JP2019169963A - 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 - Google Patents

通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 Download PDF

Info

Publication number
JP2019169963A
JP2019169963A JP2019090941A JP2019090941A JP2019169963A JP 2019169963 A JP2019169963 A JP 2019169963A JP 2019090941 A JP2019090941 A JP 2019090941A JP 2019090941 A JP2019090941 A JP 2019090941A JP 2019169963 A JP2019169963 A JP 2019169963A
Authority
JP
Japan
Prior art keywords
pfs
parameter
verification code
challenge
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019090941A
Other languages
English (en)
Other versions
JP6979420B2 (ja
Inventor
ネズルンド、マッツ
Naslund Mats
サーリン、ベンクト
Sahlin Bengt
ノールマン、カール
Norrman Karl
アルッコ、ヤリ
Arkko Jari
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of JP2019169963A publication Critical patent/JP2019169963A/ja
Priority to JP2021135734A priority Critical patent/JP2021193800A/ja
Application granted granted Critical
Publication of JP6979420B2 publication Critical patent/JP6979420B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】PFS(Perfect forward Secrecy)を備えた認証および暗号鍵合意を提供する。【解決手段】第1の通信ネットワークWN1の第1のネットワークデバイスMME44は、チャレンジを取得し、第1のPFSパラメータを生成し、第1のPFSパラメータの第1の検証コードを取得し、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスUE40へ送信する。通信デバイスUE40は、チャレンジ、第1のPFSパラメータ及び第1の検証コードを受信し、チャレンジをアイデンティティモジュールへ転送し、アイデンティティモジュールから受信した結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定する。上記判定が肯定的である場合、第2のPFSパラメータを生成して第1のネットワークデバイスへ送信する。第1のネットワークデバイスは、第2のPFSパラメータを検証する。【選択図】図2

Description

本発明は、ネットワークデバイスと通信するための通信デバイス、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスのための方法、コンピュータプログラム及びコンピュータプログラムプロダクト、第1の通信ネットワークの第1のネットワークデバイス、第1の通信ネットワークの第1のネットワークノードのための方法、コンピュータプログラム及びコンピュータプログラムプロダクト、並びに、第1の通信システム内の第1のネットワークデバイスと第2の通信システム内の第2のネットワークデバイスとを含むシステムに関する。本発明は、第2のネットワークデバイスにも関する。
通信ネットワーク上を移送されるデータは、次第にセンシティブになりつつある。モバイル、ワイヤレス及び固定の通信ネットワークといった通信ネットワークは、今日では、例えば多様な経済的及び商業関連のトランザクション、サイバー−物理システムの制御などのために、ますます頻繁に使用されている。従って、より強いセキュリティ施策を求めるニーズが存在する。
例えばモバイル通信では、通信ネットワークとユーザ機器(UE)とが互いに相互認証を行って、交換されるトラフィックデータを暗号化できることが重要であり、それらセキュリティサービスは、鍵合意(key agreement)又は鍵確立(key establishment)を含むセキュアな鍵管理に決定的に依存する。
この点において、第2世代(2G)以降のモバイルネットワークは、強力な(U)SIM((Universal) Subscriber Identity Module)カードベースの認証及び暗号鍵合意を活用してきた。第3世代(3G)以降のネットワークより、認証は相互的となっており:ネットワーク及びユーザ機器の双方が互いを認証する。USIMベースの3G/4G認証は、例えば3GPP TS33.102 V12.2.0及び33.401 V12.13.0において説明されている。そのプロトコルは、どちらのアクセスネットワークタイプが使用されるかに依存してUMTS AKA又はLTE AKAとして知られており、UMTS AKAはUniversal Mobile Telecommunication System Authentication and Key Agreementについての頭字語、LTE AKAはLong Term Evolution Authentication and Key Agreementについての頭字語である。留意事項として、3GPP標準は鍵合意との用語を使用する一方、実際に使用されるプロトコルは、どちらかというと鍵確立の性質を有する。但し、その違いは本議論にとって重要ではない。このAKAプロトコルの異種が、IPマルチメディアサブシステム(IMS)、IMS AKA、非3GPPアクセス技術(EAP−AKA、IETF RFC4187)のために、及び一般的なサービスレイヤ認証(汎用ブートストラッピングアーキテクチャ、GBA、3GPP TS33.220 V12.3.0)のために開発されてきている。
図1は、TS 33.102 V12.2.0による3Gネットワークのための高レベルでのAKAの機能を示しており、ユーザ機器に対応する一種の通信デバイスである移動局MSは、HE(Home Environment)/HLR(Home Location Register)と通信するサービングネットワーク(SN)のVLR(Visiting Location Register)/SGSN(Serving Gateway Support Node)と通信する。4G/LTEでは、モバイル管理エンティティ(MME)がVLR/SGSNに取って代わり、HE/HLRはホーム加入者サーバ(HSS)に対応する。
図1では、VLR/SGSNは、10で、訪問中の移動局MSに関して、HE/HLRへ認証データ要求を送信するものとして示されている。HE/HLRは、12で、1組の認証ベクトル(AV(i..n))を生成し、14で、認証データ応答メッセージにおいてベクトル(AVi..n)をVLR/SGSNへ送信し、VLR/SGSNは、次いで、16で、その認証ベクトルを記憶する。これらのステップは、ここでは一緒に、HEからの配信及び認証ベクトルの段階17を形成する。
その後、認証及び鍵確立(又は鍵合意)の段階31が行われる。この段階31で認証が行われる際、VLR/SGSNは、18で、利用可能な(未使用の)認証ベクトルを選択し、このベクトルの内容に基づいて、20で、ランダム値Rand(i)及び認証トークンAUTN(i)を使用してチャレンジを含むユーザ認証要求メッセージARQを送信し、ここでAUTN(i)はチャレンジ検証コードを含み、インデックスiはその値がAVに関連付けられていることを示す。AUTN(i)がMSにおいて検証され、検証が成功すると、検証ステップ22において結果RES(i)が計算される。正確に言えば、これらの動作は、MSにおいてUSIMによって実行される。次いで、MSは、20で、結果RES(i)を含むユーザ認証応答メッセージ(ARE)を送信する。認証ベクトルは、期待される結果XRES(i)を含み、VLR/SGSNは、次いで、26で、受信された結果RES(i)を期待される結果XRES(i)と比較し、比較が成功した(すなわち、2つの値が等しい)場合、VLR/SGSNは、30で、対応する暗号化鍵(ciphering key)CK(i)及び完全性保護鍵IK(i)を選択する。同時に、MS(この場合も、正確に言えば、USIM)は、28で、同じ鍵CK(i)及びIK(i)を計算する。LTEの場合、たとえば、いわゆるKasme鍵(図示せず)など、さらなる鍵がCK(i)及びIK(i)から導出され、この導出は、USIMの外側にあるMSの部分で行われる。USIMの外側のこの部分は、モバイル機器(ME)と呼ばれる。
図1に示し、上記で説明したタイプの認証及び鍵合意では、有利には予め共有された秘密鍵Kが使用され、ユーザ機器(具体的にはUSIM)とホームネットワークの双方に記憶される。次いで、CK(i)及びIK(i)を導出するために、共有鍵Kが使用される。
従って、AKAのセキュリティは、鍵Kが秘密に保たれることに依存する。近日、USIMカードの製造業者のセキュリティが破られ、K鍵のセットが「漏洩」し(又は悪意のある者へ渡り)、従って、これらの鍵に関連付けられた加入者が、偽装、接続ハイジャック、及び盗聴などの危険にさらされる(なぜなら、CK(i)及び/又はIK(i)から導出される暗号化鍵もまたそのようにして潜在的に危険にさらされる)ことがメディアで報告された。2015年7月6日に得られたhttps://firstlook.org/interceptcepts/2015/02/19/great-sim-heist/の記事に、前述のセキュリティへの影響をもたらすAKAプロトコルの潜在的な問題は、AKAがいわゆるPFS(Perfect forward Secrecy)を欠いていることにあることが述べられている。
上述したことに鑑みて、セキュリティが通信ネットワークノードと共有される秘密/鍵を使用するUSIMなどのアイデンティティモジュールに基づく場合の通信デバイスと通信ネットワークとの間の通信のセキュリティレベルを上げることが重要である。
従って、通信デバイスと通信ネットワークとの間の通信セキュリティを強化することを求めるニーズが存在する。
発明の1つの目的は、長期(long-term)共有鍵の使用に関して通信デバイスの通信セキュリティを強化することである。
上記目的は、第1の態様によれば、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスによって達成される。上記通信デバイスは、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信し、チャレンジ又はその派生をアイデンティティモジュールへ転送し、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信し、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定し、第2のPFSパラメータを生成し、上記判定において第1のPFSパラメータが真正である場合に、第2のPFSパラメータをネットワークデバイスへ送信するように構成される。
上記目的は、第2の態様によれば、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスによって実行される方法によって達成される。上記方法は、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信することと、チャレンジ又はその派生をアイデンティティモジュールへ転送することと、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信することと、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定することと、第2のPFSパラメータを生成することと、上記判定において第1のPFSパラメータが真正である場合に、第2のPFSパラメータをネットワークデバイスへ送信することとを含む。
上記目的は、第3の態様によれば、通信ネットワークのネットワークデバイスと通信関係にある通信デバイスのためのコンピュータプログラムによって達成される。上記コンピュータプログラムは、通信デバイスにおいて実行されると、通信デバイスに、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信させ、チャレンジ又はその派生をアイデンティティモジュールへ転送させ、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信させ、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定させ、第2のPFSパラメータを生成させ、上記判定が肯定的である、すなわち、第1のPFSパラメータが真正である場合に、第2のPFSパラメータをネットワークデバイスへ送信させる、コンピュータプログラムコードを含む。
上記目的は、第4の態様によれば、通信ネットワークのネットワークノードと通信関係にある通信デバイスのためのコンピュータプログラムプロダクトによって達成される。上記コンピュータプログラムプロダクトは、第3の態様に係るコンピュータプログラムコードを有するデータ記憶媒体を含む。
第1、第2及び第4の態様に係る本発明は、いくつかの利点を有する。強化されたセキュリティは、長期共有鍵を破ることのできる攻撃者に対する障壁をセットアップし、破られた鍵を悪用するためにいわゆる中間者(man-in-the-middle)攻撃を始めることを攻撃者に強いる。
派生は、チャレンジと同一であってもよい。また、派生は、チャレンジのハッシュであってもよい。
チャレンジのハッシュである派生が使用される場合、チャレンジのサイズは縮小され、標準化されたチャレンジサイズにも適応可能である。アイデンティティモジュールへの純粋なチャレンジの提供は、通信デバイスにおける処理を低減するという利点を有する。
第1の態様の第1の変形例では、通信デバイスは、通信デバイスとネットワークデバイスとの間の通信のためのセッション鍵を生成するように構成され、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
第2の態様の対応する変形例では、上記方法は、通信デバイスとネットワークデバイスとの間の通信のためのセッション鍵を生成することを含み、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
この変形例は、潜在的な将来の共有鍵の侵害に対して強化された通信セキュリティを有するセッションを提供するという利点を有する。
第1及び第2の態様のより具体的な実施形態では、セッション鍵は、第1のPFSパラメータと、第2のPFSパラメータの指数とに基づく。
第1の検証コードは、少なくとも第1のPFSパラメータに基づくメッセージ認証コードを含み得る。少なくとも第2のPFSパラメータに基づくことは、一実施形態では、それが少なくとも第1のPFSパラメータのハッシュに基づいてもよく、ハッシュが暗号ハッシュであってもよいことを意味する。さらに、チャレンジは、第1のPFSパラメータに基づいてもよい。それは、例えば、第1のPFSパラメータ又は第1のPFSパラメータのハッシュであってもよい。このハッシュもまた暗号ハッシュであることが可能である。チャレンジが第1のPFSパラメータに基づくことを通じて、暗号化及び帯域幅使用の経済性が提供される。この経済性は、ハッシュの提供によってさらに強化され、それにより第1のPFSパラメータのサイズを様々な標準化されたフォーマットに適合させることが可能とされる。
第1及び第2のPFSパラメータは、より具体的には、ディフィーヘルマンパラメータであってもよい。
第1の態様の第3の変形例では、通信デバイスは、ネットワークデバイスから、認証要求メッセージ内で、チャレンジ、第1のPFSパラメータ及び第1の検証コードを受信するように構成され、このケースにおいて、認証要求メッセージは、チャレンジ検証コードをも含む。さらに、通信デバイスは、少なくとも1つの結果パラメータを受信する際に、チャレンジに対する応答として応答パラメータを受信するように構成される。最後に、通信デバイスは、第2のPFSパラメータを生成し及び送信するように構成されているとき、第2のPFSパラメータを第2の検証コードと共に生成し、これらを応答パラメータをも含む認証応答メッセージ内で送信するように構成される。
第2の態様の対応する変形例では、チャレンジ、第1のPFSパラメータ及び第1の検証コードが認証要求メッセージ内で受信され、認証要求メッセージはチャレンジ検証コードをも含む。少なくとも1つの結果パラメータは、チャレンジに対する応答として受信される応答パラメータをも含む。さらに、第2のPFSパラメータを生成し及び送信することは、第2のPFSパラメータを第2の検証コードと共に生成し、これらを応答パラメータをも含む認証応答メッセージ内で送信することを含む。
この変形例は、第1及び第2のPFSパラメータ並びに第1及び第2の検証コードを既に存在するメッセージ内で移送できるという利点を有する。それにより、追加的なメッセージが回避される。これは、限定されたリソースであり得る通信デバイス内のエネルギーを節約し得る。
第2の検証コードは、少なくとも第2のPFSパラメータに基づくメッセージ認証コードとして生成されてもよい。少なくとも第2のPFSパラメータに基づくことは、一実施形態では、それが少なくとも第2のPFSパラメータのハッシュに基づいてもよく、ハッシュが暗号ハッシュであってもよいことを意味する。
ハッシュ/メッセージ認証コードはさらに、HMAC/SHA−256に基づいてもよい。
第1及び第2の態様の第4の変形例では、認証要求メッセージは、認証要求メッセージの対応する別個の情報エレメント内に第1の検証コードを含む。
このケースにおいて、通信デバイスは、第1のPFSパラメータの真正性を判定するときに、第1の検証コードを使用するように構成される。
このケースにおいて、この方法で行われた第1のPFSパラメータの真正性の判定は、第1の検証コードを使用して行われる。
第1及び第2の態様の第5の変形例では、第1の検証コードがチャレンジ検証コードの少なくとも一部として提供される。
このケースにおいて、通信デバイスは、アイデンティティモジュールが少なくとも1つの結果パラメータを提供することに基づいて、第1のPFSパラメータの真正性を判定するように構成される。
このケースにおいて、上記方法でなされる第1のPFSパラメータの真正性の判定は、アイデンティティモジュールが少なくとも1つの結果パラメータを提供することに基づいて行われる。
この変形例は、認証要求メッセージにおいて使用される暗号化におけるさらなる経済性を提供する。
第1の態様の第6の変形例では、通信デバイスは、少なくとも1つの結果パラメータのうちの少なくとも1つに基づいて第2の検証コードを生成し、認証応答メッセージの応答パラメータに割り当てられた情報エレメント内で第2の検証コードを送信するように構成される。
第2の態様の対応する変形例では、上記方法は、第2の検証コードを応答パラメータに基づかせることを含む。このケースにおいて、認証応答を送信することは、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを送信することをも含む。
この変形例は、認証応答メッセージ及びその処理に使用される帯域幅及び暗号化におけるさらなる経済性を提供する。
通信デバイスは、ユーザ機器であってもよく、また、プロセッサが動作するコンピュータ命令が記憶されるモバイル機器を含んでもよい。さらに、通信デバイスは、アイデンティティモジュールを含むことが可能であり、アイデンティティモジュールは、鍵及び暗号処理手段を含む。
別の目的は、長期共有鍵の使用に関して通信ネットワーク内の第1のネットワークデバイスの強化された通信セキュリティを提供することである。
上記目的は、第5の態様によれば、第1の通信ネットワークの第1のネットワークデバイスによって達成される。上記第1のネットワークデバイスは、チャレンジを取得し、第1のPFSパラメータを取得し、第1のPFSパラメータについての第1の検証コードを取得し、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信し、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信し、応答パラメータの真正性を判定し、第2の検証コードに基づいて第2のPFSパラメータを検証するように構成される。
上記目的は、第6の態様によれば、通信ネットワークの第1のネットワークデバイスのための方法によって達成される。上記方法は、第1のネットワークデバイスによって実行され、チャレンジを取得することと、第1のPFSパラメータを取得することと、第1のPFSパラメータについての第1の検証コードを取得することと、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信することと、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信することと、応答パラメータの真正性を判定することと、第2の検証コードに基づいて第2のPFSパラメータを検証することとを含む。
上記目的は、第7の態様によれば、通信ネットワークの第1のネットワークデバイスのためのコンピュータプログラムによって達成される。上記コンピュータプログラムは、第1のネットワークデバイスにおいて実行されると、第1のネットワークデバイスに、チャレンジを取得させ、第1のPFSパラメータを取得させ、第1のPFSパラメータについての第1の検証コードを取得させ、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信させ、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信させ、応答パラメータの真正性を判定させ、第2の検証コードに基づいて第2のPFSパラメータを検証させるコンピュータプログラムコードを含む。
上記目的は、第8の態様によれば、通信ネットワークの第1のネットワークデバイスのためのコンピュータプログラムプロダクトによって達成される。上記コンピュータプログラムプロダクトは、第7の態様に係るコンピュータプログラムコードを有するデータ記憶媒体を含む。
第5、第6、第7及び第8の態様に係る本発明は、第1のネットワークデバイスと通信デバイスとの間の通信のセキュリティを強化する。強化されたセキュリティは、いわゆる中間者攻撃に対する障壁をセットアップする。
第5の態様の第1の変形例では、第1のネットワークデバイスは、さらに、通信デバイスと第1のネットワークデバイスとの間の通信のためのセッション鍵を計算するように構成される。セッション鍵は、少なくとも第1及び第2のPFSパラメータを生成するために使用される値に基づく。
第6の態様の対応する変形例では、上記方法は、さらに、通信デバイスユーザ機器と第1のネットワークデバイスとの間の通信のためのセッション鍵を計算することを含み、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
第5及び第6の態様のより具体的な実施形態では、セッション鍵は、第2のPFSパラメータと第1のPFSパラメータの指数とに基づく。
第5の態様の第2の変形例では、第1のネットワークデバイスは、チャレンジを取得するときにチャレンジ検証コードを取得し、チャレンジ、第1のPFSパラメータ及び第1の検証コードをチャレンジ検証コードと共に認証要求メッセージ内で送信し、認証応答メッセージ内で第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信するように構成される。
第6の態様の対応する変形例では、チャレンジを取得することは、チャレンジ検証コードを取得することを含み、チャレンジ、第1のPFSパラメータ及び第1の検証コードを送信することは、これらをチャレンジ検証コードと共に認証要求メッセージ内で送信することを含み、第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信することは、これらを認証応答メッセージ内で受信することを含む。
これには、既存のメッセージを再利用する利点がある。これは、新しいメッセージを追加することなく、既存の認証及び鍵合意プロトコルの既存のメッセージ構造が使用され得ることを意味する。これにより、一般的な環境レベルでエネルギーを節約することができる。なぜなら、追加的なメッセージを送信することは、無線ネットワーク内の限られたリソースであり得るエネルギーを使用するからである。さらに、ネットワーク通信は典型的には標準化をもされており、既に存在するメッセージに新しい情報エレメントを追加することに比して、新しいメッセージの導入に関し合意をなすことはしばしばはるかに困難である。
第5の態様の第3の変形例では、第2のネットワークデバイスは、第1の検証コードを取得するとき、第1のPFSパラメータを使用して第1の検証コードを生成するように構成され、認証要求メッセージを送信するとき、認証要求メッセージの対応する別個の情報エレメント内で第1の認証コードを送信するように構成される。
第6の態様の対応する変形例では、第1の検証コードを取得することは、第1のPFSパラメータを使用して第1の検証コードを生成することを含み、認証要求メッセージを送信することは、対応する別個の情報エレメント内で第1の検証コードを送信することを含む。
第5の態様の第4の変形例では、第1のネットワークデバイスは、第1のPFSパラメータを取得するとき、さらに、第1のPFSパラメータを生成するために使用される値を受信し、チャレンジ検証コードの少なくとも一部として第1の検証コードを取得し、認証要求メッセージ内でチャレンジ検証コードの少なくとも一部として第1の検証コードを送信するように構成される。
第6の態様の対応する変形例では、上記方法は、さらに、第1のPFSパラメータを生成するための値を受信することと、チャレンジ検証コードの少なくとも一部として第1の検証コードを取得することと、認証要求メッセージ内でチャレンジ検証コードの少なくとも一部として第1の検証コードを送信することとを含む。
第5の態様の第5の変形例では、第1のネットワークデバイスは、期待されるチャレンジ結果をも取得し、期待されるチャレンジ結果との比較を通じて応答パラメータの真正性を判定するように構成される。
第6の態様の対応する変形例では、上記方法は、さらに、チャレンジと共に期待されるチャレンジ結果を取得することと、期待されるチャレンジ結果との比較を通じて応答パラメータの真正性を判定することとを含む。
第5及び第6の態様の第6の変形例では、応答パラメータは、第2の認証コードが応答パラメータに基づくことを通じて認証応答メッセージに含められる。
このケースにおいて、第1のネットワークデバイスは、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを受信し、第2の検証コードを使用して、同時に、応答パラメータの真正性を判定し及び第2のPFSパラメータを検証するように構成される。
このケースにおいて、上記方法で実行される認証応答メッセージの受信は、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを受信することを含み、応答パラメータの真正性を判定すること、及び第2のPFSパラメータを検証することは、第2の検証コードを使用して同時に実行される。
さらに別の目的は、長期共有鍵の使用に関してネットワークデバイスの通信セキュリティを強化するためのシステムを提供することである。
上記目的は、第9の態様によれば、第1の通信ネットワーク内の第1のネットワークデバイスと、第2の通信ネットワーク内の第2のネットワークデバイスとを含むシステムによって達成される。第2のネットワークデバイスは、第1のネットワークデバイスへチャレンジを送信するように構成される。
一方、第1のネットワークデバイスは、チャレンジを受信し、第1のPFSパラメータを生成し、第1のPFSパラメータについての第1の検証コードを取得し、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信し、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信し、応答パラメータの真正性を判定し、第2の検証コードに基づいて第2のPFSパラメータを検証するように構成される。
第9の態様の第1の変形例では、第2のネットワークデバイスは、第1のPFSパラメータを取得するための値を、少なくとも値xに基づいてそれを生成することを通じて提供し、並びに、第1のPFSパラメータを使用してチャレンジ検証コードを生成し、及びベース値を第1のネットワークデバイスへ送信する、ように構成される。第1のネットワークデバイスは、転じて、第1の検証コードをチャレンジ検証コードとして通信デバイスへ送信するように構成される。
第9の態様に係る本発明は、第1のネットワークデバイスと通信デバイスとの間の通信のセキュリティを強化する利点も有する。強化されたセキュリティは、長期共有鍵を破ることのできる攻撃者に対する障壁をセットアップし、破られた鍵を悪用するためにいわゆる中間者(man-in-the-middle)攻撃を始めることを攻撃者に強いる。
さらに、本発明の第10の態様は、第2の通信ネットワークのための第2のネットワークデバイスに関し、第2のネットワークデバイスは、第1の通信ネットワークの第1のネットワークデバイスから、通信デバイスのアイデンティティモジュールに関係する認証データの要求を受信し、第1のPFSパラメータを生成し、少なくとも第1のPFSパラメータと、第2のネットワークデバイスとアイデンティティモジュールとの間で共有される鍵とに基づいて第1の検証コードを生成し、上記要求への応答として、少なくとも第1の検証コードと、第1のPFSパラメータの導出元となり得る値とを第1のネットワークデバイスへ送信するように動作可能である。
第1のPFSパラメータの導出元となり得る値は、第2のネットワークデバイスの一実施形態では、第1のPFSパラメータを含んでもよい。
第2のネットワークデバイスの一実施形態では、第1のPFSパラメータは、ディフィーヘルマンパラメータを含み、第1のPFSパラメータの導出元となり得る値は、ディフィーヘルマンパラメータの指数を含む。
強調すべきこととして、「含む/含んでいる(comprises/comprising)」という用語は、本明細書で使用される際、述べられた特徴、整数、ステップ、又は構成要素の存在を特定するが、1つ以上の他の特徴、整数、ステップ、構成要素又はその集合の存在又は追加を排除するものではない。「パラメータ」という語は、パラメータの値を包含するものとして、たとえば、パラメータの計算は、そのパラメータの値の計算を含み、1つ以上のパラメータに基づく結果又は応答の計算又は導出は、1つ以上のパラメータの1つ以上の値に基づく結果又は応答の計算を含むものちして解釈されるべきである。同様に、パラメータを受信すること及びパラメータを送信/転送することは、そのパラメータの値を受信すること及び送信することを含む。
これ以降、次の添付図面に関連して本発明をより詳細に説明する。
通信デバイスと通信ネットワークとの間で実行される既知の認証方式を概略的に示す図である。 第1及び第2の通信ネットワーク並びに第1の通信ネットワークと通信する通信デバイスを概略的に示す図である。 通信デバイスと第1の通信ネットワークとの間のディフィーヘルマンプロトコルの使用を概略的に示す図である。 アイデンティティモジュール及びモバイル機器を含むユーザ機器のブロック概略図である。 モバイル機器のブロック概略図である。 第1及び第2の通信ネットワークの双方におけるノードとして機能するデバイスに適用可能な、ネットワークデバイスの概略を示すブロック概略図である。 第1の実施形態に係る、通信デバイスの通信セキュリティを強化する方法であって、通信デバイスで実行される当該方法におけるいくつかの方法ステップのフローチャートである。 第1の実施形態に係る、第1の通信ネットワーク内の第1のネットワークデバイスのための方法であって、第1のネットワークデバイスで実行される当該方法におけるいくつかの方法ステップのフローチャートである。 第2の実施形態に係る、第2の通信ネットワーク内の通信デバイス、第1のネットワークデバイス、及び第2のネットワークデバイス間で交換される信号を伴うシグナリングチャートである。 チャレンジ検証コードをより詳細に示す図である。 第3の実施形態に係る、通信デバイス、第1のネットワークデバイス、及び第2のネットワークデバイスの間で交換される信号を伴うシグナリングチャートである。 通信デバイスの機能性を実装するためのコンピュータプログラムコードを有するデータ記憶媒体を含むコンピュータプログラムプロダクトを示す図である。 ネットワークデバイスの機能性を実装するためのコンピュータプログラムコードを有するデータ記憶媒体を含むコンピュータプログラムプロダクトを示す図である。 通信デバイスを実現する別の方法を示す図である。 第1のネットワークデバイスを実現する別の方法を示す図である。 第2のネットワークデバイスを実現するさらなる方法を示す図である。
以下の説明では、本発明の完全な理解を提供する目的で、限定ではなく説明のために、特定のアーキテクチャ、インターフェース及び技術などの具体的な詳細を説明する。しかし、これらの具体的な詳細から逸脱する他の実施形態で本発明が実践されてもよいことは、当業者には明らかであろう。他の例では、不必要な詳細で本発明の説明を不明瞭にしないように、周知のデバイス、回路、及び方法の詳細な説明は省略されている。
本発明は、予め共有される鍵を通信セキュリティの基礎として使用する通信ネットワークにおける通信セキュリティの改善に関する。通信ネットワークは、ここでは、GSM(Global System for Mobile communication)のような第2世代(2G)モバイル通信ネットワーク、UMTS(Universal Mobile Telecommunications System)のような第3世代(3G)ネットワーク、LTE(Long-Term Evolution)のような第4世代(4G)ネットワーク、又は現在開発中の3GPPの第5世代(5G)など任意の将来の進化したシステムなどのモバイル通信ネットワークであってよい。これらは、本発明を実装することができるネットワークのほんの一例に過ぎない。使用され得る他のタイプのネットワークは、例えばワイヤレスローカルエリアネットワーク(WLAN)である。セルラーフォンと呼ばれることもある、ユーザ機器(UE)、移動局(MS)などの通信デバイスは、これらの通信ネットワークを使用して通信し得る。さらに、ここでの通信デバイスは、アイデンティティモジュールに接続されており、アイデンティティモジュールは、加入者アイデンティティモジュール(SIM)及び/若しくはユニバーサル加入者アイデンティティモジュール(USIM)、IPマルチメディアサブシステムSIM(ISIM)、組み込みSIM(eSIM)モジュール、ソフトウェアモジュール、又はグローバルプラットフォームトラステッドエグゼキューションモジュールなどを保持する、ユニバーサル集積回路カード(UICC)などのスマートカードであってもよい。従って、アイデンティティモジュールを、信頼できる実行環境で動作するソフトウェア、又は汎用プロセッサ上で動作するソフトウェアで実装してもよく、但し後者は好適ではない。後に、USIMとの用語が説明の一例として使用されるが、当業者は、いかなるタイプのアイデンティティモジュールも同じ目的に供されることを認識するであろう。理解すべきこととして、アイデンティティモジュールは、通信デバイスの一部であってもよい。また、通信デバイスが使用される場合に、アイデンティティモジュールは、通信デバイスへ接続される別個のエンティティであってもよい。
通信セキュリティのためのベースとして、例えば、認証及び鍵合意のために、鍵が使用される。鍵は、有利には、上述のように、予め共有され、アイデンティティモジュールに記憶され得る。
以下では、UEの形式の通信デバイスの例についてのみ説明する。しかし、通信デバイスはUEであることに限定されないことを理解されたい。通信デバイスは、データ及び/又は信号をネットワークノードとの間でワイヤレスに送受信することができる、任意のタイプのワイヤレスエンドポイント、移動局、携帯電話、ワイヤレスローカルループ電話、スマートフォン、ユーザ機器、デスクトップコンピュータ、PDA、セルフォン、タブレット、ラップトップ、VoIPフォン又はハンドセットとすることができる。通信デバイスは、例えば、何らかの形式の電子機器(例えば、センサ又はデジタルカメラ)、車両、家庭用ゲートウェイ、家庭/住宅用WiFi/4Gアクセスポイント、冷蔵庫のような家電機器、サーモスタット、盗難警報機、掃除機、芝刈り機ロボットなどのための3G又は4G接続を提供する通信モデムであってもよい。固定的な通信ネットワークに接続された据え置き型の端末であってもよい。
前述のように、及び図1に示すように、認証及び鍵合意(AKA)は、いくつかの通信ネットワークで使用される既知の鍵合意の体系である。
図1において見られるように、VLR/SGSN(Visitor Location Register/Serving Gateway Support Node)は、訪問中のユーザ機器(UE)に関して、HE/HLR(Home Environment/Home Location Register)へ10で認証データ要求を送信するものとして示されている。HE/HLRは、12で、1組の認証ベクトル(AV(i..n))を生成し、14で、ベクトル(AVi..n)を認証データ応答メッセージ内でVLR/SGSNへ送信し、VLR/SGSNは、転じて、16で、それら認証ベクトルを記憶する。
VLR/SGSNは、18で、認証ベクトルを選択し、このベクトルの内容に基づいて、20で、ランダム値RAND(i)及び認証トークンAUTN(i)が割り当てられたパラメータRANDを使用してチャレンジを含むユーザ認証要求メッセージARQを送信し、AUTN(i)は、以下に詳細に説明するチャレンジ検証コードをも含み、iは、その値がAViに関連付けられていることを示す。UEでは、次いで検証ステップ22においてAUNT(i)が検証され、結果RES(i)が計算される。次いで、UEは、20で、結果RES(i)を含むユーザ認証応答メッセージ(ARE)を送信する。認証ベクトルは、期待される結果XRES(i)を含み、VLR/SGSNは、次いで、26で、受信された結果RES(i)を期待される結果XRES(i)と比較し、比較が成功した場合、すなわち、それらが等しいと判明した場合、VLR/SGSNは、30で、暗号化鍵CK(i)及び完全性保護鍵IK(i)を選択する。また、UEは、28で、同じ鍵CK(i)及びIK(i)を計算する。これらは次いで、セッション鍵を取得するために使用される。いくつかのシステム(例えば、LTE)では、鍵CK(i)及びIK(i)がセッション鍵Kasmeを取得するために使用される。
図1に示し、上記で説明したタイプの認証では、有利に予め共有された秘密鍵Kがユーザ機器とネットワークの双方で使用される。
UMTS/LTE AKAは、セキュリティ及びロバスト性の実証済みの実績により、将来の世代のモバイルネットワーク(例えば、5G)の基礎としても使用されることが予測される。後で、特に明記しない限り、「AKA」は、UMTS AKA、LTE AKA、又はこれらに基づくプロトコル、例えば「5G」ネットワークの将来の拡張などを示すために使用される。
上記でも述べたように、図1に示すAKAプロトコルは、UE、VLR/SGSN(Visitor Location Register/Serving Gateway Support Node)、HE/HLR(Home Environment/Home Location Register)の間で通信が行われる3GPP TS33.102に整合する。4G/LTEでは、モビリティ管理エンティティ(MME)がVLR/SGSNに取って代わり、HE/HLRはホーム加入者サーバ(HSS)に対応する。なお、この図では、端末/UE/通信デバイスをMSと呼ぶ。本開示では、MS及びUEは同じエンティティである。
AUTN(i)(認証トークン)は、様々なフィールドからなるパラメータである:AMF(認証管理フィールド)、MAC及びシーケンス番号標識(SQN、恐らくは匿名鍵AKによって暗号化/修正される)。MAC(i)は、USIMにより実装された暗号機能を通じて第三者によって偽造されることからチャレンジRAND(i)(ランダム数)、並びにSQN及びAMFを保護するメッセージ認証コードである。鍵CK(i)及びIK(i)は、3Gでは暗号化/完全性保護のために直接的に使用され、4G/LTEでは、それら目的のために、CK(i)及びIK(i)から(具体的には、CK(i)及びIK(i)によって形成される鍵Kasmeから)暗号化/完全性鍵を導出することによって間接的に使用される。
UE及びHEの双方で提供されるこれらの暗号機能では、共有鍵Kがこのように使用される。
Kは、USIM及びHSS/AuCによってこのように共有される鍵(通常128ビット)であり、AuCは、認証センターの略である。その共有鍵は、他方の当事者には秘密にしておかなければならない。
暗号化の及び他の形式の計算の説明の残りの部分で使用される簡略化した表記法として、明示的に言及されたもの以外のパラメータが、鍵導出関数(KDF)、メッセージ認証コード(MAC)及びここで説明されるすべての例における他のすべての関数などといった関数へ入力されてもよい。それらパラメータは、明示的に記載されたものとは異なる順序で配置されてもよい。それらパラメータは、関数への入力の前に変換されてもよい。例えば、いくつかの非負の整数nについて、パラメータのセットP1,P2,…,Pnを第2の関数fをまず実行することによって変換することができ、その結果、すなわちf(P1,P2,…,Pn)が関数に入力される。
パラメータPが「output_key」と呼ばれる鍵を計算するためにKDFへ入力される前にまず変換される場合の鍵導出の一例は、output_key=KDF(f(P),他の何らかのパラメータ)という形式の導出であり得る。ここで、fは、何らかの任意の関数又は一連の関数である。入力「何らかの他のパラメータ」は、例えばあるコンテキストに鍵をバインドするために使用される、0個、1個又はそれ以上の他のパラメータであり得る。時として、“…”という表記が「何らかの他のパラメータ」の同義語として使用され得る。パラメータは、別々のパラメータとして入力されてもよく、又は一緒に連結され、次いでKDFへの単一の入力として入力されてもよい。従って、当業者であれば、追加のパラメータを使用してもよいこと、パラメータを変換し又は再編成するなどしてもよいこと、及び、それらの変形が存在するとしても本アイデアの要部は同じままであることを理解するであろう。
上で言及したように、AKAのセキュリティは、鍵Kが秘匿されていることに依存する。近日、USIMカードの製造業者のセキュリティが破られ、1組のK鍵が「漏洩し」(又は悪意のある者へ渡り)、従って、これらの鍵に関連付けられた加入者が、偽装、接続ハイジャック、及び盗聴などの危険にさらされる(なぜなら、CK(i)及び/又はIK(i)から導出される暗号化鍵もまたそのようにして潜在的に危険にさらされる)ことがメディアで報告された。https://firstlook.org/theintercept/2015/02/19/great-sim-heist/の記事に、前述のセキュリティへの影響をもたらすAKAプロトコルの潜在的な問題は、AKAがいわゆるPFS(Perfect forward Secrecy)を欠いていることにあることが述べられている。PFSは、セッション鍵を確立するために使用される長期鍵が露見していても、過去のセッション鍵もまた露見していることは依然として示唆されないことを意味する。すなわち、長期鍵が破られている状況で、セッション鍵は将来において安全である。AKAは、実際には、有利ではあるがより脆弱な特性を有し、それはしばしば鍵分離(key separation)として言及される:セッション鍵(CK(i)、IK(i)など)が露見するとしても、過去/将来のCK(j)、IK(j)(及びさらに導出される鍵)は露見しない。しかしながら、長期鍵Kが露見している場合、そのようなすべてのセキュリティ上の特性にはあまり価値が無い。
本発明の複数の態様は、PFSを追加することを通じて上述の認証機能について改善をなすことに関係する。従って、ユーザ機器とネットワークの双方の通信セキュリティを強化することに関係する。
但し、これがどのようになされるかを詳細に説明する前に、以下に環境のいくつかのさらなる詳細が与えられるであろう。
図2は、通信デバイス40の1つの例示的な通信環境を概略的に示しており、図2の通信デバイス40は、通信セキュリティが強化される対象のユーザ機器(UE)の一形式である。この例では、第1及び第2の通信ネットワークが存在し、このケースでは共にLTEネットワークのようなモバイル通信ネットワークである。ユーザ機器UEは、このケースでは、第1の通信ネットワーク36の基地局BS42と無線インターフェースを介して無線で接続されており、その通信ネットワークは第1のワイヤレスネットワークWNである。そして、基地局42は、第1のワイヤレスネットワークWNの第1のネットワークデバイス44へ接続され、第1のネットワークデバイス44は、ネットワークノードであると見なすこともできる。この例では、第1のネットワークデバイスは、MMEである。そして、MME44は、第2の通信ネットワーク38内の第2のネットワークデバイス46へ接続され、第2の通信ネットワーク46は、第2のワイヤレスネットワークWNである。第2のネットワークデバイス46は、このケースでは、HSSであり、ネットワークノードであると見なすことができる。第1のワイヤレスネットワークWNは、訪問先ネットワーク、すなわちUEが訪問するネットワークであってもよく、第2のワイヤレスネットワークWNは、UEのホームネットワーク、すなわちUEに関連するサブスクリプションをホスティングするネットワークであってもよい。多くのネットワークにおいて、ノードB又はeNodeBと示され得る基地局42は、第1のワイヤレスネットワークWNのアクセスネットワークANと呼ばれる部分で提供され、コアネットワークCNと呼ばれる部分にMME44が設けられる。
従って、第1の通信ネットワーク36は、この例では、UEによって訪問されるネットワークであり、第2の通信ネットワーク38は、UEのホームネットワークである。
異なる実施形態において、各ワイヤレスネットワークは、任意の数の有線又はワイヤレスネットワーク、ネットワークノード、基地局、コントローラ、ワイヤレスデバイス、中継局、並びに/又は、有線接続若しくはワイヤレス接続を介してデータ及び/若しくは信号の通信を促進し若しくは当該通信に参加し得る任意の他のコンポーネントを含んでよい。
各ワイヤレスネットワークは、1つ以上のIPネットワーク、公衆交換電話網(PSTN)、パケットデータネットワーク、光ネットワーク、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、ワイヤレスローカルエリアネットワーク(WLAN)、有線ネットワーク、ワイヤレスネットワーク、メトロポリタンエリアネットワーク、及びデバイス間の通信を可能にする他のネットワークを含んでもよい。
図1において見られるように、UEと第1のネットワークデバイスとの間で通信が行われる。しかしながら、同じく見てわかるように、認証情報(AV)は、本質的に、UEのホームネットワーク内の第2のネットワークデバイスによって提供されていた。
前述のように、本発明は、図2のシステムのようなシステムにPFSを導入することを対象としている。
基礎として使用する1つの適切な方式は、ディフィーヘルマンプロトコルで定義された方式である。UEと第1のワイヤレスネットワークWNとの間に実装されるこの方式は、図3に概略的に示されている。
図3において見られるように、第1のワイヤレスネットワークWN(及び通常は第1のネットワークデバイス)は、ベース値gのx(ランダム数)乗として生成されたパラメータを送信し、UEは、同じベース値gのy(別のランダム数)乗として生成されたパラメータで応答する(「ランダム」という用語は、統計的にランダムであること及び擬似ランダムであることの双方を含むものと理解されるべきである)。それらパラメータは、例えば共有鍵(図示せず)を使用して認証されるものとする。一度認証されると、UE及び第1のネットワークデバイスは、共通のセッション鍵を使用することができ、そのセッション鍵はまたそのように共有される。セッション鍵の基底を、K´=g^(xy)又はK´=g^(yx)(これらは同じ値K´を導くことになる)として取得することができる。上記鍵は、より具体的には、gのx乗のy乗、又はgのy乗のx乗として取得されてよく、すなわち(g^x)^y 又は (g^y)^xである。
理解され得るように、セキュアなセッション鍵である上記セッション鍵K´は、値x及びyに基づいて生成され得る。当業者であれば、楕円曲線、及び離散対数問題が困難である他の巡回群もまた使用されてよいことを認識するであろう。但し、楕円曲線のケースでは加法表記x*gがより適切であるものの、簡明さのために、乗法表記g^xを使用している。さらなる詳細については、MenezesらによるHandbook of Applied Cryptography(fifth printing (August 2001), CRC Press)を参照されたい。
図4は、UEの1つの実現例を示している。UEは、ユニバーサル加入者アイデンティティモジュール(USIM)48を含んでよく、USIM48は、例えばPFS−AKA(perfect forward security Authentication and Key Agreement)モジュール52へ接続されるスマートカードの形式であり、PFS−AKAモジュール52は、転じて、ワイヤレス通信モジュールであり得る通信モジュール50へ接続される。ここでは、通信モジュール50及びPFS−AKAモジュール52は共にモバイル機器46を形成し、一方でUSIMはアイデンティティモジュール48である。よって、併せて、USIM、PFS−AKAモジュール、及び通信モジュールがユーザ機器を形成する。
ME46を実現する1つの手法が図5に概略的に示されている。ME46は、プロセッサ54、記憶装置56、インターフェース50B及びアンテナ50Aを含む。これらの構成要素は、ワイヤレスネットワークにおいてワイヤレス接続を提供するなど、ME機能を提供するために共に作動し得る。ME46の構成要素は、単一の大きいボックス内に配置された単一のボックスとして示されているが、実際には、MEは、単一の図示された構成要素を構成する複数の異なる物理的な構成要素を含んでもよい(例えば、記憶装置56は、複数の個別のマイクロチップを含んでもよく、各マイクロチップは、合計記憶容量の一部を表す)。
プロセッサ54は、マイクロプロセッサ、コントローラ、マイクロコントローラ、中央処理装置、デジタル信号プロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、又は任意の他の適切なコンピューティングデバイス、リソース、あるいはハードウェア、ソフトウェア及び/又は単独で、もしくは記憶装置56、ME機能など他のME構成要素との組み合わせで提供するように動作可能なコード化されたロジックの組み合わせ、のうちの1つ以上の組み合わせであり得る。そうした機能性は、ここに開示される特徴又は利点のいずれかを含む、ここで議論される多様なワイヤレス機能を提供することを含み得る。
記憶装置56は、限定ではないものの、永続的な記憶装置、固体メモリ、遠隔的にマウントされるメモリ、磁気メディア、光メディア、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、リムーバブルメディア、又は任意の他の適切なローカル又はリモートのメモリ構成要素を含む、任意の形式の揮発性又は不揮発性のコンピュータ読取可能なメモリであってよい。記憶装置56は、ME46によって利用されるソフトウェア及びコード化されたロジックを含む、任意の適切なデータ、命令、又は情報を記憶し得る。記憶装置56は、プロセッサ54によって行われる任意の計算及び/又はインターフェース50Bを介して受信される任意のデータを記憶するために使用され得る。
インターフェース50Bは、UEと、基地局42などのネットワークデバイスとの間のシグナリング及び/又はデータのワイヤレス通信に使用され得る。例えば、インターフェース50Bは、UEがワイヤレス接続を介して基地局42との間でデータを送受信することを可能にするために必要とされ得る任意のフォーマット、符号化、又は変換を実行し得る。インターフェース50Bは、アンテナ50aへ連結され又はアンテナ50aの一部であり得る無線送信機及び/又は受信機を含んでもよい。無線機は、ワイヤレス接続を介して基地局42へ送出されるデジタルデータを受信し得る。無線機は、デジタルデータを、適切なチャネル及び帯域幅パラメータを有する無線信号へ変換し得る。次いで、無線信号は、アンテナ50aを介して基地局42へ送信され得る。
アンテナ50aは、データ及び/又は信号をワイヤレスに送受信可能な任意のタイプのアンテナであってよい。
また、記憶装置56は、MEの第1のワイヤレスネットワークへの通信に関してPFSをハンドリングするための命令を含んでもよい。
記憶装置56は、より具体的には、プロセッサ54にPFS−AKAモジュール52を実装させるコンピュータ命令を含み得る。通信モジュール50は、本質的に、インターフェース50Bとアンテナ50Aとの組み合わせを通じて実装され得る。
図6は、汎用的なネットワークデバイス57を示しており、その構造は、第1及び第2のネットワークデバイス44及び46の双方に適用可能である。ネットワークデバイス47は、プロセッサ60、記憶装置62及びインターフェース58を含む。これらの構成要素は、単一の大きいボックス内に配置された単一のボックスとして示されている。しかしながら、実際には、ネットワークデバイスは、単一の図示された構成要素を構成する複数の異なる物理的な構成要素を含んでもよい(例えば、インターフェース58は、有線接続のための配線を連結するための端子を含んでもよい)。同様に、ネットワークデバイス57は、各々がそれ自体のそれぞれのプロセッサ、記憶装置、及びインターフェース構成要素を有し得る複数の物理的に別個の構成要素から構成されてもよい。ネットワークデバイス57が複数の別個の構成要素を含むいくつかのシナリオでは、1つ以上の別個の構成要素を複数のネットワークデバイス間で共有することができる。
プロセッサ60は、マイクロプロセッサ、コントローラ、マイクロコントローラ、中央処理装置、デジタル信号プロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイ、又は任意の他の適切なコンピューティングデバイス、リソース、あるいはハードウェア、ソフトウェア及び/又は単独で、もしくは記憶装置62、ネットワークデバイス機能など他のネットワークデバイス構成要素との組み合わせで提供するように動作可能なコード化されたロジックの組み合わせ、のうちの1つ以上の組み合わせであり得る。例えば、プロセッサ60は、記憶装置62に記憶された命令を実行し得る。
記憶装置62は、限定ではないものの、永続的な記憶装置、固体メモリ、遠隔的にマウントされるメモリ、磁気メディア、光メディア、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、リムーバブルメディア、又は任意の他の適切なローカル又はリモートのメモリ構成要素を含む、任意の形式の揮発性又は不揮発性のコンピュータ読取可能なメモリを含んでよい。記憶装置62は、ネットワークデバイス57によって利用されるソフトウェア及びコード化されたロジックを含む、任意の適切な命令、データ、又は情報を記憶し得る。記憶装置62は、プロセッサ60によって行われる任意の計算及び/又はインターフェース58を介して受信される任意のデータを記憶するために使用され得る。
ネットワークデバイス57は、ネットワークデバイス57、ネットワークWNもしくはWN、及び/又はUEの間のシグナリング及び/又はデータの有線での通信に使用され得るインターフェース58をも含む。例えば、インターフェース58は、ネットワークデバイス57が有線接続を介してネットワークWNもしくはWNとの間でデータを送受信することを可能にするために必要とされ得る任意のフォーマット、符号化、又は変換を実行し得る。
本発明の複数の態様は、AKAにPFSを追加することに関する。
以下の実施形態は、簡略化のために4G/LTEの文脈で説明されるが、IMS AKA(IPマルチメディアサブシステムAKA)及びEAP−AKA(拡張可能認証プロトコル−AKA)にも適用可能であり、実施形態は、現在議論されている5Gシステム、又はAKAに基づく任意の他の将来のシステム、又は予め共有される鍵を有するアイデンティティモジュールが使用される他の設定に適用可能であるものとして、現在のところ理解される。
上述したように、本発明の態様は、有利にはディフィーヘルマン(DH)プロトコルに基づいて、通信デバイスと第1のネットワークデバイスとの間の通信においてPFSを提供することに関する。
但し、このプロトコルは、必要なパラメータを搬送するために計算の労力と追加の帯域幅とを要する:交換されるDHパラメータは、現在のところ標準化されているAKAプロトコルのパラメータ(RAND、RESなど)よりもはるかに大きい。無線インターフェースを介してシグナリングされるビット数を増やすことが可能であったとしても、UE内の標準化されたUSIM−MEインターフェースを維持することが望ましいはずであり、これは、DHが強力なセキュリティを提供する中で、プロトコルパラメータのサイズが上記レベルを下回ることについてのボトルネックを示唆している(RANDは現在のところ128ビットであり、AKAの128ビット強度と一致するセキュリティに到達するために、DHの楕円曲線の派生には少なくとも256ビットのDHパラメータが、素数pを法とする標準的な離散対数DHでは約3000ビットのDHパラメータが必要とされる)。そのうえ、DHは、中間者(MITM)攻撃の影響を受け易く、これは、DHパラメータを認証するための何らかの機構を追加する必要性を示唆する。これを行うための自然なアプローチは、AKAに別のデータフィールドを追加することであり、さらに多くのシグナリングオーバーヘッドがもたらされるはずである。
従って、1つの目的は、長期共有鍵の使用に関して通信デバイスと通信ネットワークとの間の通信のセキュリティレベルを上げることである。追加的なメッセージを送信することを回避することも重要であり得る。従って、新しいメッセージを追加することなく、既存のメッセージ構造が使用されることが望ましい。これは、追加的なメッセージを送信することが、特に通信デバイス内の限られたリソースであり得るエネルギーを使用することから、通信デバイス及び一般的な環境レベルの双方に関する省エネルギーの観点から重要であり得る。さらに、ネットワーク通信は典型的には標準化されており、PFSを追加するための簡易なアプローチを用いる場合、認証及びMITM保護を提供するために必要となるはずの新たなエレメントを既に存在するメッセージ内に追加することに比して、新しいメッセージの導入に関し同意をなすことはしばしばはるかに困難である。
先に進む前に、DHプロトコルによって例示される、PFSを提供するプロトコルにおける認証についてのいくつかの考察が有益である。AKAの特定の文脈では、当業者は、この目的のために、USIMにおける計算によって生成される1つ以上のAKA結果パラメータ、すなわちRES、CK及び/又はIKを使用したいという思いに駆られるかもしれない。これは、概してセキュリティにとって危険である。例えば、何らかの関数F´についてx=F´(CK,IK)及び/又はy=F´(CK,IK)を介したDHパラメータg^x及び/又はg^yの計算は、PFSをもたらさない。なぜなら、長期鍵Kの知識からこれらのパラメータを計算することができるからである。従って、AKAパラメータ及びプロトコルデータフィールドの再利用は有益であるが、慎重に用いる必要がある。従って、x及びyは、AKAパラメータには非依存であるべきである。
一方、MITMに対する保護のために、1つ以上のAKAパラメータを使用し、標準的なMACを追加することができる。例えば、UEからのAKA応答は、
RES,g^y,MAC(CK||IK||…,g^y||…)を含むことができるはずである(従って、これはおそらく、AKAプロトコルの前述のMACパラメータと混同されるべきではない別のMAC関数である。また、固定的なAKAパラメータのセットを検討していることから、インデックスiを表記せず、上記のようにCK(i)の代わりに、例えばCKを書いていることにも留意されたい)。なお、概して、MAC内でどの鍵を使用すべきか、すなわちMAC(…,…)への入力における第1のパラメータとして、複数のオプションが存在する。詳細化し過ぎて説明を不明瞭にしないように、従って、例えば、上記のように、MAC(CK||IK||…,g^y||…)の代わりにMAC(g^y)と書くなど、鍵(及びあまり重要ではない他のパラメータ)はしばしば表記されない。…は、他の変数/パラメータがあり得ることを示し、||は入力をMAC関数に結合する手法、例えば連結(concatenation)を示す。但し、より一層経済的な方法は、UEからMMEへ送信される際にRESを搬送する既存の情報エレメント内に上記のMACを取り入れることであり、たとえば、RES(及びオプションでCK、IK)を鍵として使用してRES´=MAC(RES,g^y,…)を計算し、そのようにしてUEはRES´,g^yのみで応答する。MAC関数は、HMACに基づいてもよく、HMACは、たとえばAESに基づく、(3GPP TS 33.102に定義されているような)ネイティブAKA f−関数又は他の適した関数のうちの1つである。RESは、g^y及び鍵値(CK/IK又はRES)に基づくMACとして計算されるので、実際にはg^yの真正性についての検証コードであることが明らかである。さらに、MACは、鍵としてのRESにも基づく場合、同時にRESを検証するために使用することができる。また、ここで理解されるべきこととして、MACは、RES´を計算するために使用できる1つの関数の候補に過ぎない。別の例は、一般的な鍵導出関数又は擬似ランダム関数である。
通信オーバーヘッドを節約しながらそれでもPFSを提供する目的で、ネットワークからMEへ送信されるDH値g^xにも同様の考察が当てはまる。
具体的には、AuC/HSSは、いくつかの実施形態では、それに応じてサービングネットワークへ送信される認証ベクトルを生成し、すなわち、RAND=g^xなどのパラメータを計算し、RANDに、f−関数などへの入力の前にハッシュを適用する。従って、g^xは、新しい情報エレメントを追加することなく、RAND AKAプロトコルフィールドで実質的に搬送される。いくつかの実施形態において、HSSは、認証ベクトル(AV)の一部としてMMEへCK、IK(又はKasmeなどそこから導出される鍵)を送信する必要がない。なぜなら、結果として得られる共有鍵は、いずれにしろAV生成時にHSSにとって既知でないg^(xy)に基づくことになるからである。他の実施形態において、AuC/HSSは、鍵生成に含められるべきCK、IKを含んでもよい。例えば、LTEでは、鍵は、CK、IKからのKasme鍵の導出におけるPLMN(Public Land Mobile Network)識別子の包含を通じて、アクセスネットワークに「バインド」される。注記したように、HSSにとってAVが生成される時点でg^(xy)は既知ではないことから、PLMN IDへのバインディングは、CK、IKからのいくつかのさらなる鍵の導出にPLMN IDを含め、AVにその導出された鍵を含めることによって達成されることができる。MMEが採用されてもよく、すなわち、HSSからAV内でXRESが与えられる場合、MMEは、上記の実施形態では、加入者の真正性を検証する前にXRES´=MAC(XRES,g^y)を計算することになり、何らかの適切な関数FなどについてKasmeをF(g^(xy)||…)として導出し得る。MEが同様にKasmeを計算してもよい。
次に、第1の実施形態について、図7及び8も参照して説明し、図7は、通信ネットワークのネットワークデバイスと通信関係にあるユーザ機器の通信セキュリティを強化する方法のフローチャートを示し、図8は、通信ネットワークの第1のネットワークデバイスの通信セキュリティを強化する方法の方法ステップのフローチャートを示す。
ここで与えられる例では、通信ネットワーク36は、第1のワイヤレスネットワークWNであり、第1のネットワークデバイス44は、第1のワイヤレスネットワークのMMEである。
動作は、UEが第1の通信ネットワーク36に接続することから開始し得る。この一部として、たとえば国際モバイル加入者識別情報IMSIなどの識別子が、UEから又はむしろUEのUSIM48から第1のネットワークデバイス44へ提供されてもよく、第1のネットワークデバイス44は、転じて、認証ベクトルAVを求める要求を第2の通信ネットワーク38内の第2のネットワークデバイス46へ送信する。第2のネットワークデバイス46は、認証トークンAUTN、ランダム値RAND、検証計算の期待される結果XRES、並びに初期セッション鍵Kasmeを含み得る認証ベクトルを生成する。これはまた、鍵CK/IKなど他の鍵を含んでもよい。従って、これまで、第2のネットワークノード46は、既存の(3GPP)AKA仕様に従って動作し得る。このようにして、第1のネットワークデバイス44は、ステップ74で、少なくともランダム値RAND及び期待される検証結果XRESを含み得る認証ベクトルを取得する。ここでは、UEに対するチャレンジとしての使用のためにRANDが提供され、AUTNがこのチャレンジについてのチャレンジ検証コードを含むことに言及することができる。
認証ベクトルを取得した後、第1のネットワークデバイスは、次いで、ステップ76で、第1のPFSパラメータPFSを取得し、第1のPFSパラメータPFSは、ベース値gのx(ランダム値)乗として、すなわちg^xとしての生成を通じて取得されてよく、ランダム値xは、第1のネットワークデバイス44によって生成されてもよい。代替的に、ランダム値x及び/又は第1のPFSパラメータPFSは、第2のネットワークデバイス46から取得され、このケースにおいて、第2のノード46は、AKAによって現在仕様化されているもの以外の追加の動作を実行する。その後、第1のネットワークデバイス44は、ステップ78で、第1のPFSパラメータPFSについての第1の検証コードVCを取得する。1つの変形例では、第1のネットワークデバイス44は、検証コード自体を生成することによってVCを取得し、別の変形例では、第2のネットワークデバイスが第1の検証コードを生成する。従って、第2の変形例では、第2のノード46が、AKAによって現在仕様化されているもの以外に追加の動作を実行する場合もある。第1の検証コードVCは、鍵として、XRES又は初期セッション鍵Kasmeなどの認証ベクトルの既知の鍵を使用して、第1のPFSパラメータPFS上でメッセージ認証コード(MAC)として生成され得る。第2のネットワークデバイス46が第1の検証コードを生成する場合、RAND値は第1のPFSパラメータPFSに基づく。このケースにおいて、RAND値は、第1のPFSパラメータPFSとして、又は暗号ハッシュなど、第1のPFSパラメータPFSのハッシュとして、第2のネットワークデバイス46によって生成され得る。それにより、例えば、UEによって、チャレンジ検証コードAUTNを第1のPFSパラメータPFSについての第1の検証コードVCとしても使用することができる。ここで言及し得ることとして、これら双方の例におおいて、RANDは、事実上、UEのUSIM48に対するチャレンジである。
次いで、第1のネットワークデバイス44は、恐らくは共にRAND情報エレメントにより符号化されるチャレンジRAND及び第1のPFSパラメータPFS、並びに第1の検証コードVCをUEへ送信し、これらは、有利には、ステップ80で、認証要求メッセージARQ内で送信され得る。第1の検証コードVCが別個の(すなわち、AUTNとは異なる)コード、例えば第1のネットワークデバイス44によって生成される専用のMACである場合、認証トークンAUTNもまた上記メッセージ内に別に提供されてよい。
次いで、ステップ64において、チャレンジRAND、第1のPFSパラメータPFS(RAND内で又は追加のパラメータ内で符号化される)、及び第1の検証コードVC(AUTN又は別個のコード内で符号化される)がUEにおいて受信される。それらは、より具体的には、ME46の通信モジュール50によって受信される認証要求メッセージARQを通じて受信され、そこからPFS−AKAモジュール52へ転送されてよい。
PFS AKAモジュール52では、ステップ65で、チャレンジ又はその派生がUSIM48へ転送される。これは、純粋なチャレンジをUSIM48へ転送する目的で行われる。純粋なチャレンジは、上述した代替手段に依存して、2つの方法のうちの1つで取得されてよい。RAND情報エレメントが第1のPFSパラメータPFSを符号化する場合、それは、RAND情報エレメントのハッシュ、すなわちg^xのハッシュをPFS
AKAモジュールが計算することを通じて派生として取得され得る。これは、RANDが未だ第1のPFSパラメータg^xのハッシュでない場合、この段階で1つが計算され得ることを意味する。RAND情報エレメントが第1のPFSパラメータPFSを符号化しない場合、RAND情報エレメントの値がUSIMへ直接的に入力され得る。また、PFS AKAモジュールによって受信されるチャレンジが暗号ハッシュなど第1のPFSパラメータのハッシュである場合、USIMへそれが直接的に転送されてもよい。上記転送は、UE内の標準化されたUSIM−MEインターフェースを介して実行される。
上述したように、USIM48は、鍵Kを含み、有利には、鍵Kは第2のネットワークデバイス46と予め共有されている。また、USIM48は、暗号処理手段をも含む。その場合、このモジュール48は、チャレンジ(RAND及びAUTN)に対する応答として、少なくとも1つの結果パラメータ(CK/IK)を提供し得る。1つの結果パラメータが、初期セッション鍵Kasmeを取得するためにPFS AKAモジュール52によって使用され得る、暗号化鍵CK及び完全性保護鍵IKなどの1つ以上の暗号鍵であってもよい。別の結果パラメータは、チャレンジに対する応答パラメータRESであってもよく、応答パラメータは、応答値を有する。従って、このような応答パラメータは、予め共有される鍵及び上記暗号処理手段に基づいて計算される暗号値を有する。
このようにして、モバイル機器46、及びより具体的にはPFS AKAモジュール52は、ステップ66で、1つ以上の結果パラメータを取得し又はむしろ受信し、続いて、ステップ68で、第1のPFSパラメータPFSの真正性、すなわちg^xの真正性を判定する。従って、PFS AKAモジュール52は、VC及び1つ以上の結果パラメータに基づいて、PFSパラメータPFSが真正であるかを判定する。これは、第1の検証コードのための鍵が1つ以上の結果パラメータに基づいていること、及び、VC内で搬送されるMACを上記鍵を用いて検証することを通じて行われ得る。第1の検証コードがチャレンジの一部であるか、又はむしろチャレンジ検証コードAUTN、すなわちAUTNのMACサブフィールド内で搬送される場合、真正性を判定するために結果パラメータが取得されれば十分である。すなわち、USIM49は、AUTNの検証がUSIMの内部で失敗した場合には、いかなる結果パラメータも提供さえせず、エラーテータスコードを返却する。従って、第1の検証コードは、チャレンジ検証コードの少なくとも一部として提供されてもよい。このようにして、真正性は、USIM48が少なくとも1つの結果パラメータを提供することに基づいて判定される。
少なくとも1つの結果パラメータは、予め共有される鍵K及び暗号処理手段を使用して上記チャレンジ又はチャレンジの派生を検証することの、アイデンティティモジュールによる失敗を示すエラー標識を含んでもよい。これは、RAND=g^x abd−AUTN検証がUSIMの内部で失敗した場合に当てはまり得る。そのようなエラー信号がPFS AKAモジュール52によって受信された場合、PFS AKAモジュール52は、第1のPFSパラメータが真正でないと直接的に判定し得る。
その後、ME46又はむしろME46のPFS AKAモジュール52は、ステップ70で、第2のPFSパラメータPFS及び第2の検証コードVCを生成し、第2のPFSパラメータPFSは、ベース値gのy(別のランダム値)乗、すなわちg^yとして生成され得る。一方、検証コードVCは、第2のPFSパラメータPFS及び鍵(例えば、結果パラメータのうちの1つ)又は結果パラメータの派生Kd(例えば、Kasme)のメッセージ認証コード(MAC)として生成され得る。このように、第2の検証コードは、第2のPFSパラメータと、結果パラメータ又は結果パラメータの派生を使用して計算され得る。この第2の検証コードVCが応答パラメータRESに基づいて生成される場合、VCは通常RESを搬送する情報エレメント内に符号化され得る。それは、次いで、例えばRES及びg^yのMACなど、RES及びg^yの関数として生成されてよく、この場合、RESが鍵として機能する。従って、PFSモジュールは、MAC(Kd,g^y,…)として、MAC(Kasme,g^y,…)として、又はMAC(RES,g^y,….)としてのいずれかで、VCを計算する。次いで、第2のPFSパラメータPFS及び第2の検証コードVCは、ステップ72で、別個の応答パラメータRESと共に(Kdが鍵として使用された場合)、又は通常はRES情報エレメントであるはずのものにVCを符号化することによって(RESが鍵として使用された場合)、のいずれかで第1のネットワークデバイスへ送信され、より具体的には、認証要求応答メッセージARE内で送信され得る。
また、PFS AKAモジュール52は、第1及び第2の検証コードが特定の関係を満たすかどうかをも検証してよい。これあ当てはまるのは、第1のPFSパラメータ、すなわちg^xがチャレンジRAND内で符号化されておらず、第1の検証コードVCがたとえば明示的なMACなどの別個のコードである場合であってよく、それはUSIMの外部で検証される。このケースにおいて、上記特定の関係は、等価性である。
従って、第2のPFSパラメータPFS及び第2の検証コードVC、並びに、場合によっては別個の応答パラメータが、ステップ82で、例えば認証要求応答メッセージARE内で第1のネットワークデバイス44によって受信される。次いで、第1のネットワークデバイス44は、ステップ84で、応答パラメータRESの真正性を判定し、これはチャレンジ結果又は応答パラメータ値RESを期待されるチャレンジ結果XRESと比較することを通じて行われ得る。最後に、ステップ86で、第2の検証コードVCに基づいて、第2のPFSパラメータPFSが検証される。第2の検証コードVCが応答RESとは別に提供される場合、ステップ86における検証は、第2の検証コードVCを検証するために、初期セッション鍵Kasme又はその派生Kdを鍵として使用して、第2のPFSパラメータのMACに基づいてなされもよい。第2の検証コードVCが、鍵としての応答パラメータ値に基づいて関数として提供され、VCがRESパラメータ内に符号化された場合、第1のネットワークデバイスはステップ84と86とを同時に実行してもよく、なぜなら、第2の検証コードの正しい値は、UEが正しいRES、すなわちXRESにより示されるものと同じ値を使用したことを示唆するからである。
これにより、通信セキュリティを強化する方式が実装されている。これは、より具体的には、PFSを提供することから、秘密である予め共有される鍵が破られている場合のセキュリティを強化する。
その後のセッション、たとえば、UEとネットワークとの間の、より具体的にはUEと第1のネットワークデバイス44との間のデータ又はシグナリング交換では、この場合、セッション鍵を通信を保護するために使用すること、及びそのセッション鍵が第1及び第2のPFSパラメータに基づくことが可能である。セッション鍵は、より具体的には、g^(xy)に従って、ベースgの値x乗の値y乗に基づいてよい。代替的に、Kasmeとg^(xy)との結合という派生が使用されてもよい。それにより、理解し得ることとして、少なくとも第1及び第2のPFSパラメータを生成するために使用される値x及びyに基づくセキュアなセッション鍵が取得される。従って、これは、PFSパラメータのうちの1つと、他のPFSパラメータの指数とに基づいて生成される。これは、より具体的には、PFS AKAモジュール52が第1のPFSパラメータPFSと第2のPFSパラメータPFSの指数yとに基づいてセッション鍵を生成し得る一方で、第1のネットワークデバイス44が第2のPFSパラメータPFSと第1のPFSパラメータPFSの指数xとに基づいてセッション鍵を生成し得ることを意味し得る。
次に、第2の実施形態について、図9を参照しながら説明する。図9は、HSSの形式の第2のネットワークデバイス、MMEの形式の第1のネットワークデバイス、及びMEとUSIMとに分けられるユーザ機器が関与するシグナリングチャートを示している。この実施形態において、第2のノード(HSS)は、現在のAKA仕様の一部ではないステップ群を実行し、図10については、チャレンジ検証コードをより詳細に示している。
図10において見られるように、及び前に説明したように、AUTNパラメータによって提供されるチャレンジ検証コードは、フィールド:AMF(認証管理フィールド)、MAC(メッセージ認証コード)、及び、このケースでは匿名鍵AK)によって暗号化されるシーケンス番号標識SQNを含む。MACフィールドが第1の検証コードVCAとして使用されていることも理解され得る。ここで言及し得ることとして、第1の検証コードについてSQNフィールドを使用することも可能である。
第2の実施形態は、ネットワーク/ネットワークデバイスからUE/通信デバイスへの送信の際にPFSパラメータとしてDH値を搬送するためにRANDパラメータを使用することに基づく::RAND=g^x、又は、g^xの派生。
なお、DHのいくつかのバリエーションに従って計算されるPFSパラメータは、RANDの現在のところ標準化されているサイズである128ビットよりも実質的に大きいかもしれない。従って、これはUSIM−MEインターフェースに問題を生じさせかねない。これに対処するために、USIM(及びHSS、ホーム加入者サーバ)のf−アルゴリズムにRANDを入力する前に、例えば、暗号化ハッシングによって、提供されたRAND値が圧縮され得る。すなわち、RAND´=H(RAND)=H(g^x)であり、ここでは、Hは、適切な数のビットを生成する適切な関数であり、例えば、Hは、SHA2(SHAはSecure Hash Algorithmを表す)、AES(Advanced Encryption Standard)、HMAC(key-Hashed Message Authentication Code)などに基づいてよい。原理上、Hは、RANDから128ビットのセット、例えば、下位128ビットを選択する関数とすることもできる。UE側では、USIMにRAND´を入力する前に、HをME(例えば、PFSモジュール)に同様に適用することができる。RANDはUSIMを対象とするチャレンジであるので、理解し得ることとして、MEがそのようにしてチャレンジの派生を生成し及びそれをUSIMへ転送してもよい。結果として、(AUTN内に含まれる)AKA MACフィールドがRAND´に依存して計算されることになり、但し、Hの使用を通じて、実質的には依然としてRAND、すなわちg^xに依存して計算されるであろう。従って、このDH値のAuC(認証センター)/HSSからUSIMへの認証が、特にサービングネットワークとUEとの間のMITM攻撃を防止しながら獲得される。なぜなら、移送中のg^xの何らかの成りすまし又は修正は、UE内のUSIMにおいてAUTN検証によって検出されるはずだからである。
図4及び図7を参照すると、これは、第1のPFSパラメータPSFの修正又は捏造が、高い確率で、AUTN(より正確にはMACサブフィールド)の不正となることを示唆するであろう。その場合、AUTNの検証はUSIM48の内部で失敗し、USIMは、結果パラメータのいずれも、提供さえしないであろう。第1のPFSパラメータの真正性は、このようにして、USIM48が少なくとも1つの結果パラメータを提供することに基づいて判定される。
より大きいRAND値は、AuC/HSSによって計算され、修正された形式の認証ベクトル(AV)内でMME(Mobile Management Entity)へ送信され得る。別の可能性は、MMEがAV内で通常通りのサイズで形成されたRANDを受信し、それをUEへ送信する前に、RANDにビットの集合を後方又は前方へ付加することによってRANDを拡張することである。この後者の場合、関数Hの選択は、受信されたRANDをMMEがどのように拡張したかに適合しなければならず、さもなければUSIMはRAND/AUTNのペアを拒否することになる。
この第2の実施形態の残りは、AUTNが第1の検証コードVCを提供するために使用され(以下、VCAに対応する)、又は等価的に、第1のPFSパラメータPFSがRAND情報エレメント内に符号化されるという特別なケースにおける第1の実施形態と同一である。第2の実施形態の動作は、より具体的には、次のようになり、及び図9に示されている通りであり得る。・例えば、ネットワークアタッチ88の一部として、例えばIMSI(International Mobile Subscriber Identity)などの識別子がUE(USIM)から提供される。これは、10で、HSSへ転送される。・HSSは、89で、認証ベクトル(AV)を生成する。この実施形態によって追加されるいくつかの新たな構成要素に焦点を当てる(他の部分は概して影響を受けない)。具体的には、議論したようにRANDはg^xとして生成され、その圧縮されたバージョンRAND´がf1、f2、…等の通常のAKA計算で使用される。応答AV90において、HSSは、(MMEが後で共有鍵を計算できるようにするため)xを含める/追加する。従って、MMEはxからRANDを計算することができることから、HSSは、RANDを送信することを省略してもよい。同様に、今やセッション鍵K´をDH値(g^x及びg^y)から推測し得ることから、必ずしもCK及びIK(又はそこから導出される鍵、例えばLTEのKasme)を送信することは必要ではないかもしれない。CK及びIKが移送される必要があるかどうかは、本開示の他の箇所で議論される実施形態の詳細に依存する。・MMEは、20で、RAND及びAUNTをUE/USIMへ転送する。ここで、RANDは、チャレンジであると共に第1のPFSパラメータPFSであり、AUTNのMACフィールドは、第1のPFSパラメータPFSについての第1の検証コードVCAであり、なぜならそれは、実質的にg^xでもあるRANDに依存して計算されているためである。・UE(例えば、ME部分)は、RAND´=H(RAND)を計算し、92で、それをAKAパラメータ導出(RES、CK、IK)のためにUSIMへ送信する。注記したように、USIMが内部的にAUTNのMAC部分を検証する際、これは、g^xの真正性を検証するためにも供される。・USIMは、94で、RES、CK、IKによって応答し得る。MEがこの応答を受信することを通じて、第1のPFSパラメータPFSが真正であると判定することもでき、さもなければ、これらのパラメータを含む応答は提供されないはずである。・UEは、96で、DH値g^y及び関連付けられる認証情報を生成する。従って、UEは、第2のPFSパラメータPFS及び第2の検証コードVCAを生成する。第2の検証コードVCAは、MAC(Kd||…,g^y||…)という形式の値RES´として実現されることができる。認証情報の厳密な形式(使用すべき鍵Kdなど)は様々であってよい:
−1つの変形例では、RESのみが鍵Kdのための基底として使用される。
−別の変形例では、RES及びCK、IKのうちの少なくとも1つがKdのための基底として使用される(これは、認証ベクトルを生成する際にHSSがこれらを含めたことを前提とする)。KasmeをKdのための基底として使用することもできる。このように、第2の検証コードVCAは、鍵Kdのための基底としてRESが使用されることを通じてRES’として生成され得る。なお、RESが認証/応答RES´の導出に含められない場合、MEがRESをも送信する必要があり得る。概して、RES´は、現在のAKAプロトコルのRESに置き換わってもよく、又はRESとは別の追加的なパラメータとして送信されてもよい。
次いで、MEは、24でMMEへg^y及びRES´を送信する。・MMEは、98で対応する計算を実行して、RES´を検証し及び共有鍵K´を計算し得る。g^(xy)への依存に加えて、K´は、HSSによって供給された場合、CK、IK(又はKasme鍵)に依存して計算されることもでき、たとえば、鍵導出関数Gについて、K´=G(g^(xy)、CK、IK、…)である。(例えば、暗号化などデータ保護のための)さらなる鍵がUE及びMME(図示せず)によってK´から導出されてもよい。
第2の実施形態の変形例では、使用されるチャレンジはg^xのハッシュである。これは、HSSによって生成され、MMEによってUEへ送信されるRANDがg^xのハッシュであることを意味する。これにはg^xも伴う必要がある。それにより、MEがそのハッシュを計算することなく、MEからUSIMへRANDを直接的に送信することができる。
第3の実施形態では、第2のノードは、現在のAKA仕様の一部ではないいかなるステップも実行しなくてよい。以下では、第2のノードが現在のAKA仕様に対する追加のステップを実行するいくつかのオプションが存在するが、これらのステップはオプションであり、望まれる場合には回避することができる。
この実施形態では、g^xに関する情報をネットワーク(サービング又はホームネットワーク)からUEへ移送し又は搬送するために、RANDパラメータは使用されない。従って、第1の検証コードを搬送するためにAUNTを使用することもできない。代わりに、ネットワークはRANDをUEへ別個に送信し、RANDとして、その同じメッセージの新しい情報エレメント内にg^xを含める。注記したように、その送信はHSSを起点としてもよく、又はMMEを起点としてもよい(例えば、MMEがランダムxをローカルに生成する)。このケースにおいて、g^xは認証される必要があり、ネットワーク(サービング又はホーム)は、メッセージにg^xについて計算された追加のMACをもメッセージ内に含める。このMACのための鍵は、例えば、RES、又はCK/IKの一方又はその双方とすることができる。それは、Kasmeなど、その派生であってもよい。関数Hは、この実施形態では恒等関数である。それにより、派生はチャレンジと同一になる。この実施形態の1つの利点は、サービングネットワーク(例えば、MME)が値xを選択することができ、サービングネットワークとAuC/HSSとの間でこれをシグナリングする必要がないことである。実際には、今日使用されているようなこれらのノード間の同じシグナリングを再利用することができる。欠点は、より大きいg^x値と共に、128ビットRANDをサービングネットワークからUEへ送信する必要があることである。従って、エアインターフェース上にいくらかより多くの帯域幅を要する。
以下に、図10を参照しながら第3の実施形態をさらに説明する。図10は、USIM、ME、MME及びHSSが関与するシグナリングチャートを示している。・動作は、MMEが10で認証ベクトルを求める要求をHSSへ送信することにより開始し得る。HSSは、100で、RAND、AUTN、XRES及びセッション鍵Kasmeを含む認証ベクトル応答で応答する。次いで、MMEは、第1のPFSパラメータPFSを生成すると共に、第1の検証コードVCBを生成し、ここで、第1のPFSパラメータPFSは、g^xとして生成されてもよく、第1の検証コードVCBは、例えばXRES又はKasmeを共通鍵として使用して、MAC(g^x)として生成されてもよい。これが終了すると、MMEは、20で、認証要求メッセージをUEのMEへ送信する。このケースにおける認証要求は、RAND、AUTN、g^x及びMAC(g^x)を含む。次いで、MEは、102で、AUTNの一部としてチャレンジRAND及びチャレンジ検証コードをUSIMへ転送し、USIMは、104で、鍵CK/IK及び応答パラメータRESで応答する。それにより、USIMは、チャレンジに正しく応答したことになる。次いで、MEは、第1の検証コードVCBを使用して第1のPFSパラメータPFSを認証する。このケースでは、これは、共通鍵を通じて第1の検証コードVCBが生成されることを通じて行われ得る。共通鍵は、このケースでは、(MEにおける応答パラメータ値RESと同一である)XRESであった。次いで、MEは、第2のPFSパラメータPFS及び第2の検証コードVCBを生成し、第2のPFSパラメータPFSは、g^yとして生成され、第2の検証コードVCBは、いずれもMMEにとっては既知であるCK/IK、Kasme又はRESのいずれかを使用してMAC(g^y)として生成されてよく、認証応答メッセージ24で結果RESと共にこれらを送信する。次いで、MMEは、RESとXRESとの比較を通じて結果を検証し、また、MAC(g^y)及び適切な鍵、例えばCK/IK又はXRESなどを使用してg^yを検証する。その後、MEは、106で、g^(xy)の関数としてセッション鍵K´を計算し、その関数は、典型的にはg^(xy)のハッシュである。また、MMEは、108で、g^(xy)の同じ関数としてセッション鍵K´を計算する。
それにより、UEは、改善されたセキュリティで第1のワイヤレスネットワークと通信することができる。
理解すべきこととして、この第3の実施形態においても、たとえば、第2の検証コードVCBを計算するために使用される鍵が前の実施形態の場合のようにRESに依存する場合、第2の検証コードとしてRES´を使用することが可能である。
なお、全ての実施形態が、米国特許第7,194,765号において開示された発明と組み合わせられてもよい。このケースにおいて、HSSがMMEにXRESを提供するのではなく、むしろXRES´=H(XRES)である。UEは、次いで、MMEがXRES´を計算し及び検証できるように、RESをMMEへ明示的にシグナリングし得る。このケースにおいて、CK及びIK(又はそこから導出される何らかの鍵)のうちの少なくとも1つをRES´の計算に含めるべきである。
なお、あらためて言うと、GBA及びEAP−AKAはAKAを活用することから、当業者であれば、この説明の後に、説明した実施形態をそれら文脈にも簡易な修正により適用することができることを理解するであろう。本開示の実施形態の少なくとも1つの利点として、ネットワーク認証、たとえば、モバイルネットワーク認証にPFSが低コストで又は最小のコストで追加され、AKAプロトコルのためのSIM−MEインターフェースとの後方互換性が可能となり及び/又は保証される。本開示の実施形態の少なくとも1つの別の利点は、ハッキングされたHSS及びハッキングされたスマートカードベンダーサイトなど、長期鍵の侵害の影響を制限することである。他の利点は、追加的な送信信号の使用を回避することを含み、それによってエネルギーが節約される。
モバイル機器のコンピュータプログラムコードは、例えばCD ROMディスク又はメモリスティックなど、データ記憶媒体の形式のコンピュータプログラムプロダクトの形式であり得る。このケースにおいて、データ記憶媒体は、上記のモバイル機器の機能性を実装するコンピュータプログラムコードを有するコンピュータプログラムを担持する。コンピュータプログラムコード112を有する1つのそのようなデータ記憶媒体110は、図12に概略的に示されている。
第1のネットワークデバイスのコンピュータプログラムコードは、例えばCD ROMディスク又はメモリスティックなど、データ記憶媒体の形式のコンピュータプログラムプロダクトの形式であり得る。このケースにおいて、データ記憶媒体は、上記の第1のネットワークデバイスの機能性を実装するコンピュータプログラムコードを有するコンピュータプログラムを担持する。コンピュータプログラムコード116を有する1つのそのようなデータ記憶媒体114は、図13に概略的に示されている。
図14に概略的に示すように、通信デバイス40は、いくつかの実施形態では、チャレンジ、第1のPFSパラメータ及び第1の検証コードをネットワークデバイスから受信するための受信ユニット118と、チャレンジ又はその派生をアイデンティティモジュールへ転送するための転送ユニット120と、少なくとも1つの結果パラメータを、アイデンティティモジュールからの応答として受信するための受信ユニット122と、上記結果パラメータに基づいて、第1のPFSパラメータが真正であるかを判定するための判定ユニット124と、上記判定において第1のPFSパラメータが真正である場合に、第2のPFSパラメータを生成し及びネットワークデバイスへ送信するための生成ユニット126と、を含み得る。これらユニットは、一実施形態において、ソフトウェア命令に対応する。別の実施形態において、これらユニットは、ASIC又はFPGAなど1つ以上のハードウェア回路内のハードウェアユニットとして実装される。
通信デバイスは、通信デバイスとネットワークデバイスとの間の通信のためのセッション鍵を生成するための生成ユニットをさらに含んでもよく、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
チャレンジ、第1のPFSパラメータ、及び第1の検証コードを受信するための受信ユニット118は、さらに、認証要求メッセージ内でネットワークデバイスからチャレンジ、第1のPFSパラメータ、及び第1の検証コードを受信するための受信ユニットであってもよく、認証要求メッセージは、チャレンジ検証コードをも含む。少なくとも1つの結果パラメータを受信するための受信ユニット122は、転じて、チャレンジに対する応答として応答パラメータを受信するための受信ユニットであってもよく、生成ユニット126は、第2の検証コードと共に第2のPFSパラメータを生成し及びこれらを応答パラメータをも含む認証応答メッセージ内で送信するための生成ユニットであってもよい。
判定ユニット124はさらに、認証要求メッセージの対応する別個の情報エレメント内に含まれる第1の検証コードを使用して第1のPFSパラメータの真正性を判定するための判定ユニットであってもよい。
第1の検証コードがチャレンジ検証コードの少なくとも一部として提供される場合、判定ユニット124は、さらに、アイデンティティモジュールが少なくとも1つの結果パラメータを提供することに基づいて第1のPFSパラメータの真正性を判定するための判定ユニットであってもよい。
生成ユニット126は、応答パラメータに基づいて第2の検証コードを生成し、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを送信する、ための生成ユニットであってもよい。
図15に示すように、第1のネットワークデバイス44は、いくつかの実施形態において、チャレンジを取得するための取得ユニット128と、第1のPFSパラメータを取得するための取得ユニット130と、第1のPFSパラメータについての第1の検証コードを取得するための取得ユニット132と、チャレンジ、第1のPFSパラメータ及び第1の検証コードを通信デバイスへ送信するための送信ユニット134と、通信デバイスから第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信するための受信ユニット136と、応答パラメータの真正性を判定するための判定ユニット138と、第2の検証コードに基づいて第2のPFSパラメータを検証するための検証ユニット140と、を含み得る。
これらユニットは、一実施形態において、ソフトウェア命令に対応する。別の実施形態において、これらユニットは、ASIC又はFPGAなど1つ以上のハードウェア回路内のハードウェアユニットとして実装される。
第1のネットワークデバイス44は、さらに、通信デバイスと第1のネットワークデバイスとの間の通信のためのセッション鍵を計算するための計算ユニットをさらに含んでもよく、セッション鍵は、第1及び第2のPFSパラメータを生成するために使用される値に少なくとも基づく。
チャレンジを取得するための取得ユニット128は、チャレンジ検証コードを取得するための取得ユニットであってもよく、送信ユニット134は、チャレンジ、第1のPFSパラメータ及び第1の検証コードを、チャレンジ検証コードと共に認証要求メッセージ内で送信するための送信ユニットであってもよく、受信ユニット136は、認証応答メッセージ内で第2のPFSパラメータ、第2の検証コード及び応答パラメータを受信するための受信ユニットであってもよい。
第1の検証を取得するための取得ユニット132は、第1のPFSパラメータを使用して第1の検証コードを生成するための生成ユニットを含んでもよく、送信ユニット134は、認証要求メッセージの対応する別個の情報エレメント内で第1の検証コードを送信するための送信ユニットであってもよい。
第1のネットワークデバイスは、第1のPFSパラメータの生成において使用されるべき値xを受信するための受信ユニットを含んでもよい。指数値である値xは、シード値と称されてもよい。このケースにおいて、第1の検証コードを取得するための取得ユニット132は、チャレンジ検証コードの少なくとも一部として第1の検証コードを取得するための取得ユニットであってもよく、送信ユニット134は、第1の検証コードをチャレンジ検証コードの少なくとも一部として認証要求メッセージ内で送信するための送信ユニットであってもよい。
チャレンジを取得するための取得ユニット128は、期待されるチャレンジ結果を取得するための取得ユニットであってもよく、判定ユニット138は、期待されるチャレンジ結果との比較を通じて応答パラメータの真正性を判定するための判定ユニットであってもよい。
応答パラメータは、第2の認証コードが応答パラメータに基づくことを通じて認証応答メッセージに含められてもよい。このケースにおいて、受信ユニット136は、応答パラメータに割り当てられた認証応答メッセージの情報エレメント内で第2の検証コードを受信するための受信ユニットであってもよく、判定ユニット138及び検証ユニット140は、第2の検証コードを使用して、応答パラメータの真正性の判定と第2のPFSパラメータの検証とを同時に行うための、組み合わせとしての判定及び検証ユニットであってもよい。
図16に概略的に示すように、第2のネットワークデバイスは、転じて、いくつかの実施形態において、第1のネットワークデバイスへチャレンジを送信するための送信ユニット14を含み得る。
第2のネットワークデバイスは、さらに、少なくとも値xに基づいて第1のPFSパラメータを生成することを通じて、第1のPFSパラメータを取得するための値を提供するための提供ユニット144と、第1のPFSパラメータを使用してチャレンジ検証コードを生成するための生成ユニットと、第1のネットワークデバイスへ上記値を送信するための送信ユニットとを含んでもよい。
これらユニットは、一実施形態において、ソフトウェア命令に対応する。別の実施形態において、これらユニットは、ASIC又はFPGAなど1つ以上のハードウェア回路内のハードウェアユニットとして実装される。
本発明は、最も実用的で好ましい実施形態であると今のところ考えられているものとの関連で説明されているが、本発明は、開示された実施形態に限定されるものではなく、むしろ、多様な修正例及び均等の構成を包含することが意図されることが理解されるべきである。従って、本発明は、以下の特許請求の範囲によってのみ限定される。

Claims (53)

  1. 通信ネットワーク(36)のネットワークデバイス(44)と通信するための通信デバイス(40)であって、
    チャレンジ(RAND)、第1のPFSパラメータ(PFS)及び第1の検証コード(VC;VCA;VCB)を前記ネットワークデバイス(44)から受信し、
    前記チャレンジの派生をアイデンティティモジュール(48)へ転送し、
    少なくとも1つの結果パラメータ(CK/IK,RES)を、前記アイデンティティモジュール(48)からの応答として受信し、
    前記結果パラメータ(CK/IK,RES)に基づいて、前記第1のPFSパラメータ(PFS)が真正であるかを判定し、
    前記判定において前記第1のPFSパラメータ(PFS)が真正である場合に、第2のPFSパラメータ(PFS)を生成し及び前記ネットワークデバイスへ送信する、
    ように動作可能な通信デバイス(40)。
  2. 通信ネットワーク(36)のネットワークデバイス(44)と通信するための通信デバイス(40)であって、
    チャレンジ(RAND)、第1のPFSパラメータ(PFS)及び第1の検証コード(VC;VCA;VCB)を前記ネットワークデバイス(44)から受信し、
    前記チャレンジをアイデンティティモジュール(48)へ転送し、
    少なくとも1つの結果パラメータ(CK/IK,RES)を、前記アイデンティティモジュール(48)からの応答として受信し、
    前記結果パラメータ(CK/IK,RES)に基づいて、前記第1のPFSパラメータ(PFS)が真正であるかを判定し、
    前記判定において前記第1のPFSパラメータ(PFS)が真正である場合に、第2のPFSパラメータ(PFS)を生成し及び前記ネットワークデバイスへ送信する、
    ように動作可能な通信デバイス(40)。
  3. 前記通信デバイス(40)と前記ネットワークデバイス(44)との間の通信のためのセッション鍵(K´)を生成する、ようにさらに動作可能であり、前記セッション鍵は、前記第1及び第2のPFSパラメータ(PFS,PFS)を生成するために使用される値(x,y)に少なくとも基づく、請求項1又は請求項2に記載の通信デバイス(40)。
  4. 前記セッション鍵は、前記第1のPFSパラメータ(PFS)と前記第2のPFSパラメータ(PFS)の指数(y)とに基づく、請求項1〜3のいずれか1項に記載の通信デバイス。
  5. 前記通信デバイスは、前記チャレンジ(RAND)を受信し、前記転送を実行し、前記少なくとも1つの結果パラメータを受信し、前記第1のPFSパラメータ(PFS)が真正であるかを判定し、並びに第2のPFSパラメータ(PFS)を生成し及び送信するように動作可能なモバイル機器(46)、を含む、請求項1〜4のいずれか1項に記載の通信デバイス(40)。
  6. 前記通信デバイスは、鍵及び暗号処理手段を含む識別モジュール(48)、を含む、請求項1〜5のいずれか1項に記載の通信デバイス(40)。
  7. 前記第1及び第2のPFSパラメータはディフィーヘルマンパラメータである、請求項1〜6のいずれか1項に記載の通信デバイス。
  8. 前記第1の検証コード(VCA;VCB)は、少なくとも前記第1のPFSパラメータに基づくメッセージ認証コードを含む、請求項1〜7のいずれか1項に記載の通信デバイス。
  9. 前記派生は、前記チャレンジと同一である、請求項1、3、4、5、6、7又は8のいずれか1項に記載の通信デバイス。
  10. 前記派生は、前記チャレンジのハッシュである、請求項1、3、4、5、6、7又は8のいずれか1項に記載の通信デバイス。
  11. 前記チャレンジ(RAND)を受信するように動作可能であるとき、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)は、これらを前記ネットワークデバイス(44)から認証要求メッセージ(20)内で受信するように動作可能であり、前記認証要求メッセージはチャレンジ検証コード(AUTN)をも含み、前記少なくとも1つの結果パラメータ(CK/IK,RES)を受信するように動作可能であるとき、前記チャレンジに対する応答として応答パラメータ(RES)を受信するように動作可能であり、
    前記第2のPFSパラメータ(PFS)を生成し及び送信するように動作可能であるとき、第2の検証コード(VC;VCA;VCB)と共に前記第2のPFSパラメータを生成し及びこれらを前記応答パラメータ(RES)をも含む認証応答メッセージ(24)内で送信するように動作可能である、
    請求項1〜10のいずれか1項に記載の通信デバイス。
  12. 前記認証要求メッセージ(20)は、前記認証要求メッセージの対応する別個の情報エレメント内に前記第1の検証コード(VCB)を含み、前記通信デバイスは、前記第1のPFSパラメータ(PFS)の真正性を判定するよう動作可能であるとき、前記第1の検証コード(VCB)を使用するように動作可能である。請求項11に記載の通信デバイス(40)。
  13. 前記第1の検証コード(VCA)は、前記チャレンジ検証コード(AUTN)の少なくとも一部として提供され、前記通信デバイスは、前記第1のPFSパラメータ(PFS)の真正性を判定するように動作可能であるとき、前記アイデンティティモジュール(48)が前記少なくとも1つの結果パラメータ(CK/IK,RES)を提供することに基づいて真正性を判定するように動作可能である、請求項11に記載の通信デバイス(40)。
  14. 前記チャレンジは、前記第1のPFSパラメータに基づく、請求項13に記載の通信デバイス。
  15. 前記少なくとも1つの結果パラメータ(CK/IK,RES)のうちの少なくとも1つに基づいて前記第2の検証コード(VCA)を生成する、ようにさらに動作可能であり、
    前記認証応答メッセージを送信するように動作可能であるとき、前記応答パラメータ(RES)に割り当てられた情報エレメント内で前記第2の検証コード(VCA)を送信するように動作可能である、
    請求項11〜14のいずれか1項に記載の通信デバイス。
  16. 前記第2の検証コード(VCA)は、少なくとも前記第2のPFSパラメータ(PFS)に基づくメッセージ認証コードとして生成される、請求項11〜15のいずれか1項に記載の通信デバイス。
  17. 前記ハッシュ/メッセージ認証コードは、HMAC/SHA−256に基づく、
    請求項8、10又は16のいずれか1項に記載の通信デバイス。
  18. 通信ネットワーク(36)のネットワークデバイス(44)と通信関係にある通信デバイス(40)のための方法であって、前記方法は、前記通信デバイスによって実行され、
    チャレンジ(RAND)、第1のPFSパラメータ(PFS)及び第1の検証コード(VC;VCA;VCB)を前記ネットワークデバイス(44)から受信すること(64)と、
    前記チャレンジの派生をアイデンティティモジュール(48)へ転送すること(65)と、
    少なくとも1つの結果パラメータ(CK/IK,RES)を、前記アイデンティティモジュール(48)からの応答として受信すること(66)と、
    前記結果パラメータ(CK/IK,RES)に基づいて、前記第1のPFSパラメータ(PFS)が真正であるかを判定すること(68)と、
    前記判定において前記第1のPFSパラメータ(PFS)が真正である場合に、第2のPFSパラメータ(PFS)を生成(70)し及び前記ネットワークデバイスへ送信すること(72)と、
    を含む方法。
  19. 通信ネットワーク(36)のネットワークデバイス(44)と通信関係にある通信デバイス(40)のための方法であって、前記方法は、前記通信デバイスによって実行され、
    チャレンジ(RAND)、第1のPFSパラメータ(PFS)及び第1の検証コード(VC;VCA;VCB)を前記ネットワークデバイス(44)から受信すること(64)と、
    前記チャレンジをアイデンティティモジュール(48)へ転送すること(65)と、
    少なくとも1つの結果パラメータ(CK/IK,RES)を、前記アイデンティティモジュール(48)からの応答として受信すること(66)と、
    前記結果パラメータ(CK/IK,RES)に基づいて、前記第1のPFSパラメータ(PFS)が真正であるかを判定すること(68)と、
    前記判定において前記第1のPFSパラメータ(PFS)が真正である場合に、第2のPFSパラメータ(PFS)を生成(70)し及び前記ネットワークデバイスへ送信すること(72)と、
    を含む方法。
  20. 前記通信デバイスと前記ネットワークデバイス(44)との間の通信のためのセッション鍵(K´)を生成すること(96;106)をさらに含み、前記セッション鍵は、前記第1及び第2のPFSパラメータ(PFS,PFS)を生成するために使用される値(x,y)に少なくとも基づく、請求項18又は請求項19に記載の方法。
  21. 前記セッション鍵は、前記第1のPFSパラメータ(PFS)と前記第2のPFSパラメータ(PFS)の指数(y)とに基づく、請求項18〜20のいずれか1項に記載の方法。
  22. 前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)は、認証要求メッセージ(20)内で受信され(64)、前記認証要求メッセージは、チャレンジ検証コード(AUTN)をも含み、
    前記少なくとも1つの結果パラメータ(CK/IK,RES)は、前記チャレンジに対する応答として受信される応答パラメータ(RES)を含み、
    前記第2のPFSパラメータ(PFS)を前記生成し及び送信することは、第2の検証コード(VC;VCA;VCB)と共に前記第2のPFSパラメータ(PFS)を生成し、及び、これらを前記応答パラメータ(RES)をも含む認証応答メッセージ(24)内で送信すること、を含む、
    請求項18〜21のいずれか1項に記載の方法。
  23. 前記認証要求メッセージ(20)は、前記認証要求メッセージの対応する別個の情報エレメント内に前記第1の検証コード(VCB)を含み、前記第1のPFSパラメータ(PFS)の真正性の前記判定(68)は、前記第1の検証コード(VCB)を使用して行われる、請求項22に記載の方法。
  24. 前記第1の検証コード(VCA)は、前記チャレンジ検証コード(AUTN)の少なくとも一部として提供され、前記第1のPFSパラメータ(PFS)の真正性の前記判定は、前記アイデンティティモジュールが前記少なくとも1つの結果パラメータ(CK/IK,RES)を提供することに基づいて真正性を判定することを含む、請求項22に記載の方法。
  25. 前記第2の検証コード(VCA)を前記応答パラメータ(RES)に基づかせること、をさらに含み、前記認証応答を前記送信することは、前記第2の検証コード(VCA)を前記応答パラメータ(RES)に割り当てられた前記認証応答メッセージの情報エレメント内で送信することを含む、請求項22〜24のいずれか1項に記載の方法。
  26. 前記派生は、前記チャレンジと同一である、請求項18、20〜25のいずれか1項に記載の方法。
  27. 前記派生は、前記チャレンジのハッシュである、請求項18、20〜25のいずれか1項に記載の方法デバイス。
  28. 通信ネットワーク(36)のネットワークデバイス(44)と通信関係にある通信デバイス(40)のためのコンピュータプログラムであって、前記コンピュータプログラムは、前記通信デバイス(40)において実行されると、前記通信デバイス(40)に、
    チャレンジ(RAND)、第1のPFSパラメータ(PFS)及び第1の検証コード(VC;VCA;VCB)を前記ネットワークデバイス(44)から受信させ、
    前記チャレンジの派生をアイデンティティモジュール(48)へ転送させ、
    少なくとも1つの結果パラメータ(CK/IK,RES)を、前記アイデンティティモジュール(48)からの応答として受信させ、
    前記結果パラメータ(CK/IK,RES)に基づいて、前記第1のPFSパラメータ(PFS)が真正であるかを判定させ、
    前記判定において前記第1のPFSパラメータ(PFS)が真正である場合に、第2のPFSパラメータ(PFS)を生成させ及び前記ネットワークデバイス(44)へ送信させる、
    コンピュータプログラムコード(112)、を含むコンピュータプログラム。
  29. 通信ネットワーク(36)のネットワークデバイス(44)と通信関係にある通信デバイス(40)のためのコンピュータプログラムであって、前記コンピュータプログラムは、前記通信デバイス(40)において実行されると、前記通信デバイス(40)に、
    チャレンジ(RAND)、第1のPFSパラメータ(PFS)及び第1の検証コード(VC;VCA;VCB)を前記ネットワークデバイス(44)から受信させ、
    前記チャレンジをアイデンティティモジュール(48)へ転送させ、
    少なくとも1つの結果パラメータ(CK/IK,RES)を、前記アイデンティティモジュール(48)からの応答として受信させ、
    前記結果パラメータ(CK/IK,RES)に基づいて、前記第1のPFSパラメータ(PFS)が真正であるかを判定させ、
    前記判定において前記第1のPFSパラメータ(PFS)が真正である場合に、第2のPFSパラメータ(PFS)を生成させ及び前記ネットワークデバイス(44)へ送信させる、
    コンピュータプログラムコード(112)、を含むコンピュータプログラム。
  30. 通信ネットワーク(36)のネットワークデバイス(44)と通信関係にある通信デバイス(40)の前記通信セキュリティを強化するためのコンピュータプログラムプロダクトであって、請求項28又は請求項29に記載のコンピュータプログラムコード(112)を有するデータ記憶媒体(110)、を含むコンピュータプログラムプロダクト。
  31. 第1の通信ネットワーク(36)の第1のネットワークデバイス(44)であって、前記第1のネットワークデバイス(44)は、
    チャレンジ(RAND)を取得し、
    第1のPFSパラメータ(PFS)を取得し、
    前記第1のPFSパラメータ(PFS)についての第1の検証コード(VC;VCA;VCB)を取得し、
    前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)を通信デバイス(40)へ送信し、
    前記通信デバイス(40)から第2のPFSパラメータ(PFS)、第2の検証コード(VC;VCA;VCB)及び応答パラメータ(RES)を受信し、
    前記応答パラメータの真正性を判定し、
    前記第2の検証コード(VC;VCA;VCB)に基づいて前記第2のPFSパラメータ(PFS)を検証する
    ように動作可能である、第1のネットワークデバイス(44)。
  32. 前記通信デバイス(40)と前記第1のネットワークデバイス(44)との間の通信のためのセッション鍵(K´)を計算する、ようにさらに動作可能であり、前記セッション鍵は、前記第1及び第2のPFSパラメータ(PFS,PFS)を生成するために使用される値(x,y)に少なくとも基づく、請求項31に記載の第1のネットワークデバイス(44)。
  33. 前記セッション鍵は、前記第2のPFSパラメータ(PFS)と前記第1のPFSパラメータ(PFS)の指数(x)とに基づく、請求項31又は請求項32に記載の第1のネットワークデバイス(44)。
  34. 前記チャレンジを取得するように動作可能であるとき、チャレンジ検証コード(AUTN)を取得するようにも動作可能であり、前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)を送信するように動作可能であるとき、これらを前記チャレンジ検証コード(AUTN)と共に認証要求メッセージ(20)内で送信するように動作可能であり、前記第2のPFSパラメータ(PFS)、前記第2の検証コード(VC;VCA;VCB)及び前記応答パラメータ(RES)を受信するように動作可能であるとき、これらを認証応答メッセージ(24)内で受信するように動作可能である、請求項31〜33のいずれか1項に記載の第1のネットワークデバイス(44)。
  35. 前記第1の検証コード(VCB)を取得するように動作可能であるとき、前記第1のPFSパラメータ(PFS)を使用して前記第1の検証コード(VCB)を生成するように動作可能であり、前記認証要求メッセージを送信するように動作可能であるとき、前記認証要求メッセージの対応する別個の情報エレメント内で前記第1の検証コード(VCB)を送信するように動作可能である、請求項34に記載の第1のネットワークデバイス。
  36. 前記第1のPFSパラメータ(PFS)を取得するように動作可能であるとき、前記第1のPFSパラメータ(PFS)を生成するために使用されるべき値xを受信する、ようにさらに動作可能であり、前記第1の検証コード(VCA)を取得するように動作可能であるとき、前記チャレンジ検証コード(AUTN)の少なくとも一部として前記第1の検証コードを取得するように動作可能であり、前記認証要求メッセージを送信するように動作可能であるとき、前記第1の検証コード(VCA)を、前記チャレンジ検証コード(AUTN)の少なくとも一部として送信するように動作可能である、請求項34に記載の第1のネットワークデバイス。
  37. 前記チャレンジ(RAND)を取得するように動作可能であるとき、期待されるチャレンジ結果(XRES)を取得するようにも動作可能であり、前記応答パラメータ(RES)の真正性を判定するように動作可能であるとき、前記期待されるチャレンジ結果(XRES)との比較を通じて真正性を判定するように動作可能である、請求項34〜36のいずれか1項に記載の第1のネットワークデバイス。
  38. 前記応答パラメータ(RES)は、前記第2の検証コード(VCA)が前記応答パラメータ(RES)に基づくことを通じて前記認証応答メッセージに含められ、前記第1のネットワークデバイスは、前記認証応答メッセージ(24)を受信するように動作可能であるとき、前記応答パラメータ(RES)に割り当てられた前記認証応答メッセージの情報エレメント内で前記第2の認証コード(VCA)を受信するように動作可能であり、前記応答パラメータの真正性を判定するように動作可能であって前記第2のPFSパラメータ(PFS)を検証するように動作可能であるとき、これらを前記第2の検証コード(VCA)を使用して同時に実行するように動作可能である、請求項34〜36のいずれか1項に記載の第1のネットワークデバイス。
  39. 第1の通信ネットワーク(36)の第1のネットワークデバイス(44)のための方法であって、前記方法は、前記第1のネットワークデバイス(44)によって実行され、
    チャレンジ(RAND)を取得するステップ(74)と、
    第1のPFSパラメータ(PFS)を取得するステップ(76)と、
    前記第1のPFSパラメータについての第1の検証コード(VC;VCA;VCB)を取得するステップ(78)と、
    前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)を通信デバイス(40)へ送信するステップ(80)と、
    前記通信デバイス(40)から第2のPFSパラメータ(PFS)、第2の検証コード(VC;VCA;VCB)及び応答パラメータ(RES)を受信するステップ(82)と、
    前記応答パラメータの真正性を判定するステップ(84)と、
    前記第2の検証コード(VC;VCA;VCB)に基づいて前記第2のPFSパラメータ(PFS)を検証するステップ(86)と
    を含む方法。
  40. 前記通信デバイス(40)と前記第1のネットワークデバイス(44)との間の通信のためのセッション鍵(K´)を計算すること(96,108)、をさらに含み、前記セッション鍵は、前記第1及び第2のPFSパラメータ(PFS,PFS)を生成するために使用される値(x,y)に少なくとも基づく、請求項39に記載の方法。
  41. 前記セッション鍵は、前記第2のPFSパラメータ(PFS)と前記第1のPFSパラメータ(PFS)の指数(x)とに基づく、請求項39又は請求項40に記載の方法。
  42. チャレンジ(RAND)の前記取得は、チャレンジ検証コード(AUTN)を取得することをも含み、前記チャレンジ、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)の前記送信は、これらを前記チャレンジ検証コード(AUTN)と共に認証要求メッセージ(20)内で送信することを含み、前記第2のPFSパラメータ(PFS)、前記第2の検証コード(VC;VCA,VCB)及び前記応答パラメータ(RES)の前記受信は、これらを認証応答メッセージ(24)内で受信することを含む、請求項39又は請求項41に記載の方法。
  43. 前記第1の検証コードの前記取得は、前記第1のPFSパラメータ(PFS)を使用して前記第1の検証コード(VCB)を生成することを含み、前記認証要求メッセージの前記送信は、対応する別個の情報エレメント内で前記第1の検証コード(VCB)を送信することを含む、請求項42に記載の方法。
  44. 前記第1のPFSパラメータ(PFS)の前記取得は、前記第1のPFSパラメータ(PFS)を生成するための値(x)を受信することをさらに含み、前記第1の検証コード(VCA)の前記取得は、前記チャレンジ検証コード(AUTN)の少なくとも一部として前記第1の検証コード(VCA)を取得することを含み、前記認証要求メッセージの前記送信は、前記第1の検証コード(VCA)を前記チャレンジ検証コード(AUTN)の少なくとも一部として送信することを含む、請求項42に記載の方法。
  45. 前記チャレンジ(RAND)と共に期待されるチャレンジ結果(XRES)を取得すること、をさらに含み、前記応答パラメータ(RES)の真正性の前記判定は、前記期待されるチャレンジ結果(XRES)との比較を通じて真正性を判定することを含む、請求項42〜44のいずれか1項に記載の方法。
  46. 前記応答パラメータ(RES)は、前記第2の検証コード(VCA)が前記応答パラメータ(RES)に基づくことを通じて前記認証応答メッセージに含められ、前記認証応答メッセージ(24)の前記受信は、前記応答パラメータ(RES)に割り当てられた前記認証応答メッセージの情報エレメント内で前記第2の認証コード(VCA)を受信することを含み、前記応答パラメータの真正性の前記判定、及び前記第2のPFSパラメータ(PFS)の前記検証は、前記第2の検証コード(VCA)を使用して同時に実行される、請求項42〜44のいずれか1項に記載の方法。
  47. 第1の通信ネットワーク(36)の第1のネットワークデバイス(44)のためのコンピュータプログラムであって、前記コンピュータプログラムは、前記第1のネットワークデバイス(44)において実行されると、前記第1のネットワークデバイスに、
    チャレンジ(RAND)を取得させ、
    第1のPFSパラメータ(PFS)を取得させ、
    前記第1のPFSパラメータ(PFS)についての第1の検証コード(VC;VCA;VCB)を取得させ、
    前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)を通信デバイス(40)へ送信させ、
    前記通信デバイス(40)から第2のPFSパラメータ(PFS)、第2の検証コード(VC;VCA;VCB)及び応答パラメータ(RES)を受信させ、
    前記応答パラメータの真正性を判定させ、
    前記第2の検証コード(VC;VCA;VCB)に基づいて前記第2のPFSパラメータ(PFS)を検証させる、
    コンピュータプログラムコード(116)、を含むコンピュータプログラム。
  48. 第1の通信ネットワーク(36)の第1のネットワークデバイス(44)のためのコンピュータプログラムプロダクトであって、請求項45に記載のコンピュータプログラムコード(116)を有するデータ記憶媒体(114)、を含むコンピュータプログラムプロダクト。
  49. 第1の通信ネットワーク(36)の第1のネットワークデバイス(44)と、第2の通信ネットワーク(38)内の第2のネットワークデバイス(46)とを含むシステムであって、
    前記第2のネットワークデバイス(46)は、前記第1のネットワークデバイスへチャレンジ(RAND)を送信するように動作可能であり、
    前記第1のネットワークデバイスは、
    前記チャレンジ(RAND)を受信し、
    第1のPFSパラメータ(PFS)を取得し、
    前記第1のPFSパラメータ(PFS)についての第1の検証コード(VC;VCA;VCB)を取得し、
    前記チャレンジ(RAND)、前記第1のPFSパラメータ(PFS)及び前記第1の検証コード(VC;VCA;VCB)を前記通信デバイス(40)へ送信し、
    前記通信デバイスから第2のPFSパラメータ(PFS)、第2の検証コード(VC;VCA;VCB)及び応答パラメータ(RES)を受信し、
    前記応答パラメータ(RES)の真正性を判定し、
    前記第2の検証コード(VC;VCA;VCB)に基づいて前記第2のPFSパラメータ(PFS)を検証する、
    ように動作可能である、
    システム。
  50. 前記第2のネットワークデバイス(46)は、前記第1のPFSパラメータ(PFS)を取得するための値(x)を、少なくとも前記値xに基づいてそれを生成することを通じて提供し、並びに、前記第1のPFSパラメータ(PFS)を使用して前記チャレンジ検証コード(VCA)を生成し及び前記値(x)を前記第1のネットワークデバイス(44)へ送信する、ようにさらに動作可能であり、前記第1のネットワークデバイス(44)は、転じて、前記チャレンジ検証コード(AUTN)として前記第1の検証コード(VCA)を前記通信デバイス(40)へ送信する、ように動作可能である、請求項49に記載のシステム。
  51. 第2の通信ネットワーク(38)のための第2のネットワークデバイス(46)であって、前記第2のネットワークデバイス(46)は、
    第1の通信ネットワーク(36)の第1のネットワークデバイス(44)から、通信デバイス(40)の識別モジュール(48)に関係する認証データの要求を受信し、
    第1のPFSパラメータ(PFS)を生成し、
    少なくとも前記第1のPFSパラメータ(PFS)及び前記第2のネットワークデバイス(46)と前記アイデンティティモジュール(48)との間で共有される鍵に基づいて、第1の認証コード(AUTN)を生成し、
    前記要求への応答として、少なくとも前記第1の検証コードと、前記第1のPFSパラメータ(PFS)の導出元となり得る値とを前記第1のネットワークデバイス(46)へ送信する
    ように動作可能である、第2のネットワークデバイス(46)。
  52. 前記第1のPFSパラメータ(PFS)の導出元となり得る前記値は、前記第1のPFSパラメータ(PFS)を含む、請求項51に記載の第2のネットワークデバイス(46)。
  53. 前記第1のPFSパラメータ(PFS)は、ディフィーヘルマンパラメータを含み、前記第1のPFSパラメータ(PFS)の導出元となり得る前記値は、前記ディフィーヘルマンパラメータの指数(x)を含む、請求項51に記載の第2のネットワークデバイス(46)。
JP2019090941A 2015-02-27 2019-05-13 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 Active JP6979420B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021135734A JP2021193800A (ja) 2015-02-27 2021-08-23 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562121689P 2015-02-27 2015-02-27
US62/121,689 2015-02-27
JP2017545344A JP2018507646A (ja) 2015-02-27 2015-07-13 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2017545344A Division JP2018507646A (ja) 2015-02-27 2015-07-13 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021135734A Division JP2021193800A (ja) 2015-02-27 2021-08-23 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成

Publications (2)

Publication Number Publication Date
JP2019169963A true JP2019169963A (ja) 2019-10-03
JP6979420B2 JP6979420B2 (ja) 2021-12-15

Family

ID=56788912

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2017545344A Pending JP2018507646A (ja) 2015-02-27 2015-07-13 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
JP2019090941A Active JP6979420B2 (ja) 2015-02-27 2019-05-13 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
JP2021135734A Pending JP2021193800A (ja) 2015-02-27 2021-08-23 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2017545344A Pending JP2018507646A (ja) 2015-02-27 2015-07-13 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021135734A Pending JP2021193800A (ja) 2015-02-27 2021-08-23 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成

Country Status (15)

Country Link
US (5) US9787661B2 (ja)
EP (2) EP3876573B1 (ja)
JP (3) JP2018507646A (ja)
KR (1) KR102033465B1 (ja)
CN (1) CN107409305B (ja)
AR (1) AR105756A1 (ja)
AU (1) AU2015384233B2 (ja)
BR (1) BR112017018428A2 (ja)
CA (1) CA2977950C (ja)
ES (1) ES2881632T3 (ja)
IL (1) IL253734B (ja)
MX (2) MX367997B (ja)
RU (1) RU2663972C1 (ja)
WO (1) WO2016137374A1 (ja)
ZA (1) ZA201705850B (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG10201509342WA (en) * 2015-11-12 2017-06-29 Huawei Int Pte Ltd Method and system for session key generation with diffie-hellman procedure
US9979554B2 (en) * 2016-01-11 2018-05-22 Panasonic Avionics Corporation Methods and systems for securely accessing line replaceable units
US10306470B2 (en) * 2016-04-06 2019-05-28 Samsung Electronics Co., Ltd. System and method for validating authenticity of base station and/or information received from base station
FR3057132A1 (fr) * 2016-10-04 2018-04-06 Orange Procede d'authentification mutuelle entre un equipement utilisateur et un reseau de communication
US10805349B2 (en) 2017-03-29 2020-10-13 At&T Intellectual Property I, L.P. Method and system to secure and dynamically share IOT information cross multiple platforms in 5G network
BR112019004143A2 (pt) * 2017-04-11 2019-12-31 Huawei Tech Co Ltd método, dispositivo, e sistema de autenticação de rede
US10841302B2 (en) * 2017-05-24 2020-11-17 Lg Electronics Inc. Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system
WO2019000171A1 (en) * 2017-06-26 2019-01-03 Zte Corporation METHODS AND COMPUTER DEVICE FOR AUTHENTICATING USER EQUIPMENT VIA HOME NETWORK
US10486646B2 (en) * 2017-09-29 2019-11-26 Apple Inc. Mobile device for communicating and ranging with access control system for automatic functionality
WO2019086444A1 (en) 2017-10-30 2019-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Methods, computer programs, computer program product, communication devices, network device and server
EP3718279A1 (en) * 2017-11-30 2020-10-07 Telefonaktiebolaget LM Ericsson (publ) Serving-network based perfect forward security for authentication
US11265699B2 (en) 2018-02-23 2022-03-01 T-Mobile Usa, Inc. Identifier-based access control in mobile networks
US10637858B2 (en) 2018-02-23 2020-04-28 T-Mobile Usa, Inc. Key-derivation verification in telecommunications network
WO2019179925A1 (en) * 2018-03-22 2019-09-26 British Telecommunications Public Limited Company Wireless communication network authentication
US11184177B2 (en) * 2018-09-19 2021-11-23 Synaptics Incorporated Method and system for securing in-vehicle ethernet links
US11218466B2 (en) * 2018-10-31 2022-01-04 Salesforce.Com, Inc. Endpoint security
CN111404666B (zh) * 2019-01-02 2024-07-05 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
EP3684088A1 (en) 2019-01-18 2020-07-22 Thales Dis France SA A method for authentication a secure element cooperating with a mobile equipment within a terminal in a telecommunication network
CN111669276B (zh) * 2019-03-07 2022-04-22 华为技术有限公司 一种网络验证方法、装置及系统
US11076296B1 (en) 2019-05-13 2021-07-27 Sprint Communications Company L.P. Subscriber identity module (SIM) application authentication
ES2882925T3 (es) 2019-08-27 2021-12-03 GlobalmatiX AG Autenticación entre una unidad de control telemático y un sistema de servidor central
JP2022549671A (ja) * 2019-09-25 2022-11-28 コモンウェルス サイエンティフィック アンド インダストリアル リサーチ オーガナイゼーション ブラウザアプリケーション用の暗号化サービス
CN112672345B (zh) * 2019-09-30 2023-02-10 华为技术有限公司 通信认证方法和相关设备
CN110830985B (zh) * 2019-11-11 2022-04-29 重庆邮电大学 一种基于信任机制的5g轻量级终端接入认证方法
CN111669748B (zh) * 2020-05-20 2021-06-29 中国科学院软件研究所 一种隐私保护的移动通信认证方法
WO2022069056A1 (en) * 2020-10-02 2022-04-07 Huawei Technologies Co., Ltd. Protection of sensitive user data in communication networks
US11743044B2 (en) * 2021-09-21 2023-08-29 Salesforce, Inc. Password-less authentication using key agreement and multi-party computation (MPC)
US20230412378A1 (en) * 2022-06-16 2023-12-21 Qualcomm Incorporated Methods and systems for key exchange and encryption

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003524353A (ja) * 2000-02-22 2003-08-12 ノキア ネットワークス オサケ ユキチュア 通信システムにおける完全性のチェック
JP2008530861A (ja) * 2005-02-04 2008-08-07 クゥアルコム・インコーポレイテッド 無線通信のための安全なブートストラッピング
JP2009512296A (ja) * 2005-10-13 2009-03-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュリティ・アソシエーションを確立するための方法および装置

Family Cites Families (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5491749A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks
KR19990022451A (ko) * 1995-06-05 1999-03-25 피터 씨. 프레운드 다단계 디지털 서명 방법 및 시스템
US7010692B2 (en) * 1996-04-17 2006-03-07 Phoenix Technologies Ltd. Cryptographic methods for remote authentication
CA2228185C (en) * 1997-01-31 2007-11-06 Certicom Corp. Verification protocol
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7194765B2 (en) 2002-06-12 2007-03-20 Telefonaktiebolaget Lm Ericsson (Publ) Challenge-response user authentication
US7565537B2 (en) * 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
US7725730B2 (en) * 2002-08-09 2010-05-25 Emc Corporation Cryptographic methods and apparatus for secure authentication
US8005070B2 (en) * 2003-03-12 2011-08-23 Lon Communication Mgmt. Llc Extension of a local area phone system to a wide area network with handoff features
CN101241735B (zh) * 2003-07-07 2012-07-18 罗威所罗生股份有限公司 重放加密的视听内容的方法
US20050086342A1 (en) * 2003-09-19 2005-04-21 Andrew Burt Techniques for client-transparent TCP migration
US7434050B2 (en) * 2003-12-11 2008-10-07 International Business Machines Corporation Efficient method for providing secure remote access
US7434054B2 (en) * 2004-03-31 2008-10-07 Microsoft Corporation Asynchronous enhanced shared secret provisioning protocol
US7545932B2 (en) * 2004-10-29 2009-06-09 Thomson Licensing Secure authenticated channel
US7464267B2 (en) * 2004-11-01 2008-12-09 Innomedia Pte Ltd. System and method for secure transmission of RTP packets
WO2006064359A1 (en) * 2004-12-17 2006-06-22 Telefonaktiebolaget Lm Ericsson (Publ) Clone-resistant mutual authentication in a radio communication network
US7747865B2 (en) * 2005-02-10 2010-06-29 International Business Machines Corporation Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols
BRPI0608531A2 (pt) * 2005-02-11 2010-01-12 Nokia Corp método e aparelho para prover os procedimentos de auto-carregamento na rede de comunicação
US20060206710A1 (en) * 2005-03-11 2006-09-14 Christian Gehrmann Network assisted terminal to SIM/UICC key establishment
US8132006B2 (en) * 2005-05-03 2012-03-06 Ntt Docomo, Inc. Cryptographic authentication and/or establishment of shared cryptographic keys, including, but not limited to, password authenticated key exchange (PAKE)
JP2007028529A (ja) * 2005-07-21 2007-02-01 Fuji Xerox Co Ltd 情報記録システム、情報再生システム、および情報記録再生システム
US7730309B2 (en) * 2005-07-27 2010-06-01 Zimmermann Philip R Method and system for key management in voice over internet protocol
GB0517592D0 (en) * 2005-08-25 2005-10-05 Vodafone Plc Data transmission
US20070086590A1 (en) * 2005-10-13 2007-04-19 Rolf Blom Method and apparatus for establishing a security association
WO2007086435A1 (ja) * 2006-01-25 2007-08-02 Matsushita Electric Industrial Co., Ltd. 端末装置、サーバ装置及びデジタルコンテンツ配信システム
US8522025B2 (en) * 2006-03-28 2013-08-27 Nokia Corporation Authenticating an application
WO2007125877A1 (ja) * 2006-04-28 2007-11-08 Panasonic Corporation 通信装置、及び通信システム
WO2008005162A2 (en) * 2006-06-19 2008-01-10 Interdigital Technology Corporation Method and apparatus for security protection of an original user identity in an initial signaling message
US9503462B2 (en) * 2007-02-08 2016-11-22 Nokia Technologies Oy Authenticating security parameters
US8667285B2 (en) * 2007-05-31 2014-03-04 Vasco Data Security, Inc. Remote authentication and transaction signatures
US20110004754A1 (en) * 2007-06-12 2011-01-06 John Michael Walker Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures
US9279899B2 (en) * 2007-07-18 2016-03-08 Westerngeco L.L.C. System and technique to estimate physical propagation parameters associated with a seismic survey
KR101084938B1 (ko) * 2007-10-05 2011-11-18 인터디지탈 테크날러지 코포레이션 Uicc와 단말기간 보안 채널화를 위한 기술
US8812858B2 (en) * 2008-02-29 2014-08-19 Red Hat, Inc. Broadcast stenography of data communications
WO2009126647A2 (en) * 2008-04-07 2009-10-15 Interdigital Patent Holdings, Inc. Secure session key generation
CN101286844B (zh) * 2008-05-29 2010-05-12 西安西电捷通无线网络通信有限公司 一种支持快速切换的实体双向鉴别方法
US20110055585A1 (en) * 2008-07-25 2011-03-03 Kok-Wah Lee Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering
US9258696B2 (en) * 2009-02-11 2016-02-09 Alcatel-Lucent Method for secure network based route optimization in mobile networks
EP2249593B1 (en) * 2009-05-04 2013-01-02 NTT DoCoMo, Inc. Method and apparatus for authenticating a mobile device
CN101662465B (zh) * 2009-08-26 2013-03-27 深圳市腾讯计算机系统有限公司 一种动态口令验证的方法及装置
US8510561B2 (en) * 2010-02-26 2013-08-13 Research In Motion Limited Methods and devices for computing a shared encryption key
KR101198120B1 (ko) * 2010-05-28 2012-11-12 남궁종 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법
US8572385B2 (en) * 2010-07-29 2013-10-29 Brown University System and method for optimal verification of operations on dynamic sets
EP2689599B1 (en) * 2011-03-23 2017-05-03 InterDigital Patent Holdings, Inc. User equipment and method for securing network communications
WO2013165605A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
US9088408B2 (en) * 2012-06-28 2015-07-21 Certicom Corp. Key agreement using a key derivation key
US8971851B2 (en) * 2012-06-28 2015-03-03 Certicom Corp. Key agreement for wireless communication
TW201417598A (zh) * 2012-07-13 2014-05-01 Interdigital Patent Holdings 安全性關聯特性
US20150244685A1 (en) * 2012-09-18 2015-08-27 Interdigital Patent Holdings Generalized cryptographic framework
WO2014062041A1 (ko) * 2012-10-21 2014-04-24 엘지전자 주식회사 무선 통신 시스템에서 하향링크 제어채널을 모니터링하는 방법 및 장치
KR102024531B1 (ko) * 2012-12-14 2019-09-25 한국전자통신연구원 송신 메시지 연결성을 제공하는 익명 인증 및 키 합의 장치 및 방법
US9768962B2 (en) * 2013-03-15 2017-09-19 Microsoft Technology Licensing, Llc Minimal disclosure credential verification and revocation
US9769658B2 (en) * 2013-06-23 2017-09-19 Shlomi Dolev Certificating vehicle public key with vehicle attributes
US20150031334A1 (en) * 2013-07-25 2015-01-29 Htc Corporation Method of Handling Authentication for Wireless Charging
GB2518256A (en) * 2013-09-13 2015-03-18 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
US9326141B2 (en) * 2013-10-25 2016-04-26 Verizon Patent And Licensing Inc. Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
WO2015133955A1 (en) * 2014-03-03 2015-09-11 Telefonaktiebolaget L M Ericsson (Publ) Methods and devices for improving access steering between radio access networks
US9264900B2 (en) * 2014-03-18 2016-02-16 Huawei Technologies Co., Ltd. Fast authentication for inter-domain handovers
US9628273B2 (en) 2014-04-30 2017-04-18 Thamir Alshammari Cryptographic method and system for secure authentication and key exchange
US10142840B2 (en) * 2015-01-29 2018-11-27 Motorola Mobility Llc Method and apparatus for operating a user client wireless communication device on a wireless wide area network
SG10201509342WA (en) * 2015-11-12 2017-06-29 Huawei Int Pte Ltd Method and system for session key generation with diffie-hellman procedure
KR102549272B1 (ko) * 2016-05-17 2023-06-30 한국전자통신연구원 패스워드와 id 기반 서명을 이용한 인증 키 합의 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003524353A (ja) * 2000-02-22 2003-08-12 ノキア ネットワークス オサケ ユキチュア 通信システムにおける完全性のチェック
JP2008530861A (ja) * 2005-02-04 2008-08-07 クゥアルコム・インコーポレイテッド 無線通信のための安全なブートストラッピング
JP2009512296A (ja) * 2005-10-13 2009-03-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュリティ・アソシエーションを確立するための方法および装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
3GPP: "3G Security; Generic Authentication Architecture (GAA); System description (Release 12)", TR 33.919, vol. V12.0.0, JPN6020014707, September 2014 (2014-09-01), ISSN: 0004258190 *
3GPP: "Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GBA) (Release 12)", TS 33.220, vol. V12.3.0, JPN6020014710, June 2014 (2014-06-01), ISSN: 0004258191 *
LAI, C. ET AL.: "SE-AKA: A secure and efficient group authentication and key agreement protocol for LTE networks", COMPUTER NETWORKS, JPN6020014706, 2013, pages 3492 - 3510, XP055394187, ISSN: 0004492220, DOI: 10.1016/j.comnet.2013.08.003 *

Also Published As

Publication number Publication date
US20180332021A1 (en) 2018-11-15
WO2016137374A1 (en) 2016-09-01
JP6979420B2 (ja) 2021-12-15
US10057232B2 (en) 2018-08-21
US10965660B2 (en) 2021-03-30
EP3262861A1 (en) 2018-01-03
US20210176227A1 (en) 2021-06-10
ZA201705850B (en) 2018-12-19
EP3876573A1 (en) 2021-09-08
BR112017018428A2 (pt) 2018-04-17
US11722473B2 (en) 2023-08-08
MX367997B (es) 2019-09-13
AU2015384233A1 (en) 2017-08-24
CN107409305B (zh) 2021-05-25
KR20170108102A (ko) 2017-09-26
US20160255064A1 (en) 2016-09-01
US9787661B2 (en) 2017-10-10
JP2021193800A (ja) 2021-12-23
US10659447B2 (en) 2020-05-19
JP2018507646A (ja) 2018-03-15
EP3876573B1 (en) 2022-09-07
CN107409305A (zh) 2017-11-28
ES2881632T3 (es) 2021-11-30
US20160255070A1 (en) 2016-09-01
KR102033465B1 (ko) 2019-10-17
IL253734B (en) 2021-01-31
CA2977950C (en) 2020-12-22
IL253734A0 (en) 2017-09-28
EP3262861A4 (en) 2018-02-21
MX2019005063A (es) 2019-08-05
AR105756A1 (es) 2017-11-08
MX2017010250A (es) 2017-11-17
AU2015384233B2 (en) 2019-03-07
RU2663972C1 (ru) 2018-08-14
US20190394184A1 (en) 2019-12-26
EP3262861B1 (en) 2021-06-02
CA2977950A1 (en) 2016-09-01

Similar Documents

Publication Publication Date Title
JP6979420B2 (ja) 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
US9668139B2 (en) Secure negotiation of authentication capabilities
US11381964B2 (en) Cellular network authentication control
US11228429B2 (en) Communication with server during network device during extensible authentication protocol—authentication and key agreement prime procedure
CN109788480B (zh) 一种通信方法及装置
JP7237200B2 (ja) パラメータ送信方法及び装置
EP3146742B1 (en) Exception handling in cellular authentication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190530

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200508

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20200811

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20210303

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210823

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20210823

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20210902

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20210906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211115

R150 Certificate of patent or registration of utility model

Ref document number: 6979420

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150