JP6492115B2 - 暗号鍵の生成 - Google Patents

暗号鍵の生成 Download PDF

Info

Publication number
JP6492115B2
JP6492115B2 JP2017065703A JP2017065703A JP6492115B2 JP 6492115 B2 JP6492115 B2 JP 6492115B2 JP 2017065703 A JP2017065703 A JP 2017065703A JP 2017065703 A JP2017065703 A JP 2017065703A JP 6492115 B2 JP6492115 B2 JP 6492115B2
Authority
JP
Japan
Prior art keywords
key
authentication
sqn
management entity
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017065703A
Other languages
English (en)
Other versions
JP2017175624A (ja
Inventor
マッツ ネスルント,
マッツ ネスルント,
カール ノーマン,
カール ノーマン,
Original Assignee
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=40527985&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP6492115(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by テレフオンアクチーボラゲット エルエム エリクソン(パブル), テレフオンアクチーボラゲット エルエム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エルエム エリクソン(パブル)
Publication of JP2017175624A publication Critical patent/JP2017175624A/ja
Application granted granted Critical
Publication of JP6492115B2 publication Critical patent/JP6492115B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は一般に暗号鍵を生成するための技術に関する。特に、本発明は高水準のセキュリティを提供する暗号鍵生成技術に関する。
認証/暗号鍵配送プロトコル(AKA)は対称暗号を用いるチャレンジ・レスポンス方式のプロトコルである。AKAの主目的は互いに通信する2つのエンティティによる相互認証と、これらの間で交換される通信を保護するための暗号鍵(cryptographic key)の確立とを含む。AKAの変形の1つがUMTS AKAであり、技術仕様である非特許文献1において3G移動体通信ネットワークについて3GPPによって標準化されたセキュリティ・アーキテクチャに含まれる。
UMTS AKAの基本概念が図1に示される。この図を参照すると、UMTS AKAプロトコルはユーザ機器(UE)とネットワーク・エンティティ(NE)との間で実行される。ネットワーク・エンティティはユーザ認証要求をUEへ送信することによってAKAを開始する。要求とともに、乱数チャレンジまたは乱数コード(RAND)と認証トークン(AUTN)とがUEへ送信される。RANDとAUTNとを受信すると、UEはとりわけ秘匿鍵(CK、Cipher Key)と完全性鍵とを算出し、次いで、それらを秘匿機能および完全性機能のために用いる。
3GPPはまた、いわゆる「3Gの先の」通信ネットワークの標準化に着手している。システムアーキテクチャレボリューション(SAE)およびロングタームエボリューション(LTE)は3Gの先のネットワークに密接に関連した2つの側面である。従来の3Gネットワークと比較すると、SAE/LTEに基づくネットワークは高度なおよび/または多くのセキュリティ要件を課しうる。例えば、様々な水準において通信を保護するために、より多くの暗号鍵が必要になりうる。別の標準関連文書である非特許文献2で、3GPPはSAE/LTEで用いられるより多くの暗号鍵を導出するために鍵階層を推奨している。
図2はこの鍵階層を示す。階層の一番上にあるのは鍵Kであり、UEの汎用加入者識別モジュール(USIM)とネットワーク内に存在する認証センタ(AuC)との間で共有される長期暗号鍵である。1つ下のレベルは、上述のUMTS AKA動作と同一または同様の方法でUEによって、特にUE内のUSIMによって導出される暗号鍵CK、IKの組である。階層における更に下には、CKと、IKと、必要な場合にはいくつかの他のパラメータとからUEによって導出される鍵KASMEである。導出されると、KASMEはAuCからアクセス・ネットワークへ、特にSAE/LTEネットワークのアクセス・セキュアリング管理エンティティ(ASME)へ転送され、次いでUEとネットワークとの間で共有される。アクセス・ネットワークがLTE技術に基づく場合に、ASMEの機能はモビリティ管理エンティティ(MME)によって扱われる。
鍵KASMEと階層におけるその「下の」鍵とは、ある暗号化関数を適用することによって導出されうる。例えば、
ASME=KDF(CK‖IK,0x02‖PMLN_ID‖<他のパラメータ>)
であり、ここで、KDFは汎用ブートストラッピング・アーキテクチャ(GBA)の鍵導出関数(KDF)に基づく。1つのGBA KDFは非特許文献3に規定される。
GBA KDFはセキュア・ハッシュ・アルゴリズム(SHA)ハッシュ関数のような暗号化ハッシュ関数を利用しうる。多くのSHAハッシュ関数のなかで、SHA−256は高度にセキュアな変形である。なぜなら、衝突耐性が考慮されており、擬似乱数関数のように動作するからである。その名前が示唆するように、SHA−256は256ビットのダイジェスト(出力)長を有するセキュア・ハッシュ・アルゴリズムのハッシュ関数である。PLMN_IDはUEへサービスを提供するネットワークの識別子である。
高水準のセキュリティを実現するためには、GBA KDF関数が主にCKおよびIKだけに基づくのは十分でないと認識されてきている。これに対する根拠は、所与のUEが同じCKを2度得るかも知れず、または2つの異なるUEが同じCKを得るかもしれないというリスクである。このような場合に、KDFへの入力の「一意性」は不確定であり、(同じKASMEを用いる)異なるUE間の衝突が生じうる。
一般的な見解として、x=yならばKDF(x)はKDF(y)と同じ鍵を作り出すのは確かであるが、逆は常に成り立つとはかぎらない。すなわち、たとえx≠yだとしても、KDF(x)=KDF(y)となることが起こりうるかもしれない。しかしながら、KDFは上述されたように衝突耐性を有するように設計されているSHA−256に基づくことが推奨されているため、これは起こりそうもない出来事である。よって、本明細書で説明される技術について、x=yの場合かつその場合に限りKDF(x)=KDF(y)が成り立つことを支障なく仮定できる。この仮定によって、本明細書で説明される技術はKDFへの入力の「一意性」を保証することに焦点を合わせられる。
GBA KDF仕様の標準化団体(ETSI/SAGE、特別アルゴリズム専門家グループ)は上記の問題に着目し、異なるUE間の衝突を避けるためにUEのプライベート・ユーザ識別子(IMPI)を<他のパラメータ>に含めることを推奨している。さらなる推奨として、RANDのような乱数コードも<他のパラメータ>に含まれうる。これは、ETSI/SAGEから3GPP SA3へのリエゾン声明において(非特許文献4に)説明される。
しかしながら、上記の推奨はなおもKDFへの入力の「一意性」を保証できないことが発見されている。これはGBA KDF関数のセキュリティ特性と、1つ且つ同一のUE(例えば1つ且つ同一のIMPI)についてのSAE/LTEにおけるその使用法とに関する以下の分析からわかる。
第一に、以下の基本的な構造が検討される:
KDF(CK,IMPI)。
(UEが一定である場合に)IMPI=IMPI´であることが仮定されているため、この基本的な構造は、CK=CK´の場合且つその場合に限り、2つの入力(CK,IMPI)、(CK´,IMPI´)の衝突につながるだろう。
第二に、別の構造が検討され、これは実際のGBA KDFにより近い:
KDF(CK‖IK,IMPI)。
しかしながら、IKを入力へ含めることは、最初は信じられるかもしれないように上記の衝突特性を変えない。すなわち、CK=CK´の場合かつその場合に限り、KDF(CK‖IK,IMPI)はKDF(CK´‖IK´,IMPI)に等しくなるだろう。IKを含めることがなぜ助けにならないかを理解するために、UEで実行される暗号アルゴリズムによってCKおよびIKがどのように作り出されるかを検討する必要がある。
典型的なUE側の暗号アルゴリズムは図9に示されるミレナージュ(Milenage)・アルゴリズムである。図9では、Ekはラインダール・アルゴリズムとしても知られるアドバンスド・エンクリプション・スタンダード(AES)アルゴリズムを示し、(AuCおよびUEのUSIMに記憶された)鍵Kを用いる。ここで、CK=CK´の場合に何が起こるかを検討する。AESは置換(1対1対応)であるため、これは、(太い矢印において生じる)中間値が、たまたまCKになるf3の出力によって一意に決定されることを暗示する。しかし、これは、CKを作り出す際に太い矢印における値が、CK´が作り出される場合と同じ場所において生じる値と同じでなければならないことを暗示する。同様に、これは、f4への入力として生じる値が同一でなければならず、その結果として同じf4の値が生じなければならないことを意味する。これが生じるため、f4はIKである。よって、IK=IK´である場合かつその場合に限り、CK=CK´であることが示される。
次に、標準化団体(SAGE)の推奨に従う「改良された」構造、すなわち入力にRANDを含めることを検討する:
KDF(CK‖IK,RAND‖IMPI)。
CK=CK´(よって、IK=IK´)であると仮定する。RANDを用いることによって一意性が保証されることが期待される。しかしながら、これは正しくない。ここでも、RANDからCKおよびIKを作り出したミレナージュ・アルゴリズムの「関連」部分を検討する。図9に示されるように、RANDに対応する太い矢印における値がRAND´に対応するものと同じである状況が存在する。しかしやはりAES(Ek)は置換であり、その結果、両方の入力はやはり等しくなるはずである。すなわちRAND=RAND´である。(AESはKに依存するという事実は助けにならない。なぜなら、一定のUEが仮定され、よって同じKが両方の場合で生じるだろうからである。)
言い換えると、RAND=RAND´である場合かつその場合に限り、(CK‖IK,RAND‖IMPI)=(CK´‖IK´,RAND´‖IMPI)であることが示されている。SAE/LTEの場合に、PLMN_IDも入力に含まれるかもしれないが、UEが同じネットワーク内に何度か留まることが十分にありうるため、このパラメータPLMN_IDは一意性を保証する目的では頼りにできない。
衝突を避けるための代替のアプローチはf3アルゴリズムおよびf4アルゴリズムの暗号処理についてAES以外の別のアルゴリズムを用いることでありうる。特に、上述の分析はAESが置換であるという事実に基づいた。したがって、AESの代わりに非置換(多対1対応)を用いることが可能でありうるだろう。これは2つの理由で問題になる。始めに、既存のUSIMが3GPP SAEアーキテクチャに適するように適合されなければならない。第二に、非置換関数を選択することによって、例えばf3の2つの出力が衝突する可能性が現実に増加する。
入力の一意性の欠如は深刻なセキュリティ問題になりうる。RAND=RAND´である場合かつその場合に限り衝突は生じ、RANDは128ビットであるため、衝突は約2(128/2)=264回の認証の後に生じることが予想される(これはいわゆる「誕生日パラドックス」である)。明らかに、これは(128ビットである)GBAの目標とするセキュリティ水準よりも低い。LTEの場合は更に悪い。なぜなら、LTEでは256ビットのセキュリティ水準を提供することが必要だからである。よって、高い衝突確率はSAE/LTEにおいて要求されるセキュリティ水準を提供することへの重大な障害となる。
3G TS33.102 3GPP TR33.821 3G TS33.220 3GPP文書番号S3−030219
従って、上述の衝突を避ける解決策が必要となる。解決策はまた、理想的にすでに配布されたUSIMで動作し、すべてのUSIMの置き換えを必要とするべきではない。
第1側面によれば、暗号鍵を生成するための方法が提供される。暗号鍵はとりわけ2つのエンティティ間の通信を保護するために用いられる。本方法は第1エンティティによって実行される。本方法は第2エンティティによって開始される分散セキュリティ動作の一部を形成する。本方法は、少なくとも2つのパラメータを提供することを有し、第1パラメータはセキュリティ動作を実行することによって第1エンティティにより算出された暗号鍵の集合を備えるか、この集合から導出される。第2パラメータは第1エンティティについて第2エンティティによりセキュリティ動作が開始されるごとに異なる値を有するトークンを備えるかこのトークンから導出される(言い換えると、トークンの値は任意の2つのセキュリティ動作について決して同じにならない)。本方法は、提供されるパラメータに基づいて暗号鍵を生成するために鍵導出関数を適用することを有する。
「パラメータがXを備える」という表現は、文字列形式において、変数Xがパラメータまたはその一部を形成することを意味しうる。「パラメータがXから導出される」という表現は、パラメータが少なくとも変数Xに数学関数のような所定の関数を適用した結果であることを意味しうる。関数の例は算術演算、論理演算、文字列演算、およびこれらの任意の組み合わせを含むがこれらに限定されない。算術演算は加算、減算、乗算などや、これらの任意の意味のある組み合わせでありうる。論理演算はAND、OR、排他的論理和(xOR)、NOTなどや、これらの任意の意味のある組み合わせでありうる。文字列演算は連結、反転、置換などや、これらの任意の意味のある組み合わせでありうる。さらに、算術演算、論理演算、および文字列演算は組み合わされうる。
特に、上述のトークンは、第1エンティティについて第2エンティティにより開始されたセキュリティ動作の回数を示すシーケンス番号(SQN)を備えるか、またはこのシーケンス番号から導出されうる。開始ごとに、SQNは第2エンティティによって増やされうる。この仕組みは、開始されたセキュリティ動作ごとにトークンが異なる値を有することを保証する。
トークンは多くの形式を取りうる。1つの場合に、SQNそのものがトークンになりえる。これに代えて、トークンは、算術演算、論理演算、および文字列演算のうちの少なくとも1つのような所定の数学演算を伴うアルゴリズムを用いてSQNから導出されうる。例えば、トークンは、SQNに基づいて第2エンティティにより作成されて第1エンティティへ配信される認証トークン(AUTN)を備えるか、または認証トークンから導出されうる。この作成および配信はセキュリティ動作の一部でありうる。
特に、トークンはSQNと匿名鍵(AK、Anonymity Key)との排他的論理和を備えうる。更に具体的に、トークンは、SQNと匿名鍵(AK)との排他的論理和、認証・鍵管理フィールド(AMF)、およびメッセージ認証コード(MAC)の連結でありうる。この連結は、
トークン=AUTN=(SQN xOR AK)‖AMF‖MAC
または
トークン=function(AUTN)=function((SQN xOR AK)‖AMF‖MAC)
と表現されうる。
第2パラメータはさらに、乱数チャレンジまたは乱数コード(RAND)を備えるか、またはRANDから導出されうる。RANDはセキュリティ動作の一部として第2エンティティにより生成されて第1エンティティへ配信されうる。第2パラメータはなおもさらに、第1エンティティの識別子を備えるか、またはこの識別子から導出されうる。この識別子はプライベート・ユーザ識別子(IMPI)または国際移動体加入識別子(IMSI)でありうる。なおもさらに、第2パラメータは通信ネットワークおよび特に第1エンティティのサービング・ネットワークの識別子を備えるか、またはこの識別子から導出されうる。例えば、この識別子は公衆地上波移動体ネットワーク識別子(PLMN_ID)でありうる。
具体的に、第2パラメータは、0x02、PLMN_ID、RAND、IMPIまたはIMSI、およびトークンの連結を備えるか、またはこの連結から導出されうる。これは、
0x02‖PLMN_ID‖RAND‖IMPI‖トークン
と表現されうる。トークンがSQNそのものである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖SQN
となり、トークンがAUTNである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖AUTN
となる。
本方法で用いられる第1パラメータに関して、このパラメータは、セキュリティ動作を実行することによって第1エンティティにより得られていた暗号鍵の集合を備えるか、またはこの集合から導出されうる。暗号鍵の集合は秘匿鍵(CK)および完全性鍵(IK)を備えるか、またはこれらから導出されうる。
CKとIKとは、AUTNおよびRANDに基づいて第1エンティティにより算出された秘匿鍵と完全性鍵とでありうる。AUTNおよびRANDは第2エンティティから配信されうる。この算出だけでなくAUTNおよびRANDの配信はセキュリティ動作の一部を形成しうる。
1つの実装では、第1パラメータはCKとIKとの連結を備えるか、またはこの連結から導出されうる。これは数学的にCK‖IKと表現されうる。
本明細書で説明される方法は暗号鍵を生成する。この鍵は少なくとも第1エンティティと第2エンティティとによって、これらの間の任意の後続の通信において共有されうる。ある実装では、この鍵は図2の「鍵階層」において参照されるKASMEでありえ、第1エンティティと第2エンティティのアクセス・セキュリティ管理エンティティ(ASME)とによって共有されうる。
本方法は、多くの暗号鍵を生成するように1つ以上の更なる鍵導出関数を適用することを有するように拡張されうる。このような生成は上述の基本的な非拡張の方法で生成された暗号鍵、例えばKASMEに基づくかこれを利用する。
拡張された方法で生成される暗号鍵は、ノンアクセスストラタム(NAS)トラフィックを保護するための暗号鍵の集合、無線リソース制御(RRC)トラフィックの保護のための暗号鍵の集合、ユーザプレーン(UP)トラフィックの保護のための暗号鍵の集合、およびRRCトラフィックを保護するための暗号鍵とUPトラフィックを保護するための暗号鍵との少なくとも一方を導出するためのKeNBのような中間暗号鍵、のうちの少なくとも1つを含みうる。これらの鍵の理解を容易にするために、SAE/LTEで用いられる鍵階層を説明する図2が参照される。
具体的に、NASトラフィックを保護するための暗号鍵の集合は暗号化アルゴリズムでNASトラフィックを保護するための鍵(KNASenc)と、完全性アルゴリズムでNASトラフィックを保護するための別の鍵(KNASint)とのうちの少なくとも一方を備えうる。同様に、RRCトラフィックの保護のための暗号鍵の集合は暗号化アルゴリズムでRRCトラフィックを保護するための鍵(KRRCenc)と、完全性アルゴリズムでRRCトラフィックを保護するための別の鍵(KRRCint)とのうちの少なくとも一方を備えうる。さらに、UPトラフィックの保護のための暗号鍵の集合は暗号化アルゴリズムでUPトラフィックを保護するための鍵(KUPenc)を備えうる。
本明細書で説明される技術について、「第1エンティティ」は移動局のようなユーザ機器でありうる。「第2エンティティ」は通信ネットワーク内に位置するエンティティでありえ、それ故「ネットワーク・エンティティ」でありうる。特に、第2エンティティはSAE/LTEネットワーク内に位置しうる。
第2エンティティは認証センタ(AuC)/ホーム加入者サーバ(HSS)とモビリティ管理エンティティ(MME)とを備えうる。MMEは第1エンティティについてセキュリティ動作を開始する責任を有しうる。生成される暗号鍵はAuC/HSSにより生成されて、第1エンティティとMMEとによって共有されうる。AuC/HSSは、特に第1エンティティについてセキュリティ動作が開始されるごとに、SQNを増分しうる。さらに、AuC/HSSはまた、SQNに基づいてAUTNを作成しうる。
本明細書で参照されるセキュリティ動作は第1エンティティと第2エンティティとが連携して実行されうる。例えば、セキュリティ動作はUMTS AKAプロトコルのようなAKA手続きに基づきうる。
本方法で参照される鍵導出関数は汎用ブートストラッピング・アーキテクチャ(GBA)鍵導出関数でありうる。汎用ブートストラッピング・アーキテクチャ鍵導出関数はセキュア・ハッシュ・アルゴリズム(SHA)ハッシュ関数を採用しうる。特に、256ビットの長さのダイジェストを有するセキュア・ハッシュ・アルゴリズムのハッシュ関数(SHA−256)が採用されうる。
別の側面によれば、コンピュータプログラム製品が提供される。コンピュータプログラム製品は、コンピュータプログラム製品が計算装置のためのコンピュータシステムで実行される場合に本明細書で説明される方法のステップを実行するためのコンピュータコード部を備える。コンピュータプログラム製品はコンピュータで読み取り可能な記録媒体に格納されうる。
一般に、本解決策は、ハードウェア、ソフトウェア、または統合ハードウェア/ソフトウェア・アプローチで実施されうる。
ハードウェアによる実現に関して、通信エンティティのために暗号鍵を生成するように構成された装置が提供される。装置はセキュリティ動作を実行でき、暗号鍵の生成はその一部でありうる。本装置は、少なくとも2つのパラメータを提供するように構成された第1コンポーネントを備える。第1パラメータはセキュリティ動作を実行することによって通信エンティティにより算出された暗号鍵の集合を備えるか、この集合から導出される。第2パラメータは通信エンティティについてセキュリティ動作が開始されるごとに異なる値を有するトークンを備えるかこのトークンから導出される。本装置は、提供されるパラメータに基づいて暗号鍵を生成するために鍵導出関数を実行するように構成された第2コンポーネントをさらに備える。上述のように、トークンは多くの可能な形式をとりうる。
トークンは、通信エンティティについて開始されたセキュリティ動作の回数を示すSQNを備えるか、またはこのSQNから導出されうる。1つの実装では、SQNそのものがトークンである。これに代えて、トークンは、算術演算、論理演算、および文字列演算のうちの少なくとも1つを伴うアルゴリズムを用いてSQNから導出されうる。例えば、トークンは、SQNに基づいて作成されて通信エンティティへ配信されたAUTNを備えるか、またはこのAUTNから導出されうる。ここで、この作成および配信はセキュリティ動作の一部を形成する。例えば、トークンは、SQNと匿名鍵(AK)との排他的論理和、認証・鍵管理フィールド(AMF)、およびメッセージ認証コード(MAC)の連結でありうる。特に、これは、
トークン=AUTN=(SQN xOR AK)‖AMF‖MAC
と表現されうる。
トークンに加えて、第2パラメータはさらに、RANDを備えるか、またはこのRANDから導出されうる。RANDはセキュリティ動作の一部として通信エンティティへ配信されうる。さらに、第2パラメータは、通信エンティティの識別子を備えるか、またはこの識別子から導出されうる。この識別子の一例は通信エンティティのプライベート・ユーザ識別子(IMPI)である。なおもさらに、第2パラメータは通信エンティティのサービング・ネットワークの識別子を備えるか、またはこの識別子から導出されうる。この識別子は公衆地上波移動体ネットワーク識別子(PLMN_ID)でありうるだろう。
第2パラメータの特定の例は、0x02、PLMN_ID、RAND、IMPIまたはIMSI、およびトークンの連結を備えるか、またはこの連結から導出されうる。例えば、第2パラメータは、
0x02‖PLMN_ID‖RAND‖IMPI‖トークン
と表現されうる。トークンがSQNである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖SQN
となり、トークンがAUTNである場合に、上記は
0x02‖PLMN_ID‖RAND‖IMPI‖AUTN
となる。
上述のように、第1パラメータは、暗号鍵の集合を備えるか、またはこの集合から導出されうる。特に、この暗号鍵の集合は、セキュリティ動作の一部として通信エンティティにより算出された秘匿鍵(CK)および完全性鍵(IK)を備えうる。これに代えて、暗号鍵の集合は秘匿鍵および完全性鍵から導出されうる。
特定の実装として、第1パラメータはCK‖IKと表現されうるCKとIKとの連結を備えるか、またはこの連結から導出されうる。
本装置は提供された第1パラメータおよび第2パラメータに基づいて暗号鍵を生成するだけでなく、生成された暗号鍵に基づいて更なる暗号鍵を生成できる。これを行う場合に、本装置は、生成された暗号鍵に基づいて更なる暗号鍵を生成するように1つ以上の更なる鍵導出関数を適用するように構成されうる。
これらの「更なる暗号鍵」は、ノンアクセスストラタム(NAS)トラフィックの保護のための暗号鍵の集合、無線リソース制御(RRC)トラフィックの保護のための暗号鍵の集合、ユーザプレーン(UP)トラフィックの保護のための暗号鍵の集合、およびRRCトラフィックを保護するための暗号鍵とUPトラフィックを保護するための暗号鍵との少なくとも一方を導出するためのKeNBのような中間暗号鍵、のうちの少なくとも1つを備えうる。
上記で参照される通信エンティティは移動局(例えば移動体電話やネットワーク・カード)のようなユーザ機器でありうる。
更なる側面によれば、上記で提示された装置を備えるユーザ機器が提供される。ユーザ機器は移動局でありうる。
なおも更なる側面によれば、上述のユーザ機器を備えるシステムが提供される。本システムはネットワーク・エンティティも備える。ネットワーク・エンティティはSAE/LTEネットワーク内で用いられうる。ネットワーク・エンティティはAuC/HSSとMMEとを備えうる。MMEはユーザ機器についてセキュリティ動作を開始する責任を有しうる。AuC/HSSは暗号鍵を生成しうる。生成される暗号鍵はユーザ機器とMMEとによって共有されうる。AuC/HSSは、特にユーザ機器についてセキュリティ動作が開始されるごとに、SQNを増分しうる。さらに、AuC/HSSはまた、SQNに基づいてAUTNを作成しうる。
UMTS AKAプロトコルの基本概念を示す図である。 SAE/LTEシステムについて提案される鍵階層を説明するブロック図である。 装置の実施形態を示すブロック図である。 システムの実施形態を示すブロック図である。 方法の実施形態を示すブロック図である。 UMTS AKA動作の手続きであるネットワーク・エンティティによる認証ベクトル生成を示すブロック図である。 UMTS AKA動作の別の手続きである認証・鍵確立を示すブロック図である。 UMTS AKA動作の一部としてUEによって実行される汎用認証機能を示すブロック図である。 UEにおいて上述の認証機能を実行するための特定の暗号アルゴリズムを示すブロック図である。 上述の暗号アルゴリズムの特定の詳細を示すブロック図である。
図面に説明される例示の実施形態を参照しつつ、以下に暗号鍵生成技術が説明される。
以下の説明では、説明のためであって限定のためではなく、暗号鍵生成技術の完全な理解を提供するために、特定のステップ列、インタフェース、および構成のような個別の詳細が説明される。これらの個別の詳細から逸脱する他の実施形態で本技術が実施されうることが当業者には明らかだろう。例えば、本技術は主にUMTS AKAプロトコルの文脈でSAE/LTEネットワーク環境において説明されるものの、本技術はまた、他のセキュリティ・プロトコル、アーキテクチャ、または環境に関連して実施されうることが当業者に明らかだろう。
さらに、本明細書で以下に説明される機能は、プログラムされたマイクロプロセッサまたは汎用コンピュータと連携して機能するソフトウェアを用いて実行されうることを当業者は理解するだろう。本技術は主に方法および装置の形式で説明されるが、本技術はまた、コンピュータプログラム製品に具現化されてもよいだけでなく、コンピュータプロセッサと本プロセッサに結合したメモリとを備えるシステムに具現化されてもよいことも理解されるだろう。ここで、本明細書で開示される機能を実行する1つ以上のプログラムでメモリが符号化される。
図3は(図3に図示されない)通信エンティティについて暗号鍵を生成するように構成された装置100の実施形態を示す。通信エンティティはセキュリティ動作を実行するように構成される。装置100は、第1コンポーネント102と第2コンポーネント104とを備える。第1コンポーネント102は、矢印106、108で比喩的に示される少なくとも2つのパラメータを提供するように構成される。
第1パラメータ106は暗号鍵110、112の集合を備えるか、またはこの集合から導出される。(図には2つの鍵が示されるものの、暗号鍵の集合は任意の個数の鍵を含みうる。)暗号鍵の集合はセキュリティ動作を実行することによって通信エンティティによって算出される。暗号鍵110、112の集合から第1パラメータ106を導出することは比喩的にブロック114として示される。第2パラメータ108はトークン116を備えるか、またはこのトークン116から導出される。トークン116は、セキュリティ動作が通信エンティティについて開始されるごとに異なる値を有する。トークン116から第2パラメータ108を導出することは比喩的にブロック118として示される。装置100の第2コンポーネント104は、提供されたパラメータ106、118に基づいて暗号鍵120を生成するために鍵導出関数を実行するように構成される。
図4を参照して、上述の装置100を備えるシステム200の実施形態が示される。装置100は、移動局のような、UEでありうる通信エンティティ202に含まれうる。当然ながら、通信エンティティ202は装置100に適合可能な任意の適切な種類の通信エンティティでありうる。さらに、システムは、SAE/LTEネットワーク内に存在しうるネットワーク・エンティティ204を備える。ネットワーク・エンティティ204はAuCまたはHSSとMMEとを備えうる。これはまた、SAE/LTEネットワーク内の別の通信エンティティでありうる。
図3、図4に示される暗号鍵生成装置100に対応して、暗号鍵を生成するための方法の実施形態を示す図300が図5に示される。生成される鍵は2つのエンティティ間の通信を保護するために用いられる。第1エンティティ302は図4に示される通信エンティティ202に対応してもよく、第2エンティティ304は図4のネットワーク・エンティティ204に対応してもよい。第1エンティティはUEでありうる。しかしながら、本実施形態はUE‐ネットワーク・エンティティ間のシナリオに限定されない。そうではなく、一般に任意の2つの通信エンティティに適用されうる。
MMEは通信エンティティ202についてセキュリティ動作を開始する責任を有しうる。生成される暗号鍵はMMEと通信エンティティ202とによって共有されうる。
特に、方法の実施形態は、矢印300´で比喩的に説明されるセキュリティ動作の一部として第1エンティティ302により実行される。セキュリティ動作は第1エンティティ302について第2エンティティ304により(特にそのMMEにより)開始される。実施形態自体は2つのステップ306、308を有する。ステップ306では少なくとも2つのパラメータ(図3の106と108)を提供する。第1パラメータは、セキュリティ動作300´を実行することによって第1エンティティ302により算出された暗号鍵(図3に示される110と112)の集合を備えるか、またはこの集合から導出される。第2パラメータは、第1エンティティ302についてセキュリティ動作300´が第2エンティティにより開始されるごとに異なる値を有するトークン(図3に示される116)を備えるか、またはこのトークンから導出される。第2ステップ308で、提供されたパラメータ(図3に示される116と118)に基づいて暗号鍵(図3に示される120)を生成するために鍵導出関数が適用される。
以下に、2つのUE間の鍵衝突、またはさらに重要なものとして1つ且つ同一のUEについてのセキュリティ動作の2つの異なる実行間の鍵衝突を本技術がどのように首尾よく回避するかを特に強調しつつ、暗号鍵生成技術を説明するための実質的な詳細が与えられる。
暗号鍵生成はUMTS AKA動作の一部でありうる。UMTS AKAは、UE特にそのUSIMと、UEのホーム環境(HE)内のAuC/HSSとが、ユーザ固有の秘密鍵K、所定のメッセージ認証関数f1、f2、および所定の暗号鍵生成関数f3、f4、f5を共有するという実装に基づく。さらに、USIMとAuC/HSSとは、ネットワーク認証をサポートするためにカウンタまたはシーケンス番号SQNUE、SQNHEをそれぞれ管理する。例えば、AuC/HSSは、特に第1エンティティについてセキュリティ動作が開始されるごとに、SQNHEを増分しうる。UMTS AKA動作は、認証ベクトル(AV)生成、認証・鍵確立を含む複数の手続きを有する。
AV手続きの目的は、複数のユーザ認証を実行するために、UEのHEからSN/VLR(またはMME)に未使用の(fresh)AVの配列を提供することである。HEによる認証ベクトル生成が図6に説明される。この図を参照して、SN/VLRから要求を受信すると、AuC/HSSはn個の認証ベクトルAV(1…n)の順序配列をSN/VLRへ送信する。各AVは乱数(すなわち乱数チャレンジ)RAND、期待応答XRES、秘匿鍵CK、完全性鍵IK、および認証トークンAUTNを備える。
AuC/HSSは、未使用のシーケンス番号SQNと予測不可能なチャレンジRANDとを生成することから始める。続いて、以下の値が算出される:
‐メッセージ認証コードMAC=f1(SQN‖RAND‖AMF)、ここでf1はメッセージ認証関数、
‐期待応答XRES=f2(RAND)、ここでf2は(場合によっては切り落とされた(truncated))メッセージ認証関数、
‐秘匿鍵CK=f3(RAND)、ここでf3は鍵生成関数、
‐完全性鍵IK=f4(RAND)、ここでf4は鍵生成関数、
‐匿名鍵AK=f5(RAND)、ここでf5は鍵生成関数。
最後に、認証トークンAUTN=(SQN xOR AK)‖AMF‖MACが作成される。これはAUC/HSSにより作成されうる。ここで、AKはSQNを秘匿するために用いられる匿名鍵である。なぜなら、SQNはUEの識別子およびロケーションをさらしうるからである。SQNの隠匿は受動的攻撃から保護するためである。AKの使用はオプションでありうる。AKが用いられない場合に値AK=000...0がその代わりに比喩的に用いられうる。
AVの配列は認証応答において要求元のSN/VLRへ返信される。各AVはSN/VLRとUSIMとの間の1つ(且つ唯1つ)の認証/暗号鍵配送について有効である。
UMTS AKA動作の次の手続きである認証・鍵確立はSN/VLRとUEとの間で相互認証し、新たな秘匿鍵および完全性鍵を確立することである。この処理は図7に説明される。この図を参照して、SN/VLRが認証/暗号鍵配送を開始する場合に、それは配列から次のAVを選択し、パラメータであるRANDおよびAUTNをUEへ送信する。USIMはAUTNが受け入れ可能であるかどうかを調べ、そうであるならばSN/VLRへ返信される応答RESを作り出す。特にUE′の手続きが図8に示される。
図8を参照して、RANDおよびAUTNを受信すると、UEはまず匿名鍵AK=f5(RAND)を算出し(またはAK=000...0を使用し)、シーケンス番号SQN=(SQN xOR AK) xOR AKを読み出す。次に、UEはXMAC=f1(SQN‖RAND‖AMF)を算出し、これをAUTNに含まれるMACと比較する。これらが異なるならば、UEはユーザ認証却下を理由の表示とともにSN/VLRへ返信し、UEは手続きを中止する。さもなければ、UEは受信されたSQNが正しい範囲内にあることを検証する。
SQNが正しい範囲内にあると考えられるならば、UEはRES=f2(RAND)を算出し、SN/VLRへ戻されるユーザ認証応答にこのパラメータを含める。最後に、UEは秘匿鍵CK=f3(RAND)と完全性鍵IK=f4(RAND)とを算出する。効率性を向上するために、RES、CK、およびIKはまた、RANDを受信した後の任意の時点で早期に算出されうるだろう。UEは再同期のためにRANDを記憶しうる。
ユーザ認証応答を受信すると、SN/VLRはRESと、選択された認証ベクトルからの期待応答XRESとを比較する。XRESがRESに等しいならば、ユーザの認証は受け入れられている。次いで、新たに算出された鍵CK、IKは秘匿機能および完全性機能を実行するエンティティへUSIMおよびSN/VLRによって転送されるだろう。
上記から、UMTS AKA動作は組(RAND,AUTN)に基づき、AUTNは
AUTN=(SQN xOR AK)‖AMF‖MAC
として、シーケンス番号SQNを備えるか、またはこのSQNから導出されることが見て取れる。ここで、AKは匿名鍵であり、上記の出力”f5”からミレナージュ(図9参照)によって作り出されうる。
以下の関数
KDF(CK‖IK,RAND‖IMPI‖SQN)
は上述の衝突問題への第1解決策である。ここで、SQNはこのように入力に含まれている。ここで、2つのRANDが同一、すなわちRAND=RAND´だとしても、SQNが常に(例えば1だけ)増加しているという事実は、入力が異なり、一意であり、または区別できることを保証するだろう。
代替の解決策は、
KDF(CK‖IK,RAND‖IMPI‖AUTN)
を用いることである。この解決策は、AUTNがAKAシグナリングから「そのまま」用いられうるため、より単純に実装されうる。しかしながら、この場合の入力の「一意性」は明らかでないかもしれない。なぜなら、
AUTN=(SQN xOR AK)‖AMF‖MAC
であり、SQN≠SQN´だとしても、AKが場合によっては違いを「打ち消し」うるため、(SQN xOR AK)と(SQN´ xOR AK´)とが異なることはすぐには見て取れない。しかしながら、以下のように、(SQN xOR AK)が異なっていることが証明されうる。
(CK‖IK,RAND‖IMPI‖AUTN)=(CK´‖IK´,RAND′‖IMPI‖AUTN´)
が成り立つと想定する。これがCK=CK´、IK=IK´、およびRAND=RAND´を暗示することがすでに示されている。よって、AUTN=AUTN´が成り立ちうるかどうかを調べることが残っている。これを調べることは、
(SQN xOR AK)‖AMF‖MAC=(SQN´ xOR AK´)‖AMF´‖MAC´
が成り立つかどうかを調べることに置き換えうる。
一般性を失わずにAMF=AMF´かつMAC=MAC´であると仮定しよう。次いで、以下の
SQN xOR AK = SQN´ xOR AK´
が成り立ちうるかどうかを調べることだけが必要になる。
RAND=RAND´が予想されることを再考しよう。図9に示されるミレナージュ・アルゴリズムを参照して、これはAK=AK´(なぜならこれらは同じRANDから作り出されたため)を暗示する。よって、
SQN=SQN´
となるべきであるが、これは矛盾する。なぜなら、前述のように、SQNは常に「ステップアップ」し、よってSQN≠SQN´であるからである。
よって、第2解決策もKDF関数への入力の一意性が保証されることが証明される。
一意性を達成するためにSQNまたはAUTNを用いる代わりの一般の解決策とて、UEについてネットワークによりUMTS AKA動作が開始されるごとに異なる値を有する任意のトークンが利用可能である。例えば、(上述の解析によって、)必要な一意性特性を有するため、(AUTNの一部を形成する)SQN xOR AKが用いられうる。
上述の暗号鍵生成技術は数多くの利点を示す。例えば、これはKDF入力の一意性を保証する。従って、起こりえる同一の入力によってもたらされる衝突を首尾よく回避する。この技術を用いれば、生成される暗号鍵が例えばSAE/LTEシステムの高水準のセキュリティ要件を満たすことができるだろう。さらなる利点として、本技術はUSIMを交換する必要なく、すでに配備されたUSIMに基づいて実装されうる。SQNでなくAUTNを用いることによる別の個別の利点は、本発明が(USIM以外の)移動体端末において実施されうることである。
暗号鍵生成技術の実施形態が添付の図面で説明され前述の明細書で記載されてきたが、本技術はここに開示された実施形態に限定されないことが理解されるだろう。本技術は本発明の範囲を逸脱することなく数多くの再構成、修正および置換が可能である。

Claims (5)

  1. ユーザ機器とモビリティ管理エンティティ(204)との間の通信を保護するためのアクセス・セキュリティ管理エンティティ鍵K ASME を生成するための方法であって、前記方法は前記モビリティ管理エンティティ(204)により開始されるAKAプロトコルに基づく認証/暗号鍵配送手続きの一部として前記ユーザ機器により実行され、
    前記認証/暗号鍵配送手続きを実行することによって前記ユーザ機器により算出された暗号鍵の集合を備えるか又は前記集合から導出される第1パラメータ(106)と、トークン(116)から導出される第2パラメータ(108)とを含む少なくとも2つのパラメータを提供する工程(306)と、
    前記提供されたパラメータ(106,108)に基づいて前記アクセス・セキュリティ管理エンティティ鍵KASMEを生成するために鍵導出関数を適用する工程(308)であって、前記トークン(116)はシーケンス番号<SQN>と匿名鍵<AK>との排他的論理和を備え、前記暗号鍵の集合はUMTS認証/暗号鍵配送<AKA>プロトコルに準拠する乱数チャレンジを用いて鍵生成関数f3によって生み出された秘匿鍵<CK>(110)及びUMTS AKAプロトコルに準拠する乱数チャレンジを用いて鍵生成関数f4によって生み出された完全性鍵<IK>(112)を備える、工程(308)と、
    前記生成されたアクセス・セキュリティ管理エンティティ鍵KASMEに基づいてノンアクセスストラタムトラフィックを保護するための暗号鍵K NASenc を生成するために更なる鍵導出関数を適用する工程と
    を有することを特徴とする方法。
  2. 前記認証/暗号鍵配送手続きは前記ユーザ機器と前記モビリティ管理エンティティ(204)とにより連携して実行されることを特徴とする請求項に記載の方法。
  3. 請求項1又は2に記載の方法の各工程をユーザ機器に実行させるためのコンピュータプログラム。
  4. モビリティ管理エンティティ(204)により開始されるAKAプロトコルに基づく認証/暗号鍵配送手続きを実行するように構成されたユーザ機器のためにアクセス・セキュリティ管理エンティティ鍵K ASME を生成するように構成された装置(100)であって、
    前記認証/暗号鍵配送手続きを実行することによって前記ユーザ機器により算出された暗号鍵の集合を備えるか又は前記集合から導出される第1パラメータ(106)と、トークン(116)から導出される第2パラメータ(108)とを含む少なくとも2つのパラメータを提供するように構成された第1コンポーネント(102)と、
    前記提供されたパラメータ(106,108)に基づいて前記アクセス・セキュリティ管理エンティティ鍵KASMEを生成するために鍵導出関数を適用するように構成された第2コンポーネント(104)と
    を備え、
    前記トークン(116)はシーケンス番号<SQN>と匿名鍵<AK>との排他的論理和を備え、
    前記暗号鍵の集合はUMTS認証/暗号鍵配送<AKA>プロトコルに準拠する乱数チャレンジを用いて鍵生成関数f3によって生み出された秘匿鍵<CK>(110)及びUMTS AKAプロトコルに準拠する乱数チャレンジを用いて鍵生成関数f4によって生み出された完全性鍵<IK>(112)を備え、
    前記装置は、前記生成されたアクセス・セキュリティ管理エンティティ鍵KASMEに基づいてノンアクセスストラタムトラフィックを保護するための暗号鍵K NASenc を生成するために更なる鍵導出関数を適用するようにさらに構成されことを特徴とする装置(100)。
  5. 請求項に記載の装置(100)を備えることを特徴とするユーザ機器。
JP2017065703A 2008-06-06 2017-03-29 暗号鍵の生成 Active JP6492115B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US5938608P 2008-06-06 2008-06-06
US61/059,386 2008-06-06

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2015241380A Division JP6121512B2 (ja) 2008-06-06 2015-12-10 暗号鍵の生成

Publications (2)

Publication Number Publication Date
JP2017175624A JP2017175624A (ja) 2017-09-28
JP6492115B2 true JP6492115B2 (ja) 2019-03-27

Family

ID=40527985

Family Applications (5)

Application Number Title Priority Date Filing Date
JP2011511982A Active JP4792135B2 (ja) 2008-06-06 2008-07-21 暗号鍵の生成
JP2011161346A Pending JP2011254512A (ja) 2008-06-06 2011-07-22 暗号鍵の生成
JP2013252327A Pending JP2014078985A (ja) 2008-06-06 2013-12-05 暗号鍵の生成
JP2015241380A Expired - Fee Related JP6121512B2 (ja) 2008-06-06 2015-12-10 暗号鍵の生成
JP2017065703A Active JP6492115B2 (ja) 2008-06-06 2017-03-29 暗号鍵の生成

Family Applications Before (4)

Application Number Title Priority Date Filing Date
JP2011511982A Active JP4792135B2 (ja) 2008-06-06 2008-07-21 暗号鍵の生成
JP2011161346A Pending JP2011254512A (ja) 2008-06-06 2011-07-22 暗号鍵の生成
JP2013252327A Pending JP2014078985A (ja) 2008-06-06 2013-12-05 暗号鍵の生成
JP2015241380A Expired - Fee Related JP6121512B2 (ja) 2008-06-06 2015-12-10 暗号鍵の生成

Country Status (20)

Country Link
US (3) US8340288B2 (ja)
EP (4) EP2291946B2 (ja)
JP (5) JP4792135B2 (ja)
KR (1) KR101274392B1 (ja)
CN (2) CN103746794B (ja)
AU (1) AU2008357317B2 (ja)
BR (1) BRPI0822761B1 (ja)
CA (1) CA2722186C (ja)
CL (1) CL2009001359A1 (ja)
DK (2) DK2528268T6 (ja)
ES (3) ES2637313T7 (ja)
IL (1) IL209799A (ja)
MA (1) MA32613B1 (ja)
MX (1) MX2010012033A (ja)
MY (1) MY146687A (ja)
NZ (1) NZ589294A (ja)
PL (3) PL2658163T6 (ja)
RU (1) RU2480925C2 (ja)
WO (1) WO2009146729A1 (ja)
ZA (1) ZA201008200B (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8079071B2 (en) * 2006-11-14 2011-12-13 SanDisk Technologies, Inc. Methods for accessing content based on a session ticket
US20080114772A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Method for connecting to a network location associated with content
US8327454B2 (en) * 2006-11-14 2012-12-04 Sandisk Technologies Inc. Method for allowing multiple users to access preview content
US20080114693A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Method for allowing content protected by a first DRM system to be accessed by a second DRM system
US20080112562A1 (en) * 2006-11-14 2008-05-15 Fabrice Jogand-Coulomb Methods for linking content with license
US8763110B2 (en) * 2006-11-14 2014-06-24 Sandisk Technologies Inc. Apparatuses for binding content to a separate memory device
EP2177074B1 (en) * 2007-08-15 2017-10-04 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for early ims security
US7522723B1 (en) * 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
CN101616408B (zh) * 2008-06-23 2012-04-18 华为技术有限公司 密钥衍生方法、设备及系统
GB0822599D0 (en) * 2008-12-11 2009-01-21 Vodafone Plc Securing network rejection
US8296836B2 (en) * 2010-01-06 2012-10-23 Alcatel Lucent Secure multi-user identity module key exchange
US9215220B2 (en) * 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
US20120142315A1 (en) * 2010-12-06 2012-06-07 Jong-Moon Chung Method for authentication and key establishment in a mobile communication system and method of operating a mobile station and a visitor location register
US8943318B2 (en) 2012-05-11 2015-01-27 Verizon Patent And Licensing Inc. Secure messaging by key generation information transfer
US9154527B2 (en) 2011-06-30 2015-10-06 Verizon Patent And Licensing Inc. Security key creation
US8990554B2 (en) 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
US9270453B2 (en) 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
EP2730048A2 (en) * 2011-07-07 2014-05-14 Verayo, Inc. Cryptographic security using fuzzy credentials for device and server communications
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
CN103906053B (zh) 2012-12-28 2019-09-10 北京三星通信技术研究有限公司 配置和传输加密密匙的方法
CN104919834B (zh) * 2013-01-11 2018-10-19 Lg 电子株式会社 用于在无线通信系统中应用安全信息的方法和设备
EP3018850B1 (en) 2013-01-30 2017-05-10 Telefonaktiebolaget LM Ericsson (publ) Security key generation for dual connectivity
JP2014192612A (ja) 2013-03-26 2014-10-06 Toshiba Corp 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
GB2518254B (en) * 2013-09-13 2020-12-16 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
FR3018371B1 (fr) * 2014-03-10 2016-05-06 Commissariat Energie Atomique Procede et systeme de chiffrement/dechiffrement de donnees a cle distante et verification prealable de jeton
US10390224B2 (en) 2014-05-20 2019-08-20 Nokia Technologies Oy Exception handling in cellular authentication
EP3146740B1 (en) * 2014-05-20 2021-04-14 Nokia Technologies Oy Cellular network authentication
FR3022053B1 (fr) * 2014-06-06 2018-02-02 Oberthur Technologies Procede d'authentification d'une premiere entite electronique par une seconde entite electronique et entite electronique mettant en œuvre un tel procede
JPWO2016132719A1 (ja) 2015-02-16 2017-12-28 日本電気株式会社 通信システム、ノード装置、通信端末、及びキー管理方法
KR101675088B1 (ko) * 2015-04-30 2016-11-10 성균관대학교산학협력단 Mtc에서의 네트워크와의 상호 인증 방법 및 시스템
US10931644B2 (en) 2015-06-23 2021-02-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity
EP3446518B1 (en) * 2016-04-19 2022-01-05 Nokia Solutions and Networks Oy Network authorization assistance
MX392629B (es) * 2016-07-07 2025-03-21 Nokia Solutions & Networks Oy Comunicacion de tipo maquina usando servicio de mensajeria corta de origen movil sin numero de directorio de abonados internacional de estacion movil
EP3472779A4 (en) * 2016-07-14 2020-01-08 Digital Asset Holdings, LLC DIGITAL ASSETS PLATFORM
EP3471365A4 (en) * 2016-07-15 2019-06-19 Huawei Technologies Co., Ltd. METHOD AND DEVICE FOR KEY RECORDING
EP3285512A1 (en) 2016-08-17 2018-02-21 Gemalto Sa Authentication server of a cellular telecommunication network and corresponding uicc
CN106789057B (zh) * 2016-11-28 2020-05-22 航天恒星科技有限公司 卫星通信协议下的密钥协商方法及系统
KR102549946B1 (ko) * 2017-01-09 2023-06-30 삼성전자주식회사 이동통신 환경에서 단말의 초기 접속 요청 메시지를 라우팅하는 방법 및 관련 파라미터
JP6441390B2 (ja) * 2017-01-26 2018-12-19 株式会社東芝 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
RU2733828C1 (ru) 2017-04-11 2020-10-07 Хуавей Текнолоджиз Ко., Лтд. Способ, устройство и система для сетевой аутентификации
BR112019027712A2 (pt) * 2017-06-23 2020-07-28 Motorola Mobility Llc método e aparelho para implementar alterações específicas de portadora como parte de uma reconfiguração de conexão que afeta as chaves de segurança sendo usadas
DE112018003506T5 (de) * 2017-08-29 2020-04-02 Robert Bosch Gmbh Verfahren und Systeme zur linearen Schlüsselvereinbarung mit Forward Secrecy unter Verwendung eines unsicheren gemeinsam genutzten Kommunikationsmediums
KR101835076B1 (ko) * 2017-11-15 2018-04-19 곽권섭 보안강화 eps-aka 프로토콜을 이용한 이동통신 가입자 인증 방법
DE102018133605B4 (de) * 2018-12-27 2023-03-02 Bachmann Gmbh Verfahren und Vorrichtung zur Prüfung der Integrität von Modulen einer Windkraftanlage
US12081972B2 (en) * 2019-01-18 2024-09-03 Qualcomm Incorporated Protection of sequence numbers in authentication and key agreement protocol
EP3720039B1 (de) * 2019-04-05 2024-09-04 Siemens Aktiengesellschaft Verfahren für das konfigurieren eines sicherheitsmoduls mit mindestens einem abgeleiteten schlüssel
CN111628985A (zh) * 2020-05-22 2020-09-04 深圳市有方科技股份有限公司 安全访问控制方法、装置、计算机设备和存储介质
US12120225B2 (en) * 2020-09-25 2024-10-15 Renesas Electronics Corporation Secure key generation and management in open and secure processor environments
US11924350B2 (en) 2021-07-29 2024-03-05 Digital Asset (Switzerland) GmbH Cryptographically enforced partial blinding for distributed system
US11647392B1 (en) 2021-12-16 2023-05-09 Bank Of America Corporation Systems and methods for context-aware mobile application session protection
CN115021913B (zh) * 2022-06-14 2024-05-31 中国信息通信研究院 工业互联网标识解析体系密钥生成方法、系统与存储介质
JP2024155131A (ja) * 2023-04-20 2024-10-31 キオクシア株式会社 情報処理システム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7131006B1 (en) * 1999-11-15 2006-10-31 Verizon Laboratories Inc. Cryptographic techniques for a communications network
GB0004178D0 (en) * 2000-02-22 2000-04-12 Nokia Networks Oy Integrity check in a communication system
US20030053629A1 (en) * 2001-09-14 2003-03-20 Koninklijke Philips Electronics N.V. USB authentication interface
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
PL2357858T6 (pl) * 2003-09-26 2018-11-30 Telefonaktiebolaget L M Ericsson (Publ) Udoskonalony model zabezpieczeń dla kryptografii w systemach komunikacji ruchomej
GB2407236B (en) * 2003-10-17 2006-04-05 Toshiba Res Europ Ltd Methods and apparatus for secure data communication links
EP1626598A1 (en) * 2004-06-21 2006-02-15 Axalto SA Method for securing an authentication and key agreement protocol
US7461268B2 (en) * 2004-07-15 2008-12-02 International Business Machines Corporation E-fuses for storing security version data
US20060046690A1 (en) 2004-09-02 2006-03-02 Rose Gregory G Pseudo-secret key generation in a communications system
US20060236116A1 (en) * 2005-04-18 2006-10-19 Lucent Technologies, Inc. Provisioning root keys
US7558957B2 (en) * 2005-04-18 2009-07-07 Alcatel-Lucent Usa Inc. Providing fresh session keys
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
WO2007085779A1 (en) * 2006-01-24 2007-08-02 British Telecommunications Public Limited Company Method and system for recursive authentication in a mobile network
US20070271458A1 (en) * 2006-05-22 2007-11-22 Peter Bosch Authenticating a tamper-resistant module in a base station router
JP5060081B2 (ja) 2006-08-09 2012-10-31 富士通株式会社 フレームを暗号化して中継する中継装置
CN101536397B (zh) * 2006-11-01 2012-01-11 Lm爱立信电话有限公司 电信系统以及这种系统中控制消息的加密
JP5396300B2 (ja) * 2010-02-08 2014-01-22 オルガノ株式会社 電気式脱イオン水製造装置

Also Published As

Publication number Publication date
PL2658163T3 (pl) 2017-08-31
RU2480925C2 (ru) 2013-04-27
PL2658163T6 (pl) 2022-02-14
EP2291946A1 (en) 2011-03-09
ES2400020T5 (es) 2021-03-09
NZ589294A (en) 2012-07-27
DK2291946T4 (da) 2020-08-31
US8340288B2 (en) 2012-12-25
JP2017175624A (ja) 2017-09-28
DK2291946T3 (da) 2013-03-18
PL2291946T5 (pl) 2021-02-08
ES2617067T3 (es) 2017-06-15
BRPI0822761A2 (pt) 2015-06-30
EP2528268B3 (en) 2021-12-29
JP2014078985A (ja) 2014-05-01
US8953793B2 (en) 2015-02-10
US9326142B2 (en) 2016-04-26
KR20110017426A (ko) 2011-02-21
EP2658163B3 (en) 2021-12-29
CA2722186C (en) 2015-09-15
JP6121512B2 (ja) 2017-04-26
EP2658163B1 (en) 2016-12-14
EP2291946B2 (en) 2020-06-03
ZA201008200B (en) 2011-03-30
JP4792135B2 (ja) 2011-10-12
WO2009146729A1 (en) 2009-12-10
PL2291946T3 (pl) 2013-05-31
KR101274392B1 (ko) 2013-06-17
MA32613B1 (fr) 2011-09-01
EP3242436A1 (en) 2017-11-08
CN103746794B (zh) 2017-06-23
BRPI0822761B1 (pt) 2020-09-29
ES2637313T3 (es) 2017-10-11
JP2011254512A (ja) 2011-12-15
JP2016096557A (ja) 2016-05-26
EP2528268A1 (en) 2012-11-28
AU2008357317B2 (en) 2012-04-12
IL209799A0 (en) 2011-02-28
DK2528268T3 (en) 2017-09-11
DK2528268T6 (da) 2022-03-21
CL2009001359A1 (es) 2010-12-03
CN103746794A (zh) 2014-04-23
RU2010149890A (ru) 2012-06-10
CA2722186A1 (en) 2009-12-10
EP2528268B1 (en) 2017-05-24
JP2011522494A (ja) 2011-07-28
PL2528268T6 (pl) 2022-04-25
US20110091036A1 (en) 2011-04-21
EP2291946B1 (en) 2012-12-26
AU2008357317A1 (en) 2009-12-10
ES2637313T7 (es) 2022-04-27
ES2617067T7 (es) 2022-04-28
CN102057617B (zh) 2013-12-25
IL209799A (en) 2015-03-31
PL2528268T3 (pl) 2017-10-31
CN102057617A (zh) 2011-05-11
MY146687A (en) 2012-09-14
US20130156182A1 (en) 2013-06-20
ES2400020T3 (es) 2013-04-05
EP2658163A1 (en) 2013-10-30
MX2010012033A (es) 2010-11-30
US20150023499A1 (en) 2015-01-22

Similar Documents

Publication Publication Date Title
JP6492115B2 (ja) 暗号鍵の生成
EP3605942B1 (en) Key agreement for wireless communication
Saxena et al. Authentication protocol for an IoT-enabled LTE network
Ouaissa et al. New security level of authentication and key agreement protocol for the IoT on LTE mobile networks
HK40023059B (en) Key agreement for wireless communication
HK40023059A (en) Key agreement for wireless communication
HK1151907A (en) Cryptographic key generation
Choudhury Relaxing trust requirement in 3GPP mobile systems for improved subscriber identity privacy
HK1247477B (en) Key agreement for wireless communication

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180223

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180523

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20181005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190109

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20190118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190304

R150 Certificate of patent or registration of utility model

Ref document number: 6492115

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250