JP5216014B2 - 通信ネットワークにおける暗号キー管理 - Google Patents

通信ネットワークにおける暗号キー管理 Download PDF

Info

Publication number
JP5216014B2
JP5216014B2 JP2009533280A JP2009533280A JP5216014B2 JP 5216014 B2 JP5216014 B2 JP 5216014B2 JP 2009533280 A JP2009533280 A JP 2009533280A JP 2009533280 A JP2009533280 A JP 2009533280A JP 5216014 B2 JP5216014 B2 JP 5216014B2
Authority
JP
Japan
Prior art keywords
authentication
key
node
sgsn
rel8
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009533280A
Other languages
English (en)
Other versions
JP2010507325A (ja
Inventor
ロルフ ブロム,
マッツ ネスルンド,
カール ノーマン,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2010507325A publication Critical patent/JP2010507325A/ja
Application granted granted Critical
Publication of JP5216014B2 publication Critical patent/JP5216014B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

関連出願のクロスリファレンス
本願は、2006年10月18日出願の米国仮特許出願第60/829,954号の優先権を主張するものであり、その開示は参照することによって本明細書に組み込まれものである。
本発明は、通信ネットワークにおけるセキュア通信に関するものである。より詳細には、限定するものではないが、本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせにわたり、暗号キーを管理するためのシステムおよび方法に向けられたものである。
図1は、第3世代パートナシッププロジェクト(3GPP:Third Generation Partnership Project)によって現在定義されるような、進化型パケット・コア・ネットワーク(EPC:Evolved Packet Core network)および進化型UTRAN無線アクセスネットワークの展開(E−UTRAN:Evolved UTRAN radio access network)用の、現行の3Gネットワークの進化型に関する単純化ブロック図である。この進化型のシステム(EPCおよびE−UTRAN)の全体は、進化型のパケットシステム(EPS:Evolved Packet System)10として参照される。本発明の重要な機能エンティティである、EPSアーキテクチャのノードは、移動管理エンティティ(MME:Mobility Management Entity)11および拡張ノードB(eNodeBまたはeNB)12を含んでいる。完全を期すために(本発明にとっては本質的ではないが)、2つのゲートウェイノードとして、サービング(serving)ゲートウェイ13およびパケット・データ・ネットワーク(PDN:Packet Data Network)ゲートウェイ14もまた存在することを言及するのは当然である。MME11は、サービングGPRSサービスノード(SGSN:Serving GPRS Service Node)15の制御プレーンに類似していて、ユーザ認証を実行し、非アクセス層(NAS:Non−Access Stratum)のシグナリングのセキュリティおよびその類を終結させる。この説明のために、eNB12は、2つの部分に論理的に分けられると見做すことができる。まず、ユーザ・プレーン・エンティティ(UPE:User Plane Entity)16は、RNCおよびSGSNのユーザプレーンに類似していて、また、UP(User Plane:ユーザプレーン)のセキュリティを終結させる。本発明に関係するUPE機能は、eNBまたはネットワークの何処かに実装することができる。eNBのその他の論理的な部分は、無線リソース制御(RRC:Radio Resource Control)セキュリティ17を終結させるエンティティである。ホーム加入者サーバ(HSS:Home Subscriber Server)18は、加入者プロファイル情報を記憶している。
EPSアーキテクチャ10は、「レガシー」(3GPP Rel6)コアネットワーク機器および、GSM/EDGE無線アクセスネットワーク(GERAN:GSM/EDGE Radio Access Network)19およびUMTS地上無線アクセスネットワーク(UTRAN:UMTS Terrestrial Radio Access Network)20等の関係する無線アクセスネットワークと、効果的およびセキュアに相互動作しなければならない。「効果的」とは、ハンドオーバがシームレスであることを意味し、「セキュアに」とは、1つのアクセスネットワークにおけるセキュリティ暴露(security compromise)が他のアクセスネットワーク(後方交換性であることの必要性によって影響される以上に)に広がらないことを意味する。EPSアーキテクチャは、セキュリティの基礎として、ユーザ機器(UE:User Equipment)21におけるRel8タイプの加入者アイデンティティモジュール(SIM:Subscriber Identity Module)メカニズムを使用するであろうと想定している。現在、R99+USIMの使用のみが、EPSに対して指定されているが、一実施形態では、SIMは、以下では、xSIMと示される「拡張」加入者アイデンティティモジュール/UMTS加入者アイデンティティモジュール(SIM/USIM)であっても良い。
用語「Rel6」は、3GPPリリース6またはそれ以前の機器を意味する。EPCノードおよび任意のUMTS/GSMコアネットワーク機器を参照するために、用語「Rel8」が本明細書で利用される。これらの機器は、「EPSを認知するもの(aware:アウェア)」とされていて、従って、EPSアーキテクチャと相互動作することができる。例えば、Rel6 SGSNは、必要なプロトコルを実装しないので、EPCノードへハンドオーバすることができないことが想定されている。しかしながら、Rel8 SGSNは、いわゆる、S3およびS4インタフェースの実装によりハンドオーバの実行が可能であると想定されている。
3GPPでは、以下の要件を満足することが、EPSアーキテクチャにおけるセキュア通信に望ましいと一般的に合意されている。
・拡張xSIMは、使用される場合には、UTRAN/GERAN用にUSIMと後方互換性がなければならず、キーは、初期認証を行う場所(GERAN、UTRANまたはE−UTRAN)とは独立していなければならない。認証パラメータは、同一フォーマットおよび、その類を有することになろう。
・解決策は、以下の8つの全ての組み合わせに対して動作しなければならない。
・Rel6またはRel8 UE
・xSIMまたはUSIM
・Rel6またはRel8 SGSN
Rel6 UEは、E−UTRAN無線インタフェースを単にサポートしないので、解決策は、Rel6 UEとeNB/E−UTRANとの組み合わせと共に動作することは要求されない。
・解決策は、Rel8 EPS UEおよびxSIM/USIM並びにRel6 SGSN、Rel8 SGSNまたはEPCMMEの6つの構成のいずれかを含む全ての組み合わせに対して動作しなければならない。
・解決策は、Rel6 RANまたはCN装置のアップグレードを行うことなく動作しなければならない。但し、Rel8 CN機器の新機能は許容される。
・Rel8環境(SGSNおよびEPC MME)において初期接続およびハンドオーバ(H/O)が発生する場合、UTRAN/GERANネットワークとE−UTRANネットワークとの間で進行する場合のキー分離がサポートされなければならない。(キー分離とは、1つのキーの公開(exposure)が、別のキーに影響しないことを意味する。)
・EPSアーキテクチャは、UP、NASおよびRRCキーのキー分離をサポートすることになろう。
・E−UTRAN eNodeBキーの公開の影響は、限定的であろう(RRCのセキュリティは、アイドルからアクティブへの移行時に再確立される)。
追加要件として、拡張xSIMは、アクセス認証時に導出される「マスターキー」を提供し、アクセスキーが公開されるとしてもマスターキーがアプリケーション・レイヤにおいてセキュアに使用することができるとすれば有益であろう。同様に、xSIMが128ビットを上回る実効キーサイズをサポートすることができるとすれば望ましいであろう。
以上の全ての要件を満足する既存の解決策は存在しない。GSM/UMTSの相互動作のために使用されるものと同様の原理を採用することができないのは、それら原理が要求されるセキュリティレベルを提供しないからである。GSMおよびUMTSは効果的な相互動作解決策を指定するしかしながら、GSMおよびUMTSは、アクセス間のキー分離を提供しないので、GSMのセキュリティ暴露は、UMTSのセキュリティにある程度の影響を及ぼすことになる。例えば、GSM/UMTSによって提供されるキーは、セキュリティ暴露のリスクなしでは、アプリケーション・レイヤにおいて再使用することができない。加えて、GSMもUMTSも、128ビット以上のセキュリティを提供しない。
本技術に必要とされるものは、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡る、暗号キーを管理するための効果的でかつセキュアなシステムおよび方法である。このシステムおよび方法は、3GPPEPS要件の全てを満すべきである。本発明は、そのようなシステムおよび方法を提供し、追加の要件を満足するxSIMを後に導入するためのプロビジョン(provision)を実現する。
米国特許仮出願第60/829,954号
本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡って、暗号キーを管理する認証サーバ及びシステム、および方法に向けられたものである。本発明は、上述で挙げられている3GPP EPS要件の全てを満足するので、従来技術の解決策を越える利点を有する。本発明は、これを主として、アクセスネットワーク間のキー分離の提供によって行う。
一態様では、本発明は、第1のアクセスネットワークにおける所与の認証ノードに認証データを配信する認証サーバの方法に向けられたものである。この所与の認証ノードは、様々なアクセスネットワークにおける様々なタイプの複数の認証ノードの1つである。この認証ノードは、複数の様々なバージョンの移動端末において利用される、異なるバージョンのアイデンティティモジュールを認証する。本方法は、認証サーバにおいてマスターキーを生成する工程と、マスターキーから様々な認証データを暗号として導出する工程および導出された認証データを認証ノードに選択的に提供する工程を含んでいる。キー分離処理は、認証ノードのタイプとアイデンティティモジュールのバージョンのそれぞれ異なる組み合わせに対して、変換されたキーを含む異なる認証データを導出する。本方法は、次いで、所与の認証ノードのタイプと、所与の認証ノードによって認証されるアイデンティティモジュールのバージョンとの組み合わせに対して導出される認証データを、所与の認証ノードに選択的に提供する。
別の態様では、本発明は、第1のアクセスネットワークにおける所与の認証ノードに認証データを配信する認証サーバに向けられたものである。ここで、所与の認証ノードは、様々なアクセスネットワークにおける様々なタイプの複数の認証ノードの1つである。認証ノードは、複数の様々なバージョンの移動端末において利用される様々なバージョンのアイデンティティモジュールを認証する。認証サーバは、マスターキーを生成する手段、マスターキーから、認証ノードのタイプとアイデンティティモジュールのバージョンとのそれぞれ異なる組み合わせに対して異なる認証データを暗号として導出するキー分離手段と、および所与の認証ノードのタイプと所与の認証ノードが認証するアイデンティティモジュールのバージョンとの組み合わせに対して導出される認証データを所与の認証ノードに提供する手段を含んでいる。
別の態様では、本発明は、認証サーバから認証データを受信し、移動端末を認証するための認証ノードに向けられたものである。認証ノードは、認証データを受信し、認証データの一部である第1のキーを記憶する手段と、第1のキーから第2のキーを暗号として導出する第1のキー分離手段と、および移動端末を認証する認証手段を含んでいる。認証ノードは、また、様々なタイプの複数の他の認証ノードに第2のキーを通信する手段と、第1のキーから第3のキーを暗号として導出する第2のキー分離手段と、および第3のキーを利用して移動端末と通信するセキュリティ処理ノードに第3のキーを通信する手段とを含んでいる。
別の態様では、本発明は、認証サーバと、様々なアクセスネットワークにおける第1の、第2のおよび第3のタイプの複数の認証ノードとの間で認証データを共有するシステムに向けられたものである。認証ノードは、複数の異なるバージョンの移動端末のバージョンにおいて利用される、様々なバージョンのアイデンティティモジュールを認証する。本システムは、認証サーバにおいてマスターキーを生成する手段と、マスターキーから、認証ノードのタイプとアイデンティティモジュールのバージョンとのそれぞれ異なる組み合わせに対して異なる変換されたキーを暗号として導出する第1キー分離手段と、および所与のタイプの認証ノードと、所与の認証ノードによって認証されるアイデンティティモジュールのバージョンとの組み合わせに対して導出される、変換されたキーを所与のタイプの認証ノードに提供する手段を含んでいる。本システムは、複数の認証ノードのそれぞれにおいて、別の認証ノードから認証データ用のリクエストを受信する手段と、および変換されたキーをリクエストの送信元の別の認証ノードに転送する手段を含んでいる。
一実施形態では、第1の、第2のおよび第3のタイプの認証ノードは、リリース6サービングGPRSサービスノード(Rel6 SGSN)、リリース8サービングGPRSサービスノード(Rel8 SGSN)およびEPC移動管理エンティティ(MME)である。それぞれRel8 SGSNおよびMMEは、変換されたキーを暗号として処理した後に、暗号としてその処理した変換されたキーをリクエストの送信元の認証ノードに転送する手段を含んでいる。
以下では、添付する図面を参照する好ましい実施形態の図示により、本発明の本質的特徴を詳細に説明することにする。
3GPPによって現在定義される進化型パケット・コア・ネットワーク(EPC)および進化型UTRAN(E−UTRAN)無線アクセスネットワークを備える進化型パケットシステム(EPS)アーキテクチャ用のシステムアーキテクチャに関する単純化ブロック図である。 例示的な実施形態における本発明の基本原理を示す単純化ブロック図である。 マスターキー(Mk)を変換コーダエンティティ(TCE)に記憶する方法およびキー分離を達成する方法を示す単純化ブロック図である。 xSIMを利用するRel8 UEの初期認証を示す単純化ブロック図である。 xSIMを利用するRel6 UEの初期認証を示す単純化ブロック図である。 USIMを利用するRel6 UEの初期認証を示す単純化ブロック図である。 USIMを利用するRel8 UEの初期認証を示す単純化ブロック図である。 様々なシステム間の認証ベクトル(AV)の転送を示す単純化ブロック図である。 コンテキストがソースからターゲットシステムに転送され、また、転送されたキーが明示的な再認証することなくターゲットシステムによる即時使用に供する場合のアクセス間コンテキスト転送処理を示す単純化ブロック図である。
本発明は、ユーザ端末、アクセスネットワークおよびコアネットワークの様々な組み合わせに渡って、暗号キーを管理するための、認証サーバ及びシステム、および方法に向けられたものである。本発明は、主として、アクセスネットワーク間のキー分離の提供によって、上述で挙げられている3GPP EPSの要件の全てを満足する。これは、まず、認証手順中にキーを導出するために使用されるマスターキー(Mk)の導入によって達成される。様々なアクセスタイプ間のハンドオーバ中に、UEがアクセスを変更すると、それぞれのアクセスネットワークにおいてキーを保持する2つのノード間で、Mkまたは変換されたMkが受け渡される。Mkの変換は、一方向性関数を介して実行され、また、Mkが何らかの形で暴露(漏洩)される(compromise)と、従前に使用されているマスターキーへのアクセスを自動的に取得することが可能でないという影響を有している。Mkは決して直接使用されるものでなく、アクセスリンクを保護するために直接使用されるキーを導出するためだけに使用される。
図2は、例示的実施形態における本発明の基本原理を示す単純化ブロック図である。この例で、UE21は、Rel8 UTRANネットワーク22およびE−UTRANネットワーク23にアクセスする。変換コーダエンティティ(TCE:Transformation Coder Entity)25と呼ばれるホーム加入者サブシステム(HSS)に近い機能からUTRANネットワークおよびE−UTRANネットワークにMk24が配信される。TCEは論理機能であり、一実施形態では、HSSと共存していても良い。Mkは、各アクセスタイプに対して異なっていても良い。Rel8 UTRANでは、Mkは関数f1で変換され、f1(Mk)26はUEと共有される。一方、E−UTRANに対しては、Mkは、関数f2で変換され、f2(Mk)27をUEと共有する。一実施形態では、f1はf2と等しいが、別の実施形態では、f1とf2は異なる関数である。TCE25は、認証およびキー合意(協定)(AKA:Authentication and Key Agreement)28を使用してUEの認証データを生成する。
キー分離に加えて、本システムは、また、アプリケーションサーバおよびアプリケーションがUEにおいて動作して、特定アプリケーションキーの取得および利用を可能にする。アプリケーションキーは、TCEまたはHSSによって導出/記憶することができる。
図3は、マスターキー(Mk)24をTCE25に記憶する方法およびキー分離を達成する方法を示す単純化ブロック図である。図におけるイベントフローは以下の通りである:
1.ネットワーク132のノードA131は、TCE25から認証ベクトル(AV:authentication vector)を要求する。
2.一方向性関数(UE21には既知)またはアイデンティティマッピングのいずれかを使用してS1=f(Mk)33を取得するために、TCEは、AVのMkを変換する。TCEは、UE用のアプリケーション・レイヤに対するキーをさらに導出するために使用することができるキーとして使用されるMkを記憶する。
3.TCEは、S1をノードA1に送信する。
4.ノードA1は、UEに対しAKAを実行し、UEは、局所的に、MkおよびS1の双方を導出する。ノードA1は、S1から必要なトラフィック保護キーを導出し、この保護キーを必要とするノードにこの保護キーを転送する。このことは、図3のf1関数によって示される。UEは、対応するキーを同様に導出する。
5.次に、UE21は、アクセスタイプ2(ネットワーク2)34へのハンドオーバを実行する。次いで、ノードA1は、一方向性関数GをキーS1に適用し、その結果であるS1*=G(S1)35をノードA236に送信する。UEは、同様にG関数を使用してS1を変換する。
6.ノードA2およびUEは、新規アクセスネットワークにおけるトラフィックを保護するために要求される必要なキーを導出する。ネットワーク2がネットワーク1と比較して異なるタイプのアクセスネットワークである場合、ノードA2およびUEは、ノードA1によって実行されるものとは異なるキーの導出を実行することができる。このことは、図における関数f2によって示される。2つのネットワークが同一のタイプである場合、f1はf2に等しく、Gは異なるネットワークにおいて使用されるキーが異なることを保証することになる。2つのネットワークが異なる場合、f1およびf2は、現在とは分離するキーを暗号として導出することができ、Gは、アイデンティティマッピングによって実現することができる。しかしながら、S1が暴露される場合、Gは過去の暗号化トラフィックを回復することが可能でないという特徴を追加することに注意されたい。将来のトラフィックのみが、暴露される。
UE21が、さらに別のネットワークにハンドオーバする場合、ステップ5およびステップ6が繰り返される。
以下で後述するように、キーの導出および変換は大いなる注意を持って設計し、かつレガシーシステムとの後方互換性を許容しなければならない。本発明は、本明細書では、UTRAN Rel6、UTRAN Rel8およびE−UTRANのコンテキストで説明することにするが、この説明は、本発明の単なる例示であることが理解されるべきである。
考慮すべき「セキュリティデータ」の2つのセットがある。認証ベクトル(AV)は、セキュリティデータおよびまだ使用されていないキーを含んでいる。AVは、初期認証時にHSSからSGSNまたはMME(SGSNまたはMMEは、訪問先ネットワークに存在していないことに注意されたい)へ送信され、1つのAVは、後続の各認証において「消費」される。認証においては、UEを最後に認証したSGSNまたはMMEに記憶される未使用AVが、認証エンティティによって要求されることがありえ、その場合、未使用AVが送信される。本発明のAVは、UMTSのフォーマットに類似のフォーマット:(RAND、XRES、AUTN、「キー」)を有する。UMTSでは、「キー」は単にCk、Ikであるが、以下では、このキー要素を「S」と呼ぶことにする。
本発明の目的のために、セキュリティコンテキストは、現在「アクティブ」キーを含んでいる。セキュリティコンテキストは、また、本発明には本質的ではない、他のデータも含む場合もある。明示的な(再)認証なしにハンドオーバを可能にするために、セキュリティコンテキストは、ソースからターゲットシステムに送信される。
様々なアクセスに介するキーの使用に伴う問題を把握するために、以下の定義を利用する:
・セキュリティコンテキスト/AVのキーを生成するための要素(S)が[Ck,Ik](UTRAN)またはKc(GERAN)として使用している、または後に直接(さらなる暗号保護なしに)使用することができる場合、セキュリティコンテキスト/AVは「ダーティ(Dirty)」と呼ばれる。E−UTRANにおいて、ダーティコンテキストを使用することが可能である(但し、推奨しない)ことに注意されたい。
・[Ck、Ik]若しくはKcまたはE−UTRANにおける対応するキー群が、そのキーを生成するための要素(S)から、セキュアな暗号「トゥイーキング(tweaking)」機能のアプリケーションによって導出されている、または導出されるることになる場合、セキュリティコンテキスト/AVは「クリーン(Clean)」と呼ばれる。
完全な解決策を説明するために、3つの問題に取り組まなければならない:
1.AVが、どのようにして初期認証において生成され、HSSからSGSN/MMEに転送されるか(図4−図7および表1)。
2.(未使用)AVが、ハンドオーバにおいて、どのように送信され、変換されるか(図8および表2)。
3.現在使用されるセキュリティコンテキストが、ハンドオーバにおいて、どのように送信され、変換されるか(図9)。
認証およびキー合意(AKA)手順に関して、以下の仮定を設ける:
・Rel8 UEは、Rel6 SGSN、Rel8 SGSNまたはMMEに対してAKAを実行するかを知ることになるであろう。AKAがRel6 SGSNに対して実行される場合、セキュリティコンテキストは、ダーティとなる:その他の場合、セキュリティコンテキストは、クリーンとなる。UEがUMTS AKA(Rel99+SGSN)またはGSM AKA(Rel98−SGSN)を実行すべきかを知らなければならない場合、この処理は、現行GSM/UMTS相互動作に類似する。
・Rel6 UEは、Rel8 SGSNをRel6 SGSNと区別することができないであろう。
・HSSは、SIM(xSIMまたはUSIM)のバージョンを知ることになろう。この知識は、HSS近傍のネットワークノードに送信することができる(例えば、IMSIからまたは明示的なシグナリングにより)と想定する。情報がRel8 SGSN/MMEに(およびその間で)渡されることもまた必要である。
・SGSN/MMEは、UEのAKA機能を知ることになるであろう。ネットワーク接続時にUEから送信されるクラスマーク情報からおよび/またはHSSからの情報から、この情報が取得されると(今日のように)想定する。Rel6 SGSNは、Rel8 UEが、Rel6 UMTS AKAが可能であることをただ認識するのみであろうことに注意されたい。
・xSIMは、xSIMが「実際の」Rel8 xSIMとして使用されるか、またはレガシーのRel6 UEにおいて使用されるかを、xSIMに告げることで、USIMをシミュレートすることを必要とする2つの論理I/Oインタフェースを有することになろう。逆に、Rel8 UEは、xSIMをUSIMと区別することができると想定することができる。
以上のクリーン/ダーティの定義により、本発明は以下の点を満足する:
・AKAが(EPS)MMEに対して実行される場合、Rel8 UEは使用中でなければならず、クリーンコンテキストは、xSIMおよびUSIM双方に対して確立することができる。
・AKAがRel8 SGSNに対して実行される場合、コンテキストは、UEの能力(Rel8またはRel6)に依存してクリーンまたはダーティとなる。
・AKAがRel6 SGSNに対して実行される場合、コンテキストは、常にダーティとなる。xSIMの場合、xSIMは、このことが生じるかを知っているであろうし、以下に説明するように対処することができる。
以下では、ソース/ターゲットアクセスシステム間のコンテキスト送信に対する仮定(または以上の結果)である。
・Rel6 SGSNにおいて取り扱われるセキュリティコンテキストは、(定義により)「ダーティ」である。
・ハンドオーバでは、ソースMMEまたはRel8 SGSNは、(新規機能を含むと想定することができるので)セキュリティコンテキストが、Rel6 SGSN、Rel8 SGSNまたはターゲットMMEに送信されるかを知ることになる。ソースシステムによるコンテキスト変換は、状況に依存することになる。
・ハンドオーバでは、ターゲットMMEまたはRel8 SGSNは、セキュリティコンテキストがRel6 SGSN、Rel8 SGSNまたはソースMMEから到来するかを同様に知ることになるであろう。
・Rel8 SGSNのみがターゲットE−UTRANシステムへのハンドオーバを実行することができ、セキュリティコンテキストをMMEに送信することができる、これは、新規のシグナリング信号(Rel6 SGSNでは存在しない)が必要されるからである。
・MMEおよびRel8 SGSNは、相互間で(明示的なシグナリングによって)送信される場合、セキュリティコンテキストが「クリーン」または「ダーティ」であるかを指示することができる。このことは「最適」な場合である、それは、ソースおよびターゲットシステム双方が新規の機能をサポートすることができるからである。
・Rel8 UEは、ハンドオーバがRel8 SGSNとMMEとの間であると判定することができる。これは、UEが無線技術の変更に気付くからである。おそらく必要ではないが、明示的な追加のシグナリングも存在しうる。同じことは、Rel6 SGSNとRel8 SGSNとの間のハンドウオーバに対しては想定できない。これは、UEが依然としてUTRANに存在するからである。一実施形態では、本発明は、UEに、ハンドオーバがRel6 SGSNとRel8 SGSNとの間であることを判定することを可能にする新規のシグナリングによって、更に、改善される。
以下の説明では、名称F1、F2およびGは、256ビットを256ビットにマッピングする、適切な暗号化関数を示している。ビット長は、256ビットとは異なる長さ(より長いまたはより短い)であってもよいが、256ビットは、3GPP SA3における現行の作業仮定であることに注意すべきである。これらのキービットから、追加キーを導出することができる。F3は、256ビットを6つ(迄)の256ビット・ストリング・セットにマッピングする関数である。(6番目のストリングの存在は、アクセス技術がユーザプレーン統合を実装するかに依存し、この統合は、E−UTRANに対する事例ではない)。(選択的には、F3は、6つの異なる関数のセットを使用して実現することができる)。F−関数は、(未使用)AVに適用される。一方、G−関数は、アクティブなセキュリティコンテキストに適用される。F2およびF3は、以下で説明されるように、セキュリティコンテキストにおいても使用される。
図4−図7では、セキュリティコンテキストおよびAVは、キーS1、S2およびSによって示される。これは、これらは、キー導出によって影響を受ける唯一のパラメータ群であるからである。(少なくとも)4レベルのキー階層が導入される。ここで、「下位」キーは、「上位」キーから導出される。xSIMが使用される場合、以下の全ての事項を適用する:
・Kは、内部のxSIM/HSSキーである。
・Sは、AKAにおいてKから導出され、HPLMNまたはxSIMの外部に決して晒されない「スーパキー」と見なすことができる。Sは、初期の3GPP汎用ブートストラップアーキテクチャ(GBA:Generic Bootstrapping Architecture)手順によって生成されるキーに対する関数に類似している。
・S1は、F1を使用してSから導出される「マスター・セッション・キー」であり、また、セッションキーを導出するために、Rel8 SGSNおよびEPS MMEによって使用される。
・S2は、F2を使用してS1から導出されるセッションキーである。
− E−UTRANに対しては、6つまでのトラフィックキーが必要とされる(UP、NASおよびRRCに対する完全性/秘匿キー群)。これらのさらなるキー群は、関数F3によってS2から導出される。
− Rel6/Rel8 UMTSに対しては、S2は、Rel8またはRel6で使用される2つのトラフィックキー(Ck,Ik)に対応する。
端末側では、Rel8 UEにおけるxSIMではなくUSIMが使用される場合、UEは、依然として、下位のキーを「エミュレートする」(UMTS UEが、SIMに対するUSIM機能をエミュレートする方法と同様)ことができる。しかしながら、UEが、Rel6 UEである場合、それはできない。この場合、Sは、単に以下に説明するように、USIMによって直接出力されるCk‖Ikとなるであろう。
同様に、ネットワーク側では、いくつかの場合、関数F1、F2およびF3をサポートしない、あるレガシーシステムにより、上述のキー階層は「崩壊する」であろう。より詳細には、このことは、F1、F2およびF3がRel6システムにおける「平凡な」機能と考えることができることによるものである(例えば、F2(x)=x、アイデンティティ)。Rel8 UE/xSIMは、この状況に適合しなければならない。
従って、考慮しなければならない互換性についての多くの事例が存在する。以下の図は、ネットワーク側の3つの場合(Rel6、Rel8またはMME)のSIM/UEの組み合わせに関する、4つの取り得る変形に対する(初期)認証時のキー/AV処理の場合に応じた説明を示している。まず、いくつかのさらなる記法を説明することにする。
TCE25は、GBAブートストラップ手順におけるKに類似する、アプリケーションキー(またはマスターキー)Sを保持する小さな楔(shim)レイヤであっても良い。TCEは、また、UEにおけるSIMのタイプに依存して、必要なキーの導出も実行する。TCEは、HSS18において、または別のエンティティとして実現されても良い。TCEは、UE21のリリースバージョンを知らないので、TCEは、純粋にxSIM/USIMバージョンに基づき、そのデータを送信しなければならない。
上述の議論では、Rel6ネットワークとRel8ネットワークとの間を区別している。EPSと相互動作する必要があるRel7ネットワークも存在している。この時、セキュリティの観点からは、Rel6からRel7への大きな変更はないが、Rel7を未だ完全に定義されていない。従って、3GPP Rel7が、上述で議論されるような新規のキー管理機能を導入していない場合、上述の議論において、Rel6ネットワークが行うように、Rel7 3GPPネットワークは、EPSと正確に相互動作するであろう。一方、Rel7が、Rel8に対して想定する新規のキー管理機能を導入する場合、上述のRel8が行うように、Rel7ネットワークはEPSと正確に相互動作するであろう。要するに、導入する新規のキー管理機能が何であるかに依存して、EPSと相互動作するRel7ネットワークは、Rel6ネットワークまたはRel8ネットワークとして扱うことになろう。同じことが、後続の議論に対しても当てはまる。用語「プレRel8(Pre-Rel8)」は、Rel8ノードに対して想定される新規のキー管理機能を導入しないRel6ノードまたはRel7ノードを参照するために、本明細書で利用される。
図において、「ダーティ」および「クリーン」とマークされているボックスは、コンテキスト/AVが、上述で定義されるクリーンまたはダーティであるかを示している。Rel6 SGSNの場合、コンテキスト/AVがクリーンであるかか否かを告げる明示的な「フラグ」は存在しない(常にダーティであるので)。但し、この情報は、非明示的にRel8 SGSNによって推論することができる。これは、Rel8 SGSNが、コンテキスト/AVをRel6 SGSNから受信しているからである。
簡単のため、図では、キーS2は、RNC/eノードBから送信されることだけを示している。F−関数を使用して、S2は、さらにトラフィックキー(GERANに対するKc、UTRANに対するCK/IK、およびE−UTRANに対するUP/NAS/RRCキー)に処理されることを注意されたい。保護用のエンドポイントは、EPSでは、様々なトラフィックのタイプに対して異なるので、この処理は、好ましくは、MMEにおいて実行され、処理結果が、保護エンドポイント(eノードB)に送信されても良いし、またはS2が与えられている場合には、eノードB自身によってUP/RRCキー群を導出することができる。UMTSに大使邸は、CKおよびIKは、それぞれS2の第1のおよび第2の半分とすることができる。
処理は、まず、HSS/SGSN/MMEのAVの部分であるキー、および(初期)認証時のキーSIM/UEに対して説明する。図4−図7は、明示的な認証を示すことに注意すべきである。コンテキスト送信によって達成される非明示的な認証は、後述する。
図4は、xSIMを利用するRel8 UE41の初期認証を示す単純化ブロック図である。UEは、Rel6 SGSN42、Rel8 SGSN43およびMME44間を区別することができるので、UEは、セキュリティコンテキストがダーティであるかクリーンであるか(即ち、ネットワークが、SGSN/MMEに記憶されるS1−キーを有するか)を保持する。UEが、Rel6 SGSN42と通信する場合、UEは、コンテキストをダーティとしてマークする。UEがRel8 SGSN43またはMME44と通話する場合、UEは、コンテキストをクリーンとマークする。UEは、トラフィックを保護するために、常に、S2(または下位の、F3により導出されるキー)を使用することに注意されたい。これは、SGSN/MME間のAVの送信を可能にする。
図5は、xSIMを利用するRel6 UE51の初期認証を示す単純化ブロック図である。UEは、Rel6であるので、UEは、E−UTRANネットワークへハンドオーバすることができない。それゆえ、Rel8 SGSN43にクリーンコンテキストを保持する利得はなく(これが原理的において可能であっても)、また、MME44を考慮する必要はない。F2関数が適用されるべきか(この場合に行うように)否かを判定することができるxSIMまたはUSIMをUEが有するかを、Rel8 SGSNは区別することができなければならない(図6参照)。この情報は、AVと共にTCE25から渡されることができる。従って、拡張xSIMに対するプロビジョンがなされる場合における、SGSN間で受け渡しされる場合には、各AVはこの情報を搬送しなければならない。もちろん、USIMのみが使用される限り、この情報は必要とされない。
図6は、USIMを利用するRel6 UE52の初期認証を示す単純化ブロック図である。TCE25は、透過的に動作する(即ち、機能は、通常のRel6ネットワークにおける機能と同一である)。再度、Rel8 SGSN43は、クリーンコンテキストを維持する必要はなく、また、MME44を考慮する必要がない。これは、UEは、E−UTRANネットワークへハンドオーバすることができないからである。
図7は、USIMを利用するRel8 UE53の初期認証を示す単純化ブロック図である。この場合、UEは、SGSNおよびMMEの両方に接続することができることに注意することが重要である。Rel8 UEが、必要なキー導出を実行するラッパ(wrapper)機能を周りに実装している場合、これはUSIMで達成することが可能である。
UE53のラッパ機能は、以下の動作を実行する:
・Rel6 SGSN42と通信する場合、ラッパ機能は、特別な機能を実行しないが、コンテキストをダーティとマークする。
・Rel8 SGSN43またはMME44と通信する場合、ラッパ機能は、S1=F1(S)およびS2=F2(S1)を計算し、S1を記憶し、コンテキストをクリーンとマークする。S2が、F3の使用によりトラフィック保護キーを導出するために使用される。
図4−図7は、本発明の教示に従う(初期)認証の取扱いを示している。以下では、ハンドオーバの場合、および様々なシステム間のコンテキスト/AVフェッチ/転送を説明する。
まず、AVのフェッチを見ると、SGSNおよびMMEの様々なリリース間でAVが転送されても良い。この転送は、SIMのバージョンおよびターゲット/ソースシステムのリリースに依存する。特に、Rel8 SGSN及びMMEに、TCEから転送する場合には、AVを、USIMまたはxSIMAVとマークしなければならない。以下の表1は、AVで、TCEからSGSN/MMEに提供されるキーを示している。
Figure 0005216014
SGSN/MMEにおけるAVに記憶されるAVキー(TCEから受信する場合)
次にAVの転送を見ると、以下の表2は、AVを転送する場合のソースおよびターゲットSGSN/MMEによって実行される動作を示している。
表2の記法の説明:
・AVkは、AVで搬送されるキーである(AVkは、S、S1またはS2に等しい場合がある)。
・S−ビットは、AVが原則として生成される、SIMのタイプを示すビット(即ち、値)である。Rel6 SGSNから転送される場合、この情報は利用できず、従って、S−ビットは、次いで、Rel8 SGSNによって「未知」に設定される。S−ビットは、拡張xSIMをサポートしている場合にのみ必要となる。
・D−ビットは、ダーティビットである。D−ビットが設定される場合、それは、AVkは、再度決して変換されてはならないことを意味する。
・Txは、転送を意味する。
Figure 0005216014
図8は、様々なシステム間の認証ベクトル(AV)の転送を示す単純化ブロック図である。Rel8 SGSN43にクリーンAVがある場合、クリーンAVは、ダーティAVに変換して(上記の表2参照)、Rel6 SGSN42に送信することができる。Rel6 SGSNにMME44からAVをフェッチすることを許容することは可能であろうが、そうするためには、MMEは、キーSに関する知識を持たなければならない(UEがUSIMを有する場合)ことに注意されたい。別の実施形態では、Rel6 SGSNは、Rel8エンティティからAVをフェッチすることは許容されない。この場合、UEは、USIMを有する場合、Rel8 SGSNは、S1を受信することができる(正にMMEのように)。
キー確立の失敗が発生しうる仮定例は、ユーザが次のことを行う場合である:
1.Rel8 UEおよびUSIMを使用してMMEで認証する。MMEは、S1を含むAVのバッチをTCEからダウンロードする。
2.次に、ユーザは、Rel8 UEをオフにし、USIMをRel6 UEに移し、REl6 SGSNに対する認証を試行する。
3.REl6 SGSNまたはRel8 SGSNは、TCEからAVをフェッチする代わりにMMEからAVをフェッチし、次いでUEを調べることができる。
4.認証は成功するであろうが、SGSNおよびUEは、異なるセキュリティコンテキストを保持するであろう(リンク保護キー)。SGSNは、S2を保持するであろうし、UEはSを保持するであろう。ここで、キーの相違の検出には困難がありうることに注意されたい。
この状況が発生するのを防ぐために、MMEからSGSNにAVを転送する機能を取り除くことができる。これは妥当な解決策であることは、アクティブな「セキュリティコンテキスト」(キー群)を転送し、必要である場合には、HSS/TCEからSGSNに後で新規のAVをダウンロードすることによって、シームレスなハンドオーバを依然としてサポートしうるからである。MMEにおける未使用AVは、この場合、単に排除(フラッシュ:flush)されるであろう。
上述の問題は、「レガシー」リリースを更新することを可能とすることなく、SIM、UEリリースおよびネットワークリリースの全ての取り得る組み合わせを可能とすることの要望による副次的な影響である。Rel8 SGSNに対する状況を解消する別の取り得る方法は、例えば、UEで使用されるSIM(USIM/xSIM)のタイプを告げるSGSNへ、Rel8 UEからの新規のシグナリングを導入することである。これは、クラスマーク(階級値:classmark)情報またはその他のシグナリングで行うことができる。Rel8 SGSNが、このシグナリングを受信しない場合、SGSNは、UEがRel6 UEであり、失敗が生じるであろうと結論付けることができる。
図9は、コンテキストがソースからターゲットシステムに転送され、転送されたキーが明示的な再認証することなく、ターゲットシステムによる即時使用に供する場合の、アクセス間コンテキスト転送処理を示す単純化ブロック図である。関数「G」は、このために利用される。尚、依然としてクリーンであるコンテキスト(即ち、Rel8 SGSN内およびRel8 SGSNとMME間の転送)の場合、Gは、常にS1キーに適用されて、「クリーン性」を維持する。既にダーティであるコンテキストは処理されない。換言すれば、ダーティコンテキストに対しては、S2キーはそのまま手渡される。いくつかの場合、ダーティコンテキストを処理することは可能でありうるが、そうすることは何ら有意な特別の保護をもたらさないことに注意されたい。Rel6 SGSNへの転送をGにより決して処理されないが、原理的には、新規のシグナリングの導入によってそのようにすることは可能であろう。UEに類似の処理を実行することを告げるために、このシグナリングは、Rel8/Rel6のハンドオーバにおいて必要とされるであろう。そうでなければ、UEは転送に気付かず(アウェアでなく)、間違っているキーを使用することになるであろう。
F1、F2、F3およびGは、暗号化関数(機能)である。これらはすべて、例えば、高度暗号化標準(AES:Advanced Encryption Standard)、SHA256アルゴリズムおよびその類のような、標準のブロックを構築することによって実現することができる。F1、F2、F3およびGは、少なくとも(強力な)一方向性関数であるべきであり、好ましくは、擬似ランダム関数であるべきである。F3は、その上、EPSネットワークに対して、6つまでのキーを生成することを必要とする。これは、キー=F3(S1,<label>)等の「label(ラベル)」を使用して行うことができ、ここで、label(ラベル)は、個別キーに対し個別の値を取る。この場合、F3は、擬似ランダム関数であるべきである。関数F3は、好ましくは、また、使用対象のキーで用いられるアルゴリズムの「ID」に依存するようにする。
UEがRel8 SGSNとMMEとの間を「往来(ping−pong)」する場合、Gが、数回適用されても良いことに注意されたい。Gは、その場合、好ましくは、反復しても劣化しない特性を持つべきである。これを達成する1つの方法は、Gが擬似ランダム順列であるとさらに想定することである。その場合、例えば、次のことがありえよう:
target_system_S1=G(source_system_S1, c,...)
ここで、cは、各「往」または「来」において増加するカウンタである。システムID等のその他の入力もまた含みうる。
いくつかの拡張を、また、Rel6/Rel8ハンドオーバに対して行うことができる。まず、新規のシグナリングを、Rel8 SGSNからRel8 UEに導入し、UEに、UEがRel6 SGSNへ/からハンドオーバされることを告げる。そして、上述のように、Rel6/Rel8 SGSNのハンドオーバ時にGをまた適用することによって、この解決策がさらに改善することができる。UEは、次に、明示的なシグナリングによって、この状況に気付く(アウェアである)ので、UEおよびRel8 SGSNは、完全同期して、要求される関数Gを適用することができる。
本発明の好ましい実施形態は、添付図面において示され、上述の発明を実施するための形態において説明されているが、本発明は、開示されている実施形態に制限されず、本発明の範囲を逸脱することなく数多くの再構成、変形および置換が可能であることが理解される。また、この説明は、E−UTRANとUTRANネットワークとの間の相互動作に焦点を当てているが、キー分離の原理は、E−UTRANと非3GPPアクセス技術(例えば、CDMA2000、IEEE802.11、IEEE802.16等)との間、または、任意の2つの非3GPPネットワーク間の相互動作に等しく適用可能(および有用)であろう。明細書では、特許請求の範囲によって定義される本発明の範囲内に入るあらゆる変形を意図するものである。

Claims (22)

  1. 認証ノード(42、43、44)に認証データを配信するための認証サーバ(25)における方法であって、
    前記認証ノードは、異なるタイプの複数の認証ノードの1つであり、
    前記認証ノードは、複数の異なるバージョンの移動端末(41、51、52、53)において利用される、異なるバージョンのアイデンティティモジュールを認証するものであり、
    当該方法は、
    前記認証サーバ(25)において、マスターキー(S)を生成する工程と、
    前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対して、異なる変換されたキー(S1、S2)が導出されるキー分離プロセスを利用して、異なる認証データを、前記マスターキーから暗号として導出する工程と、
    前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される認証データを、前記認証ノードに選択的に提供する工程と
    を備えることを特徴とする方法。
  2. 前記複数の認証ノードは、リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)を含む
    ことを特徴とする請求項1に記載の方法。
  3. 前記移動端末のバージョンは、3GPPリリース8ユーザ機器(Rel8 UE)とPre−Rel8 UEとを含む
    ことを特徴とする請求項2に記載の方法。
  4. 前記アイデンティティモジュールは、UMTS加入者アイデンティティモジュール(USIM)と拡張SIM/USIM(xSIM)を有する
    ことを特徴とする請求項3に記載の方法。
  5. 前記提供する工程は、認証される各移動端末で利用される前記アイデンティティモジュールのバージョンを示す情報を、前記認証ノードへ送信することを含む
    ことを特徴とする請求項4に記載の方法。
  6. 認証ノード(42、43、44)に認証データを配信するための認証サーバ(25)であって、
    前記認証ノードは、異なるタイプの複数の認証ノードの1つであり、
    前記認証ノードは、複数の異なるバージョンの移動端末(41、51、52、53)において利用される、異なるバージョンのアイデンティティモジュールを認証するものであり、
    当該認証サーバは、
    マスターキー(S)を生成する手段と、
    前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対する、異なる認証データ(S1、S2)を、前記マスターキーから暗号として導出するキー分離手段と、
    前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される認証データを、前記認証ノードに提供する手段と
    を備えることを特徴とする認証サーバ。
  7. 前記キー分離手段は、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対して、異なる変換されたキーを、前記マスターキーから暗号として導出する手段を含む
    ことを特徴とする請求項6に記載の認証サーバ。
  8. 前記複数の認証ノードは、リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)を含む
    ことを特徴とする請求項7に記載の認証サーバ。
  9. 前記アイデンティティモジュールは、UMTS加入者アイデンティティモジュール(USIM)と拡張SIM/USIM(xSIM)を有する
    ことを特徴とする請求項8に記載の認証サーバ。
  10. 認証サーバ(25)から認証データを受信し、移動端末(53)を認証するための認証ノード(43、44)であって、
    前記認証データを受信し、該認証データの一部である第1キー(S,S1)を記憶する手段と、
    前記第1キー(S,S1)から、第2キー(S2)を暗号として導出する第1キー分離手段と、
    前記移動端末(53)を認証する認証手段(44)と、
    異なるタイプの複数の他の認証ノードに前記第2キー(S2)を通信する手段と、
    前記第1キーから第3キーを暗号として導出する第2キー分離手段(G)と、
    前記第3キーを利用して前記移動端末と通信するセキュリティ処理ノードへ、該第3キーを通信する手段と
    を備えることを特徴とする認証ノード。
  11. 前記第1キー分離手段は、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)用に、異なる第2キーを暗号として導出するように構成されている
    ことを特徴とする請求項10に記載の認証ノード。
  12. 前記複数の他の認証ノードに前記第2キー(S2)を通信する手段は、更に、前記他の認証ノードがRel8 SGSNあるいはMMEである場合は、前記第2キーが再度変換されるか否かを示す情報を送信する
    ことを特徴とする請求項11に記載の認証ノード。
  13. 前記複数の他の認証ノードに前記第2キー(S2)を通信する手段は、更に、前記移動端末で利用されるアイデンティティモジュールのバージョンを示す情報を送信し、それによって、前記他の認証ノードと前記移動端末間のキー分離機能の同期を可能にする
    ことを特徴とする請求項10に記載の認証ノード。
  14. 認証サーバ(25)と、異なるアクセスネットワーク(22、23)にある第1、第2及び第3のタイプ(42、43、44)の複数の認証ノード間で認証データを共有するシステムであって、
    前記認証ノードは、異なるバージョンの複数の移動端末(41、51、52、53)で利用される異なるバージョンのアイデンティティモジュールを認証し、
    前記システムは、
    前記認証サーバにおいて、
    マスターキー(S)を生成する手段と、
    前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの異なる組み合わせそれぞれに対する、異なる変換されたキー(S,S1、S2)を、前記マスターキーから暗号として導出する第1キー分離手段と、
    前記認証ノードによって認証される、前記認証ノードのタイプと前記アイデンティティモジュールのバージョンの組み合わせに対して導出される前記変換されたキー(S,S1、S2)を、前記タイプの前記認証ノードに提供する手段とを備え、
    前記複数の認証ノードそれぞれは、
    別の認証ノードから認証データ用のリクエストを受信する手段と、
    前記変換されたキーを、前記リクエストの送信元の認証ノードへ送信する手段と
    を備えることを特徴とするシステム。
  15. 前記第1、第2及び第3のタイプの認証ノードは、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)である
    ことを特徴とする請求項14に記載のシステム。
  16. Rel8 SGSNとMMEそれぞれは、前記変換されたキーを暗号として処理した後、その暗号として処理された変換されたキーを前記リクエストの送信元の認証ノードへ送信する第2キー分離手段を含む
    ことを特徴とする請求項15に記載のシステム。
  17. Rel8 SGSNとMMEそれぞれは、前記第1キーを処理した後、その処理された第1キーを、前記移動端末とセキュアな通信を行なうセキュリティ処理ノードへ送信する第3キー分離手段を含む
    ことを特徴とする請求項16に記載のシステム。
  18. Rel8 SGSNとMMEそれぞれは、受信する認証データに関連付けられているマーカを保持する手段を更に含み、
    前記マーカは、前記認証データのソースについての情報を含む
    ことを特徴とする請求項16に記載のシステム。
  19. 前記認証ノードは、3GPP リリース8サービングGPRSサービスノード(Rel8 SGSN)、プレリリース8SGSN(Pre−Rel8 SGSN)、及びEPS移動管理エンティティ(MME)用に、異なる変換されたキーを暗号として導出するように構成されている
    ことを特徴とする請求項18に記載のシステム。
  20. 前記認証ノードにおける前記送信する手段は、更に、前記リクエストの送信元の認証ノードがRel8 SGSNあるいはMMEである場合は、前記変換されたキーが再度変換されるか否かを示す情報を送信する
    ことを特徴とする請求項19に記載のシステム。
  21. 前記認証ノードにおける前記送信する手段は、更に、認証されている移動端末で利用される前記アイデンティティモジュールのバージョンを示す情報を送信する
    ことを特徴とする請求項14に記載のシステム。
  22. 前記認証サーバにおける前記提供する手段は、更に、前記変換されたキーが導出された前記アイデンティティモジュールのバージョンを示す情報を送信する
    ことを特徴とする請求項14に記載のシステム。
JP2009533280A 2006-10-18 2007-10-11 通信ネットワークにおける暗号キー管理 Expired - Fee Related JP5216014B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US82995406P 2006-10-18 2006-10-18
US60/829,954 2006-10-18
US11/857,621 US8094817B2 (en) 2006-10-18 2007-09-19 Cryptographic key management in communication networks
US11/857,621 2007-09-19
PCT/SE2007/050734 WO2008048179A2 (en) 2006-10-18 2007-10-11 Cryptographic key management in communication networks

Publications (2)

Publication Number Publication Date
JP2010507325A JP2010507325A (ja) 2010-03-04
JP5216014B2 true JP5216014B2 (ja) 2013-06-19

Family

ID=39314487

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009533280A Expired - Fee Related JP5216014B2 (ja) 2006-10-18 2007-10-11 通信ネットワークにおける暗号キー管理

Country Status (8)

Country Link
US (1) US8094817B2 (ja)
EP (1) EP2074739A4 (ja)
JP (1) JP5216014B2 (ja)
KR (1) KR20090067185A (ja)
CN (1) CN101523797B (ja)
AU (1) AU2007313523B2 (ja)
CA (1) CA2666384A1 (ja)
WO (1) WO2008048179A2 (ja)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
HUE048727T2 (hu) * 2006-12-28 2020-08-28 Nokia Technologies Oy Vonalkapcsolt hívás átadása csomagkapcsolt híváshoz, és fordítva
CN101400059B (zh) 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
CN101399767B (zh) * 2007-09-29 2011-04-20 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
US8819765B2 (en) 2008-01-22 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) Security policy distribution to communication terminals
EP2248356B1 (en) * 2008-02-21 2015-05-27 Alcatel Lucent Inter-rat handover in 3g lte
US8621570B2 (en) 2008-04-11 2013-12-31 Telefonaktiebolaget L M Ericsson (Publ) Access through non-3GPP access networks
CN101267668B (zh) * 2008-04-16 2015-11-25 中兴通讯股份有限公司 密钥生成方法、装置及系统
CN102572833B (zh) 2008-04-28 2016-08-10 华为技术有限公司 一种保持用户业务连续性的方法、系统及装置
US9706395B2 (en) * 2008-04-28 2017-07-11 Nokia Technologies Oy Intersystem mobility security context handling between different radio access networks
US9928379B1 (en) 2008-09-08 2018-03-27 Steven Miles Hoffer Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor
JP4435254B1 (ja) * 2008-10-22 2010-03-17 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法及び交換局
JP5113717B2 (ja) * 2008-10-27 2013-01-09 Kddi株式会社 移動通信ネットワークシステム
US8352741B2 (en) 2009-06-11 2013-01-08 Microsoft Corporation Discovery of secure network enclaves
US9742560B2 (en) 2009-06-11 2017-08-22 Microsoft Technology Licensing, Llc Key management in secure network enclaves
CN101945384B (zh) * 2009-07-09 2013-06-12 中兴通讯股份有限公司 Rrc连接重建立时的安全密钥处理方法、装置及系统
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
CN102055747B (zh) * 2009-11-06 2014-09-10 中兴通讯股份有限公司 获取密钥管理服务器信息的方法、监听方法及系统、设备
US8307097B2 (en) * 2009-12-18 2012-11-06 Tektronix, Inc. System and method for automatic discovery of topology in an LTE/SAE network
US8848916B2 (en) 2010-04-15 2014-09-30 Qualcomm Incorporated Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node
MX2012011985A (es) * 2010-04-15 2012-12-17 Qualcomm Inc Aparato y metodo para señalizar contexto de seguridad mejorada para cifrado de sesion y claves de integridad.
US9084110B2 (en) 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
JP5649248B2 (ja) 2010-04-16 2015-01-07 クアルコム,インコーポレイテッド 改善されたセキュリティコンテキストをサポートするサービングネットワークノードから従来のサービングネットワークノードに移行するための装置および方法
CN101835154B (zh) * 2010-04-20 2016-03-30 中兴通讯股份有限公司 一种建立增强的空口密钥的方法及系统
CN102378167B (zh) * 2010-08-17 2015-11-25 中兴通讯股份有限公司 安全信息获取方法及多系统网络
CN102378168B (zh) * 2010-08-17 2016-02-10 中兴通讯股份有限公司 多系统核心网通知密钥的方法和多系统网络
WO2012149982A1 (en) * 2011-05-05 2012-11-08 Telefonaktiebolaget L M Ericsson (Publ) Security mechanism for mobile users
US10433161B2 (en) * 2012-01-30 2019-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Call handover between cellular communication system nodes that support different security contexts
DE102012020987A1 (de) * 2012-10-25 2014-04-30 Giesecke & Devrient Gmbh Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten
KR101672663B1 (ko) * 2013-01-11 2016-11-03 엘지전자 주식회사 무선 통신 시스템에서 보안 정보를 적용하기 위한 방법 및 장치
CN104937965B (zh) * 2013-01-22 2019-09-03 华为技术有限公司 移动通信系统的安全认证的方法和网络设备
WO2014113921A1 (zh) * 2013-01-22 2014-07-31 华为技术有限公司 移动通信系统的安全认证的方法和网络设备
CN103973651B (zh) * 2013-02-01 2018-02-27 腾讯科技(深圳)有限公司 基于加盐密码库的账户密码标识设置、查询方法及装置
CN105850167B (zh) * 2013-12-24 2019-07-23 日本电气株式会社 Sce所用的设备、系统和方法
US9992670B2 (en) 2014-08-12 2018-06-05 Vodafone Ip Licensing Limited Machine-to-machine cellular communication security
GB2529391A (en) * 2014-08-12 2016-02-24 Vodafone Ip Licensing Ltd Machine-to-machine cellular communication security
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
US20170118635A1 (en) * 2015-10-26 2017-04-27 Nokia Solutions And Networks Oy Key separation for local evolved packet core
US10887295B2 (en) * 2016-10-26 2021-01-05 Futurewei Technologies, Inc. System and method for massive IoT group authentication
WO2018125020A1 (en) * 2016-12-29 2018-07-05 Limited Liability Company "Innovation Development Hub" Cryptographic transformation device
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
CN108966217B (zh) * 2018-08-29 2022-05-17 焦作市数据安全工程研究中心 一种保密通信方法、移动终端及保密网关
US11562056B2 (en) 2020-02-05 2023-01-24 Quantum Digital Solutions Corporation Systems for establishing a digital ecosystem using digital genomic data sets
EP4101120A4 (en) * 2020-02-05 2024-02-28 Quantum Digital Solutions Corporation GENOMICS-ENABLED HYPERSCALABILITY OF INFORMATION THEORIES
AU2022216269A1 (en) 2021-02-04 2023-08-10 Quantum Digital Solutions Corporation Cyphergenics-based ecosystem security platforms

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU4398400A (en) * 2000-04-06 2001-10-23 Nokia Corporation Method and system for generating a sequence number to be used for authentication
US7607015B2 (en) * 2002-10-08 2009-10-20 Koolspan, Inc. Shared network access using different access keys
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
JP3968329B2 (ja) * 2003-07-25 2007-08-29 ソフトバンクモバイル株式会社 情報通信端末の世代情報通知方法、世代情報管理サーバ及び情報通信端末
JP2005341290A (ja) * 2004-05-27 2005-12-08 Keio Gijuku 通信システムおよび無線通信装置
US7908484B2 (en) * 2003-08-22 2011-03-15 Nokia Corporation Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack
ATE552709T1 (de) * 2003-09-26 2012-04-15 Ericsson Telefon Ab L M Verbesserter sicherheitsentwurf für die kryptographie in mobilkommunikationssystemen
EP1531645A1 (en) * 2003-11-12 2005-05-18 Matsushita Electric Industrial Co., Ltd. Context transfer in a communication network comprising plural heterogeneous access networks
US7773554B2 (en) * 2003-12-03 2010-08-10 John Wallace Nasielski Methods and apparatus for CDMA2000/GPRS roaming
US7675885B2 (en) * 2003-12-03 2010-03-09 Qualcomm Incorporated Methods and apparatus for CDMA2000/GPRS roaming
US7546459B2 (en) * 2004-03-10 2009-06-09 Telefonaktiebolaget L M Ericsson (Publ) GSM-like and UMTS-like authentication in a CDMA2000 network environment
US20050254653A1 (en) 2004-05-14 2005-11-17 Proxim Corporation Pre-authentication of mobile clients by sharing a master key among secured authenticators
GB0423301D0 (en) * 2004-10-20 2004-11-24 Fujitsu Ltd User authorization for services in a wireless communications network
MX2007005292A (es) * 2004-11-02 2007-07-20 Research In Motion Ltd Seleccion de red en un ambiente de red de acceso generico (gan).
JP4703238B2 (ja) * 2004-12-15 2011-06-15 パナソニック株式会社 無線網制御装置、無線lan中継装置、無線通信システム及び無線通信システムの通信方法
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
CN100550725C (zh) * 2005-06-17 2009-10-14 中兴通讯股份有限公司 一种用户与应用服务器协商共享密钥的方法
JP4984020B2 (ja) * 2005-08-19 2012-07-25 日本電気株式会社 通信システム、ノード、認証サーバ、通信方法及びそのプログラム
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network

Also Published As

Publication number Publication date
US8094817B2 (en) 2012-01-10
EP2074739A4 (en) 2014-08-06
WO2008048179A2 (en) 2008-04-24
CN101523797B (zh) 2012-02-15
WO2008048179A3 (en) 2008-06-19
AU2007313523B2 (en) 2011-04-07
AU2007313523A1 (en) 2008-04-24
EP2074739A2 (en) 2009-07-01
CN101523797A (zh) 2009-09-02
JP2010507325A (ja) 2010-03-04
KR20090067185A (ko) 2009-06-24
US20080095362A1 (en) 2008-04-24
CA2666384A1 (en) 2008-04-24

Similar Documents

Publication Publication Date Title
JP5216014B2 (ja) 通信ネットワークにおける暗号キー管理
JP5607655B2 (ja) 非暗号化ネットワーク動作解決策
JP6882255B2 (ja) ネットワークセキュリティアーキテクチャ
JP6903006B2 (ja) 次世代セルラーネットワークのためのユーザプレーンセキュリティ
JP5496907B2 (ja) セキュアな通信のための鍵管理
JP5209703B2 (ja) ワイヤレスネットワークにおけるハンドオフ時の新しいキーの導出のための方法および装置
JP4688808B2 (ja) 移動体通信システムにおける暗号化の強化セキュリティ構成
JP5597676B2 (ja) 鍵マテリアルの交換
JP6936393B2 (ja) パラメータ保護方法及びデバイス、並びに、システム
WO2017114123A1 (zh) 一种密钥配置方法及密钥管理中心、网元
JP2018526869A (ja) 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
JP5468623B2 (ja) ネットワークにおけるブートストラップ・メッセージを保護するための装置と方法
CN107005400B (zh) 业务处理方法及装置
US20080002594A1 (en) Sequence number synchronization for ciphering
JP2011512750A (ja) 無線通信システムにおいて、ハンドオーバ、またはハンドオーバを実行している間に鍵管理を実行するためのシステムおよび方法
WO2022027476A1 (zh) 密钥管理方法及通信装置
WO2015165250A1 (zh) 一种终端接入通信网络的方法、装置及通信系统
US20100303233A1 (en) Packet transmitting and receiving apparatus and packet transmitting and receiving method
WO2011134291A1 (zh) 一种节点间密钥的建立方法、系统及装置
WO2008043319A1 (en) Mobile ip key bootsrapping system and method
JP5746774B2 (ja) セキュアな通信のための鍵管理
CN116132983A (zh) 接入认证方法、装置、终端及核心网

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100910

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130301

R150 Certificate of patent or registration of utility model

Ref document number: 5216014

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160308

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees