記UEに、前記Diffie-Hellman公開鍵(A)を送信するステップを含み、
    第2のDiffie-Hellman公開鍵(B)を受信するステップは、前記MMEにおいて、セキュリティモード完了メッセージによって、前記第2のDiffie-Hellman公開鍵Bを受信するステップを含み、
    前記第1の対称鍵および前記第2の対称鍵の両方に基づいて、セッション鍵を生成するステップは、前記MMEにおいて、前記第1の対称鍵および前記第2の対称鍵の両方に基づいて、前記セッション鍵を生成するステップを含む、請求項12、14および15のいずれか1項に記載の方法。
  19. 前記ネットワークは、無線ローカルエリアネットワーク(WLAN)ネットワークにおいて提供され、
    第1の対称鍵を有するステップは、アクセスポイント(AP)、アクセスコントローラ(AC)および認証、認可および課金(AAA)サーバのうちの1つにおいて、前記第1の対称鍵を生成するステップを含み、
    前記第1の対称鍵は、ペアワイズマスター鍵(PMK)であり、
    第1のDiffie-Hellman公開鍵(A)を生成および送信するステップは、アクセスポイント(AP)、アクセスコントローラ(AC)のうちの1つにおいて前記第1のDiffie-Hellman公開鍵(A)を生成して、アクセスポイント(AP)およびアクセスコントローラ(AC)のうちの1つから、EAPoL-Keyフレームによって、前記第1のDiffie-Hellman公開鍵(A)を送信するステップを含み、
    前記第2のDiffie-Hellman公開鍵(B)を受信するステップは、アクセスポイント(AP)およびアクセスコントローラ(AC)のうちの1つにおいて、EAPoL-Keyフレームによって、前記第2のDiffie-Hellman公開鍵(B)を送信するステップを含み、
    前記セッション鍵は、ペアワイズテンポラル鍵(PTK)である、請求項12に記載の方法。
  20. 鍵生成装置であって、
    ネットワークから、少なくとも第1のDiffie-Hellman公開鍵(A)を受信するように構成される受信ユニットと、
    ネットワークと相互認証し、少なくとも第1の対称鍵を生成するように構成される認証ユニットと、
    前記第1のDiffie-Hellman公開鍵(A)に基づく第2の対称秘密鍵を生成するように構成されるDiffie-Hellman手順ユニットと、
    前記第1の対称鍵および前記第2の対称鍵の両方に基づいて、少なくともセッション鍵を生成するように構成されるセッション鍵生成ユニットとを含む鍵生成装置。
  21. 前記セッション鍵生成ユニットは、
    前記第1の対称鍵および前記第2の対称鍵に対して排他的論理和(XOR)演算を実行することか、または、
    前記第1の対称鍵および前記第2の対称鍵を連結して連結された文字列にし、前記連結された文字列を、鍵導出関数およびハッシュ関数のうちの1つに入力することのいずれかによってセッション鍵を生成するようにさらに構成される、請求項20に記載の鍵生成装置。
  22. 前記Diffie-Hellman手順ユニットは、
    乱数(b)を生成し、
    有限体暗号(FFC)群であって、前記FFC群によりB = gb mod pであり、pは素数であり、gは巡回群Gにおける発生器であり、pおよびGは、UEおよび前記ネットワークによって共有される、FFC群か、または、
    楕円曲線暗号(ECC)群であって、前記ECC群によりB = bPであり、Pは前記ECC群の基点であり、Pは前記ネットワークおよび前記UEによって共有される、ECC群のいずれかに基づいて、第2のDiffie-Hellman公開鍵(B)を生成し、
    前記FFC群が使用されるときのAb mod pに基づいて、または、前記ECC群が使用されるときのbAに基づいて、前記第2の対称鍵を生成するようにさらに構成される、請求項20に記載の鍵生成装置。
  23. 前記第2のDiffie-Hellman公開鍵(B)、
    前記UEのネットワーク認証のために生成される認証コードおよび
    前記セッション鍵、前記第1の対称鍵および前記第2の対称鍵のうちの1つに基づいて、
    少なくともメッセージ認証コード(MAC)を生成し、
    少なくとも前記第2のDiffie-Hellman公開鍵(B)および前記MACを送信するように構成される送信ユニットをさらに含む、請求項22に記載の鍵生成装置。
  24. 前記Diffie-Hellman手順ユニットは、
    前記第2のDiffie-Hellman公開鍵(B)および前記MACを、認証応答メッセージによって送信するようにさらに構成される、請求項23に記載の鍵生成装置。
  25. 前記受信ユニットは、セキュリティモードコマンドメッセージによって、前記第1のDiffie-Hellman公開鍵(A)を受信するようにさらに構成され、
    前記送信ユニットは、セキュリティモード完了メッセージによって、前記第2のDiffie-Hellman公開鍵(B)を送信するようにさらに構成される、請求項23に記載の鍵生成装置。
  26. 前記認証ユニットは、
    前記第1の対称鍵をマスター鍵(KASME)として生成するようにさらに構成される、請求項20、24および25のいずれか1項に記載の鍵生成装置。
  27. 前記認証ユニットは、前記第1の対称鍵をペアワイズマスター鍵(PMK)として生成するようにさらに構成され、
    前記受信ユニットは、EAPoL-Keyフレームによって、前記第1のDiffie-Hellman公開鍵(A)を受信するようにさらに構成され、
    前記セッション鍵生成ユニットは、ペアワイズトランジェント鍵(PTK)を生成するようにさらに構成され、
    前記送信ユニットは、EAPoL-Keyフレームによって、前記第2のDiffie-Hellman公開鍵(B)を送信するようにさらに構成される、請求項23に記載の鍵生成装置。
  28. 前記認証ユニットは、前記第1の対称鍵をペアワイズマスター鍵(PMK)として生成するようにさらに構成され、
    前記受信ユニットは、EAPoL-Keyフレームによって、前記第1のDiffie-Hellman公開鍵(A)を受信するように構成され、
    前記セッション鍵生成ユニットは、前記セッション鍵をペアワイズトランジェント鍵(PTK)として生成するようにさらに構成される、請求項20に記載の鍵生成装置。
  29. 鍵生成装置であって、
    ユーザ機器(UE)と相互認証し、少なくとも第1の対称鍵を提供するように構成される認証ユニットと、
    第1のDiffie-Hellman公開鍵(A)と、第2のDiffie-Hellman公開鍵(B)に基づく第2の対称鍵とを生成するように構成されるDiffie-Hellman手順ユニットと、
    前記UEから、少なくとも前記第2のDiffie-Hellman公開鍵(B)を受信するように構成される受信ユニットと、
    前記第1のDiffie-Hellman公開鍵(A)を送信するように構成される送信ユニットと、
    前記第1の対称鍵および前記第2の対称鍵の両方に基づいて、少なくともセッション鍵を生成するように構成されるセッション鍵生成ユニットとを含む、鍵生成装置。
  30. 前記セッション鍵生成ユニットは、
    前記第1の対称鍵および前記第2の対称鍵に対して排他的論理和(XOR)演算を実行することか、または、
    前記第1の対称鍵および前記第2の対称鍵を連結して連結された文字列にし、前記連結された文字列を、鍵導出関数およびハッシュ関数のうちの1つに入力することのいずれかによってセッション鍵を生成するようにさらに構成される、請求項29に記載の鍵生成装置。
  31. 前記Diffie-Hellman手順ユニットは、
    乱数(a)を生成し、
    有限体暗号(FFC)群であって、前記FFC群によりA = ga mod pであり、pは素数であり、gは巡回群Gにおける発生器であり、pおよびGは、前記ネットワークおよびユーザ機器(UE)によって共有される、FFC群か、または、
    楕円曲線暗号(ECC)群であって、前記ECC群によりA = aPであり、Pは前記ECC群の基点であり、Pは前記ネットワークおよび前記UEによって共有される、ECC群のいずれかに基づいて、前記第1のDiffie-Hellman公開鍵(A)を生成するようにさらに構成される、請求項29に記載の鍵生成装置。
  32. 前記Diffie-Hellman手順ユニットは、
    前記FFC群が使用されるときのBa mod pに基づいて、または、前記ECC群が使用されるときのaBに基づいて、前記第2の対称鍵を生成するようにさらに構成される、請求項31に記載の鍵生成装置。
  33. 前記受信ユニットは、UE生成メッセージ認証コード(MAC)を受信するようにさらに構成され、
    前記送信ユニットは、
    前記第2のDiffie-Hellman公開鍵(B)、
    前記ネットワークのUE認証のために生成される認証コードおよび
    前記セッション鍵、前記第1の対称鍵および前記第2の対称鍵のうちの1つに基づいて、ネットワーク生成MACを生成し、
    前記ネットワーク生成MACを、前記受信されたUE生成MACと比較し、
    前記ネットワーク生成MACおよび前記受信されたUE生成MACが等しい場合、前記UEを成功裏に認証し、
    前記ネットワーク生成MACおよび前記受信されたUE生成MACが等しくない場合、前記UEの認証を失敗するようにさらに構成される、請求項29に記載の鍵生成装置。
  34. 前記認証ユニットは、前記第1の対称鍵をマスター鍵(KASME)として提供するようにさらに構成され、
    前記認証ユニットは、前記ネットワークのUE認証のための前記認証コードを期待応答(XRES)として生成するようにさらに構成され、
    前記送信ユニットは、前記第1のDiffie-Hellman公開鍵(A)を認証要求メッセージによって送信するようにさらに構成され、
    前記受信ユニットは、認証応答メッセージによって、前記Diffie-Hellman公開鍵(B)および前記UE生成MACを受信するようにさらに構成される、請求項33に記載の鍵生成装置。
  35. 前記認証ユニットは、前記第1の対称鍵をマスター鍵(KASME)として提供するようにさらに構成され、
    前記送信ユニットは、セキュリティモードコマンドメッセージによって、前記Diffie-Hellman公開鍵(A)を送信するようにさらに構成され、
    前記受信ユニットは、セキュリティモード完了メッセージによって、前記第2のDiffie-Hellman公開鍵Bを受信するようにさらに構成される、請求項29、31および32のいずれか1項に記載の鍵生成装置。
  36. 前記認証ユニットは、前記第1の対称鍵をペアワイズマスター鍵(PMK)として提供するようにさらに構成され、
    前記送信ユニットは、EAPoL-Keyフレームによって、前記第1のDiffie-Hellman公開鍵(A)を送信するようにさらに構成され、
    前記受信ユニットは、EAPoL-Keyフレームによって、前記第2のDiffie-Hellman公開鍵(B)を受信するようにさらに構成され、
    前記セッション鍵生成ユニットは、前記セッション鍵をペアワイズテンポラル鍵(PTK)として生成するように構成される、請求項29、31および32のいずれか1項に記載の鍵生成装置。
  37. 請求項20乃至28のいずれか1項に記載の鍵生成装置を含むユーザ機器と、
    請求項29乃至36のいずれか1項に記載の鍵生成装置を含むネットワーク機器とを含む、通信システム。
JP2018523801A 2015-11-12 2016-10-28 Diffie−Hellman手順によるセッション鍵生成のための方法およびシステム Pending JP2018533883A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SG10201509342W 2015-11-12
SG10201509342WA SG10201509342WA (en) 2015-11-12 2015-11-12 Method and system for session key generation with diffie-hellman procedure
PCT/SG2016/050530 WO2017091145A1 (en) 2015-11-12 2016-10-28 Method and system for session key generation with diffie-hellman procedure

Publications (1)

Publication Number Publication Date
JP2018533883A true JP2018533883A (ja) 2018-11-15

Family

ID=57249854

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018523801A Pending JP2018533883A (ja) 2015-11-12 2016-10-28 Diffie−Hellman手順によるセッション鍵生成のための方法およびシステム

Country Status (7)

Country Link
US (1) US10931445B2 (ja)
EP (1) EP3350958B1 (ja)
JP (1) JP2018533883A (ja)
KR (1) KR102112542B1 (ja)
CN (1) CN108141355B (ja)
SG (1) SG10201509342WA (ja)
WO (1) WO2017091145A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018507646A (ja) * 2015-02-27 2018-03-15 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
EP3613101B1 (en) * 2017-04-17 2024-02-07 Airvine Scientific, Inc. High-speed wireless multi-path data network
CN107682150B (zh) * 2017-10-27 2020-03-10 武汉大学 一种适用于计算资源非对称领域的共享密钥建立方法
US11265699B2 (en) 2018-02-23 2022-03-01 T-Mobile Usa, Inc. Identifier-based access control in mobile networks
US10637858B2 (en) * 2018-02-23 2020-04-28 T-Mobile Usa, Inc. Key-derivation verification in telecommunications network
US11121871B2 (en) 2018-10-22 2021-09-14 International Business Machines Corporation Secured key exchange for wireless local area network (WLAN) zero configuration
CN109687957A (zh) * 2018-12-26 2019-04-26 无锡泛太科技有限公司 一种基于椭圆双曲线的公钥加密机制的rfid认证方法
CN111404670A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种密钥生成方法、ue及网络设备
CN111404666A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN111404667B (zh) * 2019-01-02 2023-05-09 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
KR102449817B1 (ko) * 2019-09-17 2022-09-30 (주)라닉스 확장함수를 이용한 복수의 묵시적 인증서 발급 시스템 및 그 발급 방법
CN113014376B (zh) * 2019-12-21 2022-06-14 浙江宇视科技有限公司 一种用户与服务器之间安全认证的方法
CN113141327B (zh) * 2020-01-02 2023-05-09 中国移动通信有限公司研究院 一种信息处理方法、装置及设备
US20220209949A1 (en) * 2020-12-30 2022-06-30 Psdl Secure communication device and secure communication program
US11372986B1 (en) 2021-01-18 2022-06-28 Axiom Technologies LLC Systems and methods for encrypted content management

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008530861A (ja) * 2005-02-04 2008-08-07 クゥアルコム・インコーポレイテッド 無線通信のための安全なブートストラッピング
JP2014527379A (ja) * 2011-09-12 2014-10-09 クゥアルコム・インコーポレイテッド 共有エフェメラル・キー・データのセットを用いるエクスチェンジを符号化するためのシステム及び方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2255285C (en) * 1998-12-04 2009-10-13 Certicom Corp. Enhanced subscriber authentication protocol
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
KR100599199B1 (ko) * 2003-12-17 2006-07-12 한국전자통신연구원 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템
CN1697374A (zh) * 2004-05-13 2005-11-16 华为技术有限公司 密钥数据收发方法及其密钥数据分发装置和接收装置
KR100678934B1 (ko) 2004-06-09 2007-02-07 삼성전자주식회사 세션키를 재사용하는 클라이언트와 서버간 보안 통신 방법및 장치
US7464267B2 (en) * 2004-11-01 2008-12-09 Innomedia Pte Ltd. System and method for secure transmission of RTP packets
US7861078B2 (en) * 2005-10-14 2010-12-28 Juniper Networks, Inc. Password-authenticated asymmetric key exchange
CN102037707B (zh) * 2008-04-07 2015-06-03 交互数字专利控股公司 安全会话密钥生成
CN101640886B (zh) * 2008-07-29 2012-04-25 上海华为技术有限公司 鉴权方法、重认证方法和通信装置
CN101951590B (zh) * 2010-09-03 2015-07-22 中兴通讯股份有限公司 认证方法、装置及系统
CN101969638B (zh) 2010-09-30 2013-08-14 中国科学院软件研究所 一种移动通信中对imsi进行保护的方法
MY159749A (en) * 2011-03-23 2017-01-31 Interdigital Patent Holdings Inc Systems and methods for securing network communications
CN102724665B (zh) 2011-03-31 2015-07-22 中国联合网络通信集团有限公司 飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统
CN102664725B (zh) 2012-04-26 2015-09-16 成都交大光芒科技股份有限公司 客运专线综合监控系统中时钟同步子系统实现方法
US9075953B2 (en) * 2012-07-31 2015-07-07 At&T Intellectual Property I, L.P. Method and apparatus for providing notification of detected error conditions in a network
JP2018507646A (ja) * 2015-02-27 2018-03-15 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008530861A (ja) * 2005-02-04 2008-08-07 クゥアルコム・インコーポレイテッド 無線通信のための安全なブートストラッピング
JP2014527379A (ja) * 2011-09-12 2014-10-09 クゥアルコム・インコーポレイテッド 共有エフェメラル・キー・データのセットを用いるエクスチェンジを符号化するためのシステム及び方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
EUCHNER, M.: "HMAC-Authenticated Diffie-Hellman for Multimedia Internet Keying (MIKEY)", REQUEST FOR COMMENTS, vol. 4650, JPN6019026046, September 2006 (2006-09-01), pages 1 - 27, ISSN: 0004164488 *
PAPAIOANNOU, P. ET AL.: "Secure Elliptic Curve Generation and Key Establishment on a 802.11 WLAN Embedded Device", PROCEEDINGS ISADS 2009, JPN6019012232, 2009, pages 1 - 6, XP031514923, ISSN: 0004164487 *

Also Published As

Publication number Publication date
KR20180066899A (ko) 2018-06-19
KR102112542B1 (ko) 2020-05-19
EP3350958A1 (en) 2018-07-25
US20180331829A1 (en) 2018-11-15
CN108141355B (zh) 2021-05-18
WO2017091145A1 (en) 2017-06-01
SG10201509342WA (en) 2017-06-29
US10931445B2 (en) 2021-02-23
EP3350958B1 (en) 2020-04-22
CN108141355A (zh) 2018-06-08

Similar Documents

Publication Publication Date Title
US10931445B2 (en) Method and system for session key generation with diffie-hellman procedure
JP6492115B2 (ja) 暗号鍵の生成
JP6732095B2 (ja) 異種ネットワークのための統一認証
US8510559B2 (en) Secure session key generation
US8503376B2 (en) Techniques for secure channelization between UICC and a terminal
Alezabi et al. An efficient authentication and key agreement protocol for 4G (LTE) networks
CN101931955B (zh) 认证方法、装置及系统
Mun et al. 3G-WLAN interworking: security analysis and new authentication and key agreement based on EAP-AKA
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
US11228429B2 (en) Communication with server during network device during extensible authentication protocol—authentication and key agreement prime procedure
EP3700245B1 (en) Communication method and device
Arkko et al. A USIM compatible 5G AKA protocol with perfect forward secrecy
Dey et al. An efficient dynamic key based eap authentication framework for future ieee 802.1 x wireless lans
Youm Extensible authentication protocol overview and its applications
Ertaul et al. Security Evaluation of CDMA2000.
Audestad Mobile Security

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180516

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180516

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190626

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20191202