JP4047580B2 - 鍵変換システムおよび方法 - Google Patents

鍵変換システムおよび方法 Download PDF

Info

Publication number
JP4047580B2
JP4047580B2 JP2001376564A JP2001376564A JP4047580B2 JP 4047580 B2 JP4047580 B2 JP 4047580B2 JP 2001376564 A JP2001376564 A JP 2001376564A JP 2001376564 A JP2001376564 A JP 2001376564A JP 4047580 B2 JP4047580 B2 JP 4047580B2
Authority
JP
Japan
Prior art keywords
value
key
bit
communication system
processing circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001376564A
Other languages
English (en)
Other versions
JP2002232418A (ja
JP2002232418A5 (ja
Inventor
パテル サーヴァー
Original Assignee
ルーセント テクノロジーズ インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ルーセント テクノロジーズ インコーポレーテッド filed Critical ルーセント テクノロジーズ インコーポレーテッド
Publication of JP2002232418A publication Critical patent/JP2002232418A/ja
Publication of JP2002232418A5 publication Critical patent/JP2002232418A5/ja
Application granted granted Critical
Publication of JP4047580B2 publication Critical patent/JP4047580B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/144Reselecting a network or an air interface over a different radio air interface technology
    • H04W36/1443Reselecting a network or an air interface over a different radio air interface technology between licensed networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は通信に関し、より具体的には、無線ユニットが第1の通信システムと第2の通信システムとの間でローミングする際の、第1および第2の通信システムのための鍵の変換に関する。
【0002】
【従来の技術】
図1は、地理的なエリア14および16内にそれぞれ位置する無線ユニット(たとえば、無線ユニット12a〜c)に無線通信サービスを提供する第1および第2の無線通信システムの概略図である。移動体交換局(たとえば、MSC20および24)は、特に、無線ユニット間の呼、無線ユニットと有線ユニット(たとえば、有線ユニット25)との間の呼、および/または無線ユニットと、インターネットのようなパケットデータ網(PDN)との間の接続を確立し、かつ維持するための役割を担う。そのような場合に、MSCは、その地理的なエリア内にいる無線ユニットを、公衆交換電話網(PSTN)28および/またはパケットデータ網(PDN)29と相互に接続する。MSCによってサービスを提供される地理的なエリアは、「セル」と呼ばれる空間的に個別のエリアに分割される。図1に示されるように、各セルは、蜂の巣状のパターン内の1つの六角形によって概略的に表される。しかしながら、実際には、各セルは、セルを包囲する土地の地形に応じて不規則な形状を有する。
【0003】
典型的には、各セルは、無線機とアンテナとを備える基地局(たとえば、基地局22a〜eおよび26a〜e)を含み、基地局はそれを用いて、そのセル内の無線ユニットと通信を行う。また基地局は、基地局が地理的なエリア内のMSCと通信するために用いる伝送装置も備える。たとえば、MSC20は、地理的なエリア14内の基地局22a〜eに接続され、MSC24は、地理的なエリア16内の基地局26a〜eに接続される。地理的なエリア内では、無線ユニットがセル間を移動する、すなわち呼をハンドオフするのに応じて、MSCは基地局間でリアルタイムに呼を切り替える。実施形態によっては、基地局コントローラ(BSC)として、いくつかの基地局に接続されるか、あるいは各基地局に配置され、その基地局のための無線リソースを管理し、かつMSCに情報を中継する個別の基地局コントローラ(BSC)(図示せず)を用いることができる。
【0004】
MSC20および24は、「Cellular Radiotelecommunications Intersystem Operations」(1997年12月、「IS−41」)というタイトルのTIA/EIA−41−Dとして規定される標準規格に準拠するシグナリングネットワークのような、シグナリングネットワーク32を用いており、そのネットワークによって、各地理的なエリア14および16内でローミングしている無線ユニットについての情報を交換できるようになる。たとえば、無線ユニット12aが、最初に割り当てられたMSC20(たとえば、ホームMSC)の地理的なエリア14から離れる際に、無線ユニット12aはローミング状態になる。ローミング中の無線ユニットが呼を確実に受信できるようにするために、ローミング無線ユニット12aは、自分の存在をビジターMSC24に知らせることにより、現時点で自分が在圏しているMSC24(ビジターMSC)で登録を行う。一旦、ビジターMSC24によってローミング中の無線ユニット12aが識別されたなら、ビジターMSC24は、シグナリングネットワーク32を介して、ホームMSC20に登録要求を送信し、ホームMSC20は、そのビジターMSC24の識別情報を用いて、ホームロケーションレジスタ(HLR)と呼ばれるデータベース34を更新し、それにより、ローミング中の無線ユニット12aの位置がホームMSC20に提供される。
【0005】
ローミング中の無線ユニットが認証された後、ホームMSC20はビジターMSC24に、コールウエイティング、発信者番号通知、着信転送、三者通話、国際通話のような、ローミング中の無線ユニットが利用できる機能を指示する顧客プロファイルを提供する。顧客プロファイルを受信すると、ビジターMSC24は、ビジターロケーションレジスタ(VLR)と呼ばれるデータベース36を更新し、ホームMSC20と同じ機能を提供する。HLR、VLRおよび/または認証局(AC)は、MSCと同じ場所に配置されることができるか、あるいはリモートでアクセスされることができる。
【0006】
無線ユニットが、異なる無線通信標準規格を用いる無線通信システム間でローミングしている場合には、異なる無線通信システムにおいて、無線ユニットに同じ機能およびサービスを提供することは、実現可能ではあるが、複雑になる。現在、米国、欧州および日本では、異なる無線通信標準規格が用いられている。現在、米国は、異なる標準規格を用いる2つの無線通信システムを主に用いている。第1のシステムは、時分割多元接続(TDMA)システムであり、IS−136として知られる標準規格によって規定されている。第2のシステムは、符号分割多元接続(CDMA)システムであり、IS−95として知られる標準規格によって規定される。いずれの通信システムとも、システム間メッセージ伝送のために、認証手順を規定するIS−41として知られる標準規格を用いる。
【0007】
TDMAシステムでは、ユーザは周波数帯を共有し、各ユーザの音声は、ユーザを区別するように制御されたタイムスロットを用いて、高速パケットとして格納され、圧縮され、かつ伝送される。それゆえ「時分割」と呼ばれる。受信機側では、そのパケットの圧縮が解除される。IS−136プロトコルでは、3人のユーザが所与の搬送波周波数を共有する。対照的に、CDMAシステムは、固有の符号を用いて、広い領域のスペクトルにわたって信号を「拡散」し(それゆえ、別名、スペクトル拡散と呼ばれる)、受信機は同じ符号を用いて、雑音から信号を再生する。極端に低い電力の信号の場合でも、非常に耐雑音性の、確実なチャネルを確立することができる。さらに、異なる符号を用いることにより、多数の異なるチャネルが、互いに干渉することなく、同時に同じ搬送波信号を共有することができる。CDMAおよびTDMAはいずれも、ユーザ情報のプライバシーあるいは秘密性のために異なる要件を有する第2世代(2G)および第3世代(3G)フェーズの場合に規定されている。
【0008】
欧州は、欧州電気通信標準化機構(ETSI)によって規定されるような移動体のためのグローバルシステム(GSM)ネットワークを用いる。GSMはTDMA標準規格であり、8人のユーザが搬送波周波数を共有する。音声は20msec窓で取り込まれ、サンプリングされ、処理され、かつ圧縮される。GSMは900MHz帯の搬送波上で伝送される。別のシステムは1.8GHz帯で動作し(DCS1800)、付加的な容量を提供しており、それは、セルラーシステムではなく、パーソナル通信システム(PCS)の多くで頻繁に用いられている。同じように、米国でもDCS−1900、すなわち1.9GHzの異なる搬送波上で動作する別のGSMシステムが実施されている。パーソナルデジタルセルラー(PDC)は日本の標準規格であり、以前にはJDC(日本デジタルセルラー)として知られていた。PDCは、IS−54プロトコルとして知られている米国標準規格と同様のTDMA標準規格である。
【0009】
GSMネットワークは、クレジットカードサイズの着脱式のユーザ識別モジュール(UIM)を用いており、そのモジュールは加入者が所有し、加入者はUIMをGSMハンドセットに挿入して、そのハンドセットを自分の電話として用いる。加入者の固有の電話番号がダイヤルされるときに呼出音が鳴動し、通話料はその加入者の口座に課金されるであろう。全てのオプションおよびサービスに接続することができ、ボイスメール等にも接続することができる。異なるUIMを所持する加入者が1台の「物理的な」ハンドセットを共有し、それを、UIM毎に1台の、いくつかの「仮想的な」ハンドセットに変えることができる。また、米国のシステムと同様に、GSMネットワークによれば、他の無線通信システムあるいはネットワークからの加入者を認識する(および受け入れる)ことに合意している種々のネットワーク事業者によって、無線ユニット(あるいはUIM)が移動する際に「ローミング」が可能になる。そこで、イギリスの加入者が、フランスあるいはドイツ国内をドライブしながら、GSM無線ユニットを用いて(同じイギリスの電話番号で)発着呼することができ、それは、米国の無線通信システムの任意のシステムにおいて、米国のビジネスマンがボストン、マイアミあるいはシアトルで無線ユニットを用いることができるのと同じように簡単である。そのGSMシステムは、第2世代(2G)システムとして規定される。
【0010】
GSMセキュリティ方式の第3世代における改善は、ユニバーサル移動体電気通信サービス(UMTS)の一式の標準規格において、特に3GPP TS−33.102「セキュリティアーキテクチャ」仕様書として特定される標準規格のセキュリティの場合に規定されている。わずかな変形方式を有するこのセキュリティ方式は、UMTS、TDMAおよびCDMAを含む全ての3G通信システムのための世界的に共通のセキュリティ方式の基本方式として用いられるであろう。
【0011】
2G GSM認証方式が図2に示される。この認証方式は、ホームロケーションレジスタ(HLR)40と、ビジターロケーションレジスタ(VLR)50と、UIM62を含む無線ユニットあるいは移動端末(MT)60とを含む。移動端末60が電話を掛けるとき、ホームロケーションレジスタ40に要求が送信され、ホームロケーションレジスタ40は、ルート鍵Kから、「トリプレット」(RAND、SRES、K)とも呼ばれる認証ベクトルAVを生成する。トリプレットはランダム数RANDと、符号付きの応答SRESと、セッション鍵Kとを含む。トリプレットはビジターロケーションレジスタ50に与えられ、ビジターロケーションレジスタ50はそのランダム数RANDを移動端末60に渡す。UIM62はランダム数RANDを受信し、ルート鍵K、ランダム数RAND、およびアルゴリズムA3を用いて、符号付きの応答SRESを計算する。また、UIM62は、ルート鍵K、ランダム数RAND、およびアルゴリズムA8を用いて、セッション鍵Kも計算する。UIM62によって計算されたSRESは、ビジターロケーションレジスタ50に返送され、ビジターロケーションレジスタ50は移動端末30を用いる加入者を認証するために、ホームロケーションレジスタ40から受信されたSRESからの値と比較する。
【0012】
GSM「チャレンジ/応答」認証システムでは、ビジターロケーションレジスタ50は、UIM32およびホームロケーションレジスタ40によって保持されているルート鍵Kを受信することはない。またVLR50は、HLR40およびUIM62によって用いられる認証アルゴリズムを知る必要もない。また、GSM認証方式では、トリプレットは、ホームロケーションレジスタ40によって呼び出される全ての電話の場合に送信されなければならない。RANDは128ビットであり、SRESは32ビットであり、Kは64ビットであり、各要求の場合に224ビットのデータになり、著しいデータ負荷になる。この説明の主な焦点は、ユーザ情報の秘密性のために用いられる、64ビット長Kセッション暗号化鍵である。通話中に、移動端末が別のサービス提供システムにローミングするとき、セッション鍵Kは、古いVLRから新しいターゲットサービス提供システムに転送される。
【0013】
図3は、2G GSM方式に対して改善されたUMTSセキュリティ方式を示す。GSM方式と同様に、移動端末90が電話を掛けるとき、ホームロケーションレジスタ70に要求が送信され、ホームロケーションレジスタ70は認証ベクトルAVを、トリプレットの3つの要素の代わりに5つの要素、それゆえ「クインタプレット」と呼ばれる要素を含むビジターロケーションレジスタ(VLR)80に送信する。このベクトルは、128ビットRANDと、64ビットSRESと、ホームネットワークの認証サインおよび2つのセッションセキュリティ鍵を有するAUTN値と、128ビット暗号化鍵CKと、128ビット完全性確認(integrity)鍵IKとを含む。これらのうちの後者の2つの鍵、CKおよびIKがこの説明の焦点である。
【0014】
そのベクトルはビジターロケーションレジスタ80に与えられ、ビジターロケーションレジスタ80は、ランダム数RANDおよびAUTNを移動端末に渡す。UIM92はランダム数RANDを受信し、ルート鍵Kと、ランダム数RANDと、所定のアルゴリズム関数とを用いて、AUTMの妥当性を検査し、符号付の応答SRESを計算する。またUIM92は、ルート鍵Kと、ランダム数RANDと、所定のアルゴリズム関数とを用いて、セッション鍵CKおよびIKも計算する。UIM92によって計算されたSRESは、ビジターロケーションレジスタ80に返送され、ビジターロケーションレジスタ80は、移動端末90を用いる加入者を認証するために、ホームロケーションレジスタ70から受信されたSRESからの値と比較する。この説明の焦点は、128ビット長セッション暗号化鍵CKと、128ビット長セッション完全性確認鍵IKとにあり、それらは、ユーザ情報の秘密性と、セッション完全性の保護とのために用いられる。一旦、加入者が認証に成功したなら、VLR80は、この認証ベクトルにおいて受信されたCKおよびIKを有効にする。通話中に、移動端末が別のサービス提供システム内にローミングする場合には、CKおよびIKは新しいターゲットサービス提供システムに送信される。
【0015】
米国TDMAおよびCDMAシステムにおいて用いられる、2G IS−41認証方式が図4に示される。この認証方式は、ホームロケーションレジスタ(HLR)100と、ビジターロケーションレジスタ(VLR)110と、UIM122を含むことができる移送端末(MT)120とを含む。A_鍵として知られるルート鍵は、HLR100およびUIM122内にのみ格納される。共有秘密データSSDとして知られる補助鍵が存在し、ローミング中にVLR110に送信される。SSDは、暗号作成アルゴリズムを用いてA_鍵から生成される。SSDを生成するための手順は他でも記載されており、当業者には知られている。MT120が訪問先のネットワークにローミングするとき、VLR110はHLR100に認証要求を送信し、HLR100は、その加入者のSSDを送信することにより応答する。一旦、VLR110がそのSSDを所持したなら、VLR110は、HLR100とは無関係に、あるいは当業者に知られているようにHLR100の支援を受けて、MT120を認証することができる。VLR110はMT120を介して、ランダム数RANDをUIM122に送信し、UIM122はRANDと、UIM122に格納されたSSDの値とを用いて、認証応答(AUTHR)を計算する。AUTHRはVLR110に返送され、VLR110は、同じようにして個別に計算されたAUTHRの値に対して、そのAUTHRを検査する。2つのAUTHR値が一致する場合には、MT120が公然と有効になる。このプロセスは、無線ユニットがそのシステムにアクセスしようとするとき、たとえば、発呼しようとするとき、あるいは着呼に対して応答するときに繰り返される。
【0016】
これらの場合に、セッションセキュリティ鍵も生成される。セッションセキュリティ鍵を生成するために、認証計算が行われた後に、計算アルゴリズムの内部状態が保持される。その後、現在のSSDの値を用いて、UIM122およびVLR110によって、いくつかのセッションセキュリティ鍵が計算される。具体的には、520ビットの音声秘話マスク(VPM)が計算され、それが、通話中にTDMA音声データを盗聴されないために用いられる。このVPMは、UIMおよびVLRによって呼の開始時に導出され、移動端末が通話中に別のサービス提供システムにローミングする場合には、VPMは、VLRによって新しいサービス提供システムに送信される。呼が終了するとき、VPMは、UIMおよびサービス提供VLRの両方によって消去される。同様に、64ビットシグナリングメッセージ暗号鍵(SMEKEY)が計算され、通話中にTDMAシグナリング情報を暗号化するために用いられる。このSMEKEYは、UIMおよびVLRによって呼の開始時に導出され、移動端末が通話中に別のサービス提供システムにローミングする場合には、SMEKEYは、VLRによって新しいサービス提供システムに送信される。呼が終了するとき、SMEKEYは、UIMおよびサービス提供VLRの両方によって消去される。
【0017】
2G CDMA方式は類似の方法による鍵分配を用いるが、520ビットVPMの代わりに、プライベートロングコードマスク(PLCM)への発生源として、VPMの42最下位ビット(LSB)を用いている。このPLCMは、拡散前の情報のための付加的なスクランブルマスクとして用いられる。42ビットPLCMは通話中に不変であり、移動端末が別のサービス提供システムにローミングする場合には、VLRによって新しいサービス提供システムに送信される。SMEKEYは、TDMA系の方式と同じように用いられる。
【0018】
IS−41 3Gセキュリティ方式はUMTSセキュリティ方式を用いており、それは、UIMによって同じ鍵が計算される間に、128ビット暗号化鍵CKおよび128ビット完全性確認鍵IKが、訪問されたシステムのVLRに給送されることに基づく。
【0019】
無線ユニットが通信システム間でローミングする際の鍵変換は、セキュリティが低い2G方式およびアルゴリズムが混在し、侵入者によって鍵が部分的に再生される場合であっても、3Gセッション鍵が依然として同じセキュリティのレベルを保持することになるように実行されるべきである。そのような変換によって、加入者は、通信データのセキュリティおよび通信セッションの完全性を保持しながら、「広域にわたってローミング」できるようになるであろう。
【0020】
【発明が解決しようとする課題】
本発明の目的は、第1の通信システムの第1の鍵値から第2の通信システムの第2の鍵値に、決定論的に、かつ可逆的に変換するための鍵変換システムを提供することである。
【0021】
【課題を解決するための手段】
たとえば、その鍵変換システムは、第1のランダム関数を用いて、第1の鍵値の少なくとも一部から第1の中間値を生成する。第1の中間値の少なくとも一部は、第2の値を生成するために第2のランダム関数に与えられる。第1の鍵値の少なくとも一部と、第2の値の少なくとも一部とにおいて排他的論理和(XOR)が実行され、第2の中間値が生成される。第2の中間値の少なくとも一部は、第3の値を生成するために第3のランダム関数に与えられる。第3の値の少なくとも一部と、第1の中間値の少なくとも一部とにおいて排他的論理和を実行することにより、鍵変換システムは第2の鍵値の少なくとも第1の部分を生成し、第2の鍵値の少なくとも第2の部分は第2の中間値として生成される。その鍵変換システムは、第1の鍵値を与えるとき、無線ユニットおよび無線通信システムが、情報を交換することを必要とすることなく、同じ第2の鍵値を決定することになるという点で決定論的である。
【0022】
その鍵変換システムは、無線ユニットが第1の通信システムにハンドオフして戻る場合には、第2の通信システムの第2の鍵値が、第1の通信システムの第1の鍵値に変換して戻されるという点で可逆的、あるいは双方向的である。たとえば、鍵変換システムは、第2の鍵値の少なくとも第2の部分を第3のランダム関数に与え、第3の値を生成する。第2の鍵値の少なくとも第1の部分と、第3の値とにおいて、排他的論理和を実行することにより、第1の中間値が生成される。第2のランダム関数を用いて、鍵変換システムは、第1の中間値から第2の値を生成し、第2の値と、第2の鍵値の第2の部分とにおいて排他的論理和を実行することにより、第1の鍵値の少なくとも一部を生成する。鍵変換システムは、第2の鍵値のほとんど全てがわかっている場合であっても、第1の鍵値を容易には再生することができないので、改善されたセキュリティを提供する。同様に、第1の鍵値のほとんど全てがわかっている場合であっても、第2の鍵値は容易に再生されない。
【0023】
本発明の他の態様および利点は、以下に記載される詳細な説明を読み、図面を参照すれば明らかになるであろう。
【0024】
【発明の実施の形態】
本発明の原理にしたがった鍵変換システムの例示的な実施形態が以下に記載されており、それは、第1の通信システムと第2の通信システムとの間でローミングする無線ユニットのための改善された鍵変換を提供する。鍵変換システムは、第1の通信システムのmビットの鍵値を、第2の通信システムのnビットの鍵値に決定論的、かつ可逆的に変換する。ある実施形態では、その鍵変換システムは、3つのランダム関数f、gおよびhを用いる。ただし、ランダム関数fおよびgは、mビット入力データ列を、ランダム数に類似しているn−mビットデータ列にマッピングし、ランダム関数hは、n−mビットデータ列を、ランダム数に類似しているmビットデータ列にマッピングする。ランダム関数は、入力を与えるときに、出力が予測不可能であり、ランダムに見えるように、入力を出力にマッピングする。以下に記載される実施形態では、ランダム関数はランダムオラクルであり、入力が与えられる度に、同じ出力にマッピングする。また、以下に記載される実施形態において、ランダム関数は既知である。たとえば、ランダム関数は、システム間ハンドオフに関わる無線通信システムと、無線ユニットとによって知られている。
【0025】
その鍵変換システムは、mビット鍵値を与えるとき、無線ユニットおよび無線通信システムが、情報の交換を必要とすることなく、同じnビット鍵値を決定することになる点で決定論的である。その鍵変換システムは、無線ユニットがハンドオフして第1の通信システムに戻る場合には、第2の通信システムのnビット鍵が変換され、第1の通信システムのmビット鍵に戻るという点で、可逆的あるいは双方向的である。鍵変換システムは、nビットの鍵値のほとんど全てがわかっている場合であっても、mビットの鍵値を容易には再生することができないので、改善されたセキュリティを提供する。同様に、mビットの鍵値のほとんど全てがわかっている場合であっても、nビットの鍵値は容易には再生されない。
【0026】
その実施形態に応じて、無線ユニットが、古い通信システムと新しい通信システムとの間のように、2つの無線通信システム間でローミングする際に、安全で、決定論的で、しかも双方向的な鍵変換システムを提供することができる。たとえば、同じ参照番号が同様の構成要素を指示する場合、無線ユニットが2G TDMAシステムから3Gシステムにローミングする際に、図5のIS−41 3Gセキュリティ方式は、VLR80および無線ユニット120(あるいは122)において、520ビットVPMをVLR110から受信された64ビットSMEKEYと組み合わせて、128ビットCKおよび/また128ビットIKに変換する。逆に、図6に示されるように、無線ユニットが3Gシステムから2G TDMAシステムにローミングする際に、IS−41 3Gセキュリティ方式は、VLR80および無線ユニット90(あるいは92)において、128ビットCKおよび/または128ビットIKを、64ビットSMEKEYと組み合わせた520ビットVPMに変換する。VLR80は、VPMおよびSMEKEYをVLR110に提供する。
【0027】
図7に示されるように、無線ユニットが2G CDMAシステムから3Gシステムにローミングする際に、IS−41 3Gセキュリティ方式は、VLR80および無線ユニット120(あるいは122)において、42ビットPLCMをVLR110から受信された64ビットSMEKEYと組み合わせて、128ビットCKおよび/また128ビットIKに変換する。逆に、図8に示されるように、無線ユニットが3Gシステムから2G CDMAシステムにローミングする際に、IS−41 3Gセキュリティ方式は、VLR80および無線ユニット90(あるいは92)において、128ビットCKおよび/または128ビットIKを、64ビットSMEKEYと組み合わせた42ビットPLCMに変換する。VLR80は、PLCMおよびSMEKEYをVLR110に提供する。
【0028】
図9に示されるように、無線ユニットが2G GSMシステムから3G UMTSシステムにローミングする際に、UMTS 3Gセキュリティ方式は、VLR80および無線ユニット60(あるいは62)において、VLR50から受信された64ビットKを、128ビットCKおよび/また128ビットIKに変換する。逆に、図10に示されるように、無線ユニットが3G UMTSシステムから2G GSMシステムにローミングする際に、UMTS 3Gセキュリティ方式は、VLR80および無線ユニット90(あるいは92)において、128ビットCKおよび/または128ビットIKを、64ビットKに変換する。VLR80は、KをVLR50に提供する。
【0029】
したがって、ある実施形態では、新しい3G通信システムのような、第1の通信システムにおいて、改善された加入者認証(ESA)および改善された加入者プライバシー(ESP)に対応する無線ユニットは、多数のプライバシーモードを実装し、古い2G TDMA通信システムのような、第2の通信システムにおいて、無線ユニットが古いアルゴリズムを用いるプライバシーを提供できるようにする。そのような無線ユニットは、ESPに対応しない古い第2の通信システムの場合に、MSCへのシステム間ハンドオフの後に、他の形式のプライバシーを提供することができる。古い第2の通信システムへのハンドオフが必要とされるとき、鍵変換システムは、新しい第1の通信システムのための鍵値を、古い第2の通信システムが対応する古いプライバシーアルゴリズムのために必要とされる秘密鍵に変換することができる。第2の通信システムのための鍵は、第1の通信システムのMSCから、第2の通信システムのターゲットMSCに送信されることができる。鍵変換システムは決定論的であるため、無線ユニットも、本発明の鍵変換システムを用いる第1の通信システムと同じ変換を実行することにより、第2の通信システムのための鍵を有することになるであろう。
【0030】
その鍵変換システムは、第1のシステムからの鍵を第2のシステムからの鍵にマッピングし、さらに再び元に戻す。たとえば、3G通信システムと2G TDMAシステムとの間でシステム間ハンドオフを実行する際に、その鍵変換システムは、暗号鍵CKを、VPMASK/SMEKEY(VS)対にマッピングすることができる。この実施形態では、鍵変換機能は以下の特性を有する。1)128ビットCKは584ビットVSにマッピングされる。2)その機能は可逆的であり、583ビットVSが128ビットCKに逆にマッピングされる。3)その機能は、584ビット鍵の一部がわかっても、侵入者がCKを再生できないようになるか、128ビット鍵CKの一部がわかっても、侵入者が584ビットVSを再生できないようになる意味で安全である。ある例では、たとえば、ターゲットの第2の通信システムより大きな鍵値を有する第1の通信システムにおいて発呼する際に、その変換システムは、第1の通信システムの鍵値を、第2の通信システムの鍵値にマッピングする。しかしながら、無線ユニットが第1の通信システムに戻る場合には、その鍵変換システムは、第2の鍵値を、第1の通信システムのための後続の鍵値にマッピングするが、その鍵値は最初の鍵値と必ずしも同じではない。第2の通信システムから第1の通信システムに戻る、その後のハンドオフは、後続の鍵値と同じである鍵値を生成する。
【0031】
たとえば、2G TDMAシステムで発呼する場合、3Gシステムへのシステム間ハンドオフを実行する際に、鍵変換システムは、VPMASK/SMEKEY(VS)対を暗号鍵CKにマッピングすることができる。この実施形態では、鍵変換機能は、584ビットVSを128ビットCKにマッピングする。無線ユニットが2G TDMAシステムにハンドオフして戻る場合には、鍵変換システムは、128ビットCKを584ビットVSにマッピングして戻すが、新しい584ビットVSは、最初の584ビットVSを同じではない場合がある。3Gシステムから2G TDMAシステムへの後続のハンドオフは新しい584ビットVSを保持するであろう。これは、無線ユニットのセキュリティあるいは動作を達成しない場合であっても、この実施形態では、128ビットCKは常に同じ値に保持される。
【0032】
この実施形態では、鍵変換システムは、新しいシステム内のMSCおよび無線ユニットにおいて利用可能な変換機能を含み、変換機能は、第1の通信システムのための、ESP鍵のような鍵値を、古いプライバシーアルゴリズムのために用いられる鍵のような、第2の通信システムの鍵値に変換するであろう。この例では、その変換機能は、新しい第1の通信システムにおける128ビットCKを、古い第2の通信システムのためのVPMASK/SMEKEY(VS)鍵に変換することになる。VPMASKは各方向の場合に260ビットマスクからなり、SMEKEYは、古い通信システムによって用いられる全584ビットの場合に64ビット長である。古い通信システムから新しい通信システムへのシステム間ハンドオフの場合には、変換機能が可逆的であることが有用な場合がある。古い通信システムは新しい通信システムについての情報を持たず、584ビット全てを新しい通信システムに転送するであろう。584ビット鍵の受信時に、新しい通信システムは、128ビットCKを再生する必要があることを理解し、それゆえ、584ビット鍵からCKを計算するであろう。
【0033】
無線ユニットおよびMSCにおいて作成されるVS鍵は同じになるべきである。これは、VS鍵の計算が、CKと、MSCおよび無線ユニットの両方において知られている任意の他の量とにのみ基づかなければならないことを意味する。そうでなければ、任意の新しい量(たとえば、ランダム数)が、変換前に、無線ユニットとMSCとの間で交換されなければならないであろう。その鍵変換システムは、無線ユニットと新しいMSCとの間で情報を交換することを必要とせず、CKをVS鍵に、かつVS鍵をCK鍵に決定論的にマッピングする。
【0034】
さらに、古い通信システム内の弱点によって、新しい通信システムが影響を受けることはないようにすべきである。これは、一方向に暗号化技術を用いて変換機能を実施することにより達成することができ、その結果、この例ではVS鍵のような古い通信システムの鍵全体が漏洩される場合であっても、侵入者は、この例ではCK鍵のような新しい通信システムの鍵を再生することができない。しかしながら、これはそのシステムを不可逆的にすることになり、上記のように、鍵変換システムは可逆的でなければならない。それにもかかわらず、鍵変換システムは可逆的にすることができ、依然として、不可逆的な機能のセキュリティのほとんど全てを提供することができる。この例における鍵変換システムのセキュリティは、小さな部分を除いて、VS鍵のほとんど全てが漏洩される場合でも、侵入者がCK鍵のあらゆる部分を再生するのを防ぐ。侵入者はその小さな部分を推測することはできるが、それ以上先に進むことはできない。この態様は、VPMASKの一部が他の部分より容易に再生される場合があり、VPMASK全体がSMEKEYより容易に再生される場合があるので重要である。さらに、古いシステムのある部分を再生するのが難しい場合には、侵入者はCKについて何もわかることはないであろう。同様のセキュリティは、CKが部分的にわかっても、侵入者がVSについて何も知ることができないように、CKにも適用することができる。
【0035】
ある実施形態では、その変換機能は2つのモード、すなわち順方向変換および逆方向変換を有する。3G通信システムから2G TDMA通信システムへのローミングの例では、順方向変換機能は、128ビットのランダムに作成されたCK鍵を受け取り、それを584ビットVS鍵に拡張する。逆方向変換機能は、584ビットVS鍵を受け取り、それを128ビットCK鍵にマッピングする。この実施形態では、順方向変換機能は、所与の入力をランダムな出力にマッピングする3つのランダム関数f、gおよびhからなる。この実施形態では、これらは秘密の機能ではなく、侵入者を含む誰でもが知ることができる公開されたランダム関数である。これらの公開ランダム関数は、本明細書ではランダムオラクルと呼ばれる。これらのランダムオラクルは、以下に記載されるように、ハッシュ関数およびブロック暗号を用いて実施されることができる。この例では、3つのランダム関数はf、gおよびhであり、fおよびgは128ビット入力を456ビットランダム値にマッピングし、hは456ビット入力を128ビットランダム値にマッピングする。
【0036】
図11は、第1の通信システムのmビット鍵値KEY1を第2の通信システムのnビット鍵値KEY2に変換するための鍵変換システムの順方向変換の一実施形態の流れ図を示す。mビットKEY1は、ランダム関数f(ブロック200)に与えられ、ランダム関数fはmビットデータ列を、n−mビットランダム数あるいは第1の中間値Rにマッピングする。3G通信システムから2G TDMA通信システムにローミングする例では、変換システムは、128ビット鍵CKを584ビット鍵(VPMASK、SMEKEY)に変換する。128ビット鍵CKは、ランダム関数f(ブロック200)に与えられ、ランダム関数fは128ビットCKを、456ビットランダム数あるいは第1の中間値Rにマッピングする。中間値Rはランダム関数h(ブロック210)に与えられ、ランダム関数hは、n−mビットデータ列をmビットランダム数にマッピングする。関数h(210)のmビット出力は、mビットKEY1と排他的論理和(XOR220)をとられ、mビットの第2の中間値Tが生成される。3G通信システムから2G TDMA通信システムにローミングする例では、456ビット中間値Rは関数h(210)に与えられる。関数h(210)は456ビット値Rを128ビットランダム数にマッピングし、そのランダム数は128ビットCKとの排他的論理和をとられ、128ビットの第2の中間値Tが生成される。
【0037】
図11の実施形態では、mビット中間値Tは、ランダム関数g(ブロック230)に与えられる。ランダム関数g(ブロック230)は、mビットデータ列をn−mビットランダム数にマッピングし、そのランダム数はn−mビット中間値Rと排他的論理和(XOR240)をとられ、1つの鍵、複数の鍵あるいは鍵の一部として用いることができるn−mビット鍵値Vが生成される。この実施形態では、値Vは、1つの鍵、複数の鍵あるいは鍵の一部として用いることができる値KEY2の一部である。この実施形態では、nビット鍵KEY2は、mビットの第2の中間値Tとともに、n−mビット値Vを含む。3G通信システムから2G TDMA通信システムにローミングする例では、ランダム関数g(230)は128ビット中間値Tを456ビットランダム数にマッピングし、そのランダム数は456ビット中間値Tとの排他的論理和(XOR240)をとられ、456ビット鍵値Vが生成される。456ビット値Vおよび128ビット中間値Tは、この例では、2G TDMAシステムのためのVPMASKおよびSMEKEYに分割することができる584ビット鍵値KEY2を形成する。
【0038】
3GシステムのCKから2G TDMAシステムのVPMASKおよびSMEKEYへの順方向変換は、以下のステップにより書き表すことができる。
1.R=f(CK) /fを適用することにより128ビットCKから456ビット値を作成
2.T=h(R) XOR CK /hを用いて128ビット値を作成
3.V=g(T) XOR R /gを用いて456ビット値を作成
4.出力T,V /584ビット値を出力
【0039】
図12は、第2の通信システムのnビット鍵値KEY2を、第1の通信システムのmビット鍵値KEY1に変換して戻すための鍵変換システムの逆方向変換の一実施形態の流れ図である。この実施形態では、nビット鍵値KEY2は、n−mビットの第1の部分あるいは値Vと、mビットの第2の部分あるいは値Tとに分割される。mビット値Tは、ランダム関数g(ブロック250)に与えられ、ランダム関数gは、mビットデータ列をn−mビットランダム数にマッピングする。n−mビットランダム数は、n−mビット鍵値Vと排他的論理和(XOR260)をとられ、n−mビットの第1の中間値Rが生成される。無線ユニットが3Gシステムから2G TDMAシステムにローミングして戻る例では、変換システムは、584ビット鍵(VPMASK、SMEKEY)を128ビット鍵CKに変換する。128ビット鍵値部分Tは、ランダム関数g(ブロック250)に与えられ、ランダム関数gは128ビットTを456ビットランダム数にマッピングする。456ビットランダム数は、456ビット鍵値Vと排他的論理和(XOR260)をとられ、456ビットの第1の中間値Rが生成される。
【0040】
図12の実施形態では、n−mビットの第1の中間値Rはランダム関数h(ブロック270)に与えられる。ランダム関数h(ブロック270)は、n−mビットデータ列をmビットランダム数にマッピングし、mビットランダム数は、mビット鍵値Tと排他的論理和(XOR280)をとられ、1つの鍵、複数の鍵あるいは鍵の一部として用いることができるmビット鍵値KEY1が生成される。無線ユニットが3Gシステムから2G TDMAシステムにローミングして戻る例では、ランダム関数h(ブロック270)は、456ビット中間値Rを128ビットランダム数にマッピングし、128ビットランダム数は、128ビット鍵値Tと排他的論理和(XOR280)をとられ、128ビット鍵CKが生成される。
【0041】
2G TDMAシステムのVPMASKおよびSMEKEYから3GシステムのCKへの逆方向変換は、以下のステップにしたがって書き表すことができる。
1.T、Vを584ビット入力に設定 /Tは128ビット部分、Vは456ビット部分
2.R=g(T) XOR V /T、Vを用いて456ビット値Rを作成
3.CK=h(R) XOR T
【0042】
ランダム関数f、gおよびhは、ハッシュ関数および/またはブロック暗号を用いて実装されることができる。ランダムオラクルと呼ぶことができる、ランダム関数f、gおよびhを実装するために、SHA−1、MD5、RIPE−MDとして知られる関数のような暗号作成ハッシュ関数を用いて、ランダム関数f、gおよびhを具現することができる。ハッシュ関数は典型的には、ある長さの入力を別の長さの出力にマッピングする関数として特徴付けることができ、ある出力を与えるときに、その所与の出力にマッピングすることになる入力を判定するのは不可能である。さらに、同じ出力にマッピングすることになる2つの入力を見つけることはできない。SHA−1ハッシュ関数を用いる場合、SHA−1ハッシュ関数への各呼出しは160ビット初期ベクトル(IV)を有し、160ビット出力にマッピングされる512ビット入力あるいはペイロードを要する。IVはSHA−1ハッシュ関数のための標準規格に定義されるIVに設定される。ペイロードは、種々の入力引数、SHA(Type、Count、Input、Pad)を含むであろう。ただしTypeは種々の関数f、g、hを定義する1バイト値である。関数fおよびgはSHAを何度も呼び出すことになり、Countは多数の呼出しを区別する1バイト値である。Inputは関数f、gあるいはhへの入力引数である。Padは512ビットSHAペイロード内の残りのビット部分を埋めるための0値である。以下に記載されるのは、SHAと呼ばれるハッシュ関数ルーチンを用いて、ランダム関数f、gおよびhを実装するための手順の一例である。
Figure 0004047580
AESのようなブロック暗号を用いて、関数f、gおよびhを作成することができる。
f(CK):ECK(1);ECK(2);ECK(3);ECK(4)mod2^72
h(R):EK0(R1 XOR 5)XOR EK0(R2 XOR 6)XOR EK0(R3 XOR 7)XOR EK0(R4 XOR 8)
g(T):E(9);E(10);E(11);E(12)mod2^72
ただし、f(CK)において、CKはブロック暗号内の鍵として用いられ、512ビットストリームはカウンタモードにおいて1...4を暗号化することにより生成される。最後の暗号は128ビットから72ビットに打ち切られ、必要とされる456ビットが得られる。h(R)において、公開鍵K0は、456ビットRの部分を暗号化するために用いられ、結果的に生成された暗号列が互いに排他的論理和をとられる。R1、R2およびR3は128ビット値であり、R4はRの残りの72ビット値であり、128ビットを完成させるために0で埋められる。
【0043】
こうして、鍵変換システムは、第1の通信システムと第2の通信システムとの間の鍵あるいはその一部の双方向的で、決定論的で、安全な変換を提供する。その鍵変換システムは、出力KEY2(たとえば、T、V)の大部分が与えられるときでも、侵入者がKEY1(たとえば、CK)を再生することができないという点で、順方向において安全である。2G TDMAと3Gシステムを用いる例では、Tの全て、および、たとえば64ビットを除くVの大部分が知られる場合であっても、R=g(T) XOR Vを計算することによって、Rの一部は再生することができるが、Rを全て再生できるわけではない。CK=h(R) XOR Tを実行することにより、CKのある部分を再生しようと試みることができる。しかしながら、Rの全てがわかるわけではないため、hがランダム関数であるものと仮定すると、h(R)について情報の1ビットたりとも再生することができない。それゆえ、CKについて情報を再生することはできない。同様に、Vの全てと、たとえばTの64ビットを除くTの一部がわかる場合であっても、CKについての情報を再生することはできない。Tの全てがわかるわけではないため、g(T) XOR Vを用いて中間値Rを計算することはできない。したがって、中間値Rを用いなければ、CKについてのあらゆる情報を再生する場合に、先に進むことができない。
【0044】
同様に、その鍵変換システムは、出力KEY1(たとえば、CK)の大部分が与えられても、侵入者がKEY2(たとえば、T、V)を再生することができないという点で逆方向において安全である。たとえば、2G TDMAおよび3Gシステムを用いる例では、CKの一部がわかる場合であっても、T、Vについての情報を再生することはできない。CKの全てがわかるわけではないため、f(CK)を用いて中間値Rを計算することはできない。したがって、中間値Rを用いなければ、T、Vについてのあらゆる情報を再生する場合に、先に進むことができない。
【0045】
上記の実施形態に加えて、本発明の原理にしたがった鍵変換システムは、入力パラメータおよび/またはランダム関数あるいは他の操作を省略し、かつ/または追加して、かつ/または記載されたシステムの変形あるいは一部を使用して用いることができる。たとえば、鍵変換システムは、ランダムオラクルfおよびgがmビットデータ列をn−mビットランダム数にマッピングし、ランダムオラクルhがn−mビットデータ列をmビットランダム数にマッピングする場合に、そのランダムオラクルf、gおよびhを用いて、第1の通信システムのnビット鍵と第2の通信システムのmビット鍵との間で変換を行うものとして記載されてきた。しかしながら、同様に、異なるランダム関数を、異なるあるいは付加的な関数として用いて、xビットデータ列をyビットランダム数にマッピングし、かつ/またはyビットデータ列をxビットランダム数にマッピングすることができる。ただし、xあるいはyはn−mあるいはmに等しくすることができる。さらに、第1の通信システムのmビット鍵値を1つの鍵、複数の鍵あるいはその一部として用いることができ、第2の通信システムのnビット鍵値を1つの鍵、複数の鍵あるいはその一部として用いることができる。たとえば、2G TDMAおよび3Gシステムを用いる例では、その変換は、3Gシステムの128ビットCKと、2G TDMAシステムのSMEKEYおよびVPMASKのための584ビット鍵値との間で行われるが、その変換は、3GシステムのCKおよびIKの256ビット鍵値と、2G TDMAシステムのSMEKEYおよびVPMASKのための584ビット鍵値との間で行われることもできるであろう。
【0046】
上記の例では、順方向変換は、第1の通信システムのmビット鍵値から第2の通信システムのnビット鍵値へ行われ、第1の通信システムは新しい通信システムに対応し、第2の通信システムは古い通信システムに対応し、m<nである。しかしながら、実施形態によっては、第1の通信システムを古い通信システムにし、第2の通信システムを新しい通信システムにすることができる。別法では、順方向変換を、ある通信システムの小さいサイズの鍵値から別の通信システムの大きいビットサイズの鍵値への変換にし、逆方向変換を、大きいビットサイズの鍵値から小さいサイズの鍵値への変換にすることができる。実施形態によっては、種々の通信システム間の異なるサイズ、さらに大きなサイズ、さらに小さなサイズおよび/または同じサイズの鍵値の変換も可能である。
【0047】
さらに、その鍵変換システムを用いて、図5〜図10に記載されるシステム間ハンドオフを処理して、ある通信システムからの1つの鍵、複数の鍵あるいはその一部を、別の通信システムの1つの鍵、複数の鍵あるいはその一部に変換することができる。種々の値、入力およびアーキテクチャブロックの種々の表記、参照および特徴描写を用いることができることは理解されたい。たとえば、鍵変換システムのために記載された機能は、ホーム認証局、ホームロケーションレジスタ(HLR)、ホームMSC、ビジター認証局、ビジターロケーションレジスタ(VLR)および/またはビジターMSCにおいて実行されることができる。さらに鍵変換システムおよびその一部は、第1および/または第2の通信システムの無線ユニット、基地局、基地局コントローラ、MSC、VLR、HLRあるいは他のサブシステムにおいて実行されることができる。そのシステムおよびその一部、ならびに記載されたアーキテクチャは、その通信システムのユニット内、あるいは異なる場所にある処理回路内に実装されるか、またはその処理回路と一体に実装されることができるか、あるいは特定用途向け集積回路、ソフトウエア駆動処理回路、プログラマブルロジック装置、ファームウエア、ハードウエアあるいは個別の構成部品の他の構成内に実装されることができ、それは、本発明の開示の利点を鑑みて当業者には理解されるであろう。記載されてきた内容は、本発明の原理の応用形態を例示しているにすぎない。当業者であれば、本明細書に図示および記載される典型的な応用形態に厳密に従うことなく、かつ本発明の精神および範囲から逸脱することなく、本発明に対するこれらの、および種々の他の変更形態、構成および方法を実施することができることは容易に理解するであろう。
【0048】
【発明の効果】
上記のように、本発明によれば、第1の通信システムの第1の鍵値を第2の通信システムの第2の鍵値に、決定論的に、かつ可逆的に変換するための鍵変換システムを実現することができる。
【図面の簡単な説明】
【図1】本発明の原理にしたがった鍵変換システムを用いることができる無線通信システムの全体図である。
【図2】従来の2Gの移動体のためのグローバルシステム(GSM)ネットワークの基本的な構成要素および2G GSMネットワークにおいて伝送されるセキュリティメッセージを示すブロック図である。
【図3】従来の3G UMTSネットワークの基本的な構成要素および3G UTMSネットワークにおいて伝送されるメッセージを示すブロック図である。
【図4】従来の2G IS−41ネットワークの基本的な構成要素および従来の2G IS−41ネットワークにおいて伝送されるメッセージを示すブロック図である。
【図5】ユーザが、2G TDMAネットワークから包括的な3Gネットワークに如何にローミングするかを示すブロック図である。
【図6】ユーザが、包括的な3Gネットワークから2G TDMAネットワークに如何にローミングするかを示すブロック図である。
【図7】ユーザが、2G CDMAネットワークから包括的な3Gネットワークに如何にローミングするかを示すブロック図である。
【図8】ユーザが、包括的な3Gネットワークから2G CDMAネットワークに如何にローミングするかを示すブロック図である。
【図9】ユーザが、2G GSMネットワークから包括的な3Gネットワークに如何にローミングするかを示すブロック図である。
【図10】ユーザが、包括的な3Gネットワークから2G GSMネットワークに如何にローミングするかを示すブロック図である。
【図11】本発明の原理にしたがった鍵変換システムのための順方向変換の一実施形態の流れ図である。
【図12】本発明の原理にしたがった鍵変換システムのための逆方向変換の一実施形態の流れ図である。

Claims (10)

  1. 処理回路を含む鍵変換システムにおいて用いられる、第1の通信システムのための第1の鍵値(KEY1)を第2の通信システムのための第2の鍵値(KEY2)に変換する方法であって、
    第1のランダム関数(f)を用いて前記第1の鍵値(KEY1)の少なくとも一部から第1の中間値(R)を前記処理回路が生成するステップと、
    第2の値を生成するために、前記第1の中間値(R)の少なくとも一部を第2のランダム関数(h)に前記処理回路が与えるステップと、
    第2の中間値(T)を生成するために、前記第1の鍵値(KEY1)の少なくとも一部と、前記第2の値の少なくとも一部とについての排他的論理和を前記処理回路が実行するステップと、
    第3の値を生成するために、前記第2の中間値(T)の少なくとも一部を第3のランダム関数(g)に前記処理回路が与えるステップと、
    前記第3の値の少なくとも一部と、前記第1の中間値(R)の少なくとも一部とについての排他的論理和を前記処理回路が実行することにより、前記第2の鍵値(KEY2)の少なくとも第1の部分を前記処理回路が生成するステップとを含むことを特徴とする方法。
  2. 前記第2の鍵値(KEY2)の少なくとも第2の部分として、前記第2の中間値(T)の少なくとも一部を生成することを特徴とする請求項1に記載の方法。
  3. 前記第1の中間値(R)を生成する前記ステップは、
    n−mビットの前記第1の中間値(R)を生成するために、mビットの前記第1の鍵値(KEY1)を第1のランダム関数(f)に前記処理回路が与えるステップを含むことを特徴とする請求項1に記載の方法。
  4. 前記第1の中間値(R)の少なくとも一部を第2のランダム関数(h)に与える前記ステップと、前記第1の鍵値(KEY1)の少なくとも一部と前記第2の値の少なくとも一部とについての排他的論理和を実行する前記ステップとは、
    mビットの第2の値を生成するために、前記n−mビットの第1の中間値(R)を第2のランダム関数(h)に前記処理回路が与えるステップと、
    mビットを有する前記第2の中間値(T)を生成するために、前記mビットの第1の鍵値(KEY1)と前記mビットの第2の値とについての排他的論理和を前記処理回路が実行するステップとを含むことを特徴とする請求項3に記載の方法。
  5. 前記第2の中間値(T)の少なくとも一部を第3のランダム関数(g)に与える前記ステップと、前記第2の鍵値(KEY2)の少なくとも第1の部分を生成する前記ステップとは、
    n−mビットの第3の値を生成するために、前記mビットの第2の中間値(T)を第3のランダム関数(g)に前記処理回路が与えるステップと、
    前記第2の鍵値(KEY2)のn−mビットの部分(V)を生成するために、前記n−mビットの第3の値と、前記n−mビットの第1の中間値(R)とについての排他的論理和を前記処理回路が実行するステップとを含むことを特徴とする請求項4に記載の方法。
  6. nビットを有する前記第2の鍵値(KEY2)のmビットの第2の部分として、前記mビットの第2の中間値(T)を前記処理回路が与えるステップを含むことを特徴とする請求項5に記載の方法。
  7. 前記第3の値を生成するために、前記第2の鍵値(KEY2)の前記第2の部分(T)を、前記第3のランダム関数(g)に前記処理回路が与えるステップと、
    前記第2の鍵値(KEY2)の前記第1の部分(V)と、前記第3の値との排他的論理和をとることにより、前記第1の中間値(R)を前記処理回路が生成するステップとを含むことを特徴とする請求項2に記載の方法。
  8. 前記第1の中間値(R)から前記第2の値を生成するために、前記第2のランダム関数(h)を前記処理回路が用いるステップと、
    前記第2の値と、前記第2の鍵値(KEY2)の前記第2の部分(T)との排他的論理和を前記処理回路がとることにより、前記第1の鍵値の少なくとも一部を前記処理回路が生成するステップとをさらに含むことを特徴とする請求項7に記載の方法。
  9. 第1の通信システムのための第1の鍵値(KEY1)を第2の通信システムのための第2の鍵値(KEY2)に変換するための鍵変換システムであって、
    第1のランダム関数(f)を用いて、前記第1の鍵値(KEY1)の少なくとも一部から第1の中間値(R)を生成するように構成され、前記第1の中間値(R)の少なくとも一部を第2のランダム関数(h)に与えて第2の値を生成するように構成され、前記第1の鍵値(KEY1)の少なくとも一部と前記第2の値の少なくとも一部とについての排他的論理和を実行して第2の中間値(T)を生成するように構成され、前記第2の中間値(T)の少なくとも一部を第3のランダム関数(g)に与えて第3の値を生成するように構成され、さらに、前記第3の値の少なくとも一部と前記第1の中間値(R)の少なくとも一部との排他的論理和をとることにより前記第2の鍵値(KEY2)の少なくとも第1の部分を生成するように構成される処理回路を含むことを特徴とする鍵変換システム。
  10. 前記処理回路はさらに、前記第2の鍵値(KEY2)の少なくとも第2の部分として、前記第2の中間値(T)の少なくとも一部を生成するように構成されることを特徴とする請求項9に記載のシステム。
JP2001376564A 2000-12-11 2001-12-11 鍵変換システムおよび方法 Expired - Fee Related JP4047580B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/734,148 US6857075B2 (en) 2000-12-11 2000-12-11 Key conversion system and method
US09/734148 2000-12-11

Publications (3)

Publication Number Publication Date
JP2002232418A JP2002232418A (ja) 2002-08-16
JP2002232418A5 JP2002232418A5 (ja) 2005-07-07
JP4047580B2 true JP4047580B2 (ja) 2008-02-13

Family

ID=24950507

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001376564A Expired - Fee Related JP4047580B2 (ja) 2000-12-11 2001-12-11 鍵変換システムおよび方法

Country Status (5)

Country Link
US (1) US6857075B2 (ja)
EP (1) EP1213943B1 (ja)
JP (1) JP4047580B2 (ja)
DE (1) DE60117726T2 (ja)
ES (1) ES2257384T3 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7693508B2 (en) 2001-03-28 2010-04-06 Qualcomm Incorporated Method and apparatus for broadcast signaling in a wireless communication system
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system
US8077679B2 (en) 2001-03-28 2011-12-13 Qualcomm Incorporated Method and apparatus for providing protocol options in a wireless communication system
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US20020146127A1 (en) * 2001-04-05 2002-10-10 Marcus Wong System and method for providing secure communications between wireless units using a common key
US20020152392A1 (en) * 2001-04-12 2002-10-17 Motorola, Inc. Method for securely providing encryption keys
US7185362B2 (en) * 2001-08-20 2007-02-27 Qualcomm, Incorporated Method and apparatus for security in a data processing system
US7352868B2 (en) 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
US7649829B2 (en) * 2001-10-12 2010-01-19 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
CN1623348B (zh) * 2002-01-24 2010-09-29 西门子公司 在移动网络环境中保护数据通信的方法
GB0211644D0 (en) 2002-05-21 2002-07-03 Wesby Philip B System and method for remote asset management
US11337047B1 (en) 2002-05-21 2022-05-17 M2M Solutions Llc System and method for remote asset management
US7599655B2 (en) 2003-01-02 2009-10-06 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
DE10307403B4 (de) 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
US7137002B2 (en) * 2003-03-24 2006-11-14 Lucent Technologies Inc. Differential authentication entity validation scheme for international emergency telephone service
US7212817B2 (en) * 2003-04-30 2007-05-01 Hewlett-Packard Development Company, L.P. Partitioning a database keyed with variable length keys
US7561556B2 (en) * 2003-05-01 2009-07-14 Lg Electronics Inc. System and method for generating a public long code mask in a mobile communications system
JP4363086B2 (ja) * 2003-05-29 2009-11-11 ソニー株式会社 情報送信装置及び方法、情報受信装置及び方法、並びに情報提供システム
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
US8229118B2 (en) * 2003-11-07 2012-07-24 Qualcomm Incorporated Method and apparatus for authentication in wireless communications
US8526914B2 (en) * 2004-06-04 2013-09-03 Alcatel Lucent Self-synchronizing authentication and key agreement protocol
DE102005026982A1 (de) * 2005-06-10 2006-12-14 Siemens Ag Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung
US7941143B2 (en) * 2005-11-15 2011-05-10 Motorola Solutions, Inc. Method and system for leveraging an authentication on one network to obtain an authentication on another network
US20070154015A1 (en) * 2005-12-29 2007-07-05 Lucent Technologies Method for cipher key conversion in wireless communication
EP1811719A1 (en) * 2006-01-24 2007-07-25 BRITISH TELECOMMUNICATIONS public limited company Internetwork key sharing
US8832449B2 (en) * 2006-03-22 2014-09-09 Lg Electronics Inc. Security considerations for the LTE of UMTS
DE102006038037A1 (de) * 2006-08-14 2008-02-21 Siemens Ag Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
GB0616660D0 (en) * 2006-08-22 2006-10-04 Vodafone Plc Telecommunications networks
WO2008046915A1 (en) * 2006-10-20 2008-04-24 Nokia Corporation Generating keys for protection in next generation mobile networks
CN101378591B (zh) * 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101399767B (zh) 2007-09-29 2011-04-20 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
US7957533B2 (en) * 2007-10-02 2011-06-07 Alcatel-Lucent Usa Inc. Method of establishing authentication keys and secure wireless communication
US8379854B2 (en) * 2007-10-09 2013-02-19 Alcatel Lucent Secure wireless communication
US8949393B2 (en) * 2007-11-21 2015-02-03 Alcatel Lucent Self-service application for a service management system and method of operation thereof
US20090259851A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
JP5113717B2 (ja) * 2008-10-27 2013-01-09 Kddi株式会社 移動通信ネットワークシステム
IN2012DN01367A (ja) * 2009-08-17 2015-06-05 Ericsson Telefon Ab L M
US8917840B2 (en) * 2009-12-14 2014-12-23 International Business Machines Corporation Enhanced privacy caller identification system
CN101835152A (zh) * 2010-04-16 2010-09-15 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
CN101835154B (zh) 2010-04-20 2016-03-30 中兴通讯股份有限公司 一种建立增强的空口密钥的方法及系统
US20120198227A1 (en) * 2010-09-30 2012-08-02 Alec Brusilovsky Cipher key generation in communication system
EP2932644B1 (en) * 2013-01-07 2019-04-24 Acano (UK) Limited Secrets renewability
JP6189788B2 (ja) * 2014-05-02 2017-08-30 日本電信電話株式会社 鍵生成装置、再暗号化装置、およびプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5594795A (en) 1994-07-05 1997-01-14 Ericsson Inc. Method and apparatus for key transforms to discriminate between different networks
US6373952B2 (en) * 1996-03-15 2002-04-16 Sony Corporation Data transmitting apparatus, data transmitting method, data receiving apparatus, data receiving method, data transmission apparatus, and data transmission method
US6332139B1 (en) * 1998-11-09 2001-12-18 Mega Chips Corporation Information communication system
FI107486B (fi) 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
US20020114451A1 (en) * 2000-07-06 2002-08-22 Richard Satterfield Variable width block cipher

Also Published As

Publication number Publication date
US20020071558A1 (en) 2002-06-13
ES2257384T3 (es) 2006-08-01
DE60117726D1 (de) 2006-05-04
EP1213943A1 (en) 2002-06-12
EP1213943B1 (en) 2006-03-08
US6857075B2 (en) 2005-02-15
DE60117726T2 (de) 2006-11-09
JP2002232418A (ja) 2002-08-16

Similar Documents

Publication Publication Date Title
JP4047580B2 (ja) 鍵変換システムおよび方法
JP4688808B2 (ja) 移動体通信システムにおける暗号化の強化セキュリティ構成
KR100689251B1 (ko) 무선프레임을 위한 카운터 초기화
EP0977452B1 (en) Method for updating secret shared data in a wireless communication system
EP1248483A1 (en) System and method for providing secure communications between wireless units using a common key
JP4234718B2 (ja) 移動通信加入者認証の安全な伝送方法
KR20000012072A (ko) 두 당사자 인증 및 키 일치 방법
JP2002084276A (ja) ユーザ加入識別モジュールの認証についての改善された方法
JP2003524353A (ja) 通信システムにおける完全性のチェック
JP2000013873A (ja) ネットワ―クユ―ザの認証相互運用性機能装置
KR20080065701A (ko) 핸드오버 이후에 암호화된 통신을 보장하는 시스템
EP1121822B1 (en) Authentication in a mobile communications system
JP4559689B2 (ja) 加入者の認証
AU2004228400B2 (en) Ciphering between a CDMA network and a GSM network
CN101163003A (zh) Sim卡使用umts终端和umts系统时终端认证网络的系统和方法
KR20080047632A (ko) 만료 마커를 이용한 무선 통신의 인증
Vojvoda A survey of security mechanisms in mobile communication systems
Ouyang et al. A secure context transfer scheme for integration of UMTS and 802.11 WLANs
Hendi Enhanced the security of GSM (Global system for mobile)
CN115549902A (zh) 一种双向语音通讯的声音加密方法
WO2012044484A1 (en) Cipher key generation in communication system
Yi et al. Secure Message System for Mobile Communication Using A5/1 Algorithm

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041026

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041026

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070612

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071031

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071122

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121130

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131130

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees