KR101333340B1 - 회의 시스템에서의 보안 키 관리 - Google Patents

회의 시스템에서의 보안 키 관리 Download PDF

Info

Publication number
KR101333340B1
KR101333340B1 KR1020127005340A KR20127005340A KR101333340B1 KR 101333340 B1 KR101333340 B1 KR 101333340B1 KR 1020127005340 A KR1020127005340 A KR 1020127005340A KR 20127005340 A KR20127005340 A KR 20127005340A KR 101333340 B1 KR101333340 B1 KR 101333340B1
Authority
KR
South Korea
Prior art keywords
party
key
random
parties
management component
Prior art date
Application number
KR1020127005340A
Other languages
English (en)
Other versions
KR20120049315A (ko
Inventor
가나파시 에스 선다람
비올레타 카쿠레브
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20120049315A publication Critical patent/KR20120049315A/ko
Application granted granted Critical
Publication of KR101333340B1 publication Critical patent/KR101333340B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

본 발명의 원리는 회의 시스템과 같은 통신 환경에서 사용하기 위한 하나 이상의 보안 키 관리 프로토콜을 제공하는 것이다. 예를 들어, 통신 시스템의 2명 이상의 당사자 사이의 회의를 관리하는 방법은 다음의 단계들을 포함한다. 아이덴티티 기반 인증 키 교환 동작은 통신 시스템의 회의 관리 구성요소와 회의에 참가하려는 2명 이상의 당사자들 각각 사이에 수행되는데, 회의 관리 구성요소와 2명 이상의 당사자 사이에서 교환되는 메시지들은 메시지들의 수신인들의 아이덴티티 각각에 기초하여 암호화되며, 회의 관리 구성요소는 당사자에 의해 선택된 랜덤 숫자에 기초하여 계산된 랜덤 키 컴포넌트를 키 인증 동작 중에 각 당사자로부터 수신한다. 회의 관리 구성요소는 당사자들에 의해 계산된 랜덤 키 컴포넌트들을 구성하는 세트를 각 당사자에게 전송한다. 회의 관리 구성요소는 랜덤 그룹 키 컴포넌트를 각 당사자로부터 수신하는데, 랜덤 그룹 키 컴포넌트는 키 인증 동작 중에 당사자에 의해 사용된 랜덤 숫자 및 회의에 참석하려는 2 이상의 당사자들의 나머지의 서브 세트에 의해 계산된 랜덤 키 컴포넌트들에 기초한 계산을 통해 각 당사자에 의해 계산된다. 회의 관리 구성요소는 당사자들에 의해 계산된 랜덤 그룹 키 컴포넌트들을 포함하는 세트를 각 당사자에게 전송하여, 각 당사자는 회의 관리 구성요소를 통해 각각의 다른 당사자와 통신 중에 사용하기 위한 동일한 그룹 키를 계산할 수 있다.

Description

회의 시스템에서의 보안 키 관리{SECURE KEY MANAGEMENT IN CONFERENCING SYSTEM}
관련 특허출원에 대한 상호 참조
본 출원은 대리인 관리번호 제805714호에 의해 식별되고, 발명의 명칭이 “멀티미디어 통신 시스템에서의 보안 키 관리(Secure Key Management in Multimedia Communication System)”인, 공동으로 양수되고 동시에 출원된 미국 특허 출원과 관련되어 있으며, 그 내용은 참조로서 여기에 통합되어 있다.
발명의 기술분야
본 발명은 일반적으로 통신 보안에 관한 것으로서, 더 상세하게는 통화 회의 시스템 및 멀티미디어 통신 시스템의 미디어 플레인(media plane)과 같은 통신 환경에서 사용하기 위한 보안 키 관리 프로토콜에 관한 것이다.
멀티미디어 통신 시스템에서 제공되는 기존의 멀티미디어 애플리케이션들은 미디어 플레인에서 보안을 지원하지 않았다. 미디어 플레인 보안에 대한 관심은 상대적으로 새로운 문제이다.
인터넷 프로토콜(IP) 멀티미디어 서브시스템(IMS)과 같은 멀티미디어 통신 시스템에서의 기존의 제안들은 일종의 토큰 기반 대칭 키 방법들(token based symmetric key methods)에 기초한 것으로서, 키들을 잠재적으로 생성하고 분배하는 키 관리 서버를 사용하여 관리된다. 그 내용이 참조로서 여기에 통합되어 있는 3GPP(3rd Generation Partnership Project) 기술 보고서(TR) 33.828에서는 IMS 미디어 플레인 암호화에 대한 기존의 제안들을 설명한다. 그러한, 이들 기존의 방안들은 (서버가 항상 온라인 상에서 쉽게 이용될 수 있어야 하기 때문에) 확장성이 없고, 엔티티들의 인증을 제공하지 않으며, 또한 서버에 키들을 위탁(escrow)한다.
반대로, SKYPE(룩셈부르크에 본사를 둔 Skype Technologies S.A.의 상표)와 같은 비-IMS 애플리케이션들 또는 다른 클라이언트-투-클라이언트 멀티미디어 애플리케이션들은 인증은 있으나 키-위탁은 없는 엔드-투-엔드 프라이버시를 제공한다. 그러나 이 방안은 관리 비용이 지극히 비싸고 매우 활용성이 높은 공개 키 기반구조(public key infrastructure (PKI))를 요구하는 인증서(certificate)들의 사용에 의존한다. 게다가, 이 방안은 그룹 회의 애플리케이션에 잘 확장되지 않을뿐더러, PKI가 없어서 통신의 합법적인 인터셉트를 불가능하게 한다.
또한, 유사한 키 관리 보안 관심사가 당사자들이 회의 서버를 통해 통화 세션에 참가하는 회의 시스템에 있다.
따라서, 통화 회의 시스템 및 멀티미디어 통신 시스템의 미디어 플레인(media plane)과 같은 통신 환경에서 사용하기 위한 보안 키 관리 방안에 대한 필요성이 존재한다.
본 발명의 원리는 멀티미디어 통신 시스템의 미디어 플레인과 같은 통신 환경에서 사용하기 위한 하나 이상의 보안 키 관리 프로토콜을 제공하는 것이다.
예를 들어, 일 양태에서, 통신 시스템의 2명 이상의 당사자 사이에서 회의를 관리하는 방법은 다음의 단계들을 포함한다. 아이덴티티 기반 인증 키 교환 동작은 통신 시스템의 회의 관리 구성요소와 회의에 참가하려는 2명 이상의 당사자들 각각 사이에 수행되는데, 회의 관리 구성요소와 2명 이상의 당사자 사이에서 교환되는 메시지들은 메시지들의 수신인들의 아이덴티티 각각에 기초하여 암호화되며, 회의 관리 구성요소는 당사자에 의해 선택된 랜덤 숫자에 기초하여 계산된 랜덤 키 컴포넌트를 키 인증 동작 중에 각 당사자로부터 수신한다.
회의 관리 구성요소는 당사자들에 의해 계산된 랜덤 키 컴포넌트들을 포함하는 세트를 각 당사자에게 전송한다. 회의 관리 구성요소는 랜덤 그룹 키 컴포넌트를 각 당사자로부터 수신하는데, 랜덤 그룹 키 컴포넌트는 키 인증 동작 중에 당사자에 의해 사용된 랜덤 숫자 및 회의에 참석하려는 2 이상의 당사자들의 나머지의 서브 세트에 의해 계산된 랜덤 키 컴포넌트들에 기초한 계산을 통해 각 당사자에 의해 계산된다.
회의 관리 구성요소는 당사자들에 의해 계산된 랜덤 그룹 키 컴포넌트들을 포함하는 세트를 각 당사자에게 전송하여, 각 당사자는 회의 관리 구성요소를 통해 각각의 다른 당사자와 통신 중에 사용하기 위한 동일한 그룹 키를 계산할 수 있다.
일 실시예에서, 회의 관리 구성요소는 상기 회의에 참가하는 당사자가 아니며, 이로써 그룹 키를 계산할 수 없다. 다른 실시예에서, 회의 관리 구성요소는 상기 회의에 참가하는 당사자로서 그룹 키를 계산할 수 있다.
일 실시예에서, 각 당사자에 의해 계산된 그룹 키는 Nai(Zi -1) + (N-l)Xi + (N-2)Xi+1 + .... + Xi -2로 표현되며, N은 회의에 참가하려는 당사자들의 전체 인원수를 나타내고, ai는 소정의 당사자에 의해 선택된 랜덤 숫자를 나타내고, Zi는 소정의 당사자에 의해 계산된 랜덤 키 컴포넌트를 나타내고, Xi는 소정의 당사자에 의해 계산된 랜덤 그룹 키 컴포넌트를 나타내고, i는 N-당사자 회의에서 소정의 당사자를 위한 회의 순서 번호를 나타내는데, i=1일 때 i-1=N이고, i=N일 때 i+1=1이다.
일 실시예에서, 소정의 당사자를 위한 랜덤 키 컴포넌트는 aiP로 표현되는데, ai는 소정의 당사자에 의해 선택된 랜덤 숫자이고, P는 아이덴티티 암호화 기반 키 인증 동작과 관련된 그룹으로부터 선택된 점이다.
일 실시예에서, 소정의 당사자를 위한 랜덤 그룹 키 컴포넌트는 ai{ai +1P - ai-1P}로 표현되는데, ai는 소정의 당사자에 의해 선택된 랜덤 숫자이고, ai +1P는 회의 순서에서 소정의 당사자의 바로 뒤의 당사자에 의해 회의 관리 구성요소로 전송된 랜덤 키 컴포넌트이고, ai -1P는 회의 순서에서 소정의 당사자의 바로 앞의 당사자에 의해 회의 관리 구성요소로 전송된 랜덤 키 컴포넌트이고, P는 암호화 키 교환 프로토콜과 관련된 그룹으로부터 선택된 점이다.
본 발명의 원리들은 인터넷 프로토콜(IP) 멀티미디어 서브시스템(IMS) 환경에 특히 적합하지만, 이들로 제한하려는 아니라는 것이 이해되어야 한다. 즉, 본 발명의 원리들은 보안 키 관리 특징들을 제공하기에 바람직한 임의의 적절한 통신 시스템에 일반적으로 적용될 수 있다.
본 발명의 이들 및 다른 목적, 특징, 및 이점들은 첨부된 도면과 함께 예시적인 실시예들에 대한 다음의 상세한 설명으로부터 명확해질 것이다.
도 1a는 본 발명의 일 실시예에 따른 개인 키 획득 방법을 도시하고;
도 1b는 본 발명의 일 실시예에 따른 아이덴티티 기반 인증 키 교환 방법을 도시하고;
도 2는 본 발명의 일 실시예에 따른 키 분기 방법을 도시하고;
도 3은 본 발명의 일 실시예에 따른 통화 재지시 방법을 도시하고;
도 4a는 본 발명의 일 실시예에 따른 지연 전달 방법을 도시하고;
도 4b는 본 발명의 다른 실시예에 따른 지연 전달 방법을 도시하고;
도 5는 본 발명의 일 실시예에 따른 합법적 인터셉트 방법을 도시하고;
도 6a는 본 발명의 일 실시예에 따른 회의 관리 방법을 도시하고;
도 6b는 본 발명의 일 실시예에 따른 회의 관리 방법에서의 참가자 추가를 도시하고;
도 6c는 본 발명의 일 실시예에 따른 회의 관리 방법에서의 참가자 삭제를 도시하고;
도 7은 본 발명의 IMS-기반 실시예에 따른 보안 키 관리 프로토콜을 위한 네트워크 아키텍처를 도시하고;
도 8은 본 발명의 IMS-기반 실시예에 따른 키 분기 방법을 도시하고;
도 9는 본 발명의 IMS-기반 실시예에 따른 재지시 방법을 도시하고;
도 10은 본 발명의 IMS-기반 실시예에 따른 3명의 참가자가 있는 회의 방법을 도시하고; 그리고
도 11은 본 발명의 실시예들에 따른 프로토콜 중 하나 이상을 구현하는데 적합한 통신 (계산) 디바이스들 및 데이터 네트워크의 일반적인 하드웨어 아키텍처를 도시한다.
여기에 사용된 “멀티미디어 통신 시스템(multimedia communication system)”이란 구문은 이들로 제한되는 것은 아니지만, 텍스트-기반 데이터, 그래픽-기반 데이터, 음성-기반 데이터, 및 비디오-기반 데이터를 포함하는 미디어의 2개 이상의 타입들을 전송할 수 있는 임의의 통신 시스템으로 일반적으로 정의된다.
여기에 사용된 “미디어 플레인(media plane)”이란 구문은 통화 세션에서 2명 이상의 당사자들 간의 하나 이상의 어떤 타입의 미디어들이 교환되는지에 따른 멀티미디어 통신 시스템의 기능적 일부로서 일반적으로 정의된다. 이 구문은 통화-세션을 확립하기 위해 어떤 통화 협상/스케줄링이 수행되는지에 따른 멀티미디어 통신 시스템의 기능적 일부인 “제어 플레인(control plane)”과 상반된다. 본 발명의 기술들이 사용될 수 있는 미디어 플레인 애플리케이션의 예시들은 이들로 제한되는 것은 아니지만, VoIP (Voice-over-IP), IM (Instant Messaging), 비디오/오디오 IM, 비디오 공유(Video Share)를 포함한다. 미디어 플레인은 애플리케이션 계층 트래픽을 포함하는 것으로 이해된다.
여기에 사용된 “키”라는 용어는 이들로 제한되는 것은 아니지만, 엔티티 인증, 프라이버시, 메시지 무결성 등을 위한 암호 프로토콜에 대한 입력으로서 일반적으로 정의된다.
참조의 편의를 위해, 상세한 설명은 다음과 같이 나누어 한다. 섹션 I에서는 아이덴티티 기반 암호화 및 아이덴티티 기반 인증 키 교환 동작들의 일반적인 원리들을 설명한다. 섹션 II에서는 일반적인 통신 환경 상황에서 본 발명의 예시적인 원리들에 따른 보안 키 관리 방안을 설명한다. 섹션 III에서는 인터넷 프로토콜(IP) 멀티미디어 서브시스템(IMS) 환경 상황에서 본 발명의 예시적인 원리들에 따른 보안 키 관리 방안을 설명한다. 섹션 IV에서는 본 발명에 따른 하나 이상의 보안 키 관리 프로토콜을 구현하기 위한 예시적인 계산 시스템을 설명한다.
Ⅰ. 아이덴티티 기반 암호화(IBE) 및 아이덴티티 기반 인증 키 교환(IBAKE)
본 발명의 보안 키 관리 기법들의 예시적인 실시예들을 설명하기에 앞서, IBE 및 IBAKE의 일반적인 원리들이 제공된다.
A. 아이덴티티 기반 암호화
아이덴티티 기반 암호화(IBE) 프로토콜은 보네(Boneh)와 프랭클린(Franklin)에 의해 제시되었는데, 그 내용이 참조로서 여기에 통합되어 있는 댄 보네(Dan Boneh)와 매튜 K. 프랭클린(Matthew K. Franklin)이 발표한 “베일 페어링으로부터의 아이덴티티-기반 암호화(Identity-Based Encryption from the Weil Pairing)” Advances in Cryptology - Proceedings of CRYPTO 2001(2001)을 참조한다. 이러한 비대칭형 암호화 프로토콜은 참가자들이 '아이덴티티'(예를 들어, 이메일 아이디, 또는 도메인 이름)를 공개 키로서 사용하게 하여, RSA(Rivest, Shamir and Adleman)와 같은 공개 키 암호화 방법들과 자주 연관되는 대형 공개 키 기반구조(large scale public key infrastructure)에 대한 필요성을 제거한다. 보네 및 프랭클린의 문제에 대한 접근법은 유한체(finite field) 상의 타원 곡선 위에 쌍선형 맵들을 사용하며, 쌍선형 판단 디피-헬먼(Diffie-Hellman) 문제에 의존한다.
IBE는 다음의 수학적 도구 및 파라미터들을 포함한다.
E는 유한체 F 상의 타원 곡선이고, P는 큰 소수 위수(large prime order)의 점(point)이라고 한다.
e: E × E --> G는 E에 대한 쌍-선형 맵이라고 한다. 통상적인 예로는 베일 페어링(Weil pairing)이 있으며, 이에 따라 G는 n번째 단위근들(n-th roots of unity)의 그룹일 것이며, 여기서 n은 F 상의 E에 있는 점들의 개수의 함수이다.
s는 영이 아닌 양의 정수이고, 키 생성 함수(KGF)에 저장된 비밀이라고 한다. 이는 시스템 전체에서 비밀이며, KGF 외부로 알려지지 않는다.
Ppub = sP는 모든 참가자들에게 공지된 시스템의 공개 키라고 한다. E가 하나의 그룹이기 때문에 sP는 E에 있는 하나의 점임을 상기한다.
H1는 스트링을 가져 와서 타원 곡선 상의 하나의 점에 할당하는, 즉 E에서 H1(A) = QA인 공지된 해시 함수라고 하며, 여기서 A는 보통 아이덴티티이면서 또한 A의 공개 키이다.
dA = sQA는 KGF에 의해 계산되어 A에게만 전달된 개인 키라고 한다.
H2는 G의 구성요소를 가져와서 스트링에 할당하는 공지된 해시 함수라고 한다.
m은 암호화되어 A에게 전송되어야 하는 메시지라고 한다. 보네 및 프랭클린에 의해 설명된 암호화 함수는 다음과 같다.
gA = e(QA, Ppub)이고, r은 랜덤 숫자(random number)라고 한다.
EncryptionA(m) = (rP, m xor H2(gA r)); 다시 말해, m의 암호화 출력은 2개의 좌표 u 및 v를 가지며, 여기서 u = rP 및 v = m xor H2(gA r)이며, “xor”는 배타적 OR 논리 함수를 지칭한다.
(u, v)를 복호화하기 위해, A는 다음의 공식을 사용하여 m을 복구한다.
m = v xor H2(e(dA, u)).
공식의 증명은 쌍선형 맵들에서 간단하며, 사실 A는 비밀 dA(다른 참가자들이 아닌 A에게만 공지된 개인 키)를 갖는다. 또한, 처음으로 dA를 계산했던 KGF가 그 메시지도 복호화할 수 있으며, 이로써 KGF는 사실상의 키 위탁 서버(key escrow server)라는 점에 주목한다.
B. 아이덴티티 기반 인증 키 교환
아이덴티티 기반 인증 키 교환(IBAKE)은 2009년 2월 17일에 출원된 미국 특허출원 제12/372,242호에 개시되어 있으며, 그 내용은 참조로서 여기에 통합되어 있다. IBAKE 프로토콜은 디바이스들이 서로를 상호 인증하게 하며, 완벽한 비밀 유지를 제공하는 키를 도출한다.
여기에 설명된 IBAKE 실시예에서, 이 프로토콜을 위한 기본 설정은 서브섹션 A에서 전술한 수학적 구조 및 파라미터들을 포함한다. 이 프로토콜은 비대칭적이지만 PKI 지원을 요구하지 않는 대신에 키 생성 함수로서의 역할을 하는 오프라인 서버를 채택하고 있다는 점을 상기한다. 프로토콜의 상세 설명은 아래에 개략적으로 설명되어 있다.
A 및 B는 키에 대해 인증하고 동의하려는 2개의 엔티티(또는 당사자, 여기서 A는 제1 당사자의 계산 시스템을 표현하며, B는 제2 당사자의 계산 시스템을 표현함)라고 가정한다.
A 및 B는 이들의 대응하는 아이덴티티를 표현하기 위해 사용되며, 또한 정의에 따라 이들의 공개 키들을 표현하기 위해 사용될 것이다.
H1(A)=QA 및 H1(B)=QB는 공개 키들에 대응하는 타원 곡선 상의 각각의 점이라고 한다. 실제로, QA 및 QB를 공개 키라고 지칭할 수 있는데, 이는 H1를 적용함으로써 획득되는 곡선 상의 점들과 아이덴티티들 사이의 1대1 대응관계가 있기 때문이다.
x는 A에 의해 선택된 랜덤 숫자며, y는 B에 의해 선택된 랜덤 숫자라고 한다.
A와 B 사이의 프로토콜 교환은 다음의 단계를 포함한다.
제1 단계에서, A는 xP(즉, E에 대한 추가 규칙을 이용하여 E 상의 한 점으로서 P를 x번 더함)를 계산하고, B의 공개 키를 이용하여 암호화하고, B에게 송신한다. 이 단계에서, 암호화는 상기 서브섹션 A에서 설명한 아이덴티티 기반 암호화를 지칭한다.
암호화된 메시지를 수신하면, B는 메시지를 복호화하여, xP를 획득한다. 그 후, 제2 단계에서, B는 yP를 계산하고, A의 공개 키를 이용하여 {xP, yP} 쌍을 암호화한 후, A에게 송신한다.
이 메시지를 수신하면, A는 메시지를 복호화하여, yP를 획득한다. 그 후, 제3 단계에서, A는 B의 공개 키를 사용하여 yP를 암호화하고, B에게 되전송한다.
이에 따르면, A와 B는 세션 키로서 xyP를 계산한다.
A는 x를 랜덤하게 선택했으며, 프로토콜 교환의 제2 단계에서 yP를 수신했다는 점에 주목한다. 이는 A가 yP를 x번 더함으로써 xyP를 계산하게 한다. 반대로, B는 y를 랜덤하게 선택했으며, 프로토콜 교환의 제1 단계에서 xP를 수신했다. 이는 B가 xP를 y번 더함으로써 xyP를 계산하게 한다. 프로토콜의 임의의 애플리케이션은 아이덴티티를 갖는 헤더 데이터(header data)를 활용하여 프로토콜의 적절한 기능성을 보장할 수 있다는 점에 주의한다. 이는 비교적 표준 규격이며, 키 동의를 위한 거의 모든 프로토콜 교환에 적용될 수 있다.
x는 랜덤하지만, xP는 x에 대한 정보를 제공하지 않는다는 점에 주의한다. 따라서, xP는 A에 의해 선택된 랜덤 비밀에 기반한 키의 컴포넌트이다. 마찬가지로, y는 랜덤하지만, yP는 y에 대한 정보를 제공하지 않는다. 따라서, yP는 B에게만 공지된 랜덤 비밀에 기반한 키의 컴포넌트이다.
xyP는 세션 키로서의 역할을 할 수 있다는 점에 더 주의한다. 또한, 세션 키는 xyP의 임의의 공지된 함수일 수 있다. 즉, 세션 키는 f(xyP)일 수 있는데, 여기서 f는 양 당사자에게 모두 공지되어 있으며, 비밀로 취급될 것이 요구되지 않는다(즉, 일반 공중에 공지됨). f에 대한 하나의 실질적인 요구사항은 f가 x 또는 y를 알지 못하면 계산되기 어려워야 하며, 그 출력은 암호화 관점에서 만족스러운 길이, 예를 들어 128비트 이상을 가져야 한다는 것이다
IBAKE 프로토콜은 다음과 특성들을 포함한다.
- 키 위탁으로부터의 면제: 프로토콜 교환의 모든 단계들은 IBE를 사용하여 암호화된다는 점에 주목한다. 따라서, 명백하게 KGF는 모든 교환들을 복호화할 수 있다. 그러나 KGF는 세션 키를 계산할 수 없다. 이는 타원 곡선 디피-헬먼 문제의 곤란성으로 인한 것이다. 다시 말하면, xP 및 yP를 고려하여, xyP를 계산하는 것은 계산상 어렵다.
- 상호 인증 키 동의: 프로토콜 교환의 모든 단계들은 IBE를 사용하여 암호화된다는 점에 주목한다. 특히, B만이 제1 단계 및 제3 단계에서 A에 의해 전송된 메시지의 내용을 복호화할 수 있으며, 유사하게 A만이 제2 단계에서 B에 의해 전송된 메시지의 내용을 복호화할 수 있다. 게다가, 제1 단계에서의 내용들의 복호화 후에만 제2 단계에서 B에 의해 xP가 전송될 수 있기 때문에, A는 B의 진위를 제2 단계의 마지막에 검증할 수 있다. 유사하게, 제2 단계의 내용을 정확하게 복호화한 후에만 제3 단계에서 yP가 되전송될 수 있으며, 이는 A에 의해서만 가능하기 때문에 B는 A의 진위를 제3 단계의 마지막에 검증할 수 있다. 최종적으로, A와 B 모두는 동일한 세션 키에 동의할 수 있다. 다시 말하면, 프로토콜은 IBE 기반의 상호 인증 키 동의 프로토콜이다. 전술한 설명은 프로토콜의 보안을 위한 동기를 제공하며, 보안의 암호 증명이 용이하게 제공될 수 있다. 프로토콜의 곤란성은 타원 곡선 디피-헬먼 문제의 곤란성에 의존하며, 이는 타원 곡선의 선택에 의해 영향을 받는다.
- 완벽한 비밀 유지: x 및 y가 랜덤하기 때문에, xyP는 항상 새로 고쳐지며, A와 B 사이의 임의의 과거 또는 미래의 세션과 관련이 없다.
- 비밀번호 없음: IBAKE 프로토콜은 A와 B 사이의 비밀번호 또는 비밀 키들의 임의의 오프라인 교환을 요구하지 않는다. 실제, 이 방법은 임의의 통신 네트워크를 통해 제1 시간 동안 송수신하는 2명의 당사자들에게 명확히 적용될 수 있다. 유일한 요구사항은, 예를 들어, A 및 B 모두가 디렉토리 서비스를 통해 각각의 다른 공개 키들을 인식하는 것을 보장하는 것이다.
Ⅱ. 보안 키 관리 및 예시적인 확장
실제로 인터넷은 최선형 데이터 네트워크(best effort data network)로부터 멀티미디어를 포함하는 다양한 등급의 트래픽을 지원하기 위한 다중-서비스 인터넷 프로토콜(IP) 네트워크로 급속하게 진화해 왔다. 이는 모바일 무선 네트워크의 급속한 성장과 함께 기술적 도전과제를 만들어낸다. 기술적 관점에서, 매우 합리적으로 다뤄지는 가장 중요한 도전과제는 “미디어 플레인"으로도 지칭되는 애플리케이션 계층 트래픽으로부터, 통화 설정을 위한 시그널링으로 구성되는, 통화 제어 기능들을 분리하는 것이다. H323과 같은 통화 제어 프로토콜(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 International Telecommunications Union Standardization Section (ITU-T) Recommendation H.323 참조), 세션 개시 프로토콜 또는 SIP(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 Internet Engineering Task Force IETF RFC 3261 참조), 및 IMS(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 3GPP Technical Specifications TS 23.218, TS 23.228, TS 24.228, TS 24.229, 및 TS 24.930 참조)는 IETF 및 3GPP와 같은 다양한 조직에 의해 표준화되어 왔으며, 고정 및 모바일 네트워크들에 걸쳐 채택의 다양한 스테이지에 있다.
동시에, 다양한 레벨들의 보안 시그널링에 대한 정교한 메커니즘들이 통합되고 있다. 그러나 미디어 플레인에서, 전송 계층 보안 또는 TLS(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 IETF RFC 2246 참조), 보안 실시간 전송 프로토콜 또는 SRTP(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 IETF RFC 3711 참조), 및 보안 다중-목적 인터넷 메일 확장 또는 SMIME(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 IETF RFC 2633 참조)가 다양한 애플리케이션들을 위한 컨테이너 포맷을 제공하는 동안, 미디어 플레인에서 보안 방안들은 일괄적이고 표준화된 방법들이 부족하며, 애플리케이션 계층에서 엔드-투-엔드 보안 키 관리를 지원한다.
본 발명의 원리들은 주로 이러한 이슈를 다룬다. 특히, 본 발명의 원리들은 미디어 플레인에 확장가능 애플리케이션 및 프로토콜 불가지론(protocol agnostic) 보안 키 관리 프레임워크(framework)를 제공한다. 예시적인 프레임워크에서, 본 발명의 방안들은 섹션 I.B에서 전술된 비대칭(이로 이유로 공개 키) 아이덴티티 기반 인증 키 교환(IBAKE) 프로토콜을 활용한다. 예시적인 실시예들은 예를 들어, 보안 2 당사자 미디어 플레인 통신, 보안 다수-당사자 회의, 보안 통화 분기, 보안 통화 재지시, 및 보안 지연 전달 애플리케이션들과 같은 다양한 특징들을 지원하는 키 교환 메커니즘들을 설명한다. 보안 키 관리를 위한 확장가능 프레임워크를 제공하기 위해, 디자인 및 프레임워크의 일부 예시적인 양태들은 다음을 포함한다.
- 요구되는 네트워크 지원의 복잡성을 상당히 감소시키는 오프라인 키 관리 서버(KMS)의 사용. 공개 키 설정에서 비대칭 프로토콜들은 폐지를 포함하는 인증서 관리를 위한 정교한 상시 가동 공개 키 기반구조(PKI) 지원을 요구한다는 점을 상기한다. 대칭 키 기반 키 관리 서버들은 정의에 따라 고정 동기화(synching) 및 업데이트를 갖는 “상시 가동” 서버들이다. “상시 가동” 요구사항을 제거함으로써, 본 발명의 프레임워크는 비용을 상당히 줄이고, 확장성을 도모한다.
- 아이덴티티 기반 프로토콜에 내재된 임의의 수동형 키 위탁의 제거. 키 관리 서버를 갖는 대칭 키 프로토콜은 이 문제를 제거할 수 없다는 점을 상기한다. 또한, (섹션 I.A에서 전술한) 기존의 아이덴티티 기반 암호화 프로토콜들은 키 위탁 문제들이 있으며, 이 문제는 (섹션 I.B에서 전술한) IBAKE를 사용하여 해결된다.
- 프로토콜 프레임워크는 완벽한 비밀 유지와 관련되어 키 교환에 포함되는 엔티티들의 상호 인증을 내재적으로 지원한다.
- 본 발명의 예시적인 실시예들은 기존의 네트워크 구성요소 아키텍처들을 재사용하는데, 가능하다면, 기존의 프로토콜 컨테이너 포맷들을 재사용한다. 일례로서, 회의 애플리케이션에서, 예시적인 실시예들은 회의 서버를 재사용하여 회의를 가능하게 하지만, (이하 설명된 회의에 대한 당사자가 아니라면) 회의 서버가 통신에 사용되는 그룹 키를 학습하지 않는다는 것을 보장한다.
- 본 발명의 원리들이 수동형 키 위탁을 제거하며, 본 발명의 프로토콜은 또한 통화를 인터셉트할 법 집행에 대한 법률적 요구가 있는 경우 키들을 검색하기 위한 지속적인 지원(seamless support)을 제공한다.
아이덴티티 기반 비대칭 암호화 프레임워크에 기초한 예시적인 실시예에서, 각 참가자는 공개 키 및 개인 키를 갖는다. 공개 키는 아이덴티티에 기반한다. 개인 키는 공개 키에 대응하며, 키 관리 서버 또는 서비스(KMS)에 의해 발행된다. 참가자들은 KMS로부터 오프라인으로 개인 키들을 획득할 수 있다. 단지 예로서, 참가자들은 한 달에 한 번(더 일반적으로 가입 기간 동안) KMS에 접촉하여 개인 키들을 획득한다. 개인 키들은 또한 사용 빈도의 함수로서 획득될 수 있다. 보안 관련성은 KMS와 참가자 사이에 존재하는 것으로 추정된다. 키 교환 중에 메시지의 암호화 및 복호화는 IBE에 기초한 것이다. KMS의 공개 파라미터들은 공개적으로 (예를 들어, 웹사이트 상에서 온라인으로) 이용될 수 있는 것으로 추정된다는 점에 주의한다.
일반적으로, 본 발명의 일 실시예에 따른 보안 키 관리 방법은 2개의 주요 스테이지를 포함한다. 제1 스테이지에서, 참가자들(당사자들)은 KMS와 같은 키 서비스로부터 개인 키들을 획득한다. 제2 스테이지에서, 아이덴티티 기반 인증 키 교환은 멀티미디어 기반 통화 세션에서 통신하기를 원하는 2 이상의 당사자들 사이에서 수행된다. 2 이상의 당사자들 사이에서 교환되는 메시지들은 메시지들의 수신자들의 개별적인 아이덴티티에 기초하여 암호화된다. 또한, 당사자들 사이에 교환된 암호화된 메시지들은 당사자들과 관련된 아이덴티티들을 포함한다.
도 1a는 보안 키 관리 방법의 제1 스테이지, 즉 개인 키 획득을 도시한다. 도시된 바와 같이, 2개의 당사자인 통신 디바이스들(더 일반적으로 계산 디바이스들)(102)은 각각의 KMS(104)로부터 개인(또는 비밀) 키들을 요청하고 획득한다. 개인 키 교환(106)은 보안 통신 프로토콜을 따라 수행된다. 보안 통신 프로토콜의 예는, 이들로 제한되는 것은 아니지만, 인터넷 프로토콜 보안 또는 IPSec(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 IETF RFC 2406, IETF RFC 2409, IETF RFC 4306, 및 IETF RFC 4308 참조) 및 전송 계층 보안 또는 TLS(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 IETF RFC 2246 참조)를 포함한다. 일반화된 부트스트랩 아키텍처(Generalized Bootstrap Architecture) 또는 GBA(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 3GPP Technical Specification (TS) 33.220 참조)가 각 당사자와 KMS 사이의 보안 통신 프로토콜에 사용할 키를 결정하는데 사용될 수 있다. 일례에서, KMS 서버에 연결되며 (전송 제어 계층 또는 TCP 위의) (예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 W. Richard Stevens 저 TCP/IP Illustrated 1권: The Protocols, ISBN 0-201-63346-9; W. Richard Stevens 및 Gary R. Wright 공저 TCP/IP Illustrated 2권: The Implementation, ISBN 0-201-63354-X; W. Richard Stevens 저 TCP/IP Illustrated 3권: TCP for Transactions, HTTP, NNTP, and the UNIX Domain Protocols, ISBN 0-201-63495-3 참조) 애플리케이션 계층에서 TLS를 사용하는 클라이언트 디바이스에서 동작하는 애플리케이션이 있을 수 있으며, 애플리케이션 계층에서는 사전-공유 키로서 GBA 키를 갖는 네트워크 계층에서 GBA 키 또는 IPSec를 사용한다.
왼쪽에 있는 디바이스는 개시자(I)로 간주되고, 오른쪽에 있는 디바이스는 응답자(R)로 간주된다는 점에 주의한다. 이러한 지정은 왼쪽에 있는 디바이스가 오른쪽에 있는 디바이스와의 멀티미디어 통화 세션을 개시하려 한다는 사실에 기인한다.
도시된 바와 같이, 각 디바이스는 요청을 가진 식별자를 KMS에게 제공하고, 이에 KMS는 개인(비밀) 키로 응답한다. 개시자 디바이스(102-I)의 경우, 하나의 식별자가 KMS(104-I)에 제공되며, 이에 응답하여 하나의 개인 키(I_SK)가 디바이스에 제공된다. 응답자 디바이스(102-R)의 경우, 2개의 별도의 식별자들, 즉 R 및 R1이 KMS(104-R)에 전송된다. 이에 응답하여, KMS는 응답 당사자에게 2개의 개인 키(R_SK 및 R1_SK)를 제공한다. 당연히, 각 당사자는 일부 개인 키 획득 스케줄에 기초하여 대략 그 정도의 개인 키들을 요청하여 획득할 수 있다. 이는 시간-기반 스케줄(예를 들어, 1달 주기), 통화 세션 빈도 기반 스케줄(예를 들어, 통화를 할 필요가 있는 경우), 및 회원제 기반 스케줄(당사자가 어느 정도의 시간 동안 KMS의 키 서비스에 가입하거나, 가입 종료 조건의 발생에 따름)일 수 있다.
또한, 소정의 당사자는 다수의 공개 아이덴티티를 가질 수 있는 것으로 이해되어야 한다. 예를 들어, 당사자 B("Bob”)는 다음과 같은 2개의 아이덴티티를 가질 수 있다. bob@work.com 및 bob@home.com. 이들 2개의 아이덴티티의 경우, 2개의 상이한 공개 키들이 있을 수 있으며, 따라서 2개의 상이한 개인 키가 있을 수 있다.
도 1b는 보안 키 관리 방법의 제2 스테이지, 즉 인증 키 교환을 도시한다. 이 실시예에서, 인증 키 교환은 (섹션 I.B에서 전술된) IBAKE에 기초한다. 제1 당사자와 제2 당사자 사이의 메시지 교환의 바람직한 포맷은 멀티미디어 인터넷 키잉(Keying) 포맷(MIKEY)에 기초하기 때문에, 여기에서는 도 1a 및 도 1b의 전체 보완 키 교환 프로토콜은 MIKEY_IBAKE 프로토콜로서 지칭된다.
다시, 왼쪽에 있는 디바이스는 개시 당사자 또는 개시자(102-I)이고, 오른쪽에 있는 디바이스는 응답 당사자 또는 응답자(102-R)라고 가정한다. 인증 키 교환 단계들은 IBAKE 프로토콜과 유사한 단계들을 뒤따른다.
개시자의 공개 키(I_PK)는 섹션 I에서 전술한 바와 같이 해시 함수를 사용함으로써 계산된다. 마찬가지로, 응답자의 공개 키(R_PK)가 유사한 방법으로 계산된다. 개시자 및 응답자의 개인 키가 각각 I_SK 및 R_SK라는 점을 상기한다. 즉, H1(Initiator_ID)=I_PK 및 H1(Responder_ID)=R_PK는 공개 키들에 대응하는 타원 곡선 상의 각각의 점들이라고 한다.
a는 개시자(102-I)에 의해 선택된 랜덤 숫자며, b는 응답자(102-R)에 의해 선택된 랜덤 숫자라고 한다.
102-I과 102-R 사이의 프로토콜 교환은 다음의 단계들을 포함한다.
단계(110)에서, 개시자(102-I)는 제1 랜덤 키 컴포넌트(aP)(즉, E에 대한 추가 규칙을 이용하여 E 상의 한 점으로서 P를 a번 더함)를 계산하고, 응답자의 공개 키(R_PK)를 사용하여 제1 랜덤 키 컴포넌트를 암호화하고, 응답자(102-R)에게 송신한다. 이 단계에서, 암호화는 서브섹션 I.A에서 설명한 아이덴티티 기반 암호화를 지칭한다. 개시자 및 응답자의 아이덴티티들(각각 I_ID 및 R_ID) 또한 단계(110)에서의 암호화된 메시지에 포함된다는 점에 주의한다.
암호화된 메시지를 수신하면, 응답자는 (도 1a에서 획득된) 자신의 개인 키를 사용하여 그 메시지를 복호화하고, aP를 획득한다. 그 후, 제112 단계에서, 응답자는 제2 랜덤 키 컴포넌트(bP)를 계산하고, 개시자의 공개 키를 이용하여 {aP, bP} 쌍을 암호화한 후, 개시자에게 송신한다. 다시, 단계(112)에서의 암호화된 메시지는 개시자 및 응답자의 아이덴티티들(각각 I_ID 및 R_ID)을 포함한다.
단계(112)로부터 메시지를 수신하면, 개시자는 (도 1a에서 획득된) 자신의 개인 키를 사용하여 그 메시지를 복호화하고, bP를 획득한다. 그 후, 단계(114)에서, 개시자는 응답자의 공개 키를 사용하여 bP를 암호화하고, 응답자에게 되전송한다. 다시, 단계(114)에서의 암호화된 메시지는 개시자 및 응답자의 아이덴티티들(각각 I_ID 및 R_ID)을 포함한다.
단계(116)에서, 응답자는 개시자의 공개 키를 사용하여 암호화된 검증 메시지를 개시자에게 전송한다.
그 다음, 개시자 및 응답자 모두는 멀티미디어 통신 시스템의 미디어 플레인(애플리케이션 계층)을 통해 통화 세션 동안 서로의 보안 통신에 사용될 보안 통화 세션 키로서 abP를 계산한다.
개시자(102-I)는 a를 랜덤하게 선택했고, 프로토콜 교환의 제2 단계에서 bP를 수신했다는 점에 주목한다. 이는 개시자가 bP를 a번 더함으로써 abP를 계산하게 한다. 반대로, 응답자(102-R)는 b를 랜덤하게 선택했고, 프로토콜 교환의 제1 단계에서 P를 수신했다. 이는 응답자가 aP를 b번 더함으로써 abP를 계산하게 한다. 또한, a는 랜덤하지만, aP는 a에 대한 정보를 제공하지 않는다는 점에 주의한다. 따라서, aP는 개시자에 의해 선택된 랜덤 비밀에 기반한 키의 컴포넌트로 간주된다. 마찬가지로, b는 랜덤하지만, bP는 b에 대한 정보를 제공하지 않는다. 따라서, bP는 응답자에게만 공지된 랜덤 비밀에 기반한 키의 컴포넌트로 간주된다.
도 2를 참조하면, MIKEY_IBAKE 프로토콜의 확장이 예시된다. 이는 전술한 MIKEY_IBAKE 프로토콜의 확장이기 때문에, 간략화를 위해 MIKEY_IBAKE 프로토콜의 모든 특징들이 반복되지 않는다는 점이 이해되어야 한다. 이러한 특정 실시예에서, 도 2는 분기(forking)를 도시한다. 분기는 다수의 위치로의 요청의 전달이다. 예를 들어, 이는 응답자가 멀티미디어 통화 세션에 참가할 수 있는 하나 이상의 통신 (계산) 디바이스를 갖는 경우에 일어날 수 있다. 분기의 일례는 당사자가 책상 전화, 개인용 컴퓨터(PC) 클라이언트, 및 모바일 핸드셋을 가지며 이들 모두가 MIKEY_IBAKE 프로토콜에 참가하도록 구성된 경우이다. 일반적으로, 분기는 착신 통화가 여러 확장부들을 동시에 울리게 할 수 있는 멀티-미디어 세션 개시 프로토콜의 특징이다. 응답하기 위한 제1 전화가 통화를 제어할 것이다.
따라서, 도 2에 도시된 바와 같이, 응답 당사자는 이와 관련된 2개의 디바이스들(102-R1 및 102-R2)을 갖는다. 따라서, 도시된 바와 같이, 디바이스(102-R1)는 공개 키(R1_PK) 및 비밀 키(R1_SK)를 갖는다. 또한, 디바이스(102-R1)는 응답 당사자의 공개 키 및 개인 키(R_PK 및 R_SK)를 알고 있다. 마찬가지로, 디바이스(102-R2)는 공개 키(R2_PK) 및 비밀 키(R2_SK)를 갖는다. 또한, 디바이스(102-R2)는 응답 당사자의 공개 키 및 개인 키(R_PK 및 R_SK)를 알고 있다.
분기 시나리오에서 MIKEY_IBAKE 프로토콜 단계들(210, 212, 214 및 216)은 도 1b의 일반적인 컨텍스트에서 MIKEY_IBAKE 프로토콜 단계들(110, 112, 114, 및 116)과 본질적으로 동일하며, 다음의 예외를 갖는다. 단계(210)에서의 디바이스(102-I)에 의해 전송된 메시지가 R_PK로 암호화되기 때문에 디바이스들(R1 및 R2) 모두가 (R_SK를 가지고 있어서) 그 메시지를 복호화할 수 있다는 점에 주의한다. 그러나 응답 당사자가 디바이스(R1)보다 디바이스(R2)와 현재 관련되어 있다고 가정하면, 단계(212)에서의 반환 메시지는 IBAKE에 따라 R2에 의해 계산된 랜덤 키 컴포넌트(b2P)를 포함한다(여기서, b2는 R2에 의해 선택된 랜덤 숫자임). 또한, 단계(212)에서, 암호화된 메시지는 개시자, 응답자, 및 디바이스(R2)의 아이덴티티들(각각 I_ID, R_ID, 및 R2_ID)을 포함한다.
디바이스(102-I)는 개인 키를 사용하여 R2로부터 수신된 메시지를 복호화하여, 이 메시지에 포함된 아이덴티티들 및 b2P를 획득한다. 따라서, 개시자는 단계(212)에서의 메시지가 R2로부터 왔다는 것을 식별한다. 개시자는 MIKEY_IBAKE 프로토콜에 따라 b2P, I_ID, 및 R2_ID를 포함하는 단계(214)에서의 메시지를 전송한다. 메시지는 R2의 공개 키를 사용하여 암호화된다. 이는 R1이 R2_SK가 아닌 R_SK 및 R1_SK만을 갖기 때문에 R1에 의해 복호화될 수 없다는 점에 주의한다. 단계(216)는 도 1b에의 단계(116)와 유사한 검증 메시지이다. 통화 세션 키는 디바이스(102-I) 및 디바이스(102-R2)에서 ab2P로서 계산될 수 있다.
도 3은 MIKEY_IBAKE 프로토콜의 재표적화(retargeting) 특징으로의 확장을 도시한다. 이는 전술한 MIKEY_IBAKE 프로토콜의 확장이기 때문에, 간략화를 위해 MIKEY_IBAKE 프로토콜의 모든 특징들이 반복되지 않는다는 점이 이해되어야 한다. 재표적화 또는 재지시는 통신 시스템 내의 하나 이상의 기능적 구성요소가 통화를 상이한 목적지로 재지시하도록 결정하는 시나리오이다. 세션의 재지시 결정은 많은 상이한 기능적 구성요소에 의해 상이한 이유로 세션 확립시 상이한 점들에서 행해질 수 있다. 이는 또한 통화 포워딩(call forwarding)으로 알려져 있다.
도 3의 예시는 재지시 결정을 하는 애플리케이션 서버(302)를 도시한다. 분기 시나리오에서 MIKEY_IBAKE 프로토콜 단계들(310, 312, 314, 및 316)은 도 1b의 일반적인 컨텍스트에서 MIKEY_IBAKE 프로토콜 단계들(110, 112, 114, 및 116)과 본질적으로 동일하며, 다음의 예외들을 갖는다.
디바이스(102-I)는 단계(310)에서 이 프로토콜로 제1 메시지(R1의 공개 키로 암호화된 메시지)를 전송하는데, 그 의도는 디바이스(102-R1)로 전송하려는 것이다. 그러나 기능적 구성요소(302)는 310에서의 메시지가 디바이스(R2)로 재지시되어야 한다는 결정을 했다(단계(310′) 참조). 그 전에 또는 이와 함께, R2는 기능적 구성요소를 통해 단계(308)에서 전송된 메시지에서 R1의 개인 키를 수신했다고 가정한다. R1으로부터 R2로 전송된 메시지는 R2의 공개 키를 사용하여 암호화된다. 따라서, 기능적 구성요소(302)는 단계(308)에서의 메시지를 복호화할 수 없지만, R2는 단계 310’에서의 메시지를 복호화하고, 단계(312)에서 개시자에게 응답할 수 있다. 이 후, 단계들(312, 314, 및 316)은 도 2의 분기 시나리오에서의 단계들(212, 214, 및 216)과 동일하다.
도 4a는 MIKEY_IBAKE 프로토콜의 지연 전달 확장을 도시한다. 이는 전술한 MIKEY_IBAKE 프로토콜의 확장이기 때문에, 간략화를 위해 MIKEY_IBAKE 프로토콜의 모든 특징들이 반복되지 않는다는 점이 이해되어야 한다. 지연 전달은 세션 내용이 전송 시점에 목적지에 전달될 수 없게 하기 위한 서비스 타입이다(예를 들어, 목적지 사용자가 현재 온라인상에 없는 경우). 그럼에도, 전송자는 수신자가 이용 가능하게 되자마자 네트워크가 메시지를 전달하기를 바란다. 지연 전송의 일례는 음성 메일이다.
도 4a에서, A는 디바이스(102-I)이고, B는 디바이스(102-R)이고, 디바이스(402)는 애플리케이션 서버와 같은 기능적 구성요소이고, MB는 B와 관련된 메일박스(102-MB)(더 일반적으로, 일시적인 목적지)라고 가정한다.
단계(401)에서, A는 암호화된 제1 랜덤 키 컴포넌트(xP)를 포함하는 제1 메시지를 B에게 전송한다. 제1 랜덤 키 컴포넌트는 A에서 계산되었으며, 제1 메시지는 B의 공개 키를 사용하여 암호화되었다. 단계(402)에서, 기능적 구성요소(402)는 B가 이용 불가능하다고 판단하여, 제1 메시지를 MB에게 포워딩한다.
단계(403)에서, MB는 MB에 의해 계산되었던 암호화된 제2 랜덤 키 컴포넌트(yP)를 포함하는 제2 메시지를 A에게 전송한다. 단계(403)에서의 메시지는 A의 공개 키를 사용하여 MB에서 암호화되었다. 단계(404)에서, 기능적 구성요소(402)는 이 메시지를 A에게 전송한다.
A는 키 서비스로부터 A에 의해 획득된 개인 키를 사용하여 MB로부터의 메시지를 복호화함으로써 제2 랜덤 키 컴포넌트를 획득한다. A는 (메시지에 포함되어 있는 MB의 아이덴티티로 인해) 단계(404)에서 수신된 메시지가 MB로부터 왔다는 것을 식별한다.
단계(405)에서, A는 암호화된 랜덤 키 컴포넌트 쌍을 포함하는 제3 메시지를 (단계(406)에서의 기능적 구성요소를 통해) MB에게 전송하며, 랜덤 키 컴포넌트 쌍은 제1 랜덤 키 컴포넌트(xP) 및 제2 랜덤 키 컴포넌트(yP)로부터 형성되어 MB의 공개 키를 사용하여 A에서 암호화되었다. 제3 메시지는 B의 공개 키를 사용하여 A에서 계산되고 A에서 암호화된, 암호화된 랜덤 비밀 키(sK)를 또한 포함한다. MB는 단계(407 및 408)를 통한 A로의 수신을 확인 응답한다. MB는 (B의 공개 키를 사용하여 암호화되며, MB는 B의 개인 키가 없기 때문에) 메시지의 후반부를 복호화할 수 없어서, sK를 학습할 수 없다.
B와 MB 사이의 상호 인증 동작 후에, MB는 B에 의해 요청시 암호화된 랜덤 비밀 키(sK)를 B에게 제공한다. 이는 단계(409 및 410)에 도시되어 있다. 이 비밀 키는 B의 메일박스에 A에 의해 남겨진 내용(예를 들어, 음성 메시지)을 획득하기 위해 B에 의해 사용된다.
도 4b에 도시된 도 4a의 지연 전달에 대한 변형예에서는, 인증 키 동의 프로토콜이 수행되는 것이 아니라, 제1 메시지에서 A가 B의 공개 키를 사용하여 A에서 계산되고 A에서 암호화된, 암호화된 랜덤 비밀 키(sK)를 전송한다고 가정한다(단계(411)). B가 이용 불가능하다고 판단한 기능적 구성요소(402)는 제1 메시지를 MB에게 포워딩하고(단계(412)), 이를 확인한다(단계(413 및 414)). 그 후, B는 전술한 바와 동일한 방법으로 MB로부터 비밀 키를 복구할 수 있다(단계(415 및 416)).
도 5는 MIKEY_IBAKE 프로토콜의 다른 확장을 도시한다. 또한, 전술한 MIKEY_IBAKE 프로토콜의 확장이기 때문에, 간략화를 위해 MIKEY_IBAKE 프로토콜의 모든 특징들이 반복되지 않는다는 점이 이해되어야 한다. 도 5에서의 확장은 멀티미디어 통신 시스템에서 교환된 메시지들의 합법적 인터셉트의 개념에 관한 것이다. 합법적 인터셉트의 개념은 법 집행 당국이 하나 이상의 당사자들의 통신에 대해 “청취”할 필요가 있는 경우를 기초한 것이다.
하나의 접근법에서, 법 집행 당국은 수색 영장을 통해 102-I 및 102-R의 개인 키들을 간단히 획득하고, 키 동의 프로토콜 중에 능동형 “맨-인-더-미들(man-in-the-middle)”을 수행하여, 트래픽에 접근할 수 있다.
도 5에 도시된 다른 접근법에서, 법 집행 서버(LI 서버)(502)가 개시자의 KMS(KMSI) 및 응답자의 KMS(KMSR)와 함께 동작하여, 디바이스(102-I)와 디바이스(102-R) 사이에서 전송되는 메시지를 합법적으로 인터셉트한다. 도 5가 LI 서버, KMSI, KMSR를 위한 별도의 서버들을 도시하고 있지만, 멀티미디어 통신 시스템에서 하나의 기능적 구성요소(예를 들어, 인터셉트 서버)가 KMS를 수행하고 기능들을 인터셉트하는데 이용될 수 있다는 점이 이해되어야 한다.
따라서, 도 1a 및 도 1b의 컨텍스트에서 전술한 바와 같은 MIKEY_IBAKE 프로토콜이 수행된다. 그러나 LI 서버는 응답자에게 전송된 메시지에 대해 개시자를 모방하며, 개시자로 전송된 메시지에 대해 응답자를 모방한다.
예를 들어, LI 서버가 응답자를 모방하는 경우의 메시지 흐름을 고려한다. 102-I는 102-R에 의해 수신되도록 암호화된 제1 랜덤 키 컴포넌트를 포함하는 제1 메시지를 전송한다고 가정한다. 제1 메시지는 LI 서버에 의해 인터셉트된다. 그 다음, LI 서버는 제2 랜덤 키 컴포넌트를 계산하고, 암호화된 랜덤 키 컴포넌트 쌍을 포함하는 제2 메시지를 102-I로 전송한다. 랜덤 키 컴포넌트 쌍은 제1 랜덤 키 컴포넌트, 및 LI 서버에서 계산된 제2 랜덤 키 컴포넌트로부터 형성된다. 제2 메시지는 102-I의 공개 키를 사용하여 LI 서버에서 암호화된다.
제2 메시지는 102-I에 의해 키 서비스로부터 획득된 개인 키를 사용하여 복호화되어 제2 랜덤 키 컴포넌트를 획득한다. 그 다음, 디바이스(102-I)는 102-R에 의해 수신되도록 암호화된 제2 랜덤 키 컴포넌트를 포함하는 제3 메시지를 전송하지만, LI 서버에 의해 인터셉트된다. 따라서, LI 서버는 디바이스(102-I)가 계산한 것과 동일한 보안 키를 계산할 수 있다.
응답자(102-R)가 개시자에 의해 동의받았다고 믿는(그러나, 실제로 LI 서버를 이용하여 동의받은) LI 서버로 보안 키를 확립하도록 인증 키 동의 동작 중에 메시지를 송수신할 때 LI 서버는 개시자(102-I)를 모방한다는 점이 이해되어야 한다.
전술한 MIKEY_IBAKE 프로토콜 특징들 중 하나 이상은 회의 시스템 시나리오로 확장될 수 있다는 점이 이해되어야 한다. 이러한 확장은 도 6a 내지 도 6c를 통해 도시된다.
일반적인 가정은 다수 당사자의 통신(예를 들어, 회의 브릿지)을 중계하는 회의 서버(더 일반적으로, 회의 관리 구성요소)가 그룹 키를 알지 못하지만, 모든 사용자들이 동일한 그룹 키에 대한 액세스를 갖는다는 것이다. 즉, 피어-투-피어 회의에서, 회의 브릿지 역할을 하는 계산 디바이스가 또한 회의에 실질적으로 참가중인 당사자인 경우 이러한 가정에 대한 예외가 있다.
도 6a에 도시된 바와 같이, 회의 서버 및 사용자(당사자) 1 내지 사용자(당사자) N을 포함하는 다수 당사자 회의(600)를 가정하며, 여기서 사용자 번호는 사용자가 회의에 참석하려는 순서, 즉, 순차적으로 1, 2, 3,..., N으로 할당된다.
단계(602)에서, 각각의 사용자는 회의 서버로 IBAKE 프로토콜을 개별적으로 실행한다. Zi = aiP는 서버를 이용한 인증 중에 사용자 “I”에 의해 회의 서버로 전송된 값이라고 한다. aiP는 IBAKE에 따라 당사자에 의해 계산된 랜덤 키 컴포넌트라는 점을 상기한다.
인증 성공 후, 단계(604)에서, 회의 서버는 {aiP} 세트를 모든 사용자에게 전송(브로드캐스트 또는 개별적으로 유니캐스트)한다. 이로 인해, {aiP} 세트는 당사자들 각각에 의해 계산된 랜덤 키 컴포넌트들을 포함하는 세트이다.
단계(606)에서, 각각의 사용자는 Xi = ai{ai +1P - ai -1P}를 회의 서버로 개별적으로 되전송한다. ai{ai +1P - ai -1P}는 랜덤 그룹 키 컴포넌트이며, 여기서 랜덤 그룹 키 컴포넌트는 키 인증 동작 중에 당사자에 의해 사용되는 랜덤 숫자와 회의에 참석하려는 2 이상의 당사자들 중 나머지 당사자의 서브세트에 의해 계산된 랜덤 키 컴포넌트들에 기초한 계산을 통해 각 당사자에 의해 계산된다. 이 실시예에서, 소정의 당사자를 위한 랜덤 그룹 키 컴포넌트(ai{ai +1P - ai -1P})가 계산되는데, ai는 소정의 당사자에 의해 선택된 랜덤 숫자이며, ai +1P는 회의 순서에서 소정의 당사자의 바로 뒤의 당사자에 의해 서버로 전송된 랜덤 키 컴포넌트이며, ai -1P는 회의 순서에서 소정의 당사자의 바로 앞의 당사자에 의해 전송된 랜덤 키 컴포넌트이며, P는 아이덴티티 암호화-기반 키 인증 동작과 관련된 그룹으로부터 선택된 점(예를 들어, 전술한 바와 같은 타원 곡선으로부터 선택된 점)이다.
단계(608)에서, 회의 서버는 {Xi} 세트를 모든 사람과 공유(브로드캐스트 또는 개별적으로 유니캐스트)한다. 즉, {Xi} 세트는 당사자들에 의해 계산된 랜덤 그룹 키 컴포넌트들을 포함하는 일 세트이다.
단계(610)에서, 각 당사자는 회의 서버를 통해 서로 통신하는데 사용하기 위해 동일한 그룹 키를 계산할 수 있다. 그룹 키는 Nai(Zi -1) + (N-l)Xi + (N-2)Xi +1 + .... + Xi -2를 따라 계산되며, 여기서 N은 회의에 참가하려는 당사자들의 전체 인원수를 나타내고, ai는 소정의 당사자에 의해 선택된 랜덤 숫자를 나타내고, Zi는 소정의 당사자에 의해 계산된 랜덤 키 컴포넌트를 나타내고, Xi는 소정의 당사자에 의해 계산된 랜덤 그룹 키 컴포넌트를 나타내고, i는 N-당사자 회의에서 소정의 당사자를 위한 회의 순서 번호를 나타내는데, i=1일 때 i-1=N이고, i=N일 때 i+1=1이다.
전술한 바와 같이, 회의 서버는 회의에 참가하는 당사자가 아니기 때문에 그룹 키를 계산할 수 없다. 그러나 피어-투-피어 시나리오에서, 회의 서버는 회의 통화에 참가하는 당사자이기 때문에 그룹 키를 계산할 수 있는 필요가 있다.
회의 서버는 회의에 참가하려는 각 당사자와의 상호 인증 동작을 수행하는 것으로 이해된다. 적어도 다음의 2개의 조건을 충족시키는 경우, 회의 서버는 회의에 대한 소정의 당사자를 허가해야 한다. (i) 소정의 당사자가 회의 관리 구성요소에 의해 인증될 것; (ii) 소정의 당사자가 회의 인가 목록에 속하는 것으로 확인될 것. 또한, 전술한 MIKEY_IBAKE 프로토콜에 따라, 회의에 참가하려는 당사자들 및 회의 서버는 하나 이상의 키 관리 서비스들(KMS)로부터 각각의 개인 키를 획득한다.
도 6b는 새로운 회의 참가자(사용자 N+1)가 계속 중인 회의에 추가되어, 그 결과 변형된 회의(600´)를 초래하는 방법을 도시한다.
단계(612)에서, 사용자 N+1은 회의 서버로 IBAKE를 실행한다. ZN +1 = aN +1P는 서버를 이용한 인증 중에 사용자“N+1”에 의해 서버로 전송된 값이라고 한다. 사용자 N+1의 인증 성공 후, 단계(614)에서, 회의 서버는 새로운 사용자 N+1의 허가를 발표하고, 모든 사람에게 ZN + 1를 포함하는 {aiP} 세트를 전송(브로드캐스트 또는 개별적인 유니캐스트)한다.
단계(616)에서, 사용자 1, 사용자 N, 사용자 N+1은 Xi = ai{ai +1P - ai -1P}를 서버로 개별적으로 되전송하는데; 다른 방식으로 이들 모두가 이 단계를 실행할 수 있다. 단계(618)에서, 회의 서버는 모든 사람과 XN +1을 포함하는 {Xi} 세트를 공유(브로드캐스트 또는 개별적으로 유니캐스트)한다. 단계(620)에서 그룹 키((N+1)ai(Zi -1) + (N)Xi + (N-1)Xi +1 + ... + Xi -2)가 재계산된다. 새로운 사용자가 허가된 후 그룹 키가 변경된다는 점에 주목한다.
도 6c는 회의 참가자가 계속 중인 회의에서 탈퇴하여, 그 결과 변형된 회의(600˝)를 초래하는 방법을 도시한다.
사용자 3이 통화에서 탈퇴한다고 가정한다(사용자 3의 선택은 단지 일례라는 점이 이해되어야 함). 단계(622)에서, 회의 서버는 어느 사용자가 통화에서 탈퇴했는지를 발표(브로드캐스트 또는 개별적인 유니캐스트)한다. 단계(624)에서 사용자 순서가 변경된다. 사용자 1과 사용자 2는 동일하게 유지된다. 4 이상인 모든 i에 대해, 사용자 i는 사용자 i-1이 된다. 단계(626)에서, (현재 사용자 3인) 사용자 4는 Xi를 재계산하고, 이러한 기여 부분을 회의 서버와 공유한다. 단계(628)에서, 회의 서버는 {Xi} 세트를 모든 참가자들과 공유한다. 단계(630)에서, 참가자들은 그룹 키((N-1)ai(Zi -1) + (N-2)Xi + (N-3)Xi +1 + ... + Xi -2)를 재계산한다. 다시, 참가자들이 통화를 탈퇴한 후 그룹 키가 변경된다는 점에 주목한다.
본 발명의 원리들은 또한 전술한 회의 관리 기법들에 대한 확장을 제공한다. 확장은 회의 메시지의 합법적 인터셉트를 포함한다.
N명의 참가자가 회의 시스템에 참가하고 있다고 가정한다. 참가자 N이 “부패”하여, 법 집행 당국이 영장을 받아서 참가자 N으로/으로부터의 통화에 접근한다고 가정한다. 참가자 N을 부패한 자라고 선언하는 선택은 단지 예시를 위한 것으로서, 이하 설명을 더 쉽게 하려는 것이며, 그 방안이 N번째 사용자를 부패한 사용자라고 선언하는 것으로 제한되는 것은 아니다.
회의 통화 전에, LI 서버(도 5 상기)는 참가자 N에 대응하는 KMS에 접근하여, 참가자 N의 개인 키를 획득한다. 참가자 N의 기여 부분들이 LI 서버로부터의 기여 부분들로 대체되는 경우는 제외하고, 이는 그룹 키 교환 프로세스 중에 LI 서버가 참가자 N인 것으로 가장하여 도 6a에서의 모든 단계들을 실행하게 한다. 특히, LI 서버는 ZN과 XN을 대신하여 ZLI 및 XLI를 대체시킬 것이다. 참가자들의 나머지는 그 차이점을 알지 못하고, GK´라고 지칭되는 그룹 키를 계산할 것이다.
다음으로, LI 서버는 회의 서버를 동작시키며, 참가자 N과의 모든 통신에서 Z1 및 X1을 ZLI 및 XLI로 대체한다. 이는 참가자 N이 GK´와는 상이한 그룹 키를 계산할 것이라는 것을 의미한다. 이 새로운 키를 GK˝라고 지칭한다.
상기 단계에서, LI 서버는 임의의 참가자에 대해 Zi 및 Xi를 ZLI 및 XLI로 대체할 수 있으며, i=1의 선택은 단지 예시를 위한 것이라는 점에 주의한다.
통화가 설정된 후, 참가자 1 내지 참가자 N-1로부터의 임의의 통신은 GK´를 사용하여 암호화될 것이다. LI 서버는 GK´를 알고 있기 때문에, 통신을 인터셉트하고, 복호화하여, 참가자 N에게 전송할 수 있는데, 후에 GK˝로 재-암호화할 것이다. 반대로, 참가자 N로부터의 임의의 통신은 LI 서버에 의해 인터셉트될 GK˝를 사용하여 암호화되고, GK˝를 사용하여 복호화되고, GK´를 사용하여 재-암호화되어, 참가자 1 내지 참가자 N-1에게 전송된다.
Ⅲ. IMS 실시예들
다음 섹션에서, MIKEY_IBAKE의 상기 일반적인 원리들 및 그 확장들은 IP 멀티미디어 서브시스템(IMS) 환경에 적용된다. 즉, 이 섹션에서 멀티미디어 통신 시스템은 IMS 네트워크라고 간주된다. IMS 표준들은 예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 3GPP Technical Specifications TS 23.218, TS 23.228, TS 24.228, TS 24.229, 및 TS 24.930에 설명되어 있다.
어떠한 다양한 특징들 및 용도들이 도출될 수 있는지에 기초하여, IMS 미디어 플레인 보안, 특히 키 관리를 위한 아키텍처 프레임워크를 먼저 설명한다.
해결 방안의 핵심은 그 내용이 참조로서 여기에 통합되어 있는 RFC 5091, RFC 5408, 및 RFC 5409와 유사한 아이덴티티-기반 암호화(IBE) 개념이다.
그러나 이들 RFC에서는 인증을 제공하지 않으며, 내재된 키 위탁 문제가 있다. 기본 IBE를 확대하여, 상호 인증을 제공하고, 수동형 키 위탁을 제거하고, 키들의 완벽한 비밀 유지를 제공하는 아이덴티티 기반 인증 키 교환(IBAKE) 프로토콜을 포함시켜서 이들 문제를 다룬다. IBAKE가 기본 프로토콜 구조이지만, 키 전달을 위한 프로토콜 컨테이너로서 MIKEY를 사용한다.
본 발명의 IMS 방안 프레임워크에 대한 하나의 핵심 아이디어는 KMS를 포함하여 제안된 아키텍처를 재-사용하는 것이지만, 명백히 이들 KMS 서버가 항상 온라인상에 있을 것을 요구하지 않는다. 다시 말해, 제안된 프레임워크에서, KMS는 최종-사용자 클라이언트와 주기적으로(예를 들어, 한 달에 한 번) 통신하여 보안 아이덴티티 기반 암호화 프레임워크를 생성하는 오프라인 서버들이며, 반면에 (미디어 플레인 보안을 위한) 최종-사용자 클라이언트들 사이의 온-라인 거래들은 참가 클라이언트들이 비대칭 아이덴티티 기반 암호화 프레임워크에서 키 컴포넌트들을 교환하게 하는 IBAKE 프레임워크에 기반한다. 수동형 위탁 제거에 더하여, 이 프레임워크는 최종-사용자 클라이언트들이 (IMS 미디어 플레인 계층에서) 서로를 상호 인증하게 하여, 완벽한 비밀 유지를 제공한다.
클라이언트 교환에 대한 KMS가 드물게(예를 들어, 한 달에 한 번) 사용되며, 이로 인해 KMS는 더 이상 이용 가능성이 높은 서버일 것이 요구되지 않으며, 특히 상이한 KMS들은 (운영자 경계(operator boundaries)를 통해) 서로 통신할 필요가 없다는 점에 주목한다. 게다가, 비대칭 아이덴티티 기반 암호화 프레임워크가 사용되는 경우, 값비싼 공개 키 기반구조(PKI)에 대한 필요성 및 인증서 관리 및 폐기의 일체의 운영 비용이 제거된다. 추가적으로, 다양한 IMS 미디어 플레인 특징들이 안전하게 지원되는데, 이는 보안 분기, 재표적화, 지연 전달, 사전-인코딩 콘텐츠, 미디어 클립핑, 및 익명성을 포함한다.
방안의 확장은 보안 회의 애플리케이션에 허용되는데, 여기서 IMS 회의 애플리케이션 서버는 사용자들의 통화를 인증하며, 통화 중인 모든 참가자들은 (모든 사람으로부터의 기여부분을 이용하여) 그룹 키에 대해 결정하지만, 회의 서버 자체는 그룹 키를 학습하지 못한다. 게다가, 그룹 키는 새로운 참가자들 및 통화를 탈퇴한 참가자들을 설명하기 위해 변형될 수 있다. IMS 기반 키 관리 프레임워크의 추가적인 특징은 수동형 키 위탁의 제거에도 불구하고 능동형 위탁의 개념을 사용하여 법 집행과 보안 크리덴셜(security credentials)을 합법적으로 공유한다는 것이다.
도 7은 IMS 미디어 플레인에서 일례의 엔드-투-엔드 교환 프로토콜에 포함된 엔티티들에 따른 아키텍처의 개략도를 제공한다. IMS 아키텍처가 널리 공지되어 있기 때문에, 도 7에 도시되어 있는 기능적 컴포넌트들은 상세히 설명하지 않는다는 점을 이해한다. 이들의 기능의 상세한 설명을 위해 IMS 표준들이 참조될 수 있다. 공지된 바와 같이, CSCF는 통화 세션 제어 기능을 참조하며, 이로써 P-CSCF는 프록시 CSCF이고, S-CSCF는 서빙 CSCF라는 점에 주의한다. NAF는 네트워크 애플리케이션 기능을 참조한다.
예시적인 시나리오에서, 2개의 IMS 가능 최종 사용자 전화기들이 엔드-투-엔드(e2e) 키 교환에 종사하여 애플리케이션 계층에서의 통신을 보안한다. 예시에는 IMS를 통한 UE들 사이의 온라인 거래뿐 아니라 UE(사용자 기기) 및 KMS 사이의 오프라인 거래들을 포함한다는 점에 주의한다.
UE 및 KMS는 사전에 구성된 보안 관계를 공유하며, 여기서 사용자들은 키 관리 서버와의 보안 연결을 확립할 수 있으며, 상호 인증이 제공된다는 점에 주목한다. 3GPP 시스템의 컨텍스트에서 하나의 자연스러운 일례는 일반화된 부트스트랩 아키텍처(GBA)의 사용이다(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 3GPP TS 33.220 참조). 도 7에서, KMS와 UE 사이의 거래는 부트스트랩핑 서버 기능(BSF)을 통해 사용가능해지며, 이 거래는 드물게(예를 들어, 한 달에 한 번) 수행된다는 점을 상기한다. GBA가 이용될 수 없다면, 사전-공유 키들 또는 인증서들을 갖는 IKEv2(예를 들어, 그 내용이 참조로서 여기에 통합되어 있는 IETF RFC 4306 참조)와 같은 다른 타입의 크리덴셜들이 사용자와 KMS 사이의 상호 인증을 확립하는데 사용될 수 있다.
이 거래 동안, UE는 자신의 가입 크리덴셜들을 제시하며, 그 다음 KMS가 (IBAKE에 사용되는) 개인 키 세트를 생성한다. 이러한 거래가 한 달에 한 번 수행된다면, KMS는 매일 하나의 키를 생성하는 것을 선택할 수 있다. 키들의 개수 및 이러한 교환의 빈도는 정책적인 문제로서, 가입에 달려 있을 수 있다. 이러한 유연성은 미리 지불한 고객들에게 특히 유용하다.
단일 KMS보다는 2개의 상이한 KMS들이 포함될 수 있는데, 즉 사용자 A를 위한 하나(KMS_A)와 사용자 B를 위한 하나(KMS_B)가 있다는 점에 주의한다. 그러나 KMS_A 및 KMS_B가 서로 통신할 필요는 없다. 이 시나리오는 내부-운영자(inter-operator) 시나리오에서 특히 이용될 수 있다.
지금부터 IMS 컨텍스트에서 MIKEY_IBAKE에 포함된 교환들의 요약을 제공한다.
A 및 B는 키를 인증하고 동의하려고 시도하는 2명의 사용자라고 가정한다. 동시에, A 및 B는 이들의 대응하는 아이덴티티를 표현하며, 또한 정의에 따라 이들의 공개 키들을 표현한다. H1(A)=QA 및 H1(B)=QB는 공개 키들에 대응하는 타원 곡선 상의 개별적인 점들이라고 한다. 실제로, QA 및 QB는 공개 키라고 지칭될 수 있는데, 이는 H1를 적용함으로써 획득되는 곡선 상의 점들과 아이덴티티 사이의 1대1 대응관계가 있기 때문이다. x는 A에 의해 선택된 랜덤 숫자이며, y는 B에 의해 선택된 랜덤 숫자이다. 섹션 I에서 전술한 바와 같이, 이하 암호화는 아이덴티티 기반 암호화를 참조한다.
(도 7에 도시된 컴포넌트들을 참조하여) IMS 기반 MIKEY_IBAKE 프로토콜 교환은 다음의 단계들을 포함한다.
1. 사용자 A에 속하는 IMS UE는 BSF로 부트스트랩되어, NAF 역할을 하는 KMS와의 보안 연결을 확립할 수 있다. 이는 BSF가 사용자를 인증하고, 이 사용자가 KMS를 간접적으로 인증하게 한다. GBA가 사용될 수 없으면, IMS UE는 KMS에 연결되어 인증되며, 미리-확립된 보안 관계에 기초하여 공유 키를 확립한다.
2. IMS UE는 KMS와의 MIKEY 교환에 종사하며, 비밀 키를 요청한다(또는 예를 들어, 매일 다수의 비밀 키들을 요청함).
3. KMS는 사용자 A의 IMS UE를 위한 미디어 비밀 키(들)를 생성하여, 사용자 A에게 전송한다.
4. 사용자 A의 IMS UE는 xP(즉, E에 대한 추가 규칙을 이용하여 E 상의 점으로서 P를 x번 더함)를 계산하고, B의 공개 키를 이용하여 암호화하고, 사용자 B의 IMS UE에게 송신한다.
5. IMS 코어는 INVITE를 검출하며, 인증된다면, 네트워크 기능이 세션 키에 대한 액세스를 얻을 수 있는 방식으로 이를 취급한다. 특히, 이 단계는 임의의 합법적인 인터셉트 요구사항을 만족시키는데 필요한 능동형 위탁 특징을 지원하기 위해서만 이용될 수 있다.
6. 사용자 B의 IMS UE는 암호화된 xP를 포함하는 INVITE를 수신한다. 사용자 B의 IMS UE는 이 메시지를 복호화하여 xP를 획득한다. 그 후, B는 yP를 계산하고, 사용자 A의 IMS UE의 공개 키를 사용하여 {xP, yP} 쌍을 암호화한 후, 응답 메시지에서 이를 A로 송신한다.
7. 이 메시지를 수신하면, 사용자 A의 IMS UE는 메시지를 복호화하여, yP를 획득한다. 그 후, 사용자 A의 IMS UE는 B의 공개 키를 사용하여 yP를 암호화하고, 응답 확인 메시지에서 이를 B로 되전송한다. 그 다음, A와 B는 세션 키로서 xyP를 계산한다.
8. 이 때, 사용자 B의 IMS UE는 미디어 보안의 사용 및 초대를 수락한다.
A는 x를 랜덤하게 선택했고, 프로토콜 교환의 제2 단계에서 yP를 수신했음에 주목한다. 이는 A가 yP를 x번 더함으로써 xyP를 계산하게 한다. 반대로, B는 y를 랜덤하게 선택했고, 프로토콜 교환의 제1 단계에서 xP를 수신했다. 이는 B가 xP를 y번 더함으로써 xyP를 계산하게 한다.
MIKEY_IBAKE 프로토콜의 일부 장점들은 다음과 같다.
상호 인증. 단계(4 및 7)의 페이로드의 내용은 B의 공개 키를 사용하여 암호화된다는 점에 주목한다. 따라서, B 및 단지 B만이 이들 메시지를 복호화할 수 있다. 유사하게, 단계(6)에서의 메시지의 내용은 A 및 단지 A에 의해서만 복호화될 수 있다. 또한, 단계(6 및 7)은 (메시지가 정확하게 복호화되었음을 입증함으로써) B 및 A가 서로 인증하게 한다는 점에 주의한다. 이러한 신규한 특성들은 A 및 B가 임의의 온-라인 서버 또는 인증 기관(certificate authority)의 도움없이 서로를 상호 인증하게 한다.
완벽한 비밀 유지. x 및 y는 랜덤하다는 점에 주목한다. 따라서, 세션 키(xyP)는 새로 고쳐지며, 과거 또는 미래의 거래와 아무런 관련성이 없다.
수동형 위탁 제거. KMS(또는 한 쌍의 KMS들)가 교환시 메시지들을 복호화할 수 없으며, xP와 yP를 고려하여 xyP를 판단하는 것이 어렵다는 점에 주목한다. 가정의 곤란성은 타원 곡선 상의 디피-헬먼 문제에 기인한다. 또한, IBE에 사용된 곡선들은 KMS 특정적이며, 또한 세션 키를 생성하는데 사용되는 곡선과 동일할 필요는 없다는 점에 주의한다. 이러한 유연성은 많은 개수의 선택 사항들을 제공하며, KMS들 사이에 필요한 임의의 조합들을 제거한다.
아이덴티티 관리. 전술한 바와 같이, 전송자는 메시지를 암호화하기 위해 수신자의 공개 키를 사용하며, 이는 수신자의 아이덴티티(또는 아이덴티티들 중 하나)를 사용하여 생성된다. 수신자의 아이덴티티는 특정 사용자, 사용자들 또는 임의의 사용자의 그룹을 특정하는 포맷일 수 있다. 사용자 및 사용자 그룹의 이름을 부여하는 것은 일반적인 IMS 관례에 따를 수 있으며, 와일드카드의 사용으로 확대될 수 있다. 그룹 애플리케이션을 포함하는 일정한 시나리오에서, 그룹 내의 모든 수신자들이 특정 사용자 그룹의 아이덴티티에 대응하는 비밀 키를 사용하게 하는 정책을 갖는 것은 자연스러울 수 있다. 예를 들어, 기업 사용자들의 경우, 기업의 아이덴티티에 대응하는 비밀키가 모든 기업 사용자들에게 배포되는 것을 기본값으로 갖는 것이 자연스러울 수 있다. 아이덴티티 기반 암호화의 특성으로 인해, 그룹에 속하는 모든 사용자들이 그 그룹의 비밀 키를 소유함에도 불구하고, 모든 사용자들은 전송자와 동일 그룹에 속한 일부 다른 사용자 사이에 확립된 세션 키를 획득하지 못할 수 있다는 점에 주의한다. 정책들이 강제되는 것을 보장하기 위해, 공개 사용자 아이덴티티가 IMS UE에 보안적으로 묶여 있을 수 있다는 것이 필요하다. 다시 말하면, 하나의 공개 아이덴티티(세트)에 대한 KMS에 대해 입증하는 것은 사용자에 의해 사용되는 아이덴티티에 중요하다.
지금부터, 다양한 IMS 기반 용도 시나리오로의 MIKEY_IBAKE 프로토콜의 확장들을 설명한다. 이들 확장들은 일반적으로 섹션 II에서 전술되었다는 점에 주의한다. 이하 설명은 IMS 환경의 컨텍스트에 있다.
A. 능동형 위탁을 통한 합법적인 인터셉트(LI)
인터셉트된 통신의 깨끗한 사본을 제공할 수 있기 위해서는 다음의 조건들이 이행되어야 한다.
1. 트래픽(시그널링 및 미디어 모두)을 인터셉트할 수 있어야 한다.
2. 실제 트래픽 보호에 사용되는 세션 키들이 이용 가능해야 한다. 세션 키들을 이용 가능하게 하기 위해, KMS 기능/서비스들이 요구된다.
전술한 바와 같이, 트래픽 보호에 사용되는 실제 세션 키들은 전송자와 수신자 사이에 생성되며, 따라서, KMS에 의해 공지되지 않는다. 따라서, 능동형 위탁 방안이 필요하다. 이 시나리오에서, KMS가 사용자 A와 사용자 B 사이의 세션 키를 획득하기 위해, 자신과 사용자 A 사이의 능동형 세션 키 및 동시에 자신과 사용자 B사이의 다른 능동형 세션을 확립할 필요가 있다. KMS는 A를 향하는 B인 것으로 가장하고, 그 반대로 가장한다. KMS에 의해 수행되는 이러한 ‘맨-인-더-미들’ 역할은 능동형 위탁이라고 지칭되며, 인증 기관이 ‘페이크 인증서(fake certificate)’들을 생성 및 교환하는 PKI 환경에서 사용되는 방법과 유사하다. 종래의 CA에 사용되는 기법과 능동형 위탁에 대한 본 발명의 접근법 사이의 차이점은 KMS가 페이크 키들을 생성할 필요가 없다는 것이다.
홈 네트워크를 통해 라우팅되는 시그널링 트래픽의 경우, 홈 네트워크에서의 시그널링 트래픽의 인터셉트는 세션 개시 프로토콜(SIP) 서버(들)에서 행해질 수 있다. 이러한 시그널링 트래픽은 적당한 KMS를 향해 라우팅될 필요가 있는데, 이는 이러한 KMS가 대응하는 사용자들에 필요한 세션 키들을 확립하기 위한 것이다. 상황들을 로밍하는 경우, SIP 시그널링 트래픽이 일반적으로 IMS UE와 P-CSCF 사이에서 기밀성 보호되고 있고, 현재의 배치에서 P-CSCF가 홈 네트워크에 위치한다는 것을 고려하면, SIP 시그널링은 방문 네트워크에서의 베어러 레벨(bearer level)로 암호화된 포맷에만 이용될 수 있다.
로밍 시나리오에서, 암호화된 SIP 시그널링 및 내용이 항상 이용될 수 있는 동안, SIP 시그널링을 인터셉트하고, 통신의 내용을 복호화하기 위해, 방문 네트워크와 엔티티 취급 KMS 사이의 상호 동작 동의(interoperation agreement)가 있어야 한다. 통상적으로, KMS는 방문 네트워크에 의해 수행되는 LI의 경우 홈 네트워크와의 협동에 필요하도록 홈 네트워크에 존재한다.
LI 표준에 따라, 방문 공용 지상 모바일 네트워크(Visited Public Land Mobile Network; VPLMN)가 암호화에 포함되지 않는 경우, 단지 암호화된 내용들은 VPLMN에서 LI를 위해 이용될 수 있을 것이다.
B. 상이한 KMS 도메인에서의 사용자들
상이한 KMS 도메인들의 사용자들은 상이한 KMS들에 의해 생성되는 이들의 비밀 키들을 가질 것이다. 결과적으로, 상이한 세트의 공개 파라미터들이 상이한 KMS 도메인들의 사용자들을 위한 공개 키 및 비밀 키들을 생성하는데 사용될 수 있다. 적당한 암호화/복호화를 보장하기 위해, 전송자와 수신자는 각자에 의해 사용되는 정확한 공개 파라미터들을 알 필요가 있다. 그럼에도, 하나의 KMS 도메인에서의 사용자가 다른 KMS 도메인의 사용자에 대한 보안 통화를 확립할 필요가 있다면, 관련된 KMS들은 협동할 필요가 없다. 임의의 아이덴티티 기반 암호화 프로토콜인 경우 또는 임의의 공개 키 프로토콜 문제의 경우, 교환에 필요한 공개 파라미터들이 공개적으로 이용 가능하거나 교환된다고 확실히 가정할 수 있다.
C. 엔드-투-미들 시나리오
엔드-투-미들 시나리오에서, 미디어 보호는 IMS UE와 네트워크 엔티티 사이에 있다. 통화가 IMS UE로부터 개시된 시나리오에서, 통화 설정은 엔드-투-엔드 보호 통화를 위한 경우와 동일한 원리들을 따를 것이다. 개시 IMS UE는 네트워크 엔티티(예를 들어, MGWC - 미디어 게이트웨이 제어)의 아이덴티티를 사용하여 전술한 바와 같은 xP를 암호화하고 이를 INVITE와 함께 전송한다. MGWC는 메시지를 인터셉트하여, 수신하는 IMS UE가 행하는 것과 동일한 방법으로 yP를 생성한다. 그 다음, MGWC는 MGW를 설정하여 IMS UE를 향한 미디어 보안을 갖게 한다. 미디어 트래픽이 공중 전화 교환 네트워크(PSTN)에서 명백하게 포워딩된다.
IMS UE로의 착신 통화의 경우, MGWC는 의도한 수신자에 관해 등록된 적어도 하나의 단말기가 미디어 보안 능력 및 선호도를 등록하고 있는지를 점검한다. 미디어 보호-가능 단말기가 없는 경우, 통화는 명백히 포워딩된다. 그렇지 않으면, MGWC는 y를 선택하고, yP를 생성한다. 그 다음, MGWC는 INVITE에 (IMS UE의 아이덴티티를 사용하여) 암호화된 yP를 삽입하고, MGW와 IMS 단말기 사이의 미디어 트래픽 상에 MGW에서의 미디어 보안 사용을 개시한다.
D. 키 분기
이 섹션에서, IMS-기반 MIKEY_IBAKE의 경우에 대한 분기를 설명한다. 분기는 일반적으로 도 2의 컨텍스트에서 전술되었음을 상기한다. 분기는 요청(예를 들어, INVITE 메시지)을 다수의 위치들로 전달하는 것이다. 이는 단일 IMS 사용자가 한번 이상 등록된 경우 발생한다. 분기의 일례는 사용자가 책상 전화, PC 클라이언트, 및 모바일 핸드셋을 가지며, 이들 모두가 동일한 공개 아이덴티티를 가지고 등록된 경우이다.
도 8의 단계(1 내지 8)의 컨텍스트에서 도시되고 이하 설명되는 예에서, 사용자 B의 IMS UE는 단일 공개 사용자 아이덴티티 B를 가지고 등록된 다수의 연락처 주소들을 갖는다고 가정한다. 다시 말해, B1 및 B2는 공개 아이덴티티 B에 대응하는 비밀 키를 획득한다. 이 경우, 사용자 A의 IMS UE가 사용자 B의 IMS UE와 접촉하고 싶어한다면, 요청은 B1 및 B2 모두에 전달될 것이다. B2가 통화에 응답한다고 가정하면, 우선 B2는 아이덴티티 B와 관련된 비밀 키를 사용하여 수신된 메시지를 복호화한다. 그 다음, B2는 무작위로 y를 선택하고 A의 공개 아이덴티티를 사용하여 암호화된 yP 및 그의 아이덴티티 B2를 포함하는 메시지를 A에게 전송한다. 이 메시지를 수신하면, 사용자 A는 이를 복호화하고, 사용자 B2와 통신 중이라는 것을 인식하고, B2의 공개 아이덴티티를 사용하여 암호화된, 수신된 YP를 포함하는 응답 확인 메시지를 전송한다.
B1은 B의 공개 아이덴티티를 사용하여 암호화된 사용자 A로부터 수신된 메시지를 복호화하여, xP를 획득할 수 있다는 점에 주목한다. 그러나 B2로부터 전송된 메시지를 복호화할 수 없는데, 그 이유는 A의 아이덴티티를 사용하여 암호화되기 때문이다. 따라서, 사용자 B1은 yP를 획득할 수 없다. 또한, B1이 yP를 획득할 수 있었던 경우에도 여전히 xyP를 계산할 수 없었다는 점에 주의한다. 도 7에서, (M)_X는 메시지 M이 X의 아이덴티티를 사용하여 암호화되었다는 것을 나타낸다는 점에 주의한다.
E. 재지시
이 섹션에서, IMS-기반 MIKEY_IBAKE의 경우에 대한 세션 재지시(재표적화)를 설명한다. 재지시는 일반적으로 도 3의 컨텍스트에서 전술되었음을 상기한다. 세션 재지시는 기능적 구성요소가 통화를 상이한 목적지로 재지시하도록 결정하는 시나리오이다. 세션 재지시는 “세션 포워드 무조건(Session Forward Unconditional)”. “세션 포워드 바쁨(Session Forward Busy)”, "세션 포워드 변수(Session Forward Variable)”, “선택적 세션 포워딩(Selective Session Forwarding)”, 및 “세션 포워드 무응답(Session Forward No Answer)”의 통상적인 서비스들이 가능하게 한다.
세션 재지시에는 2가지 기본 시나리오가 있다. 제1 시나리오에서, 기능적 구성요소(예를 들어, S-CSCF)는 SIP REDIRECT 방법을 사용하여 세션을 재지시할 것을 결정한다. 다시 말해, 기능적 구성요소는 새로운 목적지 정보를 발신자(originator)에게 건내준다. 결과적으로, 발신자는 기능적 구성요소에 의해 제공되는 재지시된 목적지에 새로운 세션을 개시한다. MIKEY_IBAKE의 경우, 이는 발신자가 재지시된 목적지의 아이덴티티로 새로운 세션을 개시할 것임을 의미한다.
제2 시나리오에서, 기능적 구성요소는 발신자에게 알리지 않고 세션을 재지시하는 것을 결정한다. 공통의 시나리오는 목적지 사용자의 S-CSCF는 세션이 재지시될 수 있다고 판단하는 것이다. 등록 중에 'Cx-pull'에 의해 홈 가입자 서버(HSS)로부터 획득된 사용자 프로파일 정보가 세션 재지시의 원인이 되는 복잡한 로직 및 트리거(trigger)들을 포함할 수 있다.
도 9의 단계(1 내지 8)에 도시된 예에서, 일반성을 잃지 않고, 사용자 B가 사용자 C로의 세션 포워딩을 설정한다고 가정한다. 이 경우, 사용자 B는 사용자 C의 아이덴티티를 사용하여 암호화된 비밀 키(SK_B)를 사용자 프로파일에 포함한다. 따라서, S-CSCF가 사용자 A로부터 메시지를 수신하고, 그 메시지가 재지시될 필요가 있다고 결정하면, 사용자 C에게 재지시된 메시지에 B의 암호화된 키를 포함한다. 메시지를 수신하면, 사용자 C는 비밀 키를 암호화하고, 그 다음 A로부터의 메시지를 암호화한다. 그 다음, C는 랜덤하게 y를 선택하고 A의 공개 아이덴티티를 사용하여 암호화된 yP 및 그의 아이덴티티 C를 포함하는 메시지를 A에게 전송한다. 이 메시지를 수신하면, 사용자 A는 이를 복호화하고, 사용자 C와 통신 중이라는 것을 인식하고, C의 공개 아이덴티티를 사용하여 암호화된, 수신된 yP를 포함하는 응답 확인 메시지를 전송한다. 도 9에서, (M)_X는 메시지(M)가 X의 아이덴티티를 사용하여 암호화되었다는 것을 나타낸다.
F. 지연 전달
이 섹션에서, IMS-기반 MIKEY_IBAKE의 경우에 대한 지연 전달을 설명한다. 지연 전달은 세션 내용이 전송 시점에 목적지에 전달될 수 없게 하기 위한 서비스 타입이라는 것을 섹션 II로부터 상기한다(예를 들어, 목적지 사용자가 현재 온라인상에 없거나 통화 응답을 하지 않기로 결정한 경우). 그럼에도 불구하고, 전송자는 수신자가 이용 가능하게 되자마자 네트워크가 메시지를 전달하기를 바란다. 지연 전달의 통상적인 일례는 음성 메일이다.
이하, IMS-기반 MIKEY_IBAKE의 경우에 관한 지연 전달의 2가지 기본 시나리오가 제시된다. 제1 시나리오를 위해 도 4a를 다시 참조하고, 제2 시나리오를 위해 도 4b를 다시 참조할 수 있다.
제1 시나리오에서, 사용자 A 및 사용자 B의 메일박스는 지연 전달하려는 메시지의 내용을 복호화하는데 사용될 키에 동의하기 전에 상호 인증을 수행한다.
제1 시나리오에서(다시, 기능적 구성요소(402)가 IMS 서버인 도 4a를 재참조할 수 있음), 사용자 A가 현재 이용 불가능한 사용자 B에게 연락하려고 노력하며, 이에 따라 통화는 B의 ‘음성메일’로 포워딩된다고 가정한다. MIKEY_IBAKE 프로토콜을 따르면, B의 메일박스에 의해 수신된 메시지는 B의 아이덴티티를 사용하여 암호화되며, 이에 따라 B의 메일박스는 이를 복호화하는데 사용되지 않을 것이다. B의 메일박스는 무작위로 y를 선택하고, yP를 계산하여, IBE-암호화된 자신의 아이덴티티 및 yP를 사용자 A에게 전송한다. 사용자 A는 B가 메시지를 수신하지 못했고, 실제 수신자가 자신의 아이덴티티 및 xP가 없어서 제1 단계에서 전송된 메시지를 복호화할 수 없었다는 것을 인식한다. 따라서, 사용자는 B의 메일박스 아이덴티티를 사용하여 전부 IBE-암호화된 A의 아이덴티티, B의 메일박스 아이덴티티, xP, 및 yP를 포함하는 새로운 메시지를 전송한다. 이 메시지를 수신하면, B의 메일박스는 B에게 전송하려던 메시지를 위한 세션 키로서 “sK”를 수락하고, A의 아이덴티티와 xP를 사용자 A에게 반환하여 인증을 완료시킨다.
sK는 B의 공개 키를 사용하여 암호화되며, 이에 따라 메일박스 B는 이 메시지를 복호화하여, “sK”를 획득할 수 없다는 점에 주목한다. 그 후, B가 온라인 상에서 ‘음성 메일’을 체크(지연 전달 서버로 체크)하는 경우, B는 메일박스 서버로부터 sK의 암호화된 값을 획득할 수 있다. B는 메일박스로 인증하여 키를 획득해야 할 수 있으며, 이는 기존의 인증 메커니즘에 기초할 수 있다는 점에 주의한다.
제2 시나리오에서(다시, 기능적 구성요소(402)가 IMS 서버인 도 4b를 재참조할 수 있음), 동일한 가정이 유지되는데, 즉 사용자 A가 현재 이용 불가능한 사용자 B에게 연락하려고 노력하며, 따라서 통화는 B의 ‘음성메일’로 포워딩된다고 가정한다. 그러나 이 경우 B의 메일박스 및 사용자 A는 인증을 수행하지 않는다. 대신, B의 메일박스는 세션 키로서 sk를 단지 수락하고, OK 메시지를 사용자 A에게 반환하여 확인한다.
G. 그룹 및 회의 통화
이 섹션에서, MIKEY_IBAKE의 키 관리 프로토콜은 그룹 및 회의 통화로 확장된다. 따라서, MIKEY_IBAKE 프로토콜로부터 유래한 유리한 특성들은 회의 환경에서 실현된다는 점에 주의한다. 도 6a 내지 도 6c의 컨텍스트에서 회의가 일반적으로 전술되었음을 상기한다. 도 10의 IMS 예시는 N=3인 경우라는 점에 주의한다.
도 10의 단계(1 내지 18)에 도시된 IMS-기반 시나리오에서, 사용자를 회의 통화로 초대하는 회의 서버(AS/MRFC - 애플리케이션 서버/멀티미디어 자원 기능 제어기(application server/multimedia resource function controller))가 있다고 가정한다. 이는, 예를 들어, 다른 사용자로부터 미리 수신된 REFER 요청의 결과일 수 있다. 다른 접근법은 이 기능을 사용자 중 하나(예를 들어, 회의 의장)에게 위임하는 것이다. 이 대안은 비록 도 10에 도시되어 있지 않지만, 접근방식은 유사하며, 그룹 키의 계산은 동일할 것이다.
이하 설명에서, 모든 메시지는 적절한 아이덴티티를 사용하여 IBE 암호화된다고 가정한다(예를 들어, 사용자 Y가 메시지(M)를 사용자 X에게 전송한다면, 메시지(M)는 X의 아이덴티티를 사용하여 암호화된다). 도 10에서, 이는 (M)_X라고 표시되며, 메시지(M)가 X의 아이덴티티를 사용하여 IBE 암호화되었다는 것을 의미한다.
회의 서버와의 제1 세트의 교환에서, 사용자 A1, 사용자 A2, 및 사용자 A3는 랜덤하게 a1, a2, 및 a3를 각각 선택하며, 각각의 사용자 Ai는 wi = aiP를 회의 서버에 전송한다. 제2 세트의 교환에서, 회의 서버는 모든 aiP를 모든 사용자에게 전송하며, 각각의 사용자는 zi = ai(ai +1P - ai -1P)를 전송한다. 최종 교환에서, 회의 서버는 모든 zi를 각각의 사용자에게 전송한다. 이 때, 모든 회의 참가자들은 다음과 같이 그룹 키를 계산할 수 있다. Ki = 3aiWi -1 + 2zi + zi +1.
K1 = K2 = K3라는 점에 주의한다. 또한, 사용자 A1, A2, 및 A3는 그룹 키를 생성할 수 있지만, 회의 서버는 생성할 수 없는데, 이는 회의 서버 zi 및 wi를 알고 있지만, 개별적인 사용자만이 랜덤하게 선택된 ai를 알고 있기 때문이다.
간략화를 위해, 전술한 설명은 3명의 회의 통화 참가자들에 집중한다. 그러나 전술한 절차들은 n명의 참가자들에게 일반화될 수 있다. n명의 참가자의 경우, 그룹 키는 Ki = naiwi -1 + (n-1)zi + (n-2)zi +1 + … + zi -2로서 생성되며, 여기서 wi 및 zi는 앞서 정의된 바와 같다.
프로토콜의 중요 특징들 중 하나는 새로운 사용자가 허가되거나, 기존의 사용자가 통화에서 탈퇴할 때마다 그룹 키가 변한다는 것이다. 이는 새로운 사용자들이 통화에 추가되기 전에 그룹 키를 학습하지 못하며, 통화를 떠나는 사용자들이 통화 후의 대화에 대한 액세스를 미리 얻지 못하는 것을 보장한다.
새로운 사용자가 추가되고 시스템에 이미 N명의 사용자들이 존재하는 경우, 시스템에는 전체 N+1명의 사용자들이 있다는 점에 주목한다. 이들 사용자들을 둥글게 배치하는 경우, N번째 사용자의 바로 옆에 있는 사용자는 ((N+1)번째 사용자를 허가하기 이전 경우의 첫번째 사용자가 아니라) (N+1)번째 사용자이다. 새로운 사용자를 허가하기 위한 프로토콜은 다음과 같이 작동한다.
새로운 사용자는 IBAKE를 사용하는 회의 서버로 인증하며, 이는 모든 사용자들에게 유사하다. 이는 사용자가 허가(통화에 대해 인가)되게 하며, 새로운 사용자는 (회의 서버의 인증을 통해) 정확한 회의 참석이 보장된다.
ZN +1 = aN +1P는 인증 동안 새로운 사용자에 의해 선택된 값이라고 한다.
그 다음, 회의 서버는 {zi} 세트(i = 1 내지 N + 1)를 모든 사용자에게 전송(브로드캐스트 또는 유니캐스트)한다. 이는 모든 사용자들이 새로운 사용자를 학습하여, 새로운 이웃을 결정하게 한다. 이웃 목록은 사용자 1, 사용자 N, 및 사용자 N+1의 경우에만 변한다는 점에 주목한다.
그 다음, 사용자 1, 사용자 N, 및 사용자 N+1은 자신의 w의 대응 값을 계산하고, 회의 서버로 (개별적으로) 되전송한다.
그 다음, 서버는 {wi}의 업데이트된 목록을 모든 사용자들에게 전송한다.
그 다음, 모든 참가자들은 전술한 바와 동일한 관계를 사용하여 그룹 키를 재계산하는데, N이 N+1 및 zi와 wi의 새로운 값들에 의해 대체되는 경우는 제외된다.
사용자가 회의 통화를 탈퇴한 경우, 어떠한 새로운 인증 절차도 실행될 필요가 없지만, 그룹 키는 변경된다. 그 절차는 다음과 같다.
회의 서버는 회의 전화를 탈퇴하는 사용자에 대해 학습한다.
그 다음, 회의 서버는 모든 사람에게 이 이벤트, 및 어느 사용자(단순히 아이덴티티가 아닌 순서를 포함함)가 통화를 탈퇴했는지에 관한 정보를 알려 준다. 문제를 간략화하기 위해, 회의 서버는 새로운 목록 {zi}를 재전송할 수 있다.
이는 모든 사용자들이 자신의 이웃들을 재탐색하여 필요하다면 wi를 재계산하게 한다.
wi가 변경된 통화에 남아 있는 모든 참가자들은 회의 서버에 자신의 새로운 값을 알릴 것이다.
그 다음, 회의 서버는 업데이트된 목록 {wi}을 전송한다.
그 다음, 모든 참가자들은 전술한 바와 동일한 관계를 사용하여 그룹 키를 재계산하는데, N이 N-1에 의해 대체되며, wi의 새로운 값들이 사용되는 경우는 제외된다.
Ⅳ. 예시적인 계산 시스템
도 11은 본 발명의 실시예들에 따라 2개의 엔티티들 사이에 보안 키 관리 프로토콜을 구현하는데 적합한 계산 디바이스들의 형태로 네트워크 환경 및 통신 디바이스들의 일반화된 하드웨어 아키텍처(1100)를 도시한다. 도 11이 단지 2개의 엔티티를 도시하고 있지만, 다른 엔티티들이 동일한 구성을 가질 수 있다고 이해되어야 한다. 따라서, 전술한 보안 키 관리 프로토콜의 관점에서, 2개의 엔티티는 개시자(102-I)(제1 당사자 또는 A) 및 응답자(102-R)(제2 당사자 또는 B)일 수 있다. 그러나 KMS, 회의 서버, LI 서버, 기능적 구성요소, 추가 클라이언트 디바이스(당사자), 및 추가 서버는 도 11의 계산 디바이스에 도시된 바와 동일한 아키텍처로 구현될 수 있다. 따라서, 간략화를 위해, 본 발명의 프로토콜에 참가할 수 있는 모든 계산 디바이스들(통신 디바이스들)이 도 11에 도시된 것은 아니다.
도시된 바와 같이, 1102로 지정된 A의 계산 디바이스 및 1104로 지정된 B의 계산 디바이스는 네트워크(1106)를 통해 연결된다. 네트워크는 디바이스들이 예를 들어, 전술한 실시예에서와 같이 통신할 수 있는 임의의 네트워크일 수 있으며, 네트워크(1106)는 네트워크 운영자(예를 들어, Verizon, AT&T, Sprint)에 의해 운영되는 셀룰러 통신 네트워크와 같은 공개-액세스 가능 광역 통신 네트워크를 포함할 수 있다. 그러나 본 발명은 특정 타입의 네트워크로 한정되는 것은 아니다. 통상적으로, 이 디바이스들은 클라이언트 장비일 수 있다. 여기에서 설명한 프로토콜에 참가하는 당사자들에 의해 사용될 수 있는 클라이언트 디바이스들의 예는, 이들로 제한되는 것은 아니지만, 셀룰러 전화, 스마트폰, 책상 전화, 개인 정보 단말기, 랩탑 컴퓨터, 개인용 컴퓨터 등을 포함할 수 있다. 그러나 디바이스들 중 하나 이상은 서버일 수 있다. 따라서, 본 발명의 통신 프로토콜은 계산 시스템들이 클라이언트 및 서버인 경우로 각각 제한되지 않으며, 대신에 2개의 네트워크 요소를 포함하는 임의의 계산 디바이스들에 적용 가능하다.
당업자에게는 쉽게 명백해질 바와 같이, 서버 및 클라이언트들은 컴퓨터 프로그램 코드의 제어 하에서 동작하도록 프로그래밍된 컴퓨터들로서 구현될 수 있다. 컴퓨터 프로그램 코드는 컴퓨터 판독가능 저장 매체(예를 들어, 메모리)에 저장될 것이고, 코드는 컴퓨터의 프로세서에 의해 실행될 것이다. 본 발명의 개시를 고려하면, 당업자는 여기에 설명된 프로토콜을 구현하기 위해 적절한 컴퓨터 프로그램 코드를 용이하게 생성할 수 있다.
그럼에도, 도 11은 일반적으로 네트워크를 통해 통신하는 각각의 컴퓨터 시스템을 위한 예시적인 아키텍처를 도시한다. 도시된 바와 같이, 디바이스(1102)는 I/O 디바이스(1108-A), 프로세서(1110-A), 및 메모리(1112-A)를 포함한다. 디바이스(1104)는 I/O 디바이스(1108-B), 프로세서(1110-B), 및 메모리(1112-B)를 포함한다. 여기에 사용된 “프로세서”라는 용어는 중앙 처리 장치(CPU) 또는 다른 프로세싱 회로를 포함하여 하나 이상의 프로세싱 디바이스를 포함하려는 것이며, 이들도 제한되는 것은 아니지만, 하나 이상의 신호 프로세서들, 하나 이상의 집적 회로 등을 포함한다. 여기에 사용된 “메모리”라는 용어는 RAM, ROM, 고정식 메모리 디바이스(예를 들어, 하드 드라이브), 또는 착탈식 메모리 디바이스(예를 들어, 디스켓, 또는 CDROM)와 같은. 프로세서 또는 CPU에 관한 메모리를 포함하려는 것이다. 또한, 여기에 사용된 “I/O 디바이스”라는 용어는 프로세싱 유닛으로 데이터를 입력하기 위한 하나 이상의 입력 디바이스들(예를 들어, 키보드, 마우스) 및 프로세싱 유닛과 관련된 결과들을 제공하기 위한 하나 이상의 출력 디바이스들(예를 들어, CRT 디스플레이)을 포함하려는 것이다.
따라서, 여기에 설명된 본 발명의 방법을 수행하기 위한 소프트웨어 명령어 또는 코드는 예를 들어, ROM, 고정식 또는 착탈식 메모리와 같은 관련된 메모리 디바이스들 중 하나 이상에 활용되어 RAM으로 로딩되며, CPU에 의해 실행될 필요가 있는 경우에 저장될 수 있다.
본 발명의 예시적인 실시예들이 첨부 도면을 참조하여 여기에서 설명되었지만, 본 발명은 이들 실시예에 한정되지 않고, 다양한 다른 변화 및 변형들이 본 발명의 범위 또는 사상으로부터 벗어나지 않고 당업자에 의해 행해질 수 있다는 점이 이해되어야 한다.

Claims (10)

  1. 통신 시스템에서 2명 이상의 당사자들 사이의 회의를 관리하는 방법으로서,
    상기 통신 시스템의 회의 관리 구성요소와 상기 회의에 참가하려는 2명 이상의 당사자들 각각 사이에 아이덴티티 기반 인증 키 교환 동작을 수행하는 단계 - 상기 회의 관리 구성요소와 상기 2명 이상의 당사자 사이에 교환된 메시지는 상기 메시지들의 수신인들의 각자의 아이덴티티들에 기초하여 암호화되며, 상기 회의 관리 구성요소는 당사자에 의해 선택된 랜덤 숫자에 기초하여 계산된 랜덤 키 컴포넌트를 상기 키 인증 동작 중에 각각의 당사자로부터 수신함 - 와,
    상기 당사자들에 의해 계산된 상기 랜덤 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 각 당사자로 전송하는 단계와,
    상기 회의 관리 구성요소에서 랜덤 그룹 키 컴포넌트를 각 당사자로부터 수신하는 단계 - 상기 랜덤 그룹 키 컴포넌트는 상기 키 인증 동작 중에 상기 당사자에 의해 사용된 랜덤 숫자 및 상기 회의에 참가하려는 상기 2명 이상의 당사자들 중 나머지의 서브세트에 의해 계산된 상기 랜덤 키 컴포넌트들에 기초한 계산을 통해 상기 당사자에 의해 계산됨 -와,
    각 당사자가 상기 회의 관리 구성요소를 통해 다른 각 당사자와 통신 중에 사용하기 위한 동일한 그룹 키를 계산할 수 있도록, 상기 당사자들에 의해 계산된 상기 랜덤 그룹 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 각 당사자로 전송하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    각 당사자에 의해 계산된 상기 그룹 키는 Nai(Zi -1) + (N-l)Xi + (N-2)Xi +1 + .... + Xi -2로 표현되는데, N은 상기 회의에 참가하려는 당사자들의 전체 인원수를 나타내고, ai는 소정의 당사자에 의해 선택된 랜덤 숫자를 나타내고, Zi는 상기 소정의 당사자에 의해 계산된 랜덤 키 컴포넌트를 나타내고, Xi는 상기 소정의 당사자에 의해 계산된 상기 랜덤 그룹 키 컴포넌트를 나타내고, i는 i=1일 때 i-1=N이고, i=N일 때 i+1=1인 N-당사자 회의에서 상기 소정의 당사자를 위한 회의 순서 번호를 나타내는
    방법.
  3. 제 2 항에 있어서,
    소정의 당사자를 위한 상기 랜덤 키 컴포넌트는 aiP로 표현되는 계산식에 의해 계산되되, ai는 상기 소정의 당사자에 의해 선택된 랜덤 숫자이고, P는 상기 아이덴티티 암호화 기반 키 인증 동작과 관련된 그룹으로부터 선택된 점(point)인
    방법.
  4. 제 2 항에 있어서,
    소정의 당사자를 위한 상기 랜덤 그룹 키 컴포넌트는 ai{ai+1P - ai-1P}로 표현되는 계산식에 의해 계산되되, ai는 소정의 당사자에 의해 선택된 랜덤 숫자이고, ai+1P는 회의 순서에서 상기 소정의 당사자의 바로 뒤의 당사자에 의해 상기 회의 관리 구성요소로 전송된 랜덤 키 컴포넌트이고, ai-1P는 회의 순서에서 상기 소정의 당사자의 바로 앞의 당사자에 의해 상기 회의 관리 구성요소로 전송된 랜덤 키 컴포넌트이고, P는 암호화 키 교환 프로토콜과 관련된 그룹으로부터 선택된 점인
    방법.
  5. 제 1 항에 있어서,
    상기 회의에 참석하려는 2 이상의 당사자들은 하나 이상의 키 관리 서비스들로부터 개인 키들을 각각 획득하는
    방법.
  6. 제 1 항에 있어서,
    상기 그룹 키는 새로운 당사자 한 명이 상기 회의에 추가되거나 참석 당사자가 상기 회의를 떠날 때마다 변경되는
    방법.
  7. 제 1 항에 있어서,
    기능적 구성요소가 상기 회의에 참가하려는 부정 당사자(a tainted party)를 모방하여 상기 부정 당사자로의 회의 메시지 및 상기 당사자로부터의 회의 메시지를 인터셉트할 수 있는
    방법.
  8. 통신 시스템에서 2명 이상의 당사자들 사이의 회의를 관리하는 장치로서,
    메모리와,
    상기 메모리에 연결된 적어도 하나의 프로세서를 포함하며,
    상기 적어도 하나의 프로세서는,
    상기 통신 시스템의 회의 관리 구성요소와 상기 회의에 참가하려는 2명 이상의 당사자들 각각 사이에 아이덴티티 기반 인증 키 교환 동작을 수행하고 - 상기 회의 관리 구성요소와 상기 2명 이상의 당사자 사이에 교환된 메시지는 상기 메시지들의 수신인들의 각자의 아이덴티티들에 기초하여 암호화되며, 상기 회의 관리 구성요소는 당사자에 의해 선택된 랜덤 숫자에 기초하여 계산된 랜덤 키 컴포넌트를 상기 키 인증 동작 중에 각각의 당사자로부터 수신함 - ,
    상기 당사자들에 의해 계산된 상기 랜덤 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 각 당사자로 전송하고,
    상기 회의 관리 구성요소에서 랜덤 그룹 키 컴포넌트를 각 당사자로부터 수신하고 - 상기 랜덤 그룹 키 컴포넌트는 상기 키 인증 동작 중에 상기 당사자에 의해 사용된 랜덤 숫자 및 상기 회의에 참석하려는 상기 2명 이상의 당사자들 중 나머지의 서브세트에 의해 계산된 상기 랜덤 키 컴포넌트들에 기초한 계산을 통해 상기 당사자에 의해 계산됨 - ,
    각 당사자가 상기 회의 관리 구성요소를 통해 다른 각 당사자와 통신 중에 사용하기 위한 동일한 그룹 키를 계산할 수 있도록, 상기 당사자들에 의해 계산된 상기 랜덤 그룹 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 각 당사자로 전송하도록 구성되는
    장치.
  9. 통신 시스템에서 당사자들 사이의 회의에 참가하는데 소정의 당사자에서 사용하는 방법으로서,
    상기 통신 시스템의 회의 관리 구성요소와 소정의 당사자 사이에 아이덴티티 기반 인증 키 교환 동작을 수행하는 단계 - 상기 회의관리 구성요소는 또한 상기 회의에 참가하려는 다른 당사자들과 아이덴티티 기반 인증 키 교환 동작을 수행하며, 상기 회의 관리 구성요소와 상기 당사자들 사이에 교환된 메시지는 상기 메시지들의 수신인들의 각자의 아이덴티티들에 기초하여 암호화되며, 상기 회의 관리 구성요소는 각각의 당사자에 의해 선택된 랜덤 숫자에 기초하여 계산된 랜덤 키 컴포넌트를 상기 키 인증 동작 중에 상기 당사자로부터 수신함 - 와,
    상기 소정의 당사자에서 상기 당사자들에 의해 계산된 랜덤 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 수신하는 단계와,
    랜덤 그룹 키 컴포넌트를 상기 소정의 당사자로부터 상기 회의 관리 구성요소로 전송하는 단계 - 상기 회의 관리 구성요소는 또한 다른 당사자들 각각으로부터 랜덤 그룹 키 컴포넌트를 수신하며, 상기 랜덤 그룹 키 컴포넌트는 상기 키 인증 동작 중에 상기 당사자에 의해 사용된 랜덤 숫자 및 상기 회의에 참석하려는 상기 당사자들 중 나머지의 서브세트에 의해 계산된 상기 랜덤 키 컴포넌트들에 기초한 계산을 통해 상기 당사자에 의해 계산됨 - 와,
    상기 소정의 당사자에서 상기 당사자들에 의해 계산된 랜덤 그룹 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 수신하는 단계와,
    상기 소정의 당사자에서 상기 회의 관리 구성요소를 통해 다른 각 당사자와 통신 중에 사용하기 위해 상기 다른 당사자에 의해 계산된 동일한 그룹 키인 그룹 키를 계산하는 단계를 포함하는
    방법.
  10. 통신 시스템에서 당사자들 사이의 회의에 참가하는데 소정의 당사자에서 사용하는 장치로서,
    메모리와,
    상기 메모리에 연결되어 있는 적어도 하나의 프로세서를 포함하고,
    상기 적어도 하나의 프로세서는,
    상기 통신 시스템의 회의 관리 구성요소와 소정의 당사자 사이에 아이덴티티 기반 인증 키 교환 동작을 수행하고 - 상기 회의 관리 구성요소는 또한 상기 회의에 참가하려는 다른 당사자들과 아이덴티티 기반 인증 키 교환 동작을 수행하고, 상기 회의 관리 구성요소와 상기 당사자들 사이에 교환된 메시지는 상기 메시지들의 수신인들의 각자의 아이덴티티들에 기초하여 암호화되며, 상기 회의 관리 구성요소는 각각의 당사자에 의해 선택된 랜덤 숫자에 기초하여 계산된 랜덤 키 컴포넌트를 상기 키 인증 동작 중에 상기 당사자로부터 수신함 - ,
    상기 소정의 당사자에서 상기 당사자들에 의해 계산된 랜덤 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 수신하고,
    랜덤 그룹 키 컴포넌트를 상기 소정의 당사자로부터 상기 회의 관리 구성요소로 전송하고 - 상기 회의 관리 구성요소는 또한 다른 당사자들 각각으로부터 랜덤 그룹 키 컴포넌트를 수신하며, 상기 랜덤 그룹 키 컴포넌트는 상기 키 인증 동작 중에 상기 당사자에 의해 사용된 랜덤 숫자 및 상기 회의에 참석하려는 상기 당사자들 중 나머지의 서브세트에 의해 계산된 상기 랜덤 키 컴포넌트들에 기초한 계산을 통해 상기 당사자에 의해 계산됨 - ,
    상기 소정의 당사자에서 상기 당사자들에 의해 계산된 랜덤 그룹 키 컴포넌트들을 포함하는 세트를 상기 회의 관리 구성요소로부터 수신하고,
    상기 소정의 당사자에서 상기 회의 관리 구성요소를 통해 다른 각 당사자와 통신 중에 사용하기 위해 상기 다른 당사자들에 의해 계산된 동일한 그룹 키인 그룹 키를 계산하도록 구성되는
    장치.
KR1020127005340A 2009-08-28 2010-08-23 회의 시스템에서의 보안 키 관리 KR101333340B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/549,907 2009-08-28
US12/549,907 US8301883B2 (en) 2009-08-28 2009-08-28 Secure key management in conferencing system
PCT/US2010/046319 WO2011031436A2 (en) 2009-08-28 2010-08-23 Secure key management in conferencing system

Publications (2)

Publication Number Publication Date
KR20120049315A KR20120049315A (ko) 2012-05-16
KR101333340B1 true KR101333340B1 (ko) 2013-11-28

Family

ID=43624920

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127005340A KR101333340B1 (ko) 2009-08-28 2010-08-23 회의 시스템에서의 보안 키 관리

Country Status (8)

Country Link
US (2) US8301883B2 (ko)
EP (1) EP2471211B1 (ko)
JP (1) JP5507688B2 (ko)
KR (1) KR101333340B1 (ko)
CN (1) CN102484582B (ko)
BR (1) BR112012003922A2 (ko)
ES (1) ES2424119T3 (ko)
WO (1) WO2011031436A2 (ko)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3079298B1 (en) * 2007-11-30 2018-03-21 Telefonaktiebolaget LM Ericsson (publ) Key management for secure communication
WO2011159715A2 (en) * 2010-06-14 2011-12-22 Engels Daniel W Key management systems and methods for shared secret ciphers
US8769288B2 (en) * 2011-04-22 2014-07-01 Alcatel Lucent Discovery of security associations
US8644510B2 (en) * 2011-05-11 2014-02-04 Alcatel Lucent Discovery of security associations for key management relying on public keys
KR101234784B1 (ko) * 2011-05-30 2013-02-20 삼성에스디에스 주식회사 아이디 기반 암호화 방법 및 그 장치
CN102843660B (zh) * 2011-06-22 2017-11-24 中兴通讯股份有限公司 一种实现端到端安全呼叫转移的方法及系统
US9270453B2 (en) 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
US9154527B2 (en) 2011-06-30 2015-10-06 Verizon Patent And Licensing Inc. Security key creation
US8943318B2 (en) * 2012-05-11 2015-01-27 Verizon Patent And Licensing Inc. Secure messaging by key generation information transfer
US8990554B2 (en) 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
KR101574030B1 (ko) 2011-07-15 2015-12-02 알까뗄 루슨트 안전한 그룹 메시징
US20130110920A1 (en) * 2011-10-27 2013-05-02 Alcatel-Lucent Usa Inc. Network-assisted peer-to-peer secure communication establishment
WO2013121246A1 (en) * 2012-02-14 2013-08-22 Nokia Corporation Device to device security using naf key
KR20140041226A (ko) * 2012-09-27 2014-04-04 삼성전자주식회사 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치
CN103813309B (zh) * 2012-11-15 2019-03-29 中兴通讯股份有限公司 一种基于sip的mtc设备间安全通信方法、装置及系统
CN103118009A (zh) * 2013-01-08 2013-05-22 深圳大学 一种认证密钥交换方法及系统
CN103248476B (zh) * 2013-05-02 2016-10-26 华为数字技术(苏州)有限公司 数据加密密钥的管理方法、系统及终端
US9467283B2 (en) * 2013-06-24 2016-10-11 Blackberry Limited Securing method for lawful interception
US10291597B2 (en) 2014-08-14 2019-05-14 Cisco Technology, Inc. Sharing resources across multiple devices in online meetings
US10542126B2 (en) 2014-12-22 2020-01-21 Cisco Technology, Inc. Offline virtual participation in an online conference meeting
TWI556618B (zh) * 2015-01-16 2016-11-01 Univ Nat Kaohsiung 1St Univ Sc Network Group Authentication System and Method
US9699154B2 (en) * 2015-01-19 2017-07-04 Intel IP Corporation Systems, methods and devices for direct communication using a PC5 protocol
US9948786B2 (en) 2015-04-17 2018-04-17 Cisco Technology, Inc. Handling conferences using highly-distributed agents
JP6468567B2 (ja) * 2016-09-01 2019-02-13 日本電信電話株式会社 鍵交換方法、鍵交換システム
US10592867B2 (en) 2016-11-11 2020-03-17 Cisco Technology, Inc. In-meeting graphical user interface display using calendar information and system
CN106454206A (zh) * 2016-11-28 2017-02-22 广州视源电子科技股份有限公司 会议接入方法和装置
US10516707B2 (en) 2016-12-15 2019-12-24 Cisco Technology, Inc. Initiating a conferencing meeting using a conference room device
CN108270904A (zh) * 2016-12-30 2018-07-10 展讯通信(上海)有限公司 多方通话中实现安全通话的方法、装置及多通终端
CN106656510B (zh) * 2017-01-04 2019-07-30 天地融科技股份有限公司 一种加密密钥获取方法及系统
KR102621877B1 (ko) * 2017-01-06 2024-01-05 한화비전 주식회사 멀티캐스트 환경의 보안 시스템에서 키를 관리하는 방법
US10440073B2 (en) 2017-04-11 2019-10-08 Cisco Technology, Inc. User interface for proximity based teleconference transfer
US10375125B2 (en) 2017-04-27 2019-08-06 Cisco Technology, Inc. Automatically joining devices to a video conference
US10404481B2 (en) 2017-06-06 2019-09-03 Cisco Technology, Inc. Unauthorized participant detection in multiparty conferencing by comparing a reference hash value received from a key management server with a generated roster hash value
US10375474B2 (en) 2017-06-12 2019-08-06 Cisco Technology, Inc. Hybrid horn microphone
US10477148B2 (en) 2017-06-23 2019-11-12 Cisco Technology, Inc. Speaker anticipation
US10516709B2 (en) 2017-06-29 2019-12-24 Cisco Technology, Inc. Files automatically shared at conference initiation
US10706391B2 (en) 2017-07-13 2020-07-07 Cisco Technology, Inc. Protecting scheduled meeting in physical room
US10091348B1 (en) 2017-07-25 2018-10-02 Cisco Technology, Inc. Predictive model for voice/video over IP calls
CN107682158B (zh) * 2017-09-18 2020-06-19 杭州师范大学 一种可托管的认证加密方法
US11128610B2 (en) * 2017-09-29 2021-09-21 Apple Inc. Secure multiway calling
JP6818220B2 (ja) * 2017-10-19 2021-01-20 三菱電機株式会社 鍵共有装置、鍵共有方法及び鍵共有プログラム
CN108011885B (zh) * 2017-12-07 2020-12-15 北京科技大学 一种基于群组密码体制的电子邮件加密方法与系统
JP7163835B2 (ja) * 2019-03-19 2022-11-01 株式会社Jvcケンウッド 無線機、無線機の制御方法、及び、無線機の制御プログラム
WO2020242614A1 (en) 2019-05-30 2020-12-03 Kim Bong Mann Quantum safe cryptography and advanced encryption and key exchange (aeke) method for symmetric key encryption/exchange
US11120160B2 (en) 2019-05-31 2021-09-14 Advanced New Technologies Co., Ltd. Distributed personal data storage and encrypted personal data service based on secure computation
CN110705985B (zh) * 2019-10-21 2020-09-29 北京海益同展信息科技有限公司 用于存储信息的方法和装置
US20220247796A1 (en) * 2021-01-29 2022-08-04 Apple Inc. Electronic conferencing
CN113347215B (zh) * 2021-08-09 2021-10-01 北京电信易通信息技术股份有限公司 一种移动视频会议加密方法
CN113656788B (zh) * 2021-08-31 2023-10-24 成都卫士通信息产业股份有限公司 多媒体会议终端入会认证方法、装置、设备及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3348753B2 (ja) * 1994-04-28 2002-11-20 日本電信電話株式会社 暗号鍵配送システムおよび方法
US6195751B1 (en) * 1998-01-20 2001-02-27 Sun Microsystems, Inc. Efficient, secure multicasting with minimal knowledge
JP4839554B2 (ja) 2000-10-19 2011-12-21 ソニー株式会社 無線通信システム、クライアント装置、サーバ装置および無線通信方法
EP1425874B1 (en) * 2001-08-13 2010-04-21 Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
US6886096B2 (en) 2002-11-14 2005-04-26 Voltage Security, Inc. Identity-based encryption system
US7908484B2 (en) 2003-08-22 2011-03-15 Nokia Corporation Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack
US8934609B2 (en) 2006-06-21 2015-01-13 Genband Us Llc Method and apparatus for identifying and monitoring VoIP media plane security keys for service provider lawful intercept use
CN101232378B (zh) * 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
US8316914B2 (en) 2009-07-28 2012-11-27 Won-Door Corporation Movable partitions, header assemblies for movable partitions, and methods of forming header assemblies for movable partitions
US8850203B2 (en) 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HIETALAHTI ET AL: "A Clustering-based Group Key Agreement Protocol for Ad-Hoc Networks", ELECTRONIC NOTES IN THEORETICAL COMPUTER SCIENCE, ELSEVIER, vol. 192, no. 2, 2008-05-26, pages 43-53. *
XUN YI: "Identity-Based Fault-Tolerant Conference Key Agreement", IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING, IEEE SERVICE CENTER, NEW YORK, NY, US, vol. 1, no. 3, 2004-03-01, pages 170-178. *

Also Published As

Publication number Publication date
US20120322416A1 (en) 2012-12-20
ES2424119T3 (es) 2013-09-27
EP2471211A2 (en) 2012-07-04
JP2013503564A (ja) 2013-01-31
BR112012003922A2 (pt) 2019-09-24
KR20120049315A (ko) 2012-05-16
CN102484582A (zh) 2012-05-30
WO2011031436A2 (en) 2011-03-17
US9049024B2 (en) 2015-06-02
CN102484582B (zh) 2014-09-17
US20110051912A1 (en) 2011-03-03
WO2011031436A3 (en) 2011-11-17
EP2471211B1 (en) 2013-07-17
JP5507688B2 (ja) 2014-05-28
US8301883B2 (en) 2012-10-30

Similar Documents

Publication Publication Date Title
KR101333340B1 (ko) 회의 시스템에서의 보안 키 관리
KR101468784B1 (ko) 멀티미디어 통신 시스템에서의 보안 키 관리
JP5784833B2 (ja) セキュアグループメッセージング
US7382881B2 (en) Lawful interception of end-to-end encrypted data traffic
US20110010768A1 (en) Method and Apparatuses for End-to-Edge Media Protection in ANIMS System
US20130179679A1 (en) Methods And Apparatuses For Secure Information Sharing In Social Networks Using Randomly-Generated Keys
US20080044032A1 (en) Method and system for providing personalized service mobility
WO2010124482A1 (zh) Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统
US20080307225A1 (en) Method For Locking on to Encrypted Communication Connections in a Packet-Oriented Network
EP3624393B1 (en) Key distribution system and method, key generation device, representative user terminal, server device, user terminal and program
CN113114644A (zh) 一种基于sip架构的多级跨域对称密钥管理系统
Vesterinen User authentication in SIP
Jung et al. Using SIP identity to prevent man-in-the-middle attacks on ZRTP
Cakulev et al. Secure enablement of real time applications: A novel end-to-end approach
Hashi Development of new framework for secure and efficient Voice Over IP System
Traynor et al. Vulnerabilities in Voice over IP
Cabrera Añon Secure high definition video conferencing
Alsmairat Securing SIP in VoIP Domain

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161111

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171110

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee