JP5727093B2 - 公開鍵を利用した鍵管理のためのセキュリティアソシエーションの発見 - Google Patents

公開鍵を利用した鍵管理のためのセキュリティアソシエーションの発見 Download PDF

Info

Publication number
JP5727093B2
JP5727093B2 JP2014510351A JP2014510351A JP5727093B2 JP 5727093 B2 JP5727093 B2 JP 5727093B2 JP 2014510351 A JP2014510351 A JP 2014510351A JP 2014510351 A JP2014510351 A JP 2014510351A JP 5727093 B2 JP5727093 B2 JP 5727093B2
Authority
JP
Japan
Prior art keywords
computing device
key
nonce
random value
security association
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014510351A
Other languages
English (en)
Other versions
JP2014514889A (ja
Inventor
ケークレフ,ビオレータ
ミジコフスキー,セミヨン・ビー
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2014514889A publication Critical patent/JP2014514889A/ja
Application granted granted Critical
Publication of JP5727093B2 publication Critical patent/JP5727093B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本出願は、出願番号61/484868として識別される、2011年5月11日に出願した、「Lawful Interception Method for Key Management Schemes Relying on Public Keys」という名称の米国仮特許出願の優先権を主張するものであり、その開示は、引用によりその全体が本明細書に組み込まれている。
実施形態は一般に通信セキュリティに関し、より詳細には、通信環境における、情報の合法傍受に使用するためのセキュリティアソシエーションを発見するための技法に関する。
インターネットプロトコル(IP)通信および電話技術システムは、幅広く採用されている。2つのクライアント間のエンドツーエンドIP通信の第1の例の1つは、インスタントメッセージングを含んでいたが、これには、すぐにボイスオーバーIPが続き、現在は多くのプロバイダ(例えばネットワークオペレータおよびアプリケーションプロバイダ)がエンドツーエンドのビデオオーバーIPを提供している。しかしながら、これらの傾向は、無線移動ネットワークアクセスが狭帯域回路交換アクセスネットワークによって多数を占められていたので、有線固定ネットワークに大きく限定されていた。しかしながら、広帯域4G(第4世代)無線ネットワークの最近の開発は、アクセスのタイプに無関係に、IP通信エンドツーエンドを介したあらゆる形態のマルチメディアのためのステージを設定している。
エンドツーエンドIPセッションに向かう変化に伴い、市場は、これらのオープンIPネットワークを介したセキュリティおよびプライバシに対する関心ならびに意識の復活を目の当たりにしている。第1のステップとして、エンドツーエンド暗号化および認証は、広範囲にわたる注意を引き付けているパラダイムである。商業および企業インターネットアクセスを含む現代のインターネットトランザクションは、現在、10年以上にわたってエンドツーエンドを保証しているが、IPを介した会話形アプリケーションの保証は、アプリケーションプロバイダ、例えばSKYPE(TM)(ルクセンブルクのSkype Technologies S.A.の商標)に大きく任されている。
全IPネットワークの出現につれて、ネットワークオペレータまたは音声、ビデオおよびメッセージングサービスを提供している他者にとって、セキュリティアソシエーションの合法傍受および発見を支援する要求事項を遵守しつつ、エンドツーエンドでセキュリティを提供する必要性が増加している。セキュリティアソシエーションのこのような合法傍受および発見は、法的強制目的のため、あるいは単純に何らかの非法的強制目的のためには場合によっては必要であり、したがって当事者および/またはデバイス間で送信される暗号化された情報を解読することができる必要があり、あるいは解読することができることが望ましい。
Session Description Protocol(SDP) Internet Engineering Task Force(IETF) Request for Comment(RFC)4568、「Security Descriptions for Media Streams」、2006年7月 IETF RFC 4120、「Kerberos Network Authentication Service」、2005年7月 IETF RFC 6043、「Ticket−based Modes of Key Distribution in Multimedia Internet Keying」、2011年3月 IETF RFC 2631、「Diffie−Hellman Key Agreement Method」、1999年6月 W.Diffie,M.Hellman、「New Directions in Cryptography」、IEEE Transactions on Information Theory、vol.IT−22、1976年11月、644−654頁 Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001) IETF RFCs 5408 and 5409 National Institute of Standards and Technology (NIST) in U.S.FIPS PUB 197 IETF RFC 3261 Burmester and Desmedt、「A secure and efficient conference Key distribution System」、Proceedings of Eurocrypt ’94、vol. 950 of LNCS、275−286頁、Springer 1995
実施形態例によれば、通信環境における発見可能セキュリティアソシエーションを形成するための技法、および通信環境で形成されるセキュリティアソシエーションを合法的に発見するための技法が提供される。
例えば、一実施形態例では、第1の計算デバイスと第2の計算デバイスの間の発見可能セキュリティアソシエーションを形成するための方法は、以下のステップを含む。第1の計算デバイスが、鍵管理エンティティから以下を入手する:(i)第1の計算デバイスに結合された第1の公開鍵と計算的に連携する、第1の計算デバイスに割り当てられた第1の秘密鍵、および(ii)第1の計算デバイスに割り当てられた第1のルート鍵。第1の計算デバイスが第1の無作為値を選択し、かつ、第1のルート鍵を使用した第1の無作為値の暗号化の結果である第1のナンスを生成する。第1の計算デバイスが、第1の無作為値に基づいて第1の鍵成分を生成する。第1の計算デバイスが、識別情報ベース暗号化処理を使用して、第1のナンスおよび第1の鍵成分を、第2の計算デバイスに結合された第2の公開鍵で暗号化し、かつ、暗号化された第1のナンスおよび暗号化された第1の鍵成分を第2の計算デバイスに送り、それにより第2の計算デバイスとのセキュリティアソシエーションを確立し、そのセキュリティアソシエーションは、第1の計算デバイスおよび第2の計算デバイスに知られていない第3の計算デバイスによる発見が可能である。
他の実施形態例では、第1の計算デバイスと第2の計算デバイスの間に形成されるセキュリティアソシエーションを発見するための方法は、以下のステップを含む。第3の計算デバイスが、第1の計算デバイスと第2の計算デバイスの間で送信される1つまたは複数のメッセージを入手する。第3の計算デバイスが、第2の計算デバイスに結合された秘密鍵の知識を使用して、第1の計算デバイスから入手した1つまたは複数のメッセージのうちの少なくとも1つを解読し、かつ、以下を得る:(i)第1の計算デバイスによって生成される第1の鍵成分、および(ii)第2の計算デバイスによって生成されるナンスであって、第2の計算デバイスに一意的に割り当てられるルート鍵を使用した、第2の計算デバイスによって選択される無作為値の暗号化の結果であるナンス。第3の計算デバイスが、第2の計算デバイスのルート鍵の知識を使用して、第2の計算デバイスによって選択された無作為値を入手するためにナンスを解読する。第3の計算デバイスが、第2の計算デバイスによって選択された無作為値の知識および第1の計算デバイスによって生成された第1の鍵成分の知識を使用して、第1の計算デバイスと第2の計算デバイスの間に確立される、第1の計算デバイスおよび第2の計算デバイスに知られていないセキュリティアソシエーションを発見する。
さらに、実施形態例によれば、鍵管理のための公開鍵方法を利用しているシステムにとりわけ適用することができるが、それには限定されない技法を使用した方法であって、エンドツーエンド暗号化セッションのための鍵および他の暗号化データを含むがこれには限定されないセキュリティアソシエーションを合法的に発見する方法が提供される。例えば実施形態は、非対称相互認証鍵交換および/または任意のDiffie−Hellmanベース鍵交換を実施するシステムおよびプロトコルに従って使用することができる。詳細には、提案されるオーバーレイ手順は、検出不可能であるが、様々なコンプライアンス要求事項を満足する。実施形態は、とりわけインターネットプロトコルマルチメディアサブシステム(IMS)環境に適しているが、このような実施形態は、それに限定されることは意図されていないことを理解されたい。つまり、実施形態は、一般に、合法セキュリティアソシエーション発見特徴を提供することが望ましい任意の適切な通信システムに適用することができる。単なる一例にすぎないが、このような技法を適用することができる他の通信システムは、IMSシグナリングフレームワークまたは任意の他のシグナリングフレームワークに基づく電話会議システムである。
これらおよび他の目的、特徴ならびに利点は、添付の図面に関連して読むべきそれらの例示的な実施形態についての以下の詳細な説明から明らかになるであろう。
クライアントベース鍵転送方法を示す図である。 ネットワーク補助鍵転送方法を示す図である。 識別情報ベース認証鍵交換方法を示す図である。 一実施形態によるナンス交換を含むセッション鍵の合法的発見のための方法を示す図である。 一実施形態によるナンス交換を含むセッション鍵の合法的発見のための呼フローを示す図である。 一実施形態による電話会議環境におけるナンス交換を含むセッション鍵の合法的発見のための方法を示す図である。 実施形態による方法およびプロトコルのうちの1つまたは複数を実施するために適したデータネットワークおよび通信(計算)デバイスの一般化されたハードウェアアーキテクチャを示す図である。
本明細書において使用されている「マルチメディア通信システム」という語句は、一般に、メディア平面を介して、テキストベースデータ、図形ベースデータ、音声ベースデータおよびビデオベースデータを含むが、これらに限定されない、1つまたは複数のタイプのメディアを輸送することができる任意の通信システムとして定義される。
本明細書において使用されている「メディア平面」という語句は、一般に、マルチメディア通信システムの機能部分であって、これに従って1つまたは複数のタイプのメディアが呼セッションにおける複数の当事者間で交換される機能部分として定義される。これは、マルチメディア通信システムの機能部分であって、呼セッションを確立するためにこれに従って呼のネゴシエーション/スケジューリングが実施される機能部分として定義される「制御平面」とは対照的である。本発明による技法を使用することができるメディア平面アプリケーションの例には、それらに限定されないが、ボイスオーバーIP(VoIP)、インスタントメッセージング(IM)、ビデオ/オーディオIM、ビデオシェアおよびビデオオーバーIPがある。メディア平面は、アプリケーション層トラフィックを含むことを理解されたい。しかしながら、本明細書において説明される合法セキュリティアソシエーション発見技法は、通信システムの任意の平面または層に適用することができる。
本明細書において使用されている「鍵」という用語は、一般に、それらに限定されないが、エンティティ認証、プライバシ、メッセージ完全性などの目的のための暗号化プロトコルへの入力として定義される。
本明細書において使用されている「セキュリティアソシエーション」という語句は、一般に、複数の当事者および/またはデバイスがその全体にわたって通信している通信環境におけるセキュリティ定義を意味している。一例では、セキュリティ定義は、それには限定されないがセッション鍵を含むことができる。
本明細書において使用されている「クライアント」は、一般に、1つまたは複数のユーザ、当事者またはエンティティが、通信環境内で他のクライアントなどの1つまたは複数の他の通信デバイスまたは他の計算システムと通信することができる通信デバイスまたは何らかの他の計算システムあるいはデバイスを意味することができる。また、本明細書において使用されている「クライアント」は、一般に、計算デバイス上のアプリケーションまたは他のコンピュータプログラムを意味することも可能である。したがってクライアントという用語は、以下ではデバイスを指すことができるが、クライアントという用語はハードウェアに限定されず、ソフトウェアまたはハードウェアとソフトウェアの組合せであってもよいことを理解されたい。
本明細書において使用されている「通信セッション」は、一般に、2つのデバイス間で通信するための、少なくとも2つの通信デバイスまたは他の計算システム(例えばクライアント)間の接続を意味している。したがって本明細書において使用されている「エンドツーエンド」通信セッションは、一般に、1つのデバイス(例えばクライアント)から他のデバイス(例えばクライアント)までの接続経路全体を意味している。また、通信セッションに関係している複数のクライアントは、「エンドポイントデバイス」または単純に「エンドポイント」と呼ばれる。しかしながら、本明細書において説明される合法セキュリティアソシエーション発見技法は、クライアントだけでなく、任意の計算デバイスまたは通信デバイスに適用することができる。
本明細書において使用されている「アプリケーション」(または「アプリケーションプログラム」)は、一般に、実行されると1つまたは複数の所与の機能を実施する1つまたは複数のコンピュータプログラムを意味している。
本明細書において使用されている「合法」という用語は、一般に、政府または私的な権威ある団体に関連する1つまたは複数のコンプライアンス要求事項またはガイドラインを満足していること、として定義される。このような権威ある団体は、法的強制機能または非法的強制機能の役割を果たすことができる。つまり、合法という用語は、法的強制に限定することは意図されておらず、それどころか非法的強制の意味におけるコンプライアンスを含むことも可能である。
参照を容易にするために、詳細な説明は、以下のように分割されている。節Iでは、実施形態例を適用することができる例示的な使用事例およびプロバイダが記述されている。節IIでは、既存のエンドツーエンド鍵管理方法が記述されている。節IIIでは、既存の鍵解決方法が記述されている。節IVでは、インターネットプロトコル(IP)マルチメディアサブシステム(IMS)環境の文脈における、実施形態例による合法セキュリティアソシエーション発見解決法が記述されている。節Vでは、実施形態例による1つまたは複数の合法セキュリティアソシエーション発見方法を実施するための例示的な計算システムが記述されている。
I.例示的な使用事例およびプロバイダ
本明細書において説明される、実施形態例を適用することができる例示的な使用事例は、エンドツーエンド暗号化クライアントツークライアント通信セッションを備えている。単なる一例にすぎず、また、本発明を限定することは一切意図されていないが、このような使用事例は、以下を含む:
1.テキストベースのIMまたはインスタントメッセージングアプリケーション
2.インターネットプロトコルエンドツーエンドに基づくマルチメディアメッセージングアプリケーション(オーディオおよび/またはビデオを含む)
3.様々なパケット交換アクセスネットワークを介したボイスオーバーIP
4.様々なパケット交換アクセスネットワークを介したビデオオーバーIP
5.参加者のグループを含むテキストおよびマルチメディアアプリケーションの会議
これらの例示的な使用事例は、様々なプロバイダにも同じように良好に適用される。一例として、プロバイダは3つのカテゴリに分類することができる:
1.サービスのプロバイダは企業であってもよい(最高情報責任者すなわちCIOがアプリケーションのロールアウト、管理および操作を制御する)。企業は法人組織または政府の団体であってもよいことに注意されたい。
2.サービスのプロバイダはアプリケーションプロバイダ(例えばSkype、Googletalkなど)であってもよく、このようなサービスは、ネットワークおよびタイプ全体にわたって「オーバザトップ」で提供される。
3.サービスのプロバイダはネットワークプロバイダ(例えばVerizon Wireless、AT&T、Sprint、T−Mobile、Vodafoneなど)であってもよい。
実施形態例によって説明されている問題および解決法の例示的な範囲は、すべてのプロバイダに等しく十分に適用され、とりわけエンドツーエンド通信タイプまたはアプリケーションに対して断定的ではない。
II.エンドツーエンド鍵管理
エンドツーエンドIPセッション、また、エンドツーエンドでセキュリティを提供することが望まれることを考えて、複数のエンドツーエンド鍵管理スキームが工夫されている。一例として、ほとんどのこのようなスキームは3つのカテゴリに分類することができる:(1)クライアントベース鍵転送プロトコル、(2)ネットワーク補助鍵転送プロトコル、および(3)非対称相互認証鍵交換プロトコル。
(1)クライアントベース鍵転送プロトコル。図1のプロトコル100で示されているように、「イニシエータ」(つまり特定の通信セッションを開始するクライアント)と呼ばれるクライアントデバイス102−Iは、「レスポンダ」(つまりその特定の通信セッションのイニシエータに応答するクライアント)と呼ばれるクライアントデバイス102−Rに、1つまたは複数のネットワーク要素104−1、104−2を介して「セキュリティ鍵」を転送するためのセキュアシグナリングに適用することができる既存のホップバイホップセキュアメッセージングスキームを使用する。次に、通信セッションのエンドポイント、すなわちイニシエータおよびレスポンダは、その鍵(またはその派生物)を使用してそのセッションを保証する。図1に示されている例は、セキュアリアルタイムトランスポートプロトコルのための鍵をネゴシエーションするために使用されるプロトコルであるセッション記述プロトコル(SDP)に基づいており、例えば、引用によりその開示全体が本明細書に組み込まれている、セッション記述プロトコル(SDP) Internet Engineering Task Force (IETF) Request for Comment (RFC)4568、「Security Descriptions for Media Streams」、2006年7月を参照されたい。このような場合、クライアント102−Iは、セキュリティ鍵を含むSDPオファーをネットワーク(エンドツーエンド)を介してクライアント102−Rに送り、また、クライアント102−Rは、同じくセキュリティ鍵を含むSDPアンサで応答し、それによりその特定のセッションに関連する通信を保証するために使用される一対のセキュリティ鍵が確立される。セッションを設定している間、セキュリティ鍵の転送に関与するすべての当事者がその鍵に対する完全なアクセスを有しており、したがって2つのクライアント間のセッションの機密に気付いていることは容易に分かる。
(2)ネットワーク補助鍵転送プロトコル。図2のプロトコル200で示されているように、クライアントデバイス202−I(イニシエータ)は、プロバイダネットワーク(すなわちデータセンタ)内のサーバ204(鍵管理サーバすなわちKMS)から所与のセッションのための鍵を要求し、それに引き続いて鍵およびその鍵に対する「ポインタ」(チケットまたはトークンの形態の)がサーバ204からイニシエータに引き渡される。イニシエータは、次に、セキュアシグナリングに適用することができる既存のホップバイホップセキュアメッセージングスキームを使用してクライアントデバイス202−R(レスポンダ)と「ポインタ」を共有し、それに引き続いてレスポンダは、「ポインタ」をサーバ204に提示することによってサーバ204から鍵を入手する。このようなネットワーク補助プロトコルの2つの例には、IETF RFC4120、「Kerberos Network Authentication Service」、2005年7月に記載されているKerberosシステム、およびIETF RFC 6043、「Ticket−based Modes of Key Distribution in Multimedia Internet Keying」、2011年3月に記載されているMIKEY−Ticketシステムがあり、これらの開示は、引用によりその全体が本明細書に組み込まれている。KMSはセキュリティ鍵のすべての知識を有しており、したがって2つのクライアント間のセッションの機密に気付いていることは理解されよう。
(3)非対称公開鍵プロトコルを使用した認証鍵交換。このタイプのプロトコルでは、イニシエータおよびレスポンダは、それぞれ一対の鍵(秘密および公開)を所有している。典型的な例は、認証のためのそれらの秘密鍵の使用を含むが、互いにアドレス指定するための公開鍵の使用は、鍵交換のための公開鍵方法と共に含まれていない。図3のプロトコル300は、IBAKE(識別情報ベース認証鍵交換)プロトコルおよび非対称公開鍵方法の使用を示したものである。IBAKEプロトコルは、引用によりその開示全体が本明細書に組み込まれている、2009年2月17日に出願した、出願番号12/372242で識別される米国特許出願に記載されている。
図3のプロトコル300で示されているように、IBAKEプロトコルは、2つのエンドポイント間の相互認証および鍵交換を定義している:イニシエータA(クライアント302−A)およびレスポンダB(クライアント302−B)。イニシエータおよびレスポンダは、いずれもそれぞれ一対の鍵、すなわちそれらの公開鍵および秘密鍵を有している。公開鍵暗号手法の場合と同様、公開鍵は暗号化のために使用され、また、秘密鍵は解読のために使用される。標準公開鍵方法と識別情報ベース公開鍵方法の間の基本的な相違は、識別情報ベース公開鍵方法では、公開鍵は「識別情報」に対応し、また、対応する秘密鍵は、信用されたサーバ(鍵管理サーバすなわちKMSと呼ばれる)によって生成されることである。
図に示されているプロトコルの主な概念は、イニシエータおよびレスポンダが互いに認証し、かつ、鍵管理サーバ(図示せず)によって提供される秘密鍵を使用してセッション鍵を生成し、また、交換した鍵成分を使用してセッション鍵を生成することであるが、まだサーバはセッション鍵を決定することができない。
図3では、イニシエータAは、無作為機密「x」を選択し、かつ、「xP」をレスポンダBに送る前に値「xP」(Pは、有限体上の楕円曲線上の一点である)を計算することが分かる。同様に、レスポンダは、無作為機密「y」を選択し、かつ、「yP」をイニシエータAに送る前に値「yP」を計算する。イニシエータは、「x」および「yP」を使用して「xyP」を計算する。同様に、レスポンダは、「y」および「xP」を使用して「xyP」を計算する。これにより両方の当事者が通信セッションのための鍵に合意することができる。しかしながら、鍵管理サーバ(KMS)は「xP」および「yP」に対するアクセスは有しているが、「xyP」を計算することはできない。
上で列挙したすべての(3つの)鍵転送/交換プロトコルでは、通信タイプまたはプロバイダに無関係に、エンドツーエンドセキュリティ鍵の発見および共有をプロバイダに合法的に要求することができる(「合法発見」と呼ばれる)規定および/またはコンプライアンス要求事項が存在することが認識される。
プロトコルタイプ1および2の場合、この要求事項は比較的容易に満足することができる。プロトコルタイプ1(図1)では、重要なセキュリティ鍵は、ホップバイホップ保護を有するネットワークのノード間で輸送され、したがって輸送に含まれるネットワークノード(例えば図1のネットワーク要素104−1、104−2)に知られる。プロトコルタイプ2(図2)では、セッション鍵はサーバ(例えば図2のKMS204)によって生成され、したがってプロバイダはそれを利用することができる。
しかしながらプロトコルタイプ3(図3)の場合、プロバイダが鍵管理トランザクションに対する唯一のイネーブラーであり、かつ、トランザクションの参加者ではない場合、この合法発見問題はとりわけ厄介である。簡潔に言うと、この問題は、とりわけエンドツーエンド鍵管理のために非対称公開鍵プロトコルが使用される場合に、エンドツーエンドセキュリティ鍵を発見することである。さらに、このような発見は、通信セッションの間、控え目で、かつ、検出不可能であることが要求される。
III.非対称公開鍵プロトコルにおける鍵解決法
この節では、エンドツーエンド鍵管理のための非対称公開鍵プロトコルにおける鍵解決法の既存の方法について説明する。
(1)包括的なプロトコル説明
ここでは、とりわけDiffie−Hellmanタイプの鍵交換(例えば、引用によりその開示全体が本明細書に組み込まれているIETF RFC 2631、「Diffie−Hellman Key Agreement Method」、1999年6月を参照されたい)を利用するプロトコルに的を絞る。素数pを法とする有限体の乗法群に関してDiffieおよびHellmanによって彼らのランドマークペーパ(引用によりその開示全体が本明細書に組み込まれている、W.Diffie,M.Hellman、「New Directions in Cryptography」、IEEE Transactions on Information Theory、vol.IT−22、1976年11月、644−654頁)の中で典型的に説明されているプロトコルについて説明する。しかしながら、Diffie−Hellmanプロトコルは、任意の群に拡張することができるが、プロトコルのセキュリティは、その群の特性を利用していることはよく知られている。
このプロトコルでは、2つのエンドポイント(AおよびB)の各々が、Gが大素数Pを法とする非ゼロ整数の乗法群の生成元であるよう、公に知られているG(生成元)およびP(大素数)の値を選択する。
プロトコルを実行するために、Aは無作為機密xを選択し、かつ、a=G^x(mod P)を計算する。同様に、Bは無作為機密yを選択し、かつ、b=G^y(mod P)を計算する。機密xおよびyは、Pより小さい無作為の正の整数であることを理解されたい。
Aは次に値aをBに送り、また、Bは値bをAに送る。
Aは、値bを受け取るとk=bx(mod P)を計算し、同様にBは、値aを受け取るとk=ay(mod P)を計算する。k=(a)y(mod P)=(b)x(mod P)であり、また、kは相互計算された共通セッション鍵であることは容易に分かる。
(2)IBAKEにおけるDiffie−Hellmanの特殊な使用
IBAKEプロトコル(図3に示されている)は、有限体上の楕円曲線上の点の群を利用し、したがって有限体上の楕円曲線内の点の群に関する対応するDiffie−Hellman問題を利用する。個々のエンドポイント(例えばA)は、A(PUB_A)のための公開鍵を生成するために任意の他のエンドポイント(例えばB)が使用することができる知られている公開識別情報を有している。同様に、Bの公開識別情報を知ることにより、任意の他のエンドポイントはPUB_Bを生成することができる。
個々のエンドポイント(例えばA)は、時々および周期的に、秘密ネットワークベース機能である鍵管理サーバ(KMS)と接触し、対応する公開鍵(PUB_A)と計算的に結合している特別に計算された秘密鍵(例えばPR_A)を受け取る。同様に、他のエンドポイントも同じことを実施する。その結果、個々のエンドポイントは、公開鍵がそのエンドポイントの識別に基づいている間、公開−秘密鍵対を所有する。
プロトコルを実行するために、個々のエンドポイントは無作為機密番号を選択する。xをAによって選択された乱数とし、かつ、yをBによって選択された乱数とする。
第1のステップで、Aは、Pが楕円曲線E上の公に知られている点であるxPを計算し(つまり加法を使用してP自身がx回加えられる)、Bの公開鍵PUB_Bを使用してそれを暗号化し、かつ、それをBに送信する。このステップでは、暗号化は、Dan Boneh、Matthew K.Franklin、「Identity−Based Encryption from the Weil Pairing」Advances in Cryptology−Proceedings of CRYPTO 2001(2001)、およびIETF RFCs 5408 and 5409に記載されている識別情報ベース暗号化を意味しており、これらの開示は、引用によりその全体が本明細書に組み込まれている。
Bは、暗号化されたメッセージを受け取ると、そのメッセージを解読してxPを得る。
引き続いてBはyPを計算し、かつ、Aの公開鍵PUB_Aを使用して対{xP、yP}を暗号化し、次にそれをAに送信する。
Aは、このメッセージを受け取ると、そのメッセージを解読してyPを得る。引き続いてAは、Bの公開鍵を使用してyPを暗号化し、それをBに送り返す。
これに引き続いて、AおよびBの両方がセッション鍵としてk=xyPを計算する。明確にすると、Aは、受け取った解読されたyP自体をx回加えることによってk=xyPを計算する。同様に、Bは、受け取った解読されたxP自体をy回加えることによってk=yxPを計算する。
(3)セッション鍵の合法発見のためのMan−In−The−Middle Key Resolution
Diffie−Hellman鍵交換のための典型的で、かつ、よく知られている鍵発見方法は、いわゆる「man−in−the−middle」(MitM)方法に基づいている。この方法では、能動中間物Cが自身をエンドポイントAとBの間の通信リンク中に置く。この中間物Cは、自身、Aに対してはBとして出現し、また、Bに対してはAとして出現する。
中間物Cは、自身の機密x’およびy’を生成する。Cは、Aからaを受け取ると、b’=G^y’(mod P)で応答し、同様にa’=G^x’(mod P)をBに送る。
交換が完了すると、AおよびCは、k1=(G^x(mod P))y’(mod P)=(G^y’(mod P))*x)(mod P)を生成し、一方、CおよびBは、k2=(G^x’(mod P))*y(mod P)=(G^y(mod P))*x’(mod P)を生成する。その結果、AおよびBを使用して2つの独立したセキュアセッションを維持することにより、能動中間物Cは、AとBの間の通信を解読し、かつ、再暗号化することができる。
しかしながら、いくつかの高性能エンドポイントデバイスの場合、相互に計算された鍵の画像表現またはシグネチャ表現のいずれかを交換し、かつ、実際、それらが計算した2つの異なる鍵を実現することが可能である。これは、セッション鍵の合法発見には望ましくないMitM機能の発見をもたらすことになる。
(4)機密の強制生成による鍵解決法
他の方法は、セッション鍵の合法発見に関与する専用ネットワークノードに同じく知られている機密(x)を生成するよう、複数のエンドポイントのうちの少なくとも1つ(例えばA)に強制する。このスキームでは、エンドポイントAは機密xを選択しないが、その代わりにネットワークがナンス(N)などの専用パラメータを送るのを待機し、次に、ネットワークと共有している他の機密(S)と共にこのナンスをハッシュする。その結果、エンドポイントAおよび専用ネットワークノードの両方がx=H(S、N)を生成する。引き続いて、この生成されたxがDiffie−Hellman交換における指数として使用される。
専用ネットワークノードは、k=(G^y(mod P))x(mod P)を計算することができ、したがってAとBの間の通信リンクの機密鍵に関与することになることは容易に分かる。
しかしながら、ナンスの受取りを期待することにより、エンドポイントデバイスは、その存在およびセッション鍵を合法的に発見するネットワークの意図が完全に気付かれることになり、これは極度に望ましくない。詳細には、この鍵発見解決法は、通信セッションの間、結託するエンドポイントデバイスによる検出が可能であり、さらに、この解決法が機能するのは、結託するエンドポイントデバイスが存在している場合のみである。
(5)エスクローサーバへの鍵転送
さらに他の方法は、ネットワークノードからエンドポイントデバイスに送られる特殊な要求に基づいている。この要求により、エンドポイントデバイスは、ネットワークベース鍵エスクローデータベースへのA−B通信リンクを暗号化するために使用される計算済み鍵kまたはその派生物をアップロードするように強制される。このアップロードは、通常、エンドポイントと鍵エスクローデータベースの間で確立されるセキュアトンネルを使用した保護の下で実施される。
しかしながら、このような要求を受け取るエンドポイントデバイスは、鍵エスクローデータベースが存在すること、延いてはセッション鍵の合法発見のためには望ましくないセキュア通信の可能傍受が存在することを明らかに認識している。
(6)「無作為機密」の再生成による鍵解決法
引用によりその開示全体が本明細書に組み込まれている、2011年4月29日に出願した、「Discovery of Security Associations」という名称の米国特許出願第13/097184号に記載されている方法では、鍵発見問題は、通信セッションにおける少なくとも1つの参加者の「無作為機密」を発見するプロバイダを利用している。詳細には、この方法は以下のように動作する。プロバイダがクライアントアプリケーションに擬似乱数生成元(PRG)を埋め込む。オペレータまたはアプリケーション所有者、例えば企業が、クライアント識別情報と結合している機密無作為シード(S)を有するアプリケーションを事前構成する。この無作為シードは、典型的には乱数であり、あるいはより一般的には少なくとも1つの乱数を含む一組の番号である。この連携、つまりシードと識別は、オペレータまたはアプリケーション所有者、例えば企業によって管理されるサーバに記憶される。Diffie−Hellman、IBAKEなどの鍵交換プロトコルを実行するために、アプリケーションがセッションのための乱数(例えばx)の生成を必要とする場合、PRGが呼び出される。PRGは、シードを使用して、また、時刻表示または外部管理計数器(C)などの決定論的に、かつ、単調に増加する量を使用して、要求された擬似無作為値xを生成する。合法傍受が許可されると、ネットワーク内の傍受エンティティは、すべての必要な情報を他のネットワークノードに要求するが、エンドポイント自体には要求しない。したがってエンドポイントは、試行されている傍受に気が付かない。このような方法は検出不可能であるが、ネットワーク内に追加エンティティ(すなわち企業サーバ)が必要であり、また、クライアントには、「無作為機密」を生成/再生成するための秘密ソフトウェアが必要である。
IV.改良型合法セキュリティアソシエーション発見
例示的な一実施形態によれば、鍵発見問題に対する解決法であって、定期的メッセージ交換の間、通信セッション中に2つのクライアントデバイス(エンドポイント)の間で交換されるナンスを利用する解決法が提供される。詳細には、この方法(以下でより詳細に説明する)は以下のように動作する。
図4のIBAKEベースプロトコル400で示されているように、エンドポイント(例えば402−A)がKMS(図4には明確に示されていない)と接触し、対応する公開鍵(PUB_A)と計算的に結合している特別に計算された秘密鍵(例えばPR_A)を受け取ると、KMSも同じくユーザ毎のルート鍵(RK_A)を含む。このルート鍵は、KMSおよび秘密鍵を要求しているエンドポイントユーザのみに知られている。図3のIBAKEベースプロトコルに関連して上で説明したように、エンドポイントA(ここでは402−A)がプロトコルの実行を必要とすると、エンドポイントAは無作為機密xを選択する。次に、エンドポイントAは、RK_Aおよびこの無作為機密xを使用してA_Nonceを生成する。言い換えると、例示的な実施形態によれば、A_Nonceは、無作為機密xの暗号化された値を表している。A−Nonceを生成するための例示的な一方法は以下の通りである。
A_Nonce=AESRK A(x)
上式でAESは、引用によりその開示全体が本明細書に組み込まれている、2001年11月26日付けのNational Institute of Standards and Technology (NIST) in U.S.FIPS PUB 197によって明記されているアドバンストエンクリプションスタンダード(Advanced Encryption Standard)アルゴリズムである。
エンドポイントA(402−A)は、次に、エンドポイントBに送られる第1のメッセージ(図4のメッセージ1)にこのA_Nonceを含める。同様にB(402−B)はyを選択し、また、B_Nonceを生成し(B_Nonce=AESRK_B(y))、かつ、Aに送られるメッセージ(図4のメッセージ2)に受け取ったA_Nonceおよびこの生成されたB_Nonceの両方を含める。
最後に、エンドポイントA(402−A)は、第3のメッセージ(図4のメッセージ3)に受け取ったB_Nonceを含める。メッセージ4を介して検証が実施される。
個々のエンドポイントに対して、対応するエンドポイントから受け取ったナンスの値は、乱数と区別することはできず、したがってこの値は、処理する必要も、認識する必要もないナンスとして処理されることを理解されたい。
合法傍受が許可されると、ネットワーク内の傍受エンティティ(図4には明確に示されていない)は、通信セッションに関与するエンドポイントクライアントに知られていないすべての必要な情報(つまり秘密鍵およびルート鍵)をKMSに要求する。傍受エンティティは、次に、受け取ったルート鍵を使用して無作為機密を入手し、次に、傍受エンティティは、入手した無作為機密およびDiffie−Hellman交換で交換した残りの鍵成分を使用してセッション鍵を生成する。
一般に、Diffie−Hellmanベースのプロトコルの機密性は、自身の無作為機密についてのクライアントの知識、および対応するエンドポイントによって自身の無作為機密から生成される成分の値を利用している。図4に示されている例では、エンドポイントA(402−A)は、機密である乱数xを生成し、かつ、維持し、一方、エンドポイントB(402−B)は、機密である乱数yを生成し、かつ、維持する。エンドポイントの各々は、それらの個々の無作為機密を処理し、とりわけ無作為機密にElliptic Curve上の点を表す値Pを掛け合わせる。得られた値xPおよびyPがエンドツーエンドシグナリングを介して交換される。xPおよびyPの両方の知識が、xyPで表される期待セッション鍵の再生成に役立つわけではない。しかしながら、自身の機密(Aの場合はx、また、Bの場合はy)を知っている個々のエンドポイントは、期待セッション鍵を計算することができる。エンドポイントAの場合、セッション鍵k=xyPであり、また、エンドポイントBの場合は鍵k=yxPである。
例えば、図4では、エンドポイントB(402−B)が傍受のターゲットであると仮定する。したがって法強制監視局ノード(LEMF)は、KMSからRK_BおよびPR_Bを入手する。Bが通信に加わると、通信ネットワークノード(例えばP/S−CSCF)がIMSメッセージ事象を傍受し、かつLEMF(傍受サーバ)に報告する。別法としては、LEMFは、P/S−CSCFを使用することなく、エンドポイント間で送られるIMSメッセージ事象を直接傍受することも可能である。SIPは、セッション開始プロトコル(引用によりその開示全体が本明細書に組み込まれているIETF RFC 3261)を表し、また、P/S−CSCFは、プロキシ呼制御機能またはサービング呼制御機能のいずれかを表わしていることに留意されたい。LEMFは、傍受したIMSシグナリングから暗号化に関連する情報(すなわちxPおよびB_Nonce)を抽出し、また、LEMFは、抽出したこの情報およびRK_BならびにPR_Bを使用してメッセージを解読し、かつ、セッション鍵k=xyPを生成する。
とりわけこの例では、LEMFは、メッセージ1(図4)の交換を処理することができる。エンドポイントB(PR_B)の秘密鍵を知ることにより、LEMFは、B(PUB_B)の公開鍵を使用してエンドポイントAによって最初に暗号化されたIBE暗号化ペイロードを解読することができる。LEMFは、このペイロードからxP値を入手することができる。次に、LEMFは、メッセージ3(図4)の交換を処理することができる。PR_Bを知ることにより、LEMFは、B(PUB_B)公開鍵を使用してエンドポイントAによって最初に暗号化されたIBE暗号化ペイロードを解読することができる。LEMFは、このペイロードからB_Nonceを入手することができる。次に、LEMFは、知られているRK_Bを使用してB_Nonce値を解読し、かつ、値yを入手することができる。最後に、xPおよびyを知ることにより、LEMFは、k=yxPとしてセッション鍵を生成することができる。
他の例では、エンドポイントA(402−A)が傍受のターゲットであると仮定すると、LEMFは、PUB_Aに加えて、KMSからRK_AおよびPR_Aを入手する。LEMFは、メッセージ2(図4)の交換を処理することができる。エンドポイントA(PR_A)の秘密鍵を知ることにより、LEMFは、A(PUB_A)の公開鍵を使用してエンドポイントBによって最初に暗号化されたIBE暗号化ペイロードを解読することができる。LEMFは、このペイロードからyP値を入手することができる。次に、LEMFは、このペイロードからA_Nonce値を入手し、かつ、知られているRK_Aを使用してA_Nonce値を解読することができ、したがって値xを入手することができる。最後に、yPおよびxを知ることにより、LEMFは、k=xyPとしてセッション鍵を生成することができる。
LEMFは、必要なすべての情報を他のネットワークノードに要求するが、エンドポイント自体には要求しないことが分かる。したがってエンドポイントは、試行されている傍受に気が付かない。また、この情報交換(傍受エンティティがKMSから情報を入手する)は、通信セッションが実際に開始される前の任意の時間に実施することができる。これによりネットワーク要素間に必要な調整に関連する複雑性が劇的に緩和される。
次に図5を参照すると、図4のIBAKEベース実施形態によるナンス交換を含む、セッション鍵の合法発見のための例示的な呼フローが示されている。理解を容易にし、また、一貫性を維持するために、呼フロー中のエンドポイント要素(402−Aおよび402−B)には、図4に示されている参照数表示と同じ参照数表示を使用して番号が振られていること、また、傍受エンティティは傍受サーバ502として描かれており、KMSはKMSサーバ504として描かれていることに留意されたい。また、本明細書において説明されている合法セキュリティアソシエーション発見技法は、何らかの特定のプロトコルとの使用に限定されず、したがってこの実施形態には、例示目的のためにIΒΑΚΕベースプロトコルが使用されていることに留意されたい。
図5に示されているように、ステップ1、2および3は、図3の文脈で上で説明したように、エンドポイントA(402−A)とB(402−B)の間の典型的なIBAKEプロトコル交換を表している。ステップ4は検証メッセージである。AまたはBのどちらかが合法傍受のためのターゲットにされると、傍受サーバ502は、これらのシグナリングトランザクションを監視し、かつ、記録する。
図5のステップ5および6では、傍受サーバ502(図4の説明の中で上で説明したLEMFであってもよい)は、傍受のターゲット(例えばB)のための1つまたは複数の秘密鍵およびルート鍵をKMS504に要求する。このトランザクションは、実際のIBAKE事象のはるかに前に実施することができる。このような場合、ターゲットの1つまたは複数の秘密鍵およびルート鍵は、AおよびBが通信を開始する際には傍受サーバ502側で既に利用可能である。
別法としては、傍受サーバ502は、同じ技法を使用してセッション鍵を派生させ、かつ、それをLEMFに戻すために、エンドポイント間のすべてのメッセージのコピーをKMSに提供し、ターゲットにされたエンドポイントに対する必要なすべての機密パラメータの知識を有することをKMSに期待する。
したがって上で参照した米国特許出願第13/097184号に記載されている方法と比較すると、図4および5の文脈で説明した本発明によるナンスベース解決法は、有利には、企業サーバが関与せず、また、「無作為機密」を生成/再生成するための専用ソフトウェアがクライアントにおいて関与していない。
したがって、本明細書において詳細に説明されている内容を要約すると、図3に関連して上で説明したIBAKEプロトコルでは、第1のクライアント(エンドポイント)が第2のクライアント(エンドポイント)からyPを受け取ると、第1のクライアントはyを知る必要はない。第1のクライアントに必要であるのは、受け取ったyPに、第1のクライアントが機密を知り、かつ、維持しているxを掛け合わせることだけである。第2のクライアントに対しても同様であり、つまり第2のクライアントがxPを受け取ると、第2のクライアントに必要であるのは、xPに、第2のクライアントが機密を知り、かつ、維持しているyを掛け合わせることだけである。両側におけるこの掛算により、セッション鍵(セキュリティアソシエーションとも呼ばれる)であるxyPが得られる。
つまり、IBAKEプロトコルでは、xPおよびyPがIBE暗号化の下で双方向で交換される。第1のクライアントは、第2のクライアントの公開鍵を使用してxPを暗号化する。その公にされた公開鍵に対応する秘密鍵を有しているのは第2のクライアントのみであるため、第2のクライアントのみがそれを解読することができる。同様に、鍵成分yPが、第1のクライアントの公開鍵を有するIBE暗号化を使用して、第2のクライアントによって第1のクライアントに送られる。第1のクライアントは、その公にされた公開鍵に対応する秘密鍵を有しているため、第1のクライアントのみがそれを解読することができる。受け取った鍵成分を2つのクライアントが互いに送り返すと、それらは、それらのピアを暗に認証する。
有利には、本明細書において説明されている例示的な実施形態によれば、IBAKEプロトコル(図4および5に示されてる)におけるナンスの利用が提供される。つまり、第1のクライアントがその鍵成分xPを第2のクライアントに送る場合、第1のクライアントは、同じく、無作為機密xの暗号化された値を送る。この暗号化された値は、上でA_NONCEで参照されているものである。同様に、第2のクライアントがその鍵成分yPを第1のクライアントに送る場合、第2のクライアントは、その鍵成分yPに自身の無作為機密yの暗号化された値、すなわちB_Nonceを付随させる。言い換えると、本発明によるプロトコルでは、無作為機密の暗号化された値には、この無作為機密に基づく鍵成分が付随し、対応するピアの公開鍵を使用することによってこの組合せが常にIBE暗号化される。
したがってセッション鍵を回復するために、傍受者は2つのレベルの保護をかいくぐる:(1)鍵成分および関連するナンスを含む「鍵化カプセル」を解読し、かつ、対応するノードから他の鍵成分を受け取るために、ターゲットの秘密鍵を入手し、および(2)ターゲットの無作為機密に関連するナンスを解読する、つまり無作為機密自体を回復する。他の対応するクライアントの無作為機密またはターゲットおよび鍵成分を有することにより、傍受者はセッション鍵を複製することができる。
次に、電話会議環境などのグループ設定を参照する。電話会議では、参加者のグループが鍵マテリアルを交換し、かつ、グループ鍵に合意する。詳細には、Diffie−Hellman鍵交換がグループ設定まで拡張されており(例えば、引用によりその開示全体が本明細書に組み込まれている、Burmester and Desmedt、「A secure and efficient conference Key distribution System」、Proceedings of Eurocrypt ’94、vol. 950 of LNCS、275−286頁、Springer 1995を参照されたい)、また、さらにIBAKEがグループ設定におけるアドレス認証鍵交換まで拡張されている(例えば、引用によりその開示全体が本明細書に組み込まれている、2009年8月28日に出願した、出願番号12/549907で識別されている米国特許出願を参照されたい)。この例における「グループ設定」という語句は、3つ以上のユーザのグループを意味しており、また、プロトコルは、すべてのユーザによる非セキュア環境における情報の交換および適用可能である場合は「グループ鍵」の交換を許すが、会議システムに限定されないことが分かる。
図6は、一実施形態による電話会議環境におけるナンス交換を含むセッション鍵の合法的発見のための方法600を示したものである。詳細には、図6は、IBAKEを使用したグループ鍵交換を示している。この設定では、中央調整サーバ604(会議セキュリティサーバまたは会議サーバと呼ばれる)は、個々のユーザ(デバイス602−1から602−N)を認証し、かつ、グループ鍵交換への参加を許可する。しかしながら、IBAKE計算によって得られるグループ鍵は、中央調整サーバ604に知られていない。しかしながら、コンプライアンス要求事項および他の規定要求事項のため、グループ鍵を発見するためには会議プロバイダは依然としてしばしば必要である。
図に示されているように、個々のユーザは、会議サーバを使用して個々にIBAKEを実行する。これによりサーバは、認証され、かつ、許可された参加者のみが呼を許されることを保証することができる。これに引き続いて、サーバは、Diffie−Hellman鍵成分を呼におけるすべてと共有し、それにより個々の参加者は、追加鍵成分を計算し、かつ、残りの参加者と共有することができる(サーバを介して)。すべての参加者は、初歩的な群論を使用して同じグループ鍵を計算することができるが、会議サーバは鍵を決定することはできないことが容易に分かる。プロトコルは、図6には606で示されている。
上で説明したナンスベース合法鍵発見技法は、簡単な方法でこの設定まで拡張することも可能である。このような実施態様によれば、参加者に関連するナンスは、本明細書において説明されているように生成され、また、生成される鍵成分が付随し、かつ、参加者によって送信されることを理解されたい。
したがって電話会議セットアップの開始時に、個々の参加者は、会議サーバ604とIBAKEシグナリングを交換する。LEMFは、ターゲットと会議サーバの間のこのシグナリングを傍受し、かつ、ターゲットによって送られる無作為機密を解読する。第2のフェーズでは、鍵成分が会議サーバと交換されると、LEMFは、ターゲット自身によって実施されたすべての計算を完全に複製することができる。その結果、LEMFは、会議セッション鍵の正確なコピーを再生する。同様に、LEMFがすべてのシグナリングを単純にKMSに送る場合、KMSは計算を処理し、セッション鍵をLEMFに戻す。
V.例示的な計算システム
図7は、実施形態例による、2つのエンティティと合法セキュリティアソシエーション発見の間のナンスベースセキュア鍵管理プロトコルを実施するために適した計算デバイスの形態のネットワーク環境および通信デバイスの一般化されたハードウェアアーキテクチャ700を示したものである。
図7は、図に示されている2つのエンティティについてのみ、その詳細なサブコンポーネントを示しているが、他のエンティティも同じ構成を有することができることを理解されたい。したがって上で説明したセキュア鍵管理プロトコルおよび合法セキュリティアソシエーション発見に関して、詳細に示されている2つのエンティティは、イニシエータクライアントデバイス402−A(第1の当事者すなわちA)およびレスポンダクライアントデバイス402−B(第2の当事者すなわちB)であってもよい。しかしながら、傍受サーバ(502)、KMS(504)、機能要素、追加クライアントデバイス(当事者)および追加サーバも、図7の計算デバイスで示されているアーキテクチャと同じアーキテクチャを使用して実施することができる。したがって図7には一例として傍受サーバ720およびKMS722が示されており、これらは、デバイス702および704で示されている計算アーキテクチャと同じ計算アーキテクチャを有していることを理解されたい。しかしながら、簡潔にするために、本明細書において説明されているプロトコルに参加することができるすべての計算デバイス(通信デバイス)は図7には示されていないことを理解されたい。また、電話会議実施態様では、会議参加者(デバイス602−1から602−N)および会議サーバ(604)は、図7の計算デバイスで示されているアーキテクチャと同じアーキテクチャを使用して実施することができる。
図に示されているように、702で示されているAの計算デバイスおよび704で示されているBの計算デバイスは、ネットワーク706を介して結合されている。ネットワークは、これらのデバイスがそのネットワークを介して通信することができる任意のネットワークであってもよく、例えば上で説明した実施形態の場合と同様、ネットワーク706は、ネットワークオペレータ(例えばVerizon、AT&T、Sprint)によって操作されるセルラ通信ネットワークなどの公にアクセスすることができる広域通信ネットワークを含むことができる。しかしながら、実施形態は、特定のタイプのネットワークに限定されない。典型的には、これらのデバイスはクライアントマシンであってもよい。本明細書において説明されているプロトコルに参加するために当事者が使用することができるクライアントデバイスの例は、セルラ電話、スマートフォン、デスクトップ電話、パーソナルディジタルアシスタント、ラップトップコンピュータ、パーソナルコンピュータなどを含むことができるが、これらに限定されない。また、上で説明したように、クライアントは、計算デバイス(例えばスマートフォン)上のアプリケーションであってもよいことを思い起こされたい。しかしながら、これらのデバイスのうちの1つまたは複数は、サーバ(例えば傍受サーバ、KMSサーバなど)であってもよい。したがって本明細書において説明されているプロトコルおよび方法は、計算システムがそれぞれクライアントおよびサーバである場合に限定されず、2つのネットワーク要素を備えた任意の計算デバイスに適用することができることを理解されたい。
当業者には容易に明らかなように、サーバおよびクライアントは、コンピュータプログラムコードの制御下で動作するプログラム済みコンピュータとして実施することができる。コンピュータプログラムコードは、コンピュータ可読記憶媒体(例えばメモリ)に記憶することができ、また、このコンピュータプログラムコードは、コンピュータのプロセッサによって実行することができる。本開示が与えられると、当業者は、本明細書において説明されているプロトコルを実施するための適切なコンピュータプログラムコードを容易に構築することができる。
しかしながら、図7は、概ね、ネットワークを介して通信する個々のコンピュータシステムのための一例示的アーキテクチャを示したものである。図に示されているように、デバイス702は、I/Oデバイス708−A、プロセッサ710−Aおよびメモリ712−Aを備えている。デバイス704は、I/Oデバイス708−B、プロセッサ710−Bおよびメモリ702−Bを備えている。本明細書において使用されている「プロセッサ」という用語には、中央処理装置(CPU)または他の処理回路を含む1つまたは複数の処理デバイスを包含することが意図されており、他の処理回路は、1つまたは複数の信号プロセッサ、1つまたは複数の集積回路などを含むが、これらに限定されないことを理解されたい。また、本明細書において使用されている「メモリ」という用語には、プロセッサすなわちCPUと結合した、RAM、ROM、固定メモリデバイス(例えばハードドライブ)または取外し可能メモリデバイス(例えばディスケットまたはCDROM)などのメモリを包含することが意図されている。また、メモリは、コンピュータ可読記憶媒体の一例である。さらに、本明細書において使用されている「I/Oデバイス」という用語には、処理装置にデータを入力するための1つまたは複数の入力デバイス(例えばキーボード、マウス)、ならびに処理装置に関連する結果を提供するための1つまたは複数の出力デバイス(例えばCRTディスプレイ)を包含することが意図されている。
したがって本明細書において説明されている方法を実施するためのソフトウェア命令またはコードは、関連する複数のメモリデバイス、例えばROM、固定または取外し可能メモリのうちの1つまたは複数に記憶することができ、また、利用する準備が整った時点でRAMにロードし、かつ、CPUによって実行することができる。
以上、本明細書において、例示的な実施形態について添付の図面を参照して説明したが、本発明はこれらの厳密な実施形態に限定されないこと、また、当業者は、本発明の範囲または趣旨を逸脱することなく、様々な他の変更および修正を加えることができることを理解されたい。

Claims (10)

  1. 第1の計算デバイスと第2の計算デバイスの間の発見可能セキュリティアソシエーションを形成するための方法であって、
    第1の計算デバイスにより、鍵管理エンティティから、(i)第1の計算デバイスに結合された第1の公開鍵と計算的に連携する、第1の計算デバイスに割り当てられた第1の秘密鍵と、(ii)第1の計算デバイスに割り当てられた第1のルート鍵とを入手するステップと、
    第1の計算デバイスにより、第1の無作為値を選択するステップと、
    第1の計算デバイスにより、第1のルート鍵を使用し第1の無作為値暗号化して第1のナンスを生成するステップと、
    第1の計算デバイスにより、第1の無作為値に基づいて第1の鍵成分を生成するステップと、
    第1の計算デバイスにより、識別情報ベース暗号化処理を使用して、第1のナンスおよび第1の鍵成分を、第2の計算デバイスに結合された第2の公開鍵で暗号化するステップと、
    第1の計算デバイスにより、暗号化された第1のナンスおよび暗号化された第1の鍵成分を第2の計算デバイスに送るステップであって、それにより第2の計算デバイスとのセキュリティアソシエーションを確立し、そのセキュリティアソシエーションが、第1の計算デバイスおよび第2の計算デバイスに気付かれずに第3の計算デバイスによる発見が可能である、送るステップと
    を含む、方法。
  2. 第1の計算デバイスが、第2の計算デバイスからの戻りで、第1のナンス、第2のナンス、第1の鍵成分および第2の鍵成分を受け取るステップをさらに含み、第1のナンス、第2のナンス、第1の鍵成分および第2の鍵成分が、識別情報ベース暗号化処理を使用して、第1の計算デバイスに結合された第1の公開鍵で暗号化され、第2のナンスおよび第2の鍵成分が第2の計算デバイスで生成される、請求項1に記載の方法。
  3. 第2のナンスが、第2の計算デバイスによって選択された第2の無作為値の暗号化の結果であり、暗号化が第2の無作為値を暗号化するために第2のルート鍵を使用し、その第2のルート鍵が、第2のルート鍵を第2の計算デバイスに割り当てた鍵管理エンティティから第2の計算デバイスが入手したものである、請求項2に記載の方法。
  4. 第2の鍵成分が、第2の無作為値に基づいて第2の計算デバイスによって生成される、請求項3に記載の方法。
  5. 第1の計算デバイスが第2の計算デバイスに第2のナンスおよび第2の鍵成分を送り返すステップをさらに含み、第2のナンスおよび第2の鍵成分が、識別情報ベース暗号化処理を使用して、第2の計算デバイスに結合された第2の公開鍵で暗号化される、請求項2に記載の方法。
  6. 第1の計算デバイスおよび第2の計算デバイスが、それらの間の後続する通信に使用するための同じセッション鍵を計算する、請求項5に記載の方法。
  7. セッション鍵が、第3の計算デバイスによる発見が可能なセキュリティアソシエーションの少なくとも一部を表す、請求項6に記載の方法。
  8. 第1の計算デバイスと第2の計算デバイスの間に形成されるセキュリティアソシエーションを発見するための方法であって、
    第3の計算デバイスにより、第1の計算デバイスと第2の計算デバイスの間で送信される1つまたは複数のメッセージを入手するステップと、
    第3の計算デバイスにより、第1の計算デバイスから入手した1つまたは複数のメッセージのうちの少なくとも1つを解読し、かつ、第1の計算デバイスにより、(i)第1の計算デバイスによって生成される第1の鍵成分、および(ii)第2の計算デバイスによって生成されるナンスを入手するステップを含み、第3の計算デバイスが、第2の計算デバイスに結合された秘密鍵の知識を有し、及び、ナンスが第2の計算デバイスに一意的に割り当てられるルート鍵を使用して第2の計算デバイスによって選択される無作為値の暗号化することにより第2の計算デバイスにより生成され、
    前記方法は更に、
    第3の計算デバイスにより、第2の計算デバイスによって選択された無作為値を入手するためにナンスを解読するステップを含み、第3の計算デバイスが第2の計算デバイスのルート鍵の知識を有し、
    前記方法は更に、
    第3の計算デバイスにより、第1の計算デバイスと第2の計算デバイスに気付かれずに、第1の計算デバイスおよび第2の計算デバイスの間に確立されるセキュリティアソシエーションを発見するステップを含み、第3の計算デバイスが、第2の計算デバイスによって選択された無作為値の知識および第1の計算デバイスによって生成された第1の鍵成分の知識を有する、方法。
  9. 2の計算デバイス発見可能セキュリティアソシエーションを形成するための第1の計算デバイスであって、
    メモリと、
    メモリに結合され、かつ、第1の計算デバイスに、
    鍵管理エンティティから、(i)第1の計算デバイスに結合された第1の公開鍵と計算的に連携する、第1の計算デバイスに割り当てられた第1の秘密鍵と、(ii)第1の計算デバイスに割り当てられた第1のルート鍵とを入手させ、
    第1の無作為値を選択させ、
    第1のルート鍵を使用し第1の無作為値暗号化して第1のナンスを生成させ、
    第1の無作為値に基づいて第1の鍵成分を生成させ、
    識別情報ベース暗号化処理を使用して、第1のナンスおよび第1の鍵成分を、第2の計算デバイスに結合された第2の公開鍵で暗号化させ、
    暗号化された第1のナンスおよび暗号化された第1の鍵成分を第2の計算デバイスに送り、それにより第2の計算デバイスとのセキュリティアソシエーションであって、第1の計算デバイスおよび第2の計算デバイスに気付かれずに第3の計算デバイスによる発見が可能であるセキュリティアソシエーションを確立させる
    ように構成されたプロセッサと
    を備える、第1の計算デバイス
  10. 第1の計算デバイスと第2の計算デバイスの間に形成されるセキュリティアソシエーションを発見するための第3の計算デバイスであって、
    メモリと、
    メモリに結合され、かつ、第3の計算デバイスに、
    第1の計算デバイスと第2の計算デバイスの間で送信される1つまたは複数のメッセージを入手させ、
    1の計算デバイスから入手した1つまたは複数のメッセージのうちの少なくとも1つを解読させ、かつ、(i)第1の計算デバイスによって生成される第1の鍵成分、および(ii)第2の計算デバイスによって生成されるナンスを入手させ、第3の計算デバイスが、第2の計算デバイスに結合された秘密鍵の知識を有し、及び、ナンスが第2の計算デバイスに一意的に割り当てられるルート鍵を使用して第2の計算デバイスによって選択される無作為値暗号化することにより第2の計算デバイスにより生成される、ように構成され
    2の計算デバイスによって選択された無作為値を入手するためにナンスを解読させ、第3の計算デバイスが第2の計算デバイスのルート鍵の知識を有する、ように構成され、
    1の計算デバイスと第2の計算デバイスに気付かれずに、第1の計算デバイスおよび第2の計算デバイスの間に確立されるセキュリティアソシエーションを発見させ、第3の計算デバイスが、第2の計算デバイスによって選択された無作為値の知識および第1の計算デバイスによって生成された第1の鍵成分の知識を有する、
    ように構成されたプロセッサと
    を備える、第3の計算デバイス
JP2014510351A 2011-05-11 2012-04-27 公開鍵を利用した鍵管理のためのセキュリティアソシエーションの発見 Active JP5727093B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201161484868P 2011-05-11 2011-05-11
US61/484,868 2011-05-11
US13/173,079 US8644510B2 (en) 2011-05-11 2011-06-30 Discovery of security associations for key management relying on public keys
US13/173,079 2011-06-30
PCT/US2012/035355 WO2012154422A1 (en) 2011-05-11 2012-04-27 Discovery of security associations for key management relying on public keys

Publications (2)

Publication Number Publication Date
JP2014514889A JP2014514889A (ja) 2014-06-19
JP5727093B2 true JP5727093B2 (ja) 2015-06-03

Family

ID=46124719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014510351A Active JP5727093B2 (ja) 2011-05-11 2012-04-27 公開鍵を利用した鍵管理のためのセキュリティアソシエーションの発見

Country Status (6)

Country Link
US (1) US8644510B2 (ja)
EP (1) EP2707988B1 (ja)
JP (1) JP5727093B2 (ja)
KR (1) KR101516909B1 (ja)
CN (1) CN103534975B (ja)
WO (1) WO2012154422A1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8644510B2 (en) 2011-05-11 2014-02-04 Alcatel Lucent Discovery of security associations for key management relying on public keys
EP2732578B1 (en) * 2011-07-15 2019-04-03 Alcatel Lucent Secure group messaging
US9166953B2 (en) * 2011-10-31 2015-10-20 Nokia Technologies Oy Method and apparatus for providing identity based encryption in distributed computations
CA2860990C (en) * 2012-01-12 2020-06-16 Blackberry Limited System and method of lawful access to secure communications
EP3687105B1 (en) 2012-01-12 2022-05-04 BlackBerry Limited System and method of lawful access to secure communications
GB201202058D0 (en) * 2012-02-07 2012-03-21 Ericsson Telefon Ab L M Lawful interception of encrypted communications
GB2500720A (en) * 2012-03-30 2013-10-02 Nec Corp Providing security information to establish secure communications over a device-to-device (D2D) communication link
US9106411B2 (en) * 2012-09-30 2015-08-11 Apple Inc. Secure escrow service
CN102916869B (zh) * 2012-10-24 2015-07-01 鹤山世达光电科技有限公司 即时通信方法和系统
JP6366595B2 (ja) * 2012-11-12 2018-08-01 クリプトグラフィ リサーチ, インコーポレイテッド 耐グリッチ性暗号離散対数ベースの署名のための方法及びシステム
US10154025B2 (en) 2013-03-15 2018-12-11 Qualcomm Incorporated Seamless device configuration in a communication network
US20150229475A1 (en) * 2014-02-10 2015-08-13 Qualcomm Incorporated Assisted device provisioning in a network
JP6508688B2 (ja) * 2014-10-31 2019-05-08 コンヴィーダ ワイヤレス, エルエルシー エンドツーエンドサービス層認証
EP3272094B1 (en) 2015-03-16 2021-06-23 Convida Wireless, LLC End-to-end authentication at the service layer using public keying mechanisms
CN106304045A (zh) * 2015-05-28 2017-01-04 宇龙计算机通信科技(深圳)有限公司 加密通话方法及系统
KR102507113B1 (ko) * 2015-07-06 2023-03-07 삼성전자주식회사 암호화된 통신 세션의 모니터링 방법, 장치 및 시스템
US9805200B2 (en) * 2016-02-01 2017-10-31 Quanta Computer, Inc. System and method for firmware verification
US11636478B2 (en) * 2017-07-27 2023-04-25 Nanyang Technological University Method of performing authentication for a transaction and a system thereof
US10546276B2 (en) * 2017-09-13 2020-01-28 Microsoft Technology Licensing, Llc Cyber ownership transfer
US11374760B2 (en) 2017-09-13 2022-06-28 Microsoft Technology Licensing, Llc Cyber physical key
US10630467B1 (en) * 2019-01-04 2020-04-21 Blue Ridge Networks, Inc. Methods and apparatus for quantum-resistant network communication
US11722464B2 (en) * 2019-02-28 2023-08-08 Vmware, Inc. Symmetric account authentication
WO2023127963A1 (ja) * 2021-12-28 2023-07-06 達 上林 鍵共有システム、方法、プログラム、サーバ装置、及び端末装置

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557346A (en) 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for key escrow encryption
US6058188A (en) 1997-07-24 2000-05-02 International Business Machines Corporation Method and apparatus for interoperable validation of key recovery information in a cryptographic system
JPH1188315A (ja) * 1997-09-08 1999-03-30 Nippon Telegr & Teleph Corp <Ntt> 鍵管理方法およびプログラム記録媒体
WO2003017559A2 (en) * 2001-08-13 2003-02-27 Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
CN1268088C (zh) * 2001-11-29 2006-08-02 东南大学 基于pki的vpn密钥交换的实现方法
CN100592731C (zh) * 2001-12-07 2010-02-24 艾利森电话股份有限公司 端到端加密数据电信的合法侦听
US7370194B2 (en) * 2002-06-10 2008-05-06 Microsoft Corporation Security gateway for online console-based gaming
CN100389555C (zh) * 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
US8694783B2 (en) * 2007-01-22 2014-04-08 Samsung Electronics Co., Ltd. Lightweight secure authentication channel
US20080292105A1 (en) * 2007-05-22 2008-11-27 Chieh-Yih Wan Lightweight key distribution and management method for sensor networks
JP5877623B2 (ja) * 2008-07-23 2016-03-08 沖電気工業株式会社 送信端末、受信端末および情報配信システム
US8510558B2 (en) * 2009-02-17 2013-08-13 Alcatel Lucent Identity based authenticated key agreement protocol
US8850203B2 (en) * 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system
US8301883B2 (en) * 2009-08-28 2012-10-30 Alcatel Lucent Secure key management in conferencing system
US20110153809A1 (en) 2009-12-23 2011-06-23 Microsoft Corporation Legal Intercept
US8644510B2 (en) 2011-05-11 2014-02-04 Alcatel Lucent Discovery of security associations for key management relying on public keys

Also Published As

Publication number Publication date
KR101516909B1 (ko) 2015-05-04
JP2014514889A (ja) 2014-06-19
EP2707988B1 (en) 2016-02-10
US20120288092A1 (en) 2012-11-15
KR20130140873A (ko) 2013-12-24
US8644510B2 (en) 2014-02-04
CN103534975B (zh) 2016-09-07
WO2012154422A1 (en) 2012-11-15
EP2707988A1 (en) 2014-03-19
CN103534975A (zh) 2014-01-22

Similar Documents

Publication Publication Date Title
JP5727093B2 (ja) 公開鍵を利用した鍵管理のためのセキュリティアソシエーションの発見
EP2700187B1 (en) Discovery of security associations
JP5349619B2 (ja) アイデンティティベースの認証鍵共有プロトコル
JP5784833B2 (ja) セキュアグループメッセージング
JP5507689B2 (ja) マルチメディア通信システムにおけるセキュリティで保護された鍵管理
JP5507688B2 (ja) 会議システムにおけるセキュリティで保護された鍵管理
US8769259B2 (en) Methods and apparatuses for secure information sharing in social networks using randomly-generated keys
JP2015503261A (ja) ネットワーク支援型ピアツーピアセキュア通信の確立
EP3624393B1 (en) Key distribution system and method, key generation device, representative user terminal, server device, user terminal and program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140910

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150303

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150401

R150 Certificate of patent or registration of utility model

Ref document number: 5727093

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250