JP4792135B2 - 暗号鍵の生成 - Google Patents

暗号鍵の生成 Download PDF

Info

Publication number
JP4792135B2
JP4792135B2 JP2011511982A JP2011511982A JP4792135B2 JP 4792135 B2 JP4792135 B2 JP 4792135B2 JP 2011511982 A JP2011511982 A JP 2011511982A JP 2011511982 A JP2011511982 A JP 2011511982A JP 4792135 B2 JP4792135 B2 JP 4792135B2
Authority
JP
Japan
Prior art keywords
entity
key
sqn
derived
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011511982A
Other languages
English (en)
Other versions
JP2011522494A (ja
Inventor
マッツ ネスルント,
カール ノーマン,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=40527985&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP4792135(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2011522494A publication Critical patent/JP2011522494A/ja
Application granted granted Critical
Publication of JP4792135B2 publication Critical patent/JP4792135B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は一般に暗号鍵を生成するための技術に関する。特に、本発明は高水準のセキュリティを提供する暗号鍵生成技術に関する。
認証/暗号鍵配送プロトコル(AKA)は対称暗号を用いるチャレンジ・レスポンス方式のプロトコルである。AKAの主目的は互いに通信する2つのエンティティによる相互認証と、これらの間で交換される通信を保護するための暗号鍵(cryptographic key)の確立とを含む。AKAの変形の1つがUMTS AKAであり、技術仕様である非特許文献1において3G移動体通信ネットワークについて3GPPによって標準化されたセキュリティ・アーキテクチャに含まれる。
UMTS AKAの基本概念が図1に示される。この図を参照すると、UMTS AKAプロトコルはユーザ機器(UE)とネットワーク・エンティティ(NE)との間で実行される。ネットワーク・エンティティはユーザ認証要求をUEへ送信することによってAKAを開始する。要求とともに、乱数チャレンジまたは乱数コード(RAND)と認証トークン(AUTN)とがUEへ送信される。RANDとAUTNとを受信すると、UEはとりわけ秘匿鍵(CK、Cipher Key)と完全性鍵とを算出し、次いで、それらを秘匿機能および完全性機能のために用いる。
3GPPはまた、いわゆる「3Gの先の」通信ネットワークの標準化に着手している。システムアーキテクチャレボリューション(SAE)およびロングタームエボリューション(LTE)は3Gの先のネットワークに密接に関連した2つの側面である。従来の3Gネットワークと比較すると、SAE/LTEに基づくネットワークは高度なおよび/または多くのセキュリティ要件を課しうる。例えば、様々な水準において通信を保護するために、より多くの暗号鍵が必要になりうる。別の標準関連文書である非特許文献2で、3GPPはSAE/LTEで用いられるより多くの暗号鍵を導出するために鍵階層を推奨している。
図2はこの鍵階層を示す。階層の一番上にあるのは鍵Kであり、UEの汎用加入者識別モジュール(USIM)とネットワーク内に存在する認証センタ(AuC)との間で共有される長期暗号鍵である。1つ下のレベルは、上述のUMTS AKA動作と同一または同様の方法でUEによって、特にUE内のUSIMによって導出される暗号鍵CK、IKの組である。階層における更に下には、CKと、IKと、必要な場合にはいくつかの他のパラメータとからUEによって導出される鍵KASMEである。導出されると、KASMEはAuCからアクセス・ネットワークへ、特にSAE/LTEネットワークのアクセス・セキュアリング管理エンティティ(ASME)へ転送され、次いでUEとネットワークとの間で共有される。アクセス・ネットワークがLTE技術に基づく場合に、ASMEの機能はモビリティ管理エンティティ(MME)によって扱われる。
鍵KASMEと階層におけるその「下の」鍵とは、ある暗号化関数を適用することによって導出されうる。例えば、
ASME=KDF(CK‖IK,0x02‖PMLN_ID‖<他のパラメータ>)
であり、ここで、KDFは汎用ブートストラッピング・アーキテクチャ(GBA)の鍵導出関数(KDF)に基づく。1つのGBA KDFは非特許文献3に規定される。
GBA KDFはセキュア・ハッシュ・アルゴリズム(SHA)ハッシュ関数のような暗号化ハッシュ関数を利用しうる。多くのSHAハッシュ関数のなかで、SHA−256は高度にセキュアな変形である。なぜなら、衝突耐性が考慮されており、擬似乱数関数のように動作するからである。その名前が示唆するように、SHA−256は256ビットのダイジェスト(出力)長を有するセキュア・ハッシュ・アルゴリズムのハッシュ関数である。PLMN_IDはUEへサービスを提供するネットワークの識別子である。
高水準のセキュリティを実現するためには、GBA KDF関数が主にCKおよびIKだけに基づくのは十分でないと認識されてきている。これに対する根拠は、所与のUEが同じCKを2度得るかも知れず、または2つの異なるUEが同じCKを得るかもしれないというリスクである。このような場合に、KDFへの入力の「一意性」は不確定であり、(同じKASMEを用いる)異なるUE間の衝突が生じうる。
一般的な見解として、x=yならばKDF(x)はKDF(y)と同じ鍵を作り出すのは確かであるが、逆は常に成り立つとはかぎらない。すなわち、たとえx≠yだとしても、KDF(x)=KDF(y)となることが起こりうるかもしれない。しかしながら、KDFは上述されたように衝突耐性を有するように設計されているSHA−256に基づくことが推奨されているため、これは起こりそうもない出来事である。よって、本明細書で説明される技術について、x=yの場合かつその場合に限りKDF(x)=KDF(y)が成り立つことを支障なく仮定できる。この仮定によって、本明細書で説明される技術はKDFへの入力の「一意性」を保証することに焦点を合わせられる。
GBA KDF仕様の標準化団体(ETSI/SAGE、特別アルゴリズム専門家グループ)は上記の問題に着目し、異なるUE間の衝突を避けるためにUEのプライベート・ユーザ識別子(IMPI)を<他のパラメータ>に含めることを推奨している。さらなる推奨として、RANDのような乱数コードも<他のパラメータ>に含まれうる。これは、ETSI/SAGEから3GPP SA3へのリエゾン声明において(非特許文献4に)説明される。
しかしながら、上記の推奨はなおもKDFへの入力の「一意性」を保証できないことが発見されている。これはGBA KDF関数のセキュリティ特性と、1つ且つ同一のUE(例えば1つ且つ同一のIMPI)についてのSAE/LTEにおけるその使用法とに関する以下の分析からわかる。
第一に、以下の基本的な構造が検討される:
KDF(CK,IMPI)。
(UEが一定である場合に)IMPI=IMPI´であることが仮定されているため、この基本的な構造は、CK=CK´の場合且つその場合に限り、2つの入力(CK,IMPI)、(CK´,IMPI´)の衝突につながるだろう。
第二に、別の構造が検討され、これは実際のGBA KDFにより近い:
KDF(CK‖IK,IMPI)。
しかしながら、IKを入力へ含めることは、最初は信じられるかもしれないように上記の衝突特性を変えない。すなわち、CK=CK´の場合かつその場合に限り、KDF(CK‖IK,IMPI)はKDF(CK´‖IK´,IMPI)に等しくなるだろう。IKを含めることがなぜ助けにならないかを理解するために、UEで実行される暗号アルゴリズムによってCKおよびIKがどのように作り出されるかを検討する必要がある。
典型的なUE側の暗号アルゴリズムは図9に示されるミレナージュ(Milenage)・アルゴリズムである。図9では、Ekはラインダール・アルゴリズムとしても知られるアドバンスド・エンクリプション・スタンダード(AES)アルゴリズムを示し、(AuCおよびUEのUSIMに記憶された)鍵Kを用いる。ここで、CK=CK´の場合に何が起こるかを検討する。AESは置換(1対1対応)であるため、これは、(太い矢印において生じる)中間値が、たまたまCKになるf3の出力によって一意に決定されることを暗示する。しかし、これは、CKを作り出す際に太い矢印における値が、CK´が作り出される場合と同じ場所において生じる値と同じでなければならないことを暗示する。同様に、これは、f4への入力として生じる値が同一でなければならず、その結果として同じf4の値が生じなければならないことを意味する。これが生じるため、f4はIKである。よって、IK=IK´である場合かつその場合に限り、CK=CK´であることが示される。
次に、標準化団体(SAGE)の推奨に従う「改良された」構造、すなわち入力にRANDを含めることを検討する:
KDF(CK‖IK,RAND‖IMPI)。
CK=CK´(よって、IK=IK´)であると仮定する。RANDを用いることによって一意性が保証されることが期待される。しかしながら、これは正しくない。ここでも、RANDからCKおよびIKを作り出したミレナージュ・アルゴリズムの「関連」部分を検討する。図9に示されるように、RANDに対応する太い矢印における値がRAND´に対応するものと同じである状況が存在する。しかしやはりAES(Ek)は置換であり、その結果、両方の入力はやはり等しくなるはずである。すなわちRAND=RAND´である。(AESはKに依存するという事実は助けにならない。なぜなら、一定のUEが仮定され、よって同じKが両方の場合で生じるだろうからである。)
言い換えると、RAND=RAND´である場合かつその場合に限り、(CK‖IK,RAND‖IMPI)=(CK´‖IK´,RAND´‖IMPI)であることが示されている。SAE/LTEの場合に、PLMN_IDも入力に含まれるかもしれないが、UEが同じネットワーク内に何度か留まることが十分にありうるため、このパラメータPLMN_IDは一意性を保証する目的では頼りにできない。
衝突を避けるための代替のアプローチはf3アルゴリズムおよびf4アルゴリズムの暗号処理についてAES以外の別のアルゴリズムを用いることでありうる。特に、上述の分析はAESが置換であるという事実に基づいた。したがって、AESの代わりに非置換(多対1対応)を用いることが可能でありうるだろう。これは2つの理由で問題になる。始めに、既存のUSIMが3GPP SAEアーキテクチャに適するように適合されなければならない。第二に、非置換関数を選択することによって、例えばf3の2つの出力が衝突する可能性が現実に増加する。
入力の一意性の欠如は深刻なセキュリティ問題になりうる。RAND=RAND´である場合かつその場合に限り衝突は生じ、RANDは128ビットであるため、衝突は約2(128/2)=264回の認証の後に生じることが予想される(これはいわゆる「誕生日パラドックス」である)。明らかに、これは(128ビットである)GBAの目標とするセキュリティ水準よりも低い。LTEの場合は更に悪い。なぜなら、LTEでは256ビットのセキュリティ水準を提供することが必要だからである。よって、高い衝突確率はSAE/LTEにおいて要求されるセキュリティ水準を提供することへの重大な障害となる。
3G TS33.102 3GPP TR33.821 3G TS33.220 3GPP文書番号S3−030219
従って、上述の衝突を避ける解決策が必要となる。解決策はまた、理想的にすでに配布されたUSIMで動作し、すべてのUSIMの置き換えを必要とするべきではない。
第1側面によれば、暗号鍵を生成するための方法が提供される。暗号鍵はとりわけ2つのエンティティ間の通信を保護するために用いられる。本方法は第1エンティティによって実行される。本方法は第2エンティティによって開始されるAKA手続きの一部を形成する。本方法は、少なくとも2つのパラメータを提供することを有し、第1パラメータはAKA手続きを実行することによって第1エンティティにより算出された暗号鍵の集合を備えるか、この集合から導出される。第2パラメータは第1エンティティについて第2エンティティによりAKA手続きが開始されるごとに異なる値を有するトークンを備えるかこのトークンから導出される(言い換えると、トークンの値は任意の2つのAKA手続きについて決して同じにならない)。本方法は、提供されるパラメータに基づいて暗号鍵を生成するために鍵導出関数を適用することを有する。
「パラメータがXを備える」という表現は、文字列形式において、変数Xがパラメータまたはその一部を形成することを意味しうる。「パラメータがXから導出される」という表現は、パラメータが少なくとも変数Xに数学関数のような所定の関数を適用した結果であることを意味しうる。関数の例は算術演算、論理演算、文字列演算、およびこれらの任意の組み合わせを含むがこれらに限定されない。算術演算は加算、減算、乗算などや、これらの任意の意味のある組み合わせでありうる。論理演算はAND、OR、排他的論理和(xOR)、NOTなどや、これらの任意の意味のある組み合わせでありうる。文字列演算は連結、反転、置換などや、これらの任意の意味のある組み合わせでありうる。さらに、算術演算、論理演算、および文字列演算は組み合わされうる。
特に、上述のトークンは、第1エンティティについて第2エンティティにより開始されたAKA手続きの回数を示すシーケンス番号(SQN)を備えるか、またはこのシーケンス番号から導出されうる。開始ごとに、SQNは第2エンティティによって増やされうる。この仕組みは、開始されたAKA手続きごとにトークンが異なる値を有することを保証する。
トークンは多くの形式を取りうる。1つの場合に、SQNそのものがトークンになりえる。これに代えて、トークンは、算術演算、論理演算、および文字列演算のうちの少なくとも1つのような所定の数学演算を伴うアルゴリズムを用いてSQNから導出されうる。例えば、トークンは、SQNに基づいて第2エンティティにより作成されて第1エンティティへ配信される認証トークン(AUTN)を備えるか、または認証トークンから導出されうる。この作成および配信はAKA手続きの一部でありうる。
特に、トークンはSQNと匿名鍵(AK、Anonymity Key)との排他的論理和を備えうる。更に具体的に、トークンは、SQNと匿名鍵(AK)との排他的論理和、認証・鍵管理フィールド(AMF)、およびメッセージ認証コード(MAC)の連結でありうる。この連結は、
トークン=AUTN=(SQN xOR AK)‖AMF‖MAC
または
トークン=function(AUTN)=function((SQN xOR AK)‖AMF‖MAC)
と表現されうる。
第2パラメータはさらに、乱数チャレンジまたは乱数コード(RAND)を備えるか、またはRANDから導出されうる。RANDはAKA手続きの一部として第2エンティティにより生成されて第1エンティティへ配信されうる。第2パラメータはなおもさらに、第1エンティティの識別子を備えるか、またはこの識別子から導出されうる。この識別子はプライベート・ユーザ識別子(IMPI)または国際移動体加入識別子(IMSI)でありうる。なおもさらに、第2パラメータは通信ネットワークおよび特に第1エンティティのサービング・ネットワークの識別子を備えるか、またはこの識別子から導出されうる。例えば、この識別子は公衆地上波移動体ネットワーク識別子(PLMN_ID)でありうる。
具体的に、第2パラメータは、0x02、PLMN_ID、RAND、IMPIまたはIMSI、およびトークンの連結を備えるか、またはこの連結から導出されうる。これは、
0x02‖PLMN_ID‖RAND‖IMPI‖トークン
と表現されうる。トークンがSQNそのものである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖SQN
となり、トークンがAUTNである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖AUTN
となる。
本方法で用いられる第1パラメータに関して、このパラメータは、AKA手続きを実行することによって第1エンティティにより得られていた暗号鍵の集合を備えるか、またはこの集合から導出されうる。暗号鍵の集合は秘匿鍵(CK)および完全性鍵(IK)を備えるか、またはこれらから導出されうる。
CKとIKとは、AUTNおよびRANDに基づいて第1エンティティにより算出された秘匿鍵と完全性鍵とでありうる。AUTNおよびRANDは第2エンティティから配信されうる。この算出だけでなくAUTNおよびRANDの配信はAKA手続きの一部を形成しうる。
1つの実装では、第1パラメータはCKとIKとの連結を備えるか、またはこの連結から導出されうる。これは数学的にCK‖IKと表現されうる。
本明細書で説明される方法は暗号鍵を生成する。この鍵は少なくとも第1エンティティと第2エンティティとによって、これらの間の任意の後続の通信において共有されうる。ある実装では、この鍵は図2の「鍵階層」において参照されるKASMEでありえ、第1エンティティと第2エンティティのアクセス・セキュリティ管理エンティティ(ASME)とによって共有されうる。
本方法は、多くの暗号鍵を生成するように1つ以上の更なる鍵導出関数を適用することを有するように拡張されうる。このような生成は上述の基本的な非拡張の方法で生成された暗号鍵、例えばKASMEに基づくかこれを利用する。
拡張された方法で生成される暗号鍵は、ノンアクセスストラタム(NAS)トラフィックを保護するための暗号鍵の集合、無線リソース制御(RRC)トラフィックの保護のための暗号鍵の集合、ユーザプレーン(UP)トラフィックの保護のための暗号鍵の集合、およびRRCトラフィックを保護するための暗号鍵とUPトラフィックを保護するための暗号鍵との少なくとも一方を導出するためのKeNBのような中間暗号鍵、のうちの少なくとも1つを含みうる。これらの鍵の理解を容易にするために、SAE/LTEで用いられる鍵階層を説明する図2が参照される。
具体的に、NASトラフィックを保護するための暗号鍵の集合は暗号化アルゴリズムでNASトラフィックを保護するための鍵(KNASenc)と、完全性アルゴリズムでNASトラフィックを保護するための別の鍵(KNASint)とのうちの少なくとも一方を備えうる。同様に、RRCトラフィックの保護のための暗号鍵の集合は暗号化アルゴリズムでRRCトラフィックを保護するための鍵(KRRCenc)と、完全性アルゴリズムでRRCトラフィックを保護するための別の鍵(KRRCint)とのうちの少なくとも一方を備えうる。さらに、UPトラフィックの保護のための暗号鍵の集合は暗号化アルゴリズムでUPトラフィックを保護するための鍵(KUPenc)を備えうる。
本明細書で説明される技術について、「第1エンティティ」は移動局のようなユーザ機器でありうる。「第2エンティティ」は通信ネットワーク内に位置するエンティティでありえ、それ故「ネットワーク・エンティティ」でありうる。特に、第2エンティティはSAE/LTEネットワーク内に位置しうる。
第2エンティティは認証センタ(AuC)/ホーム加入者サーバ(HSS)とモビリティ管理エンティティ(MME)とを備えうる。MMEは第1エンティティについてAKA手続きを開始する責任を有しうる。生成される暗号鍵はAuC/HSSにより生成されて、第1エンティティとMMEとによって共有されうる。AuC/HSSは、特に第1エンティティについてAKA手続きが開始されるごとに、SQNを増分しうる。さらに、AuC/HSSはまた、SQNに基づいてAUTNを作成しうる。
本明細書で参照されるAKA手続きは第1エンティティと第2エンティティとが連携して実行されうる。例えば、AKA手続きはUMTS AKAプロトコルでありうる。
本方法で参照される鍵導出関数は汎用ブートストラッピング・アーキテクチャ(GBA)鍵導出関数でありうる。汎用ブートストラッピング・アーキテクチャ鍵導出関数はセキュア・ハッシュ・アルゴリズム(SHA)ハッシュ関数を採用しうる。特に、256ビットの長さのダイジェストを有するセキュア・ハッシュ・アルゴリズムのハッシュ関数(SHA−256)が採用されうる。
別の側面によれば、コンピュータプログラム製品が提供される。コンピュータプログラム製品は、コンピュータプログラム製品が計算装置のためのコンピュータシステムで実行される場合に本明細書で説明される方法のステップを実行するためのコンピュータコード部を備える。コンピュータプログラム製品はコンピュータで読み取り可能な記録媒体に格納されうる。
一般に、本解決策は、ハードウェア、ソフトウェア、または統合ハードウェア/ソフトウェア・アプローチで実施されうる。
ハードウェアによる実現に関して、通信エンティティのために暗号鍵を生成するように構成された装置が提供される。装置はAKA手続きを実行でき、暗号鍵の生成はその一部でありうる。本装置は、少なくとも2つのパラメータを提供するように構成された第1コンポーネントを備える。第1パラメータはAKA手続きを実行することによって通信エンティティにより算出された暗号鍵の集合を備えるか、この集合から導出される。第2パラメータは通信エンティティについてAKA手続きが開始されるごとに異なる値を有するトークンを備えるかこのトークンから導出される。本装置は、提供されるパラメータに基づいて暗号鍵を生成するために鍵導出関数を実行するように構成された第2コンポーネントをさらに備える。上述のように、トークンは多くの可能な形式をとりうる。
トークンは、通信エンティティについて開始されたAKA手続きの回数を示すSQNを備えるか、またはこのSQNから導出されうる。1つの実装では、SQNそのものがトークンである。これに代えて、トークンは、算術演算、論理演算、および文字列演算のうちの少なくとも1つを伴うアルゴリズムを用いてSQNから導出されうる。例えば、トークンは、SQNに基づいて作成されて通信エンティティへ配信されたAUTNを備えるか、またはこのAUTNから導出されうる。ここで、この作成および配信はAKA手続きの一部を形成する。例えば、トークンは、SQNと匿名鍵(AK)との排他的論理和、認証・鍵管理フィールド(AMF)、およびメッセージ認証コード(MAC)の連結でありうる。特に、これは、
トークン=AUTN=(SQN xOR AK)‖AMF‖MAC
と表現されうる。
トークンに加えて、第2パラメータはさらに、RANDを備えるか、またはこのRANDから導出されうる。RANDはAKA手続きの一部として通信エンティティへ配信されうる。さらに、第2パラメータは、通信エンティティの識別子を備えるか、またはこの識別子から導出されうる。この識別子の一例は通信エンティティのプライベート・ユーザ識別子(IMPI)である。なおもさらに、第2パラメータは通信エンティティのサービング・ネットワークの識別子を備えるか、またはこの識別子から導出されうる。この識別子は公衆地上波移動体ネットワーク識別子(PLMN_ID)でありうるだろう。
第2パラメータの特定の例は、0x02、PLMN_ID、RAND、IMPIまたはIMSI、およびトークンの連結を備えるか、またはこの連結から導出されうる。例えば、第2パラメータは、
0x02‖PLMN_ID‖RAND‖IMPI‖トークン
と表現されうる。トークンがSQNである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖SQN
となり、トークンがAUTNである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖AUTN
となる。
上述のように、第1パラメータは、暗号鍵の集合を備えるか、またはこの集合から導出されうる。特に、この暗号鍵の集合は、AKA手続きの一部として通信エンティティにより算出された秘匿鍵(CK)および完全性鍵(IK)を備えうる。これに代えて、暗号鍵の集合は秘匿鍵および完全性鍵から導出されうる。
特定の実装として、第1パラメータはCK‖IKと表現されうるCKとIKとの連結を備えるか、またはこの連結から導出されうる。
本装置は提供された第1パラメータおよび第2パラメータに基づいて暗号鍵を生成するだけでなく、生成された暗号鍵に基づいて更なる暗号鍵を生成できる。これを行う場合に、本装置は、生成された暗号鍵に基づいて更なる暗号鍵を生成するように1つ以上の更なる鍵導出関数を適用するように構成されうる。
これらの「更なる暗号鍵」は、ノンアクセスストラタム(NAS)トラフィックの保護のための暗号鍵の集合、無線リソース制御(RRC)トラフィックの保護のための暗号鍵の集合、ユーザプレーン(UP)トラフィックの保護のための暗号鍵の集合、およびRRCトラフィックを保護するための暗号鍵とUPトラフィックを保護するための暗号鍵との少なくとも一方を導出するためのKeNBのような中間暗号鍵、のうちの少なくとも1つを備えうる。
上記で参照される通信エンティティは移動局(例えば移動体電話やネットワーク・カード)のようなユーザ機器でありうる。
更なる側面によれば、上記で提示された装置を備えるユーザ機器が提供される。ユーザ機器は移動局でありうる。
なおも更なる側面によれば、上述のユーザ機器を備えるシステムが提供される。本システムはネットワーク・エンティティも備える。ネットワーク・エンティティはSAE/LTEネットワーク内で用いられうる。ネットワーク・エンティティはAuC/HSSとMMEとを備えうる。MMEはユーザ機器についてAKA手続きを開始する責任を有しうる。AuC/HSSは暗号鍵を生成しうる。生成される暗号鍵はユーザ機器とMMEとによって共有されうる。AuC/HSSは、特にユーザ機器についてAKA手続きが開始されるごとに、SQNを増分しうる。さらに、AuC/HSSはまた、SQNに基づいてAUTNを作成しうる。
UMTS AKAプロトコルの基本概念を示す図である。 SAE/LTEシステムについて提案される鍵階層を説明するブロック図である。 装置の実施形態を示すブロック図である。 システムの実施形態を示すブロック図である。 方法の実施形態を示すブロック図である。 UMTS AKA動作の手続きであるネットワーク・エンティティによる認証ベクトル生成を示すブロック図である。 UMTS AKA動作の別の手続きである認証・鍵確立を示すブロック図である。 UMTS AKA動作の一部としてUEによって実行される汎用認証機能を示すブロック図である。 UEにおいて上述の認証機能を実行するための特定の暗号アルゴリズムを示すブロック図である。 上述の暗号アルゴリズムの特定の詳細を示すブロック図である。
図面に説明される例示の実施形態を参照しつつ、以下に暗号鍵生成技術が説明される。
以下の説明では、説明のためであって限定のためではなく、暗号鍵生成技術の完全な理解を提供するために、特定のステップ列、インタフェース、および構成のような個別の詳細が説明される。これらの個別の詳細から逸脱する他の実施形態で本技術が実施されうることが当業者には明らかだろう。例えば、本技術は主にUMTS AKAプロトコルの文脈でSAE/LTEネットワーク環境において説明されるものの、本技術はまた、他のセキュリティ・プロトコル、アーキテクチャ、または環境に関連して実施されうることが当業者に明らかだろう。
さらに、本明細書で以下に説明される機能は、プログラムされたマイクロプロセッサまたは汎用コンピュータと連携して機能するソフトウェアを用いて実行されうることを当業者は理解するだろう。本技術は主に方法および装置の形式で説明されるが、本技術はまた、コンピュータプログラム製品に具現化されてもよいだけでなく、コンピュータプロセッサと本プロセッサに結合したメモリとを備えるシステムに具現化されてもよいことも理解されるだろう。ここで、本明細書で開示される機能を実行する1つ以上のプログラムでメモリが符号化される。
図3は(図3に図示されない)通信エンティティについて暗号鍵を生成するように構成された装置100の実施形態を示す。通信エンティティはセキュリティ動作を実行するように構成される。装置100は、第1コンポーネント102と第2コンポーネント104とを備える。第1コンポーネント102は、矢印106、108で比喩的に示される少なくとも2つのパラメータを提供するように構成される。
第1パラメータ106は暗号鍵110、112の集合を備えるか、またはこの集合から導出される。(図には2つの鍵が示されるものの、暗号鍵の集合は任意の個数の鍵を含みうる。)暗号鍵の集合はセキュリティ動作を実行することによって通信エンティティによって算出される。暗号鍵110、112の集合から第1パラメータ106を導出することは比喩的にブロック114として示される。第2パラメータ108はトークン116を備えるか、またはこのトークン116から導出される。トークン116は、セキュリティ動作が通信エンティティについて開始されるごとに異なる値を有する。トークン116から第2パラメータ108を導出することは比喩的にブロック118として示される。装置100の第2コンポーネント104は、提供されたパラメータ106、118に基づいて暗号鍵120を生成するために鍵導出関数を実行するように構成される。
図4を参照して、上述の装置100を備えるシステム200の実施形態が示される。装置100は、移動局のような、UEでありうる通信エンティティ202に含まれうる。当然ながら、通信エンティティ202は装置100に適合可能な任意の適切な種類の通信エンティティでありうる。さらに、システムは、SAE/LTEネットワーク内に存在しうるネットワーク・エンティティ204を備える。ネットワーク・エンティティ204はAuCまたはHSSとMMEとを備えうる。これはまた、SAE/LTEネットワーク内の別の通信エンティティでありうる。
図3、図4に示される暗号鍵生成装置100に対応して、暗号鍵を生成するための方法の実施形態を示す図300が図5に示される。生成される鍵は2つのエンティティ間の通信を保護するために用いられる。第1エンティティ302は図4に示される通信エンティティ202に対応してもよく、第2エンティティ304は図4のネットワーク・エンティティ204に対応してもよい。第1エンティティはUEでありうる。しかしながら、本実施形態はUE‐ネットワーク・エンティティ間のシナリオに限定されない。そうではなく、一般に任意の2つの通信エンティティに適用されうる。
MMEは通信エンティティ202についてセキュリティ動作を開始する責任を有しうる。生成される暗号鍵はMMEと通信エンティティ202とによって共有されうる。
特に、方法の実施形態は、矢印300´で比喩的に説明されるセキュリティ動作の一部として第1エンティティ302により実行される。セキュリティ動作は第1エンティティ302について第2エンティティ304により(特にそのMMEにより)開始される。実施形態自体は2つのステップ306、308を有する。ステップ306では少なくとも2つのパラメータ(図3の106と108)を提供する。第1パラメータは、セキュリティ動作300´を実行することによって第1エンティティ302により算出された暗号鍵(図3に示される110と112)の集合を備えるか、またはこの集合から導出される。第2パラメータは、第1エンティティ302についてセキュリティ動作300´が第2エンティティにより開始されるごとに異なる値を有するトークン(図3に示される116)を備えるか、またはこのトークンから導出される。第2ステップ308で、提供されたパラメータ(図3に示される116と118)に基づいて暗号鍵(図3に示される120)を生成するために鍵導出関数が適用される。
以下に、2つのUE間の鍵衝突、またはさらに重要なものとして1つ且つ同一のUEについてのセキュリティ動作の2つの異なる実行間の鍵衝突を本技術がどのように首尾よく回避するかを特に強調しつつ、暗号鍵生成技術を説明するための実質的な詳細が与えられる。
暗号鍵生成はUMTS AKA動作の一部でありうる。UMTS AKAは、UE特にそのUSIMと、UEのホーム環境(HE)内のAuC/HSSとが、ユーザ固有の秘密鍵K、所定のメッセージ認証関数f1、f2、および所定の暗号鍵生成関数f3、f4、f5を共有するという実装に基づく。さらに、USIMとAuC/HSSとは、ネットワーク認証をサポートするためにカウンタまたはシーケンス番号SQNUE、SQNHEをそれぞれ管理する。例えば、AuC/HSSは、特に第1エンティティについてセキュリティ動作が開始されるごとに、SQNHEを増分しうる。UMTS AKA動作は、認証ベクトル(AV)生成、認証・鍵確立を含む複数の手続きを有する。
AV手続きの目的は、複数のユーザ認証を実行するために、UEのHEからSN/VLR(またはMME)に未使用の(fresh)AVの配列を提供することである。HEによる認証ベクトル生成が図6に説明される。この図を参照して、SN/VLRから要求を受信すると、AuC/HSSはn個の認証ベクトルAV(1…n)の順序配列をSN/VLRへ送信する。各AVは乱数(すなわち乱数チャレンジ)RAND、期待応答XRES、秘匿鍵CK、完全性鍵IK、および認証トークンAUTNを備える。
AuC/HSSは、未使用のシーケンス番号SQNと予測不可能なチャレンジRANDとを生成することから始める。続いて、以下の値が算出される:
‐メッセージ認証コードMAC=f1(SQN‖RAND‖AMF)、ここでf1はメッセージ認証関数、
‐期待応答XRES=f2(RAND)、ここでf2は(場合によっては切り落とされた(truncated))メッセージ認証関数、
‐秘匿鍵CK=f3(RAND)、ここでf3は鍵生成関数、
‐完全性鍵IK=f4(RAND)、ここでf4は鍵生成関数、
‐匿名鍵AK=f5(RAND)、ここでf5は鍵生成関数。
最後に、認証トークンAUTN=(SQN xOR AK)‖AMF‖MACが作成される。これはAUC/HSSにより作成されうる。ここで、AKはSQNを秘匿するために用いられる匿名鍵である。なぜなら、SQNはUEの識別子およびロケーションをさらしうるからである。SQNの隠匿は受動的攻撃から保護するためである。AKの使用はオプションでありうる。AKが用いられない場合に値AK=000...0がその代わりに比喩的に用いられうる。
AVの配列は認証応答において要求元のSN/VLRへ返信される。各AVはSN/VLRとUSIMとの間の1つ(且つ唯1つ)の認証/暗号鍵配送について有効である。
UMTS AKA動作の次の手続きである認証・鍵確立はSN/VLRとUEとの間で相互認証し、新たな秘匿鍵および完全性鍵を確立することである。この処理は図7に説明される。この図を参照して、SN/VLRが認証/暗号鍵配送を開始する場合に、それは配列から次のAVを選択し、パラメータであるRANDおよびAUTNをUEへ送信する。USIMはAUTNが受け入れ可能であるかどうかを調べ、そうであるならばSN/VLRへ返信される応答RESを作り出す。特にUE′の手続きが図8に示される。
図8を参照して、RANDおよびAUTNを受信すると、UEはまず匿名鍵AK=f5(RAND)を算出し(またはAK=000...0を使用し)、シーケンス番号SQN=(SQN xOR AK) xOR AKを読み出す。次に、UEはXMAC=f1(SQN‖RAND‖AMF)を算出し、これをAUTNに含まれるMACと比較する。これらが異なるならば、UEはユーザ認証却下を理由の表示とともにSN/VLRへ返信し、UEは手続きを中止する。さもなければ、UEは受信されたSQNが正しい範囲内にあることを検証する。
SQNが正しい範囲内にあると考えられるならば、UEはRES=f2(RAND)を算出し、SN/VLRへ戻されるユーザ認証応答にこのパラメータを含める。最後に、UEは秘匿鍵CK=f3(RAND)と完全性鍵IK=f4(RAND)とを算出する。効率性を向上するために、RES、CK、およびIKはまた、RANDを受信した後の任意の時点で早期に算出されうるだろう。UEは再同期のためにRANDを記憶しうる。
ユーザ認証応答を受信すると、SN/VLRはRESと、選択された認証ベクトルからの期待応答XRESとを比較する。XRESがRESに等しいならば、ユーザの認証は受け入れられている。次いで、新たに算出された鍵CK、IKは秘匿機能および完全性機能を実行するエンティティへUSIMおよびSN/VLRによって転送されるだろう。
上記から、UMTS AKA動作は組(RAND,AUTN)に基づき、AUTNは
AUTN=(SQN xOR AK)‖AMF‖MAC
として、シーケンス番号SQNを備えるか、またはこのSQNから導出されることが見て取れる。ここで、AKは匿名鍵であり、上記の出力”f5”からミレナージュ(図9参照)によって作り出されうる。
以下の関数
KDF(CK‖IK,RAND‖IMPI‖SQN)
は上述の衝突問題への第1解決策である。ここで、SQNはこのように入力に含まれている。ここで、2つのRANDが同一、すなわちRAND=RAND´だとしても、SQNが常に(例えば1だけ)増加しているという事実は、入力が異なり、一意であり、または区別できることを保証するだろう。
代替の解決策は、
KDF(CK‖IK,RAND‖IMPI‖AUTN)
を用いることである。この解決策は、AUTNがAKAシグナリングから「そのまま」用いられうるため、より単純に実装されうる。しかしながら、この場合の入力の「一意性」は明らかでないかもしれない。なぜなら、
AUTN=(SQN xOR AK)‖AMF‖MAC
であり、SQN≠SQN´だとしても、AKが場合によっては違いを「打ち消し」うるため、(SQN xOR AK)と(SQN´ xOR AK´)とが異なることはすぐには見て取れない。しかしながら、以下のように、(SQN xOR AK)が異なっていることが証明されうる。
(CK‖IK,RAND‖IMPI‖AUTN)=(CK´‖IK´,RAND′‖IMPI‖AUTN´)
が成り立つと想定する。これがCK=CK´、IK=IK´、およびRAND=RAND´を暗示することがすでに示されている。よって、AUTN=AUTN´が成り立ちうるかどうかを調べることが残っている。これを調べることは、
(SQN xOR AK)‖AMF‖MAC=(SQN´ xOR AK´)‖AMF´‖MAC´
が成り立つかどうかを調べることに置き換えうる。
一般性を失わずにAMF=AMF´かつMAC=MAC´であると仮定しよう。次いで、以下の
SQN xOR AK = SQN´ xOR AK´
が成り立ちうるかどうかを調べることだけが必要になる。
RAND=RAND´が予想されることを再考しよう。図9に示されるミレナージュ・アルゴリズムを参照して、これはAK=AK´(なぜならこれらは同じRANDから作り出されたため)を暗示する。よって、
SQN=SQN´
となるべきであるが、これは矛盾する。なぜなら、前述のように、SQNは常に「ステップアップ」し、よってSQN≠SQN´であるからである。
よって、第2解決策もKDF関数への入力の一意性が保証されることが証明される。
一意性を達成するためにSQNまたはAUTNを用いる代わりの一般の解決策とて、UEについてネットワークによりUMTS AKA動作が開始されるごとに異なる値を有する任意のトークンが利用可能である。例えば、(上述の解析によって、)必要な一意性特性を有するため、(AUTNの一部を形成する)SQN xOR AKが用いられうる。
上述の暗号鍵生成技術は数多くの利点を示す。例えば、これはKDF入力の一意性を保証する。従って、起こりえる同一の入力によってもたらされる衝突を首尾よく回避する。この技術を用いれば、生成される暗号鍵が例えばSAE/LTEシステムの高水準のセキュリティ要件を満たすことができるだろう。さらなる利点として、本技術はUSIMを交換する必要なく、すでに配備されたUSIMに基づいて実装されうる。SQNでなくAUTNを用いることによる別の個別の利点は、本発明が(USIM以外の)移動体端末において実施されうることである。
暗号鍵生成技術の実施形態が添付の図面で説明され前述の明細書で記載されてきたが、本技術はここに開示された実施形態に限定されないことが理解されるだろう。本技術は本発明の範囲を逸脱することなく数多くの再構成、修正および置換が可能である。

Claims (21)

  1. 2つのエンティティ(202,204)間の通信を保護するための暗号鍵(120)を生成するための方法であって、前記方法は第2エンティティ(204,304)により開始される認証/暗号鍵配送<AKA>手続きの一部として第1エンティティ(202,302)により実行され、
    前記AKA手続きを実行することによって前記第1エンティティ(202)により算出された暗号鍵(110,112)の集合を備えるか又は前記集合から導出される第1パラメータ(106)と、前記第1エンティティ(202,302)について前記AKA手続きが前記第2エンティティ(204,304)により開始されるごとに異なる値を有するトークン(116)を備えるか又は前記トークンから導出される第2パラメータとを含む少なくとも2つのパラメータ(106,108)を提供する工程(306)と、
    前記提供されたパラメータ(106,108)に基づいて暗号鍵(120)を生成するために鍵導出関数を適用する工程(308)と
    を有し、
    前記トークン(116)はシーケンス番号<SQN>と匿名鍵<AK>との排他的論理和を備える
    ことを特徴とする方法。
  2. 前記SQNは、前記第1エンティティ(202,302)について前記AKA手続きが前記第2エンティティ(204,304)により開始された回数を示すことを特徴とする請求項1に記載の方法。
  3. 前記トークンは、前記SQNと前記匿名鍵<AK>との前記排他的論理和、認証・鍵管理フィールド<AMF>、及びメッセージ認証コード<MAC>の連結であることを特徴とする請求項1又は2に記載の方法。
  4. 前記第1パラメータ(106)が備えるか又は前記第1パラメータ(106)が導出される前記暗号鍵(110,112)の集合は、秘匿鍵<CK>(110)と完全性鍵<IK>(112)とを備えるか又は前記CKと前記IKとから導出されることを特徴とする請求項1乃至3の何れか1項に記載の方法。
  5. 生成された前記暗号鍵(120)に基づいて更なる暗号鍵を生成するために1つ以上の更なる鍵導出関数を適用する工程をさらに有することを特徴とする請求項1乃至4の何れか1項に記載の方法。
  6. 前記更なる暗号鍵は、
    ノンアクセスストラタム<NAS>トラフィックの保護のための暗号鍵の集合、
    無線リソース制御<RRC>トラフィックの保護のための暗号鍵の集合、
    ユーザプレーン<UP>トラフィックの保護のための暗号鍵の集合、及び
    RRCトラフィックの保護のための前記暗号鍵とUPトラフィックの保護のための前記暗号鍵との少なくとも一方を導出するための中間暗号鍵<KeNB
    のうちの少なくとも1つを含むことを特徴とする請求項5に記載の方法。
  7. 前記第1エンティティ(202、302)はユーザ機器であることを特徴とする請求項1乃至6の何れか1項に記載の方法。
  8. 前記第2エンティティ(204,304)はネットワーク・エンティティであることを特徴とする請求項1乃至7の何れか1項に記載の方法。
  9. 前記第2エンティティ(204,304)はシステムアーキテクチャエボリューション<SAE>/ロングタームエボリューション<LTE>のネットワーク内に存在することを特徴とする請求項8に記載の方法。
  10. 前記第2エンティティ(204,304)は、認証センタ<AuC>/ホーム加入者サーバ<HSS>とモビリティ管理エンティティ<MME>とを備えることを特徴とする請求項8又は9に記載の方法。
  11. 前記AKA手続きは前記第1エンティティ(202,302)と前記第2エンティティ(204,304)とにより連携して実行されることを特徴とする請求項1乃至10の何れか1項に記載の方法。
  12. 前記AKA手続きはUMTSのプロトコルであることを特徴とする請求項1乃至11の何れか1項に記載の方法。
  13. コンピュータシステムで実行された場合に請求項1乃至12の何れか1項に記載の方法の各工程を実行するコンピュータプログラムコード部を備えることを特徴とするコンピュータプログラム。
  14. コンピュータで読み取り可能な記録媒体に格納されることを特徴とする請求項13に記載のコンピュータプログラム。
  15. 認証/暗号鍵配送<AKA>手続きを実行するように構成された通信エンティティ(202,302)のために暗号鍵(120)を生成するように構成された装置(100)であって、
    前記AKA手続きを実行することによって前記通信エンティティ(202、302)により算出された暗号鍵(110,112)の集合を備えるか又は前記集合から導出される第1パラメータ(106)と、前記通信エンティティ(202,302)について前記AKA手続きが開始されるごとに異なる値を有するトークン(116)を備えるか又は前記トークンから導出される第2パラメータ(108)とを含む少なくとも2つのパラメータ(106,108)を提供するように構成された第1コンポーネント(102)と、
    前記提供されたパラメータ(106,108)に基づいて暗号鍵(120)を生成するために鍵導出関数を実行するように構成された第2コンポーネント(104)と
    を備え、
    前記トークン(116)はシーケンス番号<SQN>と匿名鍵<AK>との排他的論理和を備える
    ことを特徴とする装置(100)。
  16. 前記SQNは、前記通信エンティティ(202,302)について前記AKA手続きが開始された回数を示すことを特徴とする請求項15に記載の装置。
  17. 前記第1パラメータ(106)が備えるか又は前記第1パラメータ(106)が導出される前記暗号鍵(110,112)の集合は、前記AKA手続きの一部として前記通信エンティティ(202、302)により算出された秘匿鍵<CK>(110)と完全性鍵<IK>(112)とを備えるか又は前記CKと前記IKとから導出されることを特徴とする請求項15又は16に記載の装置(100)。
  18. 生成された前記暗号鍵(120)に基づいて更なる暗号鍵を生成するために1つ以上の更なる鍵導出関数を適用するようにさらに構成されたことを特徴とする請求項15乃至17の何れか1項に記載の装置(100)。
  19. 請求項15乃至18の何れか1項に記載の装置(100)を備えることを特徴とするユーザ機器(202)。
  20. 請求項19に記載のユーザ機器(202,302)とネットワーク・エンティティ(304)とを備えることを特徴とするシステム。
  21. 前記ネットワーク・エンティティ(304)はSAE/LTEのネットワークで用いられることを特徴とする請求項20に記載のシステム。
JP2011511982A 2008-06-06 2008-07-21 暗号鍵の生成 Active JP4792135B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US5938608P 2008-06-06 2008-06-06
US61/059,386 2008-06-06
PCT/EP2008/005960 WO2009146729A1 (en) 2008-06-06 2008-07-21 Cryptographic key generation

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2011161346A Division JP2011254512A (ja) 2008-06-06 2011-07-22 暗号鍵の生成

Publications (2)

Publication Number Publication Date
JP2011522494A JP2011522494A (ja) 2011-07-28
JP4792135B2 true JP4792135B2 (ja) 2011-10-12

Family

ID=40527985

Family Applications (5)

Application Number Title Priority Date Filing Date
JP2011511982A Active JP4792135B2 (ja) 2008-06-06 2008-07-21 暗号鍵の生成
JP2011161346A Pending JP2011254512A (ja) 2008-06-06 2011-07-22 暗号鍵の生成
JP2013252327A Pending JP2014078985A (ja) 2008-06-06 2013-12-05 暗号鍵の生成
JP2015241380A Active JP6121512B2 (ja) 2008-06-06 2015-12-10 暗号鍵の生成
JP2017065703A Active JP6492115B2 (ja) 2008-06-06 2017-03-29 暗号鍵の生成

Family Applications After (4)

Application Number Title Priority Date Filing Date
JP2011161346A Pending JP2011254512A (ja) 2008-06-06 2011-07-22 暗号鍵の生成
JP2013252327A Pending JP2014078985A (ja) 2008-06-06 2013-12-05 暗号鍵の生成
JP2015241380A Active JP6121512B2 (ja) 2008-06-06 2015-12-10 暗号鍵の生成
JP2017065703A Active JP6492115B2 (ja) 2008-06-06 2017-03-29 暗号鍵の生成

Country Status (20)

Country Link
US (3) US8340288B2 (ja)
EP (4) EP2658163B3 (ja)
JP (5) JP4792135B2 (ja)
KR (1) KR101274392B1 (ja)
CN (2) CN103746794B (ja)
AU (1) AU2008357317B2 (ja)
BR (1) BRPI0822761B1 (ja)
CA (1) CA2722186C (ja)
CL (1) CL2009001359A1 (ja)
DK (2) DK2528268T6 (ja)
ES (3) ES2617067T7 (ja)
IL (1) IL209799A (ja)
MA (1) MA32613B1 (ja)
MX (1) MX2010012033A (ja)
MY (1) MY146687A (ja)
NZ (1) NZ589294A (ja)
PL (3) PL2658163T6 (ja)
RU (1) RU2480925C2 (ja)
WO (1) WO2009146729A1 (ja)
ZA (1) ZA201008200B (ja)

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080112562A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Methods for linking content with license
US8327454B2 (en) * 2006-11-14 2012-12-04 Sandisk Technologies Inc. Method for allowing multiple users to access preview content
US20080114772A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Method for connecting to a network location associated with content
US8763110B2 (en) * 2006-11-14 2014-06-24 Sandisk Technologies Inc. Apparatuses for binding content to a separate memory device
US8079071B2 (en) * 2006-11-14 2011-12-13 SanDisk Technologies, Inc. Methods for accessing content based on a session ticket
US20080114693A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Method for allowing content protected by a first DRM system to be accessed by a second DRM system
US8463264B2 (en) * 2007-08-15 2013-06-11 Telefonaktiebolaget L M Ericsson (Publ) Early IMS security
US7522723B1 (en) * 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
CN102625302B (zh) * 2008-06-23 2016-03-30 华为技术有限公司 密钥衍生方法、设备及系统
GB0822599D0 (en) * 2008-12-11 2009-01-21 Vodafone Plc Securing network rejection
US8296836B2 (en) * 2010-01-06 2012-10-23 Alcatel Lucent Secure multi-user identity module key exchange
US9215220B2 (en) * 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
US20120142315A1 (en) * 2010-12-06 2012-06-07 Jong-Moon Chung Method for authentication and key establishment in a mobile communication system and method of operating a mobile station and a visitor location register
US9270453B2 (en) 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
US8943318B2 (en) 2012-05-11 2015-01-27 Verizon Patent And Licensing Inc. Secure messaging by key generation information transfer
US9154527B2 (en) 2011-06-30 2015-10-06 Verizon Patent And Licensing Inc. Security key creation
US8990554B2 (en) 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
WO2013006785A2 (en) * 2011-07-07 2013-01-10 Meng-Day Yu Cryptographic security using fuzzy credentials for device and server communications
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
CN110290523B (zh) 2012-12-28 2022-12-27 北京三星通信技术研究有限公司 配置和传输加密密匙的方法
JP5993098B2 (ja) 2013-01-11 2016-09-14 エルジー エレクトロニクス インコーポレイティド 無線通信システムにおけるセキュリティ情報を適用するための方法及び装置
TR201902679T4 (tr) 2013-01-30 2019-03-21 Ericsson Telefon Ab L M İkili bağlanırlık için güvenlik anahtarı üretimi.
JP2014192612A (ja) 2013-03-26 2014-10-06 Toshiba Corp 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
GB2518254B (en) * 2013-09-13 2020-12-16 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
FR3018371B1 (fr) * 2014-03-10 2016-05-06 Commissariat Energie Atomique Procede et systeme de chiffrement/dechiffrement de donnees a cle distante et verification prealable de jeton
CN106465109A (zh) * 2014-05-20 2017-02-22 诺基亚技术有限公司 蜂窝网络认证
US10390224B2 (en) 2014-05-20 2019-08-20 Nokia Technologies Oy Exception handling in cellular authentication
FR3022053B1 (fr) * 2014-06-06 2018-02-02 Oberthur Technologies Procede d'authentification d'une premiere entite electronique par une seconde entite electronique et entite electronique mettant en œuvre un tel procede
US10554408B2 (en) 2015-02-16 2020-02-04 Nec Corporation Communication system, node device, communication terminal, key management method, and non-transitory computer-readable medium in which program is stored
KR101675088B1 (ko) * 2015-04-30 2016-11-10 성균관대학교산학협력단 Mtc에서의 네트워크와의 상호 인증 방법 및 시스템
US10931644B2 (en) 2015-06-23 2021-02-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity
WO2017182057A1 (en) * 2016-04-19 2017-10-26 Nokia Solutions And Networks Oy Network authorization assistance
EP3482551B1 (en) * 2016-07-07 2022-03-02 Nokia Solutions and Networks Oy Machine type communication using mobile originated short messaging service without mobile station international subscriber directory number
CN110192212B (zh) * 2016-07-14 2024-06-04 数字资产(瑞士)股份有限公司 数字资产平台
EP3471365A4 (en) * 2016-07-15 2019-06-19 Huawei Technologies Co., Ltd. METHOD AND APPARATUS FOR ACQUIRING KEY
EP3285512A1 (en) 2016-08-17 2018-02-21 Gemalto Sa Authentication server of a cellular telecommunication network and corresponding uicc
CN106789057B (zh) * 2016-11-28 2020-05-22 航天恒星科技有限公司 卫星通信协议下的密钥协商方法及系统
KR102549946B1 (ko) * 2017-01-09 2023-06-30 삼성전자주식회사 이동통신 환경에서 단말의 초기 접속 요청 메시지를 라우팅하는 방법 및 관련 파라미터
JP6441390B2 (ja) * 2017-01-26 2018-12-19 株式会社東芝 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
WO2018187937A1 (en) * 2017-04-11 2018-10-18 Huawei Technologies Co., Ltd. Network authentication method, device, and system
EP3643100B1 (en) * 2017-06-23 2021-12-29 Motorola Mobility LLC Method and apparatus for implementing bearer specific changes as part of a connection reconfiguration that impacts the security keys being used
CN111247769B (zh) * 2017-08-29 2023-04-28 罗伯特·博世有限公司 用于使用不安全共享通信介质的具有前向保密性的线性密钥协定的方法和系统
KR101835076B1 (ko) * 2017-11-15 2018-04-19 곽권섭 보안강화 eps-aka 프로토콜을 이용한 이동통신 가입자 인증 방법
DE102018133605B4 (de) * 2018-12-27 2023-03-02 Bachmann Gmbh Verfahren und Vorrichtung zur Prüfung der Integrität von Modulen einer Windkraftanlage
EP3720039A1 (de) * 2019-04-05 2020-10-07 Siemens Aktiengesellschaft Verfahren für das konfigurieren eines sicherheitsmoduls mit mindestens einem abgeleiteten schlüssel
CN111628985A (zh) * 2020-05-22 2020-09-04 深圳市有方科技股份有限公司 安全访问控制方法、装置、计算机设备和存储介质
US20220103354A1 (en) * 2020-09-25 2022-03-31 Renesas Electronics Corporation Secure encryption key generation and management in open and secure processor environments
US11924350B2 (en) 2021-07-29 2024-03-05 Digital Asset (Switzerland) GmbH Cryptographically enforced partial blinding for distributed system
US11647392B1 (en) 2021-12-16 2023-05-09 Bank Of America Corporation Systems and methods for context-aware mobile application session protection
CN115021913B (zh) * 2022-06-14 2024-05-31 中国信息通信研究院 工业互联网标识解析体系密钥生成方法、系统与存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7131006B1 (en) * 1999-11-15 2006-10-31 Verizon Laboratories Inc. Cryptographic techniques for a communications network
GB0004178D0 (en) * 2000-02-22 2000-04-12 Nokia Networks Oy Integrity check in a communication system
US20030053629A1 (en) * 2001-09-14 2003-03-20 Koninklijke Philips Electronics N.V. USB authentication interface
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
JP4688808B2 (ja) * 2003-09-26 2011-05-25 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動体通信システムにおける暗号化の強化セキュリティ構成
GB2407236B (en) * 2003-10-17 2006-04-05 Toshiba Res Europ Ltd Methods and apparatus for secure data communication links
EP1626598A1 (en) * 2004-06-21 2006-02-15 Axalto SA Method for securing an authentication and key agreement protocol
US7461268B2 (en) * 2004-07-15 2008-12-02 International Business Machines Corporation E-fuses for storing security version data
US20060046690A1 (en) 2004-09-02 2006-03-02 Rose Gregory G Pseudo-secret key generation in a communications system
US20060236116A1 (en) * 2005-04-18 2006-10-19 Lucent Technologies, Inc. Provisioning root keys
US7558957B2 (en) * 2005-04-18 2009-07-07 Alcatel-Lucent Usa Inc. Providing fresh session keys
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
US8165565B2 (en) * 2006-01-24 2012-04-24 British Telecommunications Plc Method and system for recursive authentication in a mobile network
US20070271458A1 (en) * 2006-05-22 2007-11-22 Peter Bosch Authenticating a tamper-resistant module in a base station router
JP5060081B2 (ja) 2006-08-09 2012-10-31 富士通株式会社 フレームを暗号化して中継する中継装置
WO2008054320A2 (en) * 2006-11-01 2008-05-08 Telefonaktiebolaget Lm Ericsson (Publ) Telecommunication systems and encryption of control messages in such systems
JP5396300B2 (ja) * 2010-02-08 2014-01-22 オルガノ株式会社 電気式脱イオン水製造装置

Also Published As

Publication number Publication date
US9326142B2 (en) 2016-04-26
MY146687A (en) 2012-09-14
US8953793B2 (en) 2015-02-10
KR101274392B1 (ko) 2013-06-17
CN103746794B (zh) 2017-06-23
ES2617067T7 (es) 2022-04-28
PL2528268T3 (pl) 2017-10-31
DK2291946T4 (da) 2020-08-31
DK2291946T3 (da) 2013-03-18
CL2009001359A1 (es) 2010-12-03
CN103746794A (zh) 2014-04-23
MX2010012033A (es) 2010-11-30
EP2291946B2 (en) 2020-06-03
PL2658163T6 (pl) 2022-02-14
PL2291946T3 (pl) 2013-05-31
CN102057617A (zh) 2011-05-11
JP2016096557A (ja) 2016-05-26
US20110091036A1 (en) 2011-04-21
US20150023499A1 (en) 2015-01-22
ZA201008200B (en) 2011-03-30
ES2637313T3 (es) 2017-10-11
EP2528268B3 (en) 2021-12-29
AU2008357317B2 (en) 2012-04-12
CA2722186C (en) 2015-09-15
ES2400020T5 (es) 2021-03-09
JP6492115B2 (ja) 2019-03-27
IL209799A0 (en) 2011-02-28
ES2637313T7 (es) 2022-04-27
BRPI0822761A2 (pt) 2015-06-30
EP2658163A1 (en) 2013-10-30
PL2528268T6 (pl) 2022-04-25
EP3242436A1 (en) 2017-11-08
NZ589294A (en) 2012-07-27
PL2291946T5 (pl) 2021-02-08
JP2017175624A (ja) 2017-09-28
US20130156182A1 (en) 2013-06-20
CN102057617B (zh) 2013-12-25
EP2658163B1 (en) 2016-12-14
RU2010149890A (ru) 2012-06-10
EP2291946A1 (en) 2011-03-09
ES2400020T3 (es) 2013-04-05
JP2011254512A (ja) 2011-12-15
IL209799A (en) 2015-03-31
EP2291946B1 (en) 2012-12-26
EP2658163B3 (en) 2021-12-29
KR20110017426A (ko) 2011-02-21
WO2009146729A1 (en) 2009-12-10
DK2528268T3 (en) 2017-09-11
EP2528268B1 (en) 2017-05-24
EP2528268A1 (en) 2012-11-28
BRPI0822761B1 (pt) 2020-09-29
JP2014078985A (ja) 2014-05-01
DK2528268T6 (da) 2022-03-21
JP6121512B2 (ja) 2017-04-26
PL2658163T3 (pl) 2017-08-31
RU2480925C2 (ru) 2013-04-27
JP2011522494A (ja) 2011-07-28
ES2617067T3 (es) 2017-06-15
MA32613B1 (fr) 2011-09-01
CA2722186A1 (en) 2009-12-10
US8340288B2 (en) 2012-12-25
AU2008357317A1 (en) 2009-12-10

Similar Documents

Publication Publication Date Title
JP6492115B2 (ja) 暗号鍵の生成
CN112566112B (zh) 用于无线通信的装置、方法和存储介质
EP3605942B1 (en) Key agreement for wireless communication
Saxena et al. Authentication protocol for an IoT-enabled LTE network
Ouaissa et al. New security level of authentication and key agreement protocol for the IoT on LTE mobile networks
Choudhury Relaxing trust requirement in 3GPP mobile systems for improved subscriber identity privacy
Wang et al. Research on an improved proposal of 3G security

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A529

Effective date: 20101210

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101210

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20101210

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20110414

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110422

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110617

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110711

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110722

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140729

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4792135

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250