KR20170108102A - 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비 - Google Patents

통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비 Download PDF

Info

Publication number
KR20170108102A
KR20170108102A KR1020177023886A KR20177023886A KR20170108102A KR 20170108102 A KR20170108102 A KR 20170108102A KR 1020177023886 A KR1020177023886 A KR 1020177023886A KR 20177023886 A KR20177023886 A KR 20177023886A KR 20170108102 A KR20170108102 A KR 20170108102A
Authority
KR
South Korea
Prior art keywords
parameter
verification code
challenge
pfs
pfs1
Prior art date
Application number
KR1020177023886A
Other languages
English (en)
Other versions
KR102033465B1 (ko
Inventor
마츠 나슬룬드
벤그트 사흘린
칼 노르만
야리 아르꼬
Original Assignee
텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) filed Critical 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Publication of KR20170108102A publication Critical patent/KR20170108102A/ko
Application granted granted Critical
Publication of KR102033465B1 publication Critical patent/KR102033465B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

제1 통신 네트워크의 제1 네트워크 디바이스(MME)는, 챌린지(RAND)를 획득하고, 제1 PFS 파라미터(PFS1)를 생성하며, 제1 PFS 파라미터(PFS1)에 대한 제1 검증 코드(VC1A)를 획득하고, 챌린지(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1A)를 통신 디바이스(ME)에 전송하며, 통신 디바이스(ME)는, 차례로, 챌린지(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1A)를 수신하고, 챌린지 또는 그 파생물을 신원 모듈(USIM)에 포워딩하며, 신원 모듈(USIM)로부터 응답으로서 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하고, 결과 파라미터(CK/IK, RES)에 기초하여, 제1 PFS 파라미터(PFS1)가 진본인지를 결정하고, 결정이 긍정적이면 제2 PFS 파라미터(PFS2)를 생성하여 제1 네트워크 디바이스에 전송하고, 제1 네트워크 디바이스는, 차례로, 제2 PFS 파라미터(PFS2)를 검증한다.

Description

통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비
본 발명은, 네트워크 디바이스와 통신하기 위한 통신 디바이스, 통신 네트워크의 네트워크 디바이스와 통신하는 통신 디바이스를 위한 방법, 컴퓨터 프로그램, 컴퓨터 프로그램 제품, 제1 통신 네트워크의 제1 네트워크 디바이스, 제1 통신 네트워크의 제1 네트워크 노드를 위한 방법, 컴퓨터 프로그램, 및 컴퓨터 프로그램 제품뿐만 아니라, 제1 통신 시스템 내의 제1 네트워크 디바이스 및 제2 통신 시스템 내의 제2 네트워크 디바이스를 포함하는 시스템에 관한 것이다. 본 발명은 또한 제2 네트워크 디바이스에 관한 것이다.
통신 네트워크를 통해 전송되는 데이터는 점점 더 민감해지고 있다. 모바일, 무선 및 고정 통신 네트워크 등의 통신 네트워크는, 예를 들어, 다양한 경제 및 비즈니스 관련 거래, 사이버-물리적 시스템 제어 등에 대해 오늘날 더욱더 빈번하게 이용되고 있다. 따라서 더 강력한 보안 대책이 필요하다.
예를 들어 모바일 통신에서, 통신 네트워크 및 사용자 장비(UE)는 서로 상호인증하고 교환된 트래픽 데이터를 암호화할 수 있는 것이 중요하며, 여기서, 이들 보안 서비스들 양쪽 모두는 키 협의 또는 키 설정을 포함한 보안 키 관리에 결정적으로 의존한다.
이 점에서, 2세대(2G) 및 그 이후의 모바일 네트워크는 강력한 (유니버설) 가입자 신원 모듈((Universal) Subscriber Identity Module)((U)SIM) 카드 기반의 인증 및 암호화 키 협의를 이용해 왔다. 3세대(3G) 및 그 이후의 네트워크부터는, 인증은 상호적이었다: 네트워크와 사용자 장비 양쪽 모두가 서로를 인증한다. USIM 기반의 3G/4G 인증은 예를 들어, 3GPP TS 33.102 V12.2.0 및 33.401 V12.13.0에 설명되어 있다. 이 프로토콜은, 어떤 액세스 네트워크 타입이 이용되는지에 따라 UMTS AKA 또는 LTE AKA로 알려져 있고, 여기서, UMTS AKA는 Universal Mobile Telecommunication System Authentication and Key Agreement의 약어이고 LTE AKA는 Long Term Evolution Authentication and Key Agreement의 약어이다. 유의할 점은, 3GPP 표준에서 키 협의라는 용어를 사용하지만, 실제로 이용되는 프로토콜은 키 협의 성격 그 이상이다. 그러나 그 차이점은 본 논의에서 중요하지 않다. IP 멀티미디어 서브 시스템(IMS), IMS AKA, 비-3GPP 액세스 기술(EAP-AKA, IETF RFC 4187) 및 일반 서비스 계층 인증(Generic Bootstrapping Architecture, GBA, 3GPP TS 33.220 V12.3.0)에 대해 이 AKA 프로토콜의 변형들이 개발되어 왔다.
도 1은, TS 33.102 V12.2.0에 따른 3G 네트워크에 대한 고수준에서의 AKA의 기능을 도시하며, 여기서, 사용자 장비에 대응하는 통신 디바이스의 한 타입인 이동국(MS)은, 서빙 네트워크(SN)의 VLR(Visiting Location Register)/SGSN(Serving Gateway Support Node)과 통신하고, 이것은 차례로 HE(Home Environment)/HLR(Home Location Register)과 통신한다. 4G/LTE에서 MME(Mobile Management Entity)는 VLR/SGSN을 대신하고 HE/HLR은 HSS(Home Subscriber Server)에 대응한다.
도 1에서, VLR/SGSN은 방문 이동국(MS)에 관한 인증 데이터 요청(10)을 HE/HLR에 전송하는 것으로 도시되어 있다. HE/HLR은 인증 벡터들의 세트(AV(1..n))를 생성하고(12) 인증 데이터 응답 메시지(14)에서 벡터들(AV(1..n)을 VLR/SGSN에 전송하며, VLR/SGSN은 인증 벡터들을 저장한다(16). 이 단계들은 여기서 함께, HE로부터의 인증 벡터들의 배포 페이즈(phase)(17)를 형성한다.
그 후 인증 및 키 설정(또는 키 협의) 페이즈(31)가 후속된다. 이 페이즈(31)에서 인증이 수행될 때, VLR/SGSN은 이용가능한 (미사용) 인증 벡터를 선택하고(18), 이 벡터의 내용에 기초하여 랜덤 값 Rand(i)와 인증 토큰 AUTN(i)를 이용하여 챌린지(challenge)를 포함하는 사용자 인증 요청 메시지 ARQ(20)를 전송하는데, 여기서, AUTN(i)는 챌린지 검증 코드를 포함하고, 인덱스 i는 그 값이 AVi와 연관되어 있다는 것을 나타낸다. AUTN(i)은 MS에서 검증되고, 검증이 성공하면, 결과 RES(i)는 검증 단계(22)에서 계산된다. 정확하게 말하면, 이들 동작들은 MS에서 USIM에 의해 실행된다. 그 다음, MS는 결과 RES(i)를 포함하는 사용자 인증 응답 메시지(ARE)(20)를 전송한다. 인증 벡터는 예상된 결과 XRES(i)를 포함하고 VLR/SGSN은 수신된 결과 RES(i)를 예상된 결과 XRES(i)와 비교하고(26), 비교가 성공적이면(즉, 2개의 값이 동일하면), VLR/SGSN은 대응하는 암호화 키 CK(i) 및 무결성 보호 키 IK(i)를 선택한다(30). 동시에, MS(다시 한번, 정확히 말하면, USIM)는 동일한 키들 CK(i) 및 IK(i)를 계산한다(28). LTE의 경우에, CK(i) 및 IK(i)로부터 추가적인 키들, 예를 들어, 소위 Kasme 키(도시되지 않음)가 도출되며, 이 도출은 USIM 외부에 있는 MS 부분에서 이루어진다. USIM 외부의 이 부분을 모바일 장비(ME)라고 부른다.
도 1에 도시되고 전술된 타입의 인증 및 키 협의에서, 미리-공유된 이점을 갖는 비밀 키 K가 사용자 장비(구체적으로는, USIM)와 홈 네트워크 양쪽 모두에서 이용되고 저장된다. 그러면, 공유 키 K는 CK(i) 및 IK(i)를 도출하는데 이용된다.
따라서 AKA의 보안은 키 K가 비밀로 유지되는 것에 달려 있다. 최근에, USIM 카드 제조업체의 보안이 침해되었고 K-키 세트가 "유출"(또는 악의적인 사람의 수중에 들어가게)되어, 이들 키와 연관된 가입자가 명의 도용, 접속 도용, 및 도청 등의 위험에 노출되었다(따라서, CK(i) 및/또는 IK(i)로부터 도출되는 암호화 키들도 잠재적으로 위험하다)는 것이 언론에 보도되었다. 2015년 7월 6일 검색된 https://firstlook.org/theintercept/2015/02/19/great-sim-heist/ 기사에서, 앞서 언급된 문제를 초래하는 AKA 프로토콜의 잠재적인 문제는 AKA가 완벽한 순방향 보안(perfect forward secrecy, PFS)이 결여되어 있다는 점에 있다고 언급되었다.
전술된 내용에 비추어, 보안이 통신 네트워크 노드와 공유된 비밀/키를 이용하는 USIM 등의 신원 모듈들에 기초할 때 통신 디바이스와 통신 네트워크 사이의 통신의 보안 수준을 높이는 것이 관심대상이다.
따라서, 통신 디바이스와 통신 네트워크 사이의 통신 보안을 강화할 필요가 있다.
본 발명의 한 목적은 장기 공유 키의 이용과 관련하여 통신 디바이스의 통신 보안을 강화하는 것이다.
이 목적은, 통신 네트워크의 네트워크 디바이스와 통신하는 통신 디바이스에 의해 달성되는 제1 양태에 따른다. 통신 디바이스는:
네트워크 디바이스로부터, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 수신하고,
챌린지 또는 그 파생물을 신원 모듈에 포워딩하고,
신원 모듈로부터 응답으로서 적어도 하나의 결과 파라미터를 수신하고,
결과 파라미터에 기초하여, 제1 PFS 파라미터가 진본인지를 결정하고,
제2 PFS 파라미터를 생성하고,
결정이 제1 PFS 파라미터가 진본이라는 것이면 제2 PFS 파라미터를 네트워크 디바이스에 전송하도록 구성된다.
상기 목적은, 통신 네트워크의 네트워크 디바이스와 통신하는 통신 디바이스에 의해 수행되는 방법을 통해 달성되는 제2 양태에 따른다.
이 방법은:
네트워크 디바이스로부터, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 수신하는 단계,
챌린지 또는 그 파생물을 신원 모듈에 포워딩하는 단계,
신원 모듈로부터 응답으로서 적어도 하나의 결과 파라미터를 수신하는 단계,
결과 파라미터에 기초하여, 제1 PFS 파라미터가 진본인지를 결정하는 단계;
제2 PFS 파라미터를 생성하는 단계, 및
결정이 제1 PFS 파라미터가 진본이라는 것이면 제2 PFS 파라미터를 네트워크 디바이스에 전송하는 단계
를 포함한다.
상기 목적은, 통신 네트워크의 네트워크 디바이스와 통신하는 통신 디바이스를 위한 컴퓨터 프로그램을 통해 달성되는 제3 양태에 따른다. 이 컴퓨터 프로그램은 컴퓨터 프로그램 코드를 포함하고, 이 컴퓨터 프로그램 코드는, 통신 디바이스에서 실행될 때 통신 디바이스로 하여금:
네트워크 디바이스로부터, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 수신하게 하고,
챌린지 또는 그 파생물을 신원 모듈에 포워딩하게 하고,
신원 모듈로부터 응답으로서 적어도 하나의 결과 파라미터를 수신하게 하고,
결과 파라미터에 기초하여, 제1 PFS 파라미터가 진본인지를 결정하게 하고,
제2 PFS 파라미터를 생성하게 하고,
결정이 긍정적이라면, 즉, 제1 PFS 파라미터가 진본이라면, 제2 PFS 파라미터를 네트워크 디바이스에 전송하게 한다.
상기 목적은, 통신 네트워크의 네트워크 노드와 통신하는 통신 디바이스를 위한 컴퓨터 프로그램 제품을 통해 달성되는 제4 양태에 따른다. 이 컴퓨터 프로그램 제품은 제3 양태에 따른 컴퓨터 프로그램 코드를 갖는 데이터 저장 매체를 포함한다.
제1, 제2 및 제4 양태에 따른 본 발명은 다수의 이점을 갖는다. 강화된 보안은, 장기 공유 키를 노출시켜, 소위 중간자(man-in-the-middle) 공격을 론칭하여 노출된 키를 악용할 수 있는 공격자에 대한 장벽을 설정한다.
파생물은 챌린지와 동일할 수 있다. 파생물은 또한, 챌린지의 해시일 수 있다.
챌린지의 해시인 파생물이 이용된다면, 챌린지 크기가 감소되고 또한 표준화된 챌린지 크기로 적합화될 수 있다. 신원 모듈에 대한 순수 챌린지의 제공은 통신 디바이스에서의 처리를 감소시키는 이점을 갖는다.
제1 양태의 제1 변형에서, 통신 디바이스는 통신 디바이스와 네트워크 디바이스 사이의 통신을 위한 세션 키(session key)를 생성하도록 구성되며, 여기서, 세션 키는 적어도 제1 및 제2 PFS 파라미터를 생성하는데 이용되는 값들에 기초한다.
제2 양태의 대응하는 한 변형에서, 이 방법은 통신 디바이스와 네트워크 디바이스 사이의 통신을 위한 세션 키를 생성하는 단계를 포함하고, 여기서, 세션 키는 적어도 제1 및 제2 PFS 파라미터를 생성하는데 이용되는 값들에 기초한다.
이 변형은, 잠재적인 미래의 공유 키 노출에 대비하여 강화된 통신 보안을 갖는 세션을 제공하는 이점을 갖는다.
제1 및 제2 양태의 더 구체적인 실시예에서, 세션 키는, 제1 PFS 파라미터, 및 제2 PFS 파라미터의 지수(exponent)에 기초한다.
제1 검증 코드는 적어도 제1 PFS 파라미터에 기초한 메시지 인증 코드를 포함할 수 있다. 적어도 제2 PFS 파라미터에 기초한다는 것은 한 실시예에서 적어도 제1 PFS 파라미터의 해시에 기초할 수 있고 해시는 암호화 해시일 수 있다는 것을 의미한다. 또한, 챌린지는 제1 PFS 파라미터에 기초할 수 있다. 이것은 예를 들어 제1 PFS 파라미터, 또는 제1 PFS 파라미터의 해시일 수 있다. 이 해시도 암호화 해시일 수 있다. 제1 PFS 파라미터에 기초하는 챌린지를 통해, 암호화 및 대역폭 이용에서의 경제성이 제공된다. 이 경제성은 제1 PFS 파라미터의 크기가 다양한 표준화된 포맷에 맞게 적합화되는 것을 허용하는 해시 제공을 통해 더욱 강화된다.
제1 및 제2 PFS 파라미터는 더 구체적으로는 Diffie-Hellman 파라미터일 수 있다.
제1 양태의 제3 변형 예에서, 통신 디바이스는, 네트워크 디바이스로부터의 인증 요청 메시지에서, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 수신하도록 구성되고, 이 경우 인증 요청 메시지는 또한 챌린지 검증 코드를 포함한다. 또한, 통신 디바이스가 적어도 하나의 결과 파라미터를 수신할 때, 챌린지에 대한 응답으로서 응답 파라미터를 수신하도록 구성된다. 마지막으로, 통신 디바이스가 제2 PFS 파라미터를 생성 및 전송하도록 구성될 때, 제2 검증 코드와 함께 제2 PFS 파라미터를 생성하고 이들을 응답 파라미터를 역시 포함하는 인증 응답 메시지에서 전송하도록 구성된다.
제2 양태의 대응하는 한 변형에서, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드는 인증 요청 메시지에 수신되고, 이 인증 요청 메시지는 또한 챌린지 검증 코드를 포함한다. 적어도 하나의 결과 파라미터는 또한, 챌린지에 대한 응답으로서 수신된 응답 파라미터를 포함한다. 또한, 제2 PFS 파라미터의 생성 및 전송은, 제2 검증 코드와 함께 제2 PFS 파라미터를 생성하는 것과, 이들을 응답 파라미터를 역시 포함하는 인증 응답 메시지에서 전송하는 것을 포함한다.
이 변형은, 제1 및 제2 PFS 파라미터와 제1 및 제2 검증 코드가 기존의 메시지에서 전송되는 것을 허용하는 이점을 갖는다. 이로써, 추가적인 메시지가 회피된다. 이것은, 제한된 자원일 수 있는, 통신 디바이스의 에너지를 절약할 수 있다.
제2 검증 코드는 적어도 제2 PFS 파라미터에 기초한 메시지 인증 코드로서 생성될 수 있다. 적어도 제2 PFS 파라미터에 기초한다는 것은, 한 실시예에서, 적어도 제2 PFS 파라미터의 해시에 기초할 수 있고 해시는 암호화 해시일 수 있다는 것을 의미한다.
해시/메시지 인증 코드는 또한, HMAC/SHA-256에 기초할 수 있다.
제1 및 제2 양태의 제4 변형에서, 인증 요청 메시지는 인증 요청 메시지의 대응하는 별도의 정보 요소에 제1 검증 코드를 포함한다.
이 경우, 통신 디바이스는 제1 PFS 파라미터의 진본성을 결정할 때 제1 검증 코드를 이용하도록 구성된다.
이 경우, 이 방법에서 이루어진 제1 PFS 파라미터의 진본성의 결정은 제1 검증 코드를 이용하여 이루어진다.
제1 및 제2 양태의 제5 변형에서, 제1 검증 코드는 챌린지 검증 코드의 적어도 일부로서 제공된다.
이 경우, 통신 디바이스는, 적어도 하나의 결과 파라미터를 제공하는 신원 모듈에 기초하여 제1 PFS 파라미터의 진본성을 결정하도록 구성된다.
이 경우, 이 방법에서 이루어진 제1 PFS 파라미터의 진본성의 결정은 적어도 하나의 결과 파라미터를 제공하는 신원 모듈에 기초하여 이루어진다.
이 변형은 인증 요청 메시지에서 이용되는 암호화에서 추가적인 경제성을 제공한다.
제1 양태의 제6 변형에서, 통신 디바이스는 적어도 하나의 결과 파라미터 중 적어도 하나에 기초하여 제2 검증 코드를 생성하고, 제2 검증 코드를 인증 응답 메시지 내의 응답 파라미터에 할당된 정보 요소에서 전송하도록 구성된다.
제2 양태의 대응하는 한 변형에서, 이 방법은 제2 검증 코드를 응답 파라미터에 기초하는 단계를 포함한다. 이 경우에, 인증 응답의 전송은 또한, 응답 파라미터에 할당된 인증 응답 메시지의 정보 요소에서 제2 검증 코드를 전송하는 단계를 포함한다.
이 변형은 인증 응답 메시지 및 그 처리에서 이용되는 대역폭 및 암호에서 추가적인 경제성을 제공한다.
통신 디바이스는 사용자 장비일 수 있고, 또한, 프로세서가 동작하는 컴퓨터 명령어들이 저장된 모바일 장비를 포함할 수 있다. 또한, 통신 디바이스는 신원 모듈을 포함할 수 있고, 여기서, 신원 모듈은 차례로 키 및 암호화 처리 수단을 포함한다.
또 다른 목적은, 장기 공유 키의 이용과 관련하여 통신 네트워크 내의 제1 네트워크 디바이스의 강화된 통신 보안을 제공하는 것이다.
이 목적은, 제1 통신 네트워크의 제1 네트워크 디바이스를 통해 달성되는 제5 양태에 따른다. 제1 네트워크 디바이스는:
챌린지를 획득하고,
제1 PFS 파라미터를 획득하고,
제1 PFS 파라미터에 대한 제1 검증 코드를 획득하고,
챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 통신 디바이스에 전송하고,
통신 디바이스로부터, 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터를 수신하고,
응답 파라미터의 진본성을 결정하고,
제2 검증 코드에 기초하여 제2 PFS 파라미터를 검증하도록 구성된다.
이 목적은, 통신 네트워크의 제1 네트워크 디바이스를 위한 방법을 통해 달성되는 제6 양태에 따른다. 이 방법은 제1 네트워크 디바이스에 의해 수행되며,
챌린지를 획득하는 단계,
제1 PFS 파라미터를 획득하는 단계,
제1 PFS 파라미터에 대한 제1 검증 코드를 획득하는 단계,
챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 통신 디바이스에 전송하는 단계,
통신 디바이스로부터, 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터를 수신하는 단계,
응답 파라미터의 진본성을 결정하는 단계, 및
제2 검증 코드에 기초하여 제2 PFS 파라미터를 검증하는 단계를 포함한다.
이 목적은, 통신 네트워크의 제1 네트워크 디바이스를 위한 컴퓨터 프로그램을 통해 달성되는 제7 양태에 따른다. 이 컴퓨터 프로그램은 컴퓨터 프로그램 코드를 포함하고, 이 컴퓨터 프로그램 코드는 제1 네트워크 디바이스에서 실행될 때 제1 네트워크 디바이스로 하여금:
챌린지를 획득하게 하고,
제1 PFS 파라미터를 획득하게 하고,
제1 PFS 파라미터에 대한 제1 검증 코드를 획득하게 하고,
챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 통신 디바이스에 전송하게 하고,
통신 디바이스로부터, 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터를 수신하게 하고,
응답 파라미터의 진본성을 결정하게 하고,
제2 검증 코드에 기초하여 제2 PFS 파라미터를 검증하게 한다.
이 목적은, 통신 네트워크의 제1 네트워크 디바이스를 위한 컴퓨터 프로그램 제품을 통해 달성되는 제8 양태에 따른다. 이 컴퓨터 프로그램 제품은 제7 양태에 따른 컴퓨터 프로그램 코드를 갖는 데이터 저장 매체를 포함한다.
제5, 제6, 제7 및 제8 양태에 따른 본 발명은, 제1 네트워크 디바이스와 통신 디바이스 사이의 통신의 보안을 강화시킨다. 강화된 보안은 소위 중간자(man-in-the-middle) 공격에 대한 장벽을 설정한다.
제5 양태의 제1 변형에서, 제1 네트워크 디바이스는 또한, 통신 디바이스와 제1 네트워크 디바이스 사이의 통신을 위한 세션 키를 계산하도록 구성된다. 이 세션 키는 적어도 제1 및 제2 PFS 파라미터를 생성하는데 이용되는 값들에 기초한다.
제6 양태의 대응하는 한 변형에서, 이 방법은, 통신 디바이스 사용자 장비와 제1 네트워크 디바이스 사이의 통신을 위한 세션 키를 계산하는 단계를 더 포함하고, 이 세션 키는 적어도 제1 및 제2 PFS 파라미터를 생성하는데 이용되는 값들에 기초한다.
제5 및 제6 양태의 더 구체적인 실시예에서, 세션 키는, 제2 PFS 파라미터, 및 제1 PFS 파라미터의 지수에 기초한다.
제5 양태의 제2 변형에서, 제1 네트워크 디바이스는, 챌린지를 획득할 때 챌린지 검증 코드를 획득하고, 챌린지 검증과 함께 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 인증 요청 메시지에서 전송하며, 인증 응답 메시지에서 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터를 수신하도록 구성된다.
제6 양태의 대응하는 한 변형에서, 챌린지의 획득은 챌린지 검증 코드의 획득을 포함하고, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드의 전송은, 이들을 챌린지 검증과 함께 인증 요청 메시지에서 전송하는 것을 포함하고, 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터의 수신은 이들을 인증 응답 메시지에서 수신하는 것을 포함한다.
이것은 기존 메시지를 재사용하는 이점을 갖는다. 이것은, 기존의 인증 및 키 협의 프로토콜의 기존 메시지 구조가 새로운 메시지를 추가하지 않고 이용될 수 있다는 것을 의미한다. 이것은, 추가적인 메시지의 전송은 무선 네트워크에서 제한된 자원일 수 있는 에너지를 이용하기 때문에, 일반적인 환경 수준에서 에너지를 절약할 수 있다. 나아가, 네트워크 통신도 통상적으로 표준화되어 있고 기존 메시지에 새로운 정보 요소를 추가하는 것보다 새로운 메시지 도입에 관해 협의하는 것이 훨씬 더 어렵다.
제5 양태의 제3 변형에서, 제2 네트워크 디바이스는, 제1 검증 코드를 획득할 때, 제1 PFS 파라미터를 이용하여 제1 검증 코드를 생성하도록 구성되고, 인증 요청 메시지를 전송할 때, 인증 요청 메시지의 대응하는 별도의 정보 요소에서 제1 검증 코드를 전송하도록 구성된다.
제6 양태의 대응하는 한 변형에서, 제1 검증 코드의 획득은 제1 PFS 파라미터를 이용하여 제1 검증 코드를 생성하는 것을 포함하고, 인증 요청 메시지의 전송은 제1 검증 코드를 대응하는 별도의 정보 요소에서 전송하는 것을 포함한다.
제5 양태의 제4 변형에서, 제1 네트워크 디바이스는 또한, 제1 PFS 파라미터를 획득할 때, 제1 PFS 파라미터를 생성하는데 이용될 값을 수신하고, 챌린지 검증 코드의 적어도 일부로서 제1 검증 코드를 획득하고, 챌린지 검증 코드의 적어도 일부로서 제1 검증 코드를 인증 요청 메시지에서 전송하도록 구성된다.
제6 양태의 대응하는 한 변형에서, 이 방법은, 제1 PFS 파라미터를 생성하기 위한 값을 수신하는 단계, 챌린지 검증 코드의 적어도 일부로서 제1 검증 코드를 획득하는 단계, 및 챌린지 검증 코드의 적어도 일부로서 제1 검증 코드를 인증 요청 메시지에서 전송하는 단계를 더 포함한다.
제5 양태의 제5 변형에서, 제1 네트워크 디바이스는 또한, 예상된 챌린지 결과를 획득하고, 예상된 챌린지 결과와의 비교를 통해 응답 파라미터의 진본성을 결정하도록 구성된다.
제6 양태의 대응하는 한 변형에서, 이 방법은, 챌린지와 함께 예상된 챌린지 결과를 획득하는 단계, 및 예상된 챌린지 결과와의 비교를 통해 응답 파라미터의 진본성을 결정하는 단계를 더 포함한다.
제5 및 제6 양태의 제6 변형에서, 응답 파라미터는, 응답 파라미터에 기초하는 제2 검증 코드를 통해 인증 응답 메시지에 포함된다.
이 경우에, 제1 네트워크 디바이스는, 응답 파라미터에 할당된 인증 응답 메시지의 정보 요소에서 제2 검증 코드를 수신하고, 동시에 응답 파라미터의 진본성을 결정하고 제2 검증 코드를 이용하여 제2 PFS 파라미터를 검증하도록 구성된다.
이 경우, 이 방법에서 수행되는 인증 응답 메시지의 수신은, 응답 파라미터에 할당된 인증 응답 메시지의 정보 요소에서의 제2 검증 코드의 수신을 포함하고, 응답 파라미터의 진본성의 결정 및 제2 PFS 파라미터의 검증은 제2 검증 코드를 이용하여 동시에 수행된다.
역시 또 다른 목적은, 장기 공유 키의 이용과 관련하여 네트워크 디바이스의 통신 보안을 강화하기 위한 시스템을 제공하는 것이다.
이 목적은, 제1 통신 네트워크 내의 제1 네트워크 디바이스 및 제2 통신 네트워크 내의 제2 네트워크 디바이스를 포함하는 시스템을 통해 달성되는 제9 양태에 따른다. 제2 네트워크 디바이스는 챌린지를 제1 네트워크 디바이스에 전송하도록 구성된다.
한편, 제1 네트워크 디바이스는,
챌린지를 수신하고,
제1 PFS 파라미터를 생성하고,
제1 PFS 파라미터에 대한 제1 검증 코드를 획득하고,
챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 통신 디바이스에 전송하고,
통신 디바이스로부터, 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터를 수신하고,
응답 파라미터의 진본성을 결정하고,
제2 검증 코드에 기초하여 제2 PFS 파라미터를 검증하도록 구성된다.
제9 양태의 제1 변형에서, 제2 네트워크 디바이스는, 적어도 값 x에 기초한 생성을 통해 제1 PFS 파라미터를 획득하기 위한 값을 제공하고, 제1 PFS를 이용하여 챌린지 검증 코드를 생성하고 베이스 값을 제1 네트워크 디바이스에 전송하도록 구성된다. 제1 네트워크 디바이스는 차례로, 제1 검증 코드를 챌린지 검증 코드로서 통신 디바이스에 전송하도록 구성된다.
제9 양태에 따른 본 발명은 또한, 제1 네트워크 디바이스와 통신 디바이스 사이의 통신의 보안을 강화하는 이점을 갖는다. 강화된 보안은, 장기 공유 키를 노출시켜, 소위 중간자(man-in-the-middle) 공격을 론칭하여 노출된 키를 악용할 수 있는 공격자에 대한 장벽을 설정한다.
또한, 본 발명의 제10 양태는 제2 통신 네트워크를 위한 제2 네트워크 디바이스에 관한 것으로, 제2 네트워크 디바이스는: 제1 통신 네트워크의 제1 네트워크 디바이스로부터, 통신 디바이스의 신원 모듈과 관련된 인증 데이터에 대한 요청을 수신하고, 제1 PFS 파라미터를 생성하고,
적어도 제1 PFS 파라미터 및 제2 네트워크 디바이스와 신원 모듈 사이에 공유되는 키에 기초하여 제1 검증 코드를 생성하고,
요청에 응답하여, 제1 네트워크 디바이스에, 적어도 제1 검증 코드 및 제1 PFS 파라미터가 도출될 수 있는 값을 전송하도록 동작한다.
제1 PFS 파라미터가 도출될 수 있는 값은, 제2 네트워크 디바이스의 한 실시예에서, 제1 PFS 파라미터를 포함할 수 있다.
제2 네트워크 디바이스의 한 실시예에서, 제1 PFS 파라미터는 Diffie-Hellman 파라미터를 포함하고, 제1 PFS 파라미터가 도출될 수 있는 값은 Diffie-Hellman 파라미터의 지수를 포함한다.
용어 "포함한다/포함하는"은 본 명세서에서 사용될 때 진술된 특징, 완전체, 단계 또는 컴포넌트의 존재를 명시하는 것으로 간주되지만, 하나 이상의 다른 특징, 완전체, 단계, 컴포넌트 또는 그룹의 존재나 추가를 배제하는 것은 아니라는 점이 강조되어야 한다. '파라미터'라는 용어는 그 파라미터의 값을 포괄하는 것으로 해석되어야 한다, 예를 들어, 파라미터의 계산은 그 파라미터에 대한 값의 계산을 포함하고, 하나 이상의 파라미터에 기초한 결과 또는 응답의 계산 또는 도출은, 하나 이상의 파라미터의 하나 이상의 값에 기초한 결과 또는 응답의 계산을 포함하는 것으로 해석되어야 한다. 동일한 방식으로, 파라미터를 수신하고 파라미터를 전송/포워딩하는 것은 그 파라미터의 값을 수신하고 전송하는 것을 포함한다.
본 발명이 이제 첨부된 도면들과 관련하여 더욱 상세히 설명될 것이다.
도 1은 통신 디바이스와 통신 네트워크 사이에서 수행되는 공지된 인증 방식의 다이어그램을 개략적으로 도시한다,
도 2는 제1 및 제2 통신 네트워크뿐만 아니라 제1 통신 네트워크와 통신하는 통신 디바이스를 개략적으로 도시한다,
도 3은 통신 디바이스와 제1 통신 네트워크 사이에서의 Diffie-Hellman 프로토콜의 이용을 개략적으로 도시한다,
도 4는 신원 모듈 및 모바일 장비를 포함한 사용자 장비의 블록도를 도시한다,
도 5는 모바일 장비의 블록도를 도시한다,
도 6은 제1 및 제2 통신 네트워크 양쪽 모두에서 노드로서 동작하는 디바이스에 적용가능한 네트워크 디바이스를 개략적으로 도시한 블록도이다,
도 7은 제1 실시예에 따른 통신 디바이스의 통신 보안을 강화하기 위한 방법으로서 통신 디바이스에서 수행되는 방법의 다수의 방법 단계들의 플로차트를 도시한다,
도 8은 제1 실시예에 따른 제1 통신 네트워크 내의 제1 네트워크 디바이스에 대한 방법으로서 제1 네트워크 디바이스에서 수행되는 방법의 다수의 방법 단계들의 플로차트를 도시하며,
도 9는 제2 실시예에 따른 제2 통신 네트워크 내의 통신 디바이스, 제1 네트워크 디바이스 및 제2 네트워크 디바이스 사이에서 교환되는 신호들을 갖는 시그널링 차트를 도시한다,
도 10은 챌린지 검증 코드를 더 상세하게 도시한다,
도 11은, 제3 실시예에 따른, 통신 디바이스, 제1 네트워크 디바이스 및 제2 네트워크 디바이스 사이에서 교환되는 신호들을 갖는 시그널링 차트를 도시한다,
도 12는 통신 디바이스의 기능을 구현하기 위한 컴퓨터 프로그램 코드를 갖춘 데이터 저장 매체를 포함하는 컴퓨터 프로그램 제품을 도시한다,
도 13은 네트워크 디바이스의 기능을 구현하기 위한 컴퓨터 프로그램 코드를 갖춘 데이터 저장 매체를 포함하는 컴퓨터 프로그램 제품을 도시한다,
도 14는 통신 디바이스를 실현하는 추가적인 방식을 도시하고,
도 15는 제1 네트워크 디바이스를 실현하는 추가적인 방식을 도시하고,
도 16은 제2 네트워크 디바이스를 실현하는 추가적인 방식을 도시한다.
이하의 설명에서, 제한이 아닌 설명의 목적으로, 본 발명의 철저한 이해를 제공하기 위하여 특정한 아키텍처, 인터페이스, 기술 등의 특정한 상세사항들이 개시된다. 그러나, 본 기술분야의 통상의 기술자에게는, 본 발명이 이러한 특정한 상세사항으로부터 벗어나는 다른 실시예들에서 실시될 수 있다는 것이 명백할 것이다. 다른 예에서, 공지된 디바이스, 회로, 및 방법의 상세한 설명은 본 발명의 설명을 불필요한 상세사항으로 흐리게 하지 않도록 생략된다.
본 발명은 통신 보안을 위한 기초로서 미리 공유된 키를 이용하는 통신 네트워크에서의 개선된 통신 보안에 관한 것이다. 통신 네트워크는 여기서, GSM(Global System for Mobile communication) 등의 2세대(2G) 모바일 통신 네트워크, 범용 모바일 통신 시스템(UMTS) 등의 3세대(3G) 네트워크, 또는 LTE(Long-Term Evolution) 등의 4세대(4G) 네트워크, 또는 현재 개발중인 3GPP 5세대(5G) 등의 미래의 진화된 시스템 등의 모바일 통신 네트워크일 수 있다. 이들은 본 발명이 구현될 수 있는 네트워크의 단지 몇 가지 예일 뿐이다. 이용될 수 있는 다른 타입의 네트워크는 예를 들어 무선 근거리 통신망(WLAN)이다. 사용자 장비(UE), 때때로 셀룰러 폰이라고 지칭되는 이동국(MS) 등의, 통신 디바이스는, 이들 통신 네트워크를 이용하여 통신할 수 있다. 나아가, 여기서의 통신 디바이스는 신원 모듈에 접속되며, 신원 모듈은 가입자 신원 모듈(SIM) 및/또는 범용 가입자 신원 모듈(USIM) 또는 IP 멀티미디어 서브시스템 SIM(ISIM)을 유지하는 범용 집적 회로 카드(UICC) 등의 스마트 카드, 임베디드 SIM(eSIM) 모듈, 소프트웨어 모듈, Global Platform Trusted Execution 모듈일 수 있다. 따라서 신원 모듈은 또한, 신뢰받는 실행 환경에서 실행되는 소프트웨어 또는 범용 프로세서에서 실행되는 소프트웨어로 구현될 수도 있지만, 후자는 바람직하지 않다. 후속해서, 용어 USIM이 상세한 설명에서의 예로서 사용될 것이지만, 본 기술분야의 통상의 기술자라면 임의의 타입의 신원 모듈이 동일한 목적을 제공할 것이라는 것을 이해할 것이다. 신원 모듈은 통신 디바이스의 일부일 수 있다는 것을 이해해야 한다. 이것은 또한, 통신 디바이스가 이용될 때, 통신 디바이스에 접속된 별개의의 엔티티일 수도 있다.
통신 보안을 위한 기초로서, 예를 들어, 인증 및 키 협의를 위한 키가 이용된다. 키는 유익하게도 미리 공유되어 설명된 바와 같이 신원 모듈에 저장될 수 있다.
이하에서는 UE 형태의 통신 디바이스의 예에 대해서만 설명한다. 그러나, 통신 디바이스는 UE인 것으로 제한되지 않는다는 것을 알아야 한다. 통신 디바이스는, 네트워크 노드에 및 네트워크 노드로부터 데이터 및/또는 신호를 무선으로 전송하고 수신할 수 있는, 모바일 엔드포인트, 이동국, 모바일 전화, 무선 로컬 루프 전화, 스마트폰, 사용자 장비, 데스크톱 컴퓨터, PDA, 셀 전화, 태블릿, 랩톱, VoIP 전화 또는 핸드셋일 수 있다. 통신 디바이스는 또한, 소정 형태의 전자기기(예를 들어, 센서 또는 디지털 카메라), 차량, 홈 게이트웨이, 가정/주거지 WiFi/4G 액세스 포인트, 냉장고, 온도 조절기, 강도 경보기, 진공 청소기, 잔디깎기 로봇 등의 가정용 기기를 위한 예를 들어 3G 또는 4G 접속을 제공하는 통신 모뎀일 수도 있다. 통신 디바이스는, 고정된 통신 네트워크에 접속된 고정 단말기일 수도 있다.
앞서 언급된 바와 같이 및 도 1에 도시된 바와 같이, 인증 및 키 협의(Authentication and Key Agreement)(AKA)는 일부 통신 네트워크에서 이용되는 공지된 키 협의 시스템이다.
도 1에서 볼 수 있는 바와 같이, VLR/SGSN(Visitor Location Register/Serving Gateway Support Node)는 방문 사용자 장비(UE)에 관한 인증 데이터 요청(10)을 HE/HLR(Home Environment/Home Location Register)에 전송하는 것으로 도시되어 있다. HE/HLR은 인증 벡터들의 세트(AV(1..n))를 생성하고(12) 인증 데이터 응답 메시지(14)에서 벡터들(AV(1..n)을 VLR/SGSN에 전송하며, VLR/SGSN은 인증 벡터들을 저장한다(16).
VLR/SGSN은 인증 벡터를 선택하고(18), 이 벡터의 내용에 기초하여 랜덤 값 RAND(i) 및 인증 토큰(AUTN(i))이 할당된 파라미터 RAND를 이용하여 챌린지를 포함하는 사용자 인증 요청 메시지 ARQ(20)를 전송하고, 여기서, AUTN(i)는 이하에서 더 상세히 설명될 챌린지 검증 코드를 포함하고, i는 그 값이 AVi와 연관됨을 나타낸다. UE에서, AUTN(i)가 검증되고 결과 RES(i)는 검증 단계(22)에서 계산된다. 그 다음, UE는 결과 RES(i)를 포함하는 사용자 인증 응답 메시지(ARE)(20)를 전송한다. 인증 벡터는 예상된 결과 XRES(i)를 포함하고 VLR/SGSN은 수신된 결과 RES(i)를 예상된 결과 XRES(i)와 비교하고(26), 비교가 성공적이면, 즉, 이들이 동일하다고 파악되면, VLR/SGSN은 암호화 키 CK(i) 및 무결성 보호 키 IK(i)를 선택한다(30). UE는 또한, 동일한 키 CK(i) 및 IK(i)를 계산한다(28). 그러면, 이들은 세션 키를 획득하는데 이용된다. 일부 시스템(예컨대, LTE)에서, 키 CK(i) 및 IK(i)는 세션 키 Kasme를 획득하는데 이용된다.
도 1에 도시되고 전술된 타입의 인증에서, 미리 공유된 이점을 갖는 비밀 키 K가 사용자 장비 및 네트워크 양쪽 모두에서 이용된다.
UMTS/LTE AKA는, 그 입증된 보안 및 견고성의 추적 기록으로 인해 차세대 모바일 네트워크(예를 들어, 5G)에서도 기본으로서 이용될 것으로 예상된다. 후속해서, 달리 언급되지 않는 한, "AKA"는, UMTS AKA, LTE AKA, 또는 이들에 기초한 프로토콜, 예를 들어, 미래의 "5G" 네트워크에 대한 확장을 나타내는데 이용될 것이다.
앞서 언급된 바와 같이, 도 1에 도시된 AKA 프로토콜은, UE VLR/SGSN(Visitor Location Register/Serving Gateway Support Node)와 HE/HLR(Home Environment/Home Location Register) 사이에서 통신이 이루어지는 3GPP TS 33.102와 호환된다. 4G/LTE에서 MME(Mobility Management Entity)는 VLR/SGSN을 대신하고 HE/HLR은 HSS(Home Subscriber Server)에 대응한다. 단말기/UE/통신 디바이스는 이 도면에서 MS라고 지칭된다는 점에 유의한다. 본 개시내용의 목적을 위해, MS와 UE는 동일한 엔티티이다.
AUTN(i)(인증 토큰)은 상이한 필드들: AMF(Authentication Management Field), MAC 및 시퀀스 번호 표시(sequence number indication)(SQN, 아마도 익명 키 AK에 의해 암호화/수정됨)로 구성된 파라미터이다. MAC(i)는 USIM에 의해 구현된 암호 함수들(cryptographic functions)을 통해 챌린지 RAND(i)(RANDom 번호)뿐만 아니라 SQN 및 AMF가 제3자에 의해 위조되지 않도록 보호하는 메시지 인증 코드이다. 키들 CK(i) 및 IK(i)는 3G에서 암호화/무결성 보호를 위해 직접 이용되며, CK(i) 및 IK(i)(구체적으로는, CK(i)와 IK(i)에 의해 형성된, 키 Kasme로부터)로부터 암호화/무결성 키를 도출함으로써 4G/LTE에서 이들 목적을 위해 간접 이용된다.
UE와 HE 모두에서 제공되는 이들 암호 함수에서, 공유 키 K가 이렇게 이용된다.
K는 USIM과 HSS/AuC에 의해 공유되는 키(일반적으로 128 비트)이며, 여기서, AuC는 인증 센터(Authentication Centre)의 약자이다. 공유 키는 다른 당사자들에게 비밀로 유지되어야 한다.
암호화 및 다른 형태의 계산에 대한 나머지 설명에서 이용되는 단순화된 표기 규칙으로서, 명시적으로 언급된 것 이외의 파라미터들은, 키 도출 함수(KDF), 메시지 인증 코드(MAC) 및 여기서 설명된 모든 사례의 다른 모든 함수 등의 함수들에 입력될 수 있다. 파라미터들은 명시적으로 언급된 것과는 상이한 순서로 놓여질 수 있다. 파라미터들은 함수에 입력되기 전에 변환될 수 있다. 예를 들어, 파라미터 집합 P1, P2, ..., Pn은, 일부 음이 아닌 정수 n에 대해, 먼저 제2 함수 f와 그 결과, 즉, f(P1, P2, ..., Pn)을 통한 실행과 그 함수로의 입력에 의해 변환될 수 있다.
"output_key"라고 불리는 키를 계산하기 위해 파라미터 P1이 KDF에 입력되기 전에 먼저 변환될 때의 키 도출의 예는 형태 output_key = KDF(f(P1), 어떤 다른 파라미터)의 도출일 수 있고, 여기서 f는 어떤 임의의 함수 또는 함수들의 체인이다. 입력 "어떤 다른 파라미터"는, 예를 들어 키를 소정의 정황에 바인딩하는데 이용되는, 0, 1, 또는, 그 이상의 다른 파라미터들일 수 있다. 때때로, "..."이라는 표기는 "어떤 다른 파라미터"에 대한 동의어로 이용될 수도 있다. 파라미터들은 별개의 파라미터들로서 입력되거나 함께 연결된 다음 하나의 단일 입력으로 KDF에 입력될 수 있다. 따라서, 본 기술분야의 통상의 기술자라면, 추가적인 파라미터들이 이용될 수 있고, 파라미터들은 변환되거나 재배열될 수도 있고, 이들과 같은 변형이 존재하더라도, 아이디어의 핵심은 동일하게 유지된다는 것을 이해할 것이다.
앞서 언급된 바와 같이, AKA의 보안은 키 K가 비밀로 유지된다는데 달려 있다. 최근에, USIM 카드 제조업체의 보안이 침해되었고 K-키 세트가 "유출"(또는 악의적인 사람의 수중에 들어가게)되어, 이들 키와 연관된 가입자가 명의 도용, 접속 도용, 및 도청 등의 위험에 노출되었다(따라서, CK(i) 및/또는 IK(i)로부터 도출되는 암호화 키들도 잠재적으로 위험하다)는 것이 언론에 보도되었다. 기사 https://firstlook.org/theintercept/2015/02/19/great-sim-heist/에서, 앞에서 언급된 보안 문제를 초래하는 AKA 프로토콜의 잠재적 문제는 AKA가 소위 완벽한 순방향 보안(perfect forward secrecy, PFS)이 결여되어 있다는 점에 놓여 있다고 언급되어 있다. PFS는, 세션 키를 설정하는데 이용된 장기 키가 노출되더라도, 이전 세션 키들도 역시 노출되어 있다는 것을 암시하는 것은 아니라는 것을 의미한다. 즉, 세션 키는 장기 키가 노출된 경우 미래에는 안전하다. AKA는, 종종 키 분리라고 언급되는, 사실상 유익하지만 더 약한 속성을 갖는다: 세션 키들(CK(i), IK(i) 등)이 노출되더라도, 과거/미래의 CK(j), IK(j) (및 기타의 도출된 키들)은 노출되지 않는다. 그러나, 장기 키 K가 노출될 때, 이러한 모든 보안 속성들은 가치(value)를 거의 제공하지 못한다.
본 발명의 양태들은 완벽한 포워딩 비밀의 추가를 통해 전술된 인증 기능을 개선시키는 것에 관한 것이다. 따라서, 사용자 장비와 네트워크 양쪽 모두에 대한 통신 보안을 강화시키는 것이 관심사항이다.
그러나 이것이 어떻게 이루어지는지에 대한 상세한 설명을 하기 전에, 환경에 대한 더 자세한 내용이 주어질 것이다.
도 2는, 도 2의 디바이스(40)가, 통신 보안 강화 대상이 되는 사용자 장비(UE)의 형태인 통신 디바이스(40)의 한 예시적인 통신 환경을 개략적으로 도시한다. 이 예에서는 제1 및 제2 통신 네트워크가 있고, 이 경우에는 양쪽 모두 LTE 네트워크 등의 모바일 통신 네트워크이다. 사용자 장비(UE)는 이 경우에 제1 통신 네트워크(36)의 기지국(BS)(42)과 에어 인터페이스를 통해 무선 접촉하며, 통신 네트워크는 제1 무선 네트워크 WN1이다. 기지국(42)은, 차례로, 제1 무선 네트워크 WN1의 제1 네트워크 디바이스(44)에 접속되고, 제1 네트워크 디바이스(44)는 또한 네트워크 노드인 것으로 간주될 수 있다. 이 예에서, 이것은 MME이다. MME(44)는, 차례로, 제2 통신 네트워크(38) 내의 제2 네트워크 디바이스(46)에 접속되고, 제2 통신 네트워크(46)는 제2 무선 네트워크 WN2이다. 제2 네트워크 디바이스(46)는 이 경우에는 HSS이고 네트워크 노드인 것으로 간주될 수 있다. 제1 무선 네트워크 WN1은 방문된 네트워크, 즉, UE가 방문하는 네트워크인 반면, 제2 무선 네트워크 WN2는 UE의 홈 네트워크, 즉, UE와 연관된 가입을 호스팅하는 네트워크일 수 있다. 많은 네트워크에서 노드 B 또는 eNodeB로 표시될 수 있는 기지국(42)은 액세스 네트워크 AN라고 명명된 제1 무선 네트워크 WN1의 일부에서 제공되는 반면, MME(44)는 코어 네트워크 CN이라고 불리는 부분에서 제공된다.
따라서, 제1 통신 네트워크(36)는 이 예에서는 UE에 의해 방문되는 네트워크인 반면, 제2 통신 네트워크(38)는 UE의 홈 네트워크이다.
상이한 실시예에서, 각각의 무선 네트워크는, 임의 개수의 유선 또는 무선 네트워크, 네트워크 노드, 기지국, 제어기, 무선 디바이스, 중계국, 및/또는 유선 접속이든 무선 접속을 통해 데이터 및/또는 신호의 전달을 용이하게 하거나 이에 참여할 수 있는 기타 임의의 컴포넌트를 포함할 수 있다.
각각의 무선 네트워크는, 하나 이상의 IP 네트워크, 공중 교환 전화망(PSTN), 패킷 데이터 네트워크, 광 네트워크, 광역 네트워크(WAN), 근거리 통신망(LAN), 무선 근거리 통신망(WLAN), 유선 네트워크, 무선 네트워크, 대도시 지역 네트워크, 및 디바이스들 사이의 통신을 가능하게 하는 기타의 네트워크를 포함할 수 있다.
도 1에서 볼 수 있는 바와 같이, 통신은 UE와 제1 네트워크 디바이스 사이에서 발생한다. 그러나, 또한 알 수 있는 바와 같이, 인증 정보(AV)는 본질적으로 UE의 홈 네트워크 내의 제2 네트워크 디바이스에 의해 제공되었다.
전술된 바와 같이, 본 발명은 도 2에서와 같은 시스템에서 완벽한 순방향 보안을 도입하는 것에 관한 것이다.
기초로서 이용할 적합한 한 방식은, Diffie-Hellman 프로토콜에서 정의된 방식이다. UE와 제1 무선 네트워크 WN1 사이에서 구현되는 이 방식은 도 3에 개략적으로 표시되어 있다.
도 3에서 알 수 있는 바와 같이, 제1 무선 네트워크(WN1)(및 통상적으로 제1 네트워크 디바이스)는 베이스 값 g를 난수 x로 거듭제곱하여 생성되는 파라미터를 전송하고, UE는 동일한 베이스 값 g를 또 다른 난수 y로 거듭제곱하여 생성되는 파라미터로 응답한다("난수"라는 용어는 통계적으로 난수뿐만 아니라 의사-난수 양쪽 모두를 포함하는 것으로 이해되어야 한다) 파라미터들은 또한, 예를 들어, 공유 키(도시되지 않음)를 이용하여 인증되어야 한다. 일단 인증되고 나면, UE와 제1 네트워크 디바이스는, 역시 이와 같이 공유되는 공통 세션 키를 이용할 수 있다. 세션 키에 대한 기초는, K'= g^(xy) 또는 K'= g^(yx)(동일한 값 K'를 생성함)로서 획득될 수 있다. 키는 더 구체적으로는 g를 x로 거듭제곱하고 이것을 다시 y로 거듭제곱하여 획득되거나, g를 y로 거듭제곱하고 이것으로 다시 x로 거듭제곱하여 획득될 수 있다, 즉,
(g^x)^y 또는 (g^y)^x
도시된 바와 같이, 보안 세션 키인 세션 키 K'는 값 x와 y에 기초하여 생성될 수 있다. 본 기술분야의 통상의 기술자라면, 이산 로그 문제가 어려운 타원 곡선 및 다른 순환 그룹도 역시 이용될 수 있다는 것을 인식하겠지만, 간소화를 위해, 타원 곡선 경우에는 가법 표기 x*g가 더 적절하더라도 우리는 곱셈 표기 g^x를 이용한다. 상세 사항은, Menezes 등의, Handbook of Applied Cryptography, fifth printing (August 2001), CRC Press를 참조한다.
도 4는 UE의 한 예시적인 실현을 도시한다. UE는 완벽한 순방향 보안 인증 및 키 합의(PFS-AKA; perfect forward security Authentication and Key Agreement) 모듈(52)에 접속되는 스마트 카드의 형태의 범용 가입자 신원 모듈(USIM)(48)을 포함할 수 있으며, 이 모듈은 통신 모듈(50)은 무선 통신 모듈일 수 있는 통신 모듈(50)에 접속된다. 여기서, 통신 모듈(50)과 PFS-AKA 모듈(52)은 함께 모바일 장비(46)를 형성하는 반면, USIM은 신원 모듈(48)이다. 따라서, USIM, PFS-AKA 모듈 및 통신 모듈은 함께 사용자 장비를 형성한다.
ME(46)를 실현하는 한 방식이 도 5에 개략적으로 도시되어 있다. ME(46)는, 프로세서(54), 스토리지(56), 인터페이스(50B) 및 안테나(50A)를 포함한다. 이들 컴포넌트들은, 무선 네트워크에서 무선 접속을 제공하는 등의, ME 기능을 제공하기 위하여 함께 작동할 수 있다. ME(46)의 컴포넌트들은 하나의 큰 더 박스 내에 배치된 단일 박스들로서 도시되어 있지만, 실제로 ME는 단일의 예시된 컴포넌트를 구성하는 복수의 상이한 물리적 컴포넌트를 포함할 수 있다(예를 들어, 스토리지(56)는 복수의 개별 마이크로 칩을 포함할 수 있고, 각각의 마이크로칩은 총 저장 용량의 일부를 나타낸다).
프로세서(54)는, 마이크로프로세서, 제어기, 마이크로제어기, 중앙 처리 유닛, 디지털 신호 프로세서, 주문형 집적 회로, 필드 프로그래머블 게이트 어레이, 또는 기타 임의의 적절한 컴퓨팅 디바이스, 자원, 또는 하드웨어, 소프트웨어, 및/또는 스토리지(56), ME 기능 등의 다른 ME 컴포넌트와 조합하여 또는 단독으로 제공할 수 있는 인코딩된 로직 중 하나 이상의 조합일 수 있다. 이러한 기능은, 여기서 개시된 임의의 피쳐 또는 이점을 포함한, 여기서 논의된 다양한 무선 피쳐를 제공하는 것을 포함할 수 있다.
스토리지(56)는, 영구 스토리지, 솔리드 스테이트 메모리, 원격 장착형 메모리, 자기 매체, 광 매체, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 착탈식 메모리, 또는 기타 임의의 적절한 로컬 또는 원격 메모리 컴포넌트를 포함한 그러나 이것으로 제한되지 않는 임의의 형태의 휘발성 또는 비휘발성 메모리일 수 있다. 스토리지(56)는, ME(46)에 의해 이용되는, 소프트웨어 및 인코딩된 로직을 포함한, 임의의 적절한 데이터, 명령어 또는 정보를 저장할 수 있다. 스토리지(56)는, 프로세서(54)에 의해 이루어진 임의의 계산 및/또는 인터페이스(50B)를 통해 수신된 임의의 데이터를 저장하는데 이용될 수 있다.
인터페이스(50B)는, UE와 기지국(42) 등의 네트워크 디바이스 사이의 시그널링 및/또는 데이터의 무선 전달에 이용될 수 있다. 예를 들어, 인터페이스(50B)는 UE가 무선 접속을 통해 기지국(42)으로부터 데이터를 전송 및 수신하는 것을 허용하는데 필요할 수 있는 임의의 포맷팅, 코딩 또는 변환을 수행할 수 있다. 인터페이스(50B)는 또한, 안테나(50a)에 결합될 수 있거나 안테나(50a)의 일부일 수 있는 무선 전송기 및/또는 수신기를 포함할 수 있다. 무선기(radio)는 무선 접속을 통해 기지국(42)에 전송될 디지털 데이터를 수신할 수 있다. 무선기는 디지털 데이터를 적절한 채널 및 대역폭 파라미터를 갖는 무선 신호로 변환할 수 있다. 그 다음, 무선 신호는 안테나(50a)를 통해 기지국(42)에 전송될 수 있다.
안테나(50a)는 데이터 및/또는 신호를 무선으로 전송 및 수신할 수 있는 임의의 타입의 안테나일 수 있다.
스토리지(56)는 또한, 제1 무선 네트워크에 대한 ME의 통신과 관련하여 완벽한 순방향 보안을 처리하기 위한 명령어들을 포함할 수 있다.
스토리지(56)는 더 구체적으로는 프로세서(54)가 PFS-AKA 모듈(52)을 구현하게 하는 컴퓨터 명령어들을 포함할 수 있다. 결국 통신 모듈(50)은 본질적으로 인터페이스(50B) 및 안테나(50A)의 조합을 통해 구현될 수 있다.
도 6은 일반적인 네트워크 디바이스(57)를 도시하며, 그 구조는 제1 및 제2 네트워크 디바이스(44 및 46) 양쪽 모두에 적용가능하다.
네트워크 디바이스(47)는, 프로세서(60), 스토리지(62) 및 인터페이스(58)를 포함한다. 이들 컴포넌트들은, 하나의 더 큰 박스 내에 위치한 단일 박스로서 표시된다. 그러나, 실제로 네트워크 디바이스는, 단일의 예시된 컴포넌트를 구성하는 복수의 상이한 물리적 컴포넌트를 포함할 수 있다(예를 들어, 인터페이스(58)는 유선 접속을 위한 와이어들을 결합하기 위한 단자들을 포함할 수 있음). 유사하게, 네트워크 디바이스(57)는 복수의 물리적으로 별개의 컴포넌트로 구성될 수 있고, 이들 컴포넌트들 각각은, 자신의 프로세서, 스토리지, 및 인터페이스 컴포넌트를 가질 수 있다. 네트워크 디바이스(57)가 복수의 별개의 컴포넌트를 포함하는 소정의 시나리오에서, 별개의 컴포넌트들 중 하나 이상은 여러 네트워크 디바이스들 사이에서 공유될 수 있다.
프로세서(60)는, 마이크로프로세서, 제어기, 마이크로제어기, 중앙 처리 유닛, 디지털 신호 프로세서, 주문형 집적 회로, 필드 프로그래머블 게이트 어레이, 또는 기타 임의의 적절한 컴퓨팅 디바이스, 자원, 또는 하드웨어, 소프트웨어, 및/또는 스토리지(62), 네트워크 디바이스 기능 등의 다른 네트워크 디바이스 컴포넌트와 조합하여 또는 단독으로 제공할 수 있는 인코딩된 로직 중 하나 이상의 조합일 수 있다. 예를 들어, 프로세서(60)는 스토리지(62)에 저장된 명령어들을 실행할 수 있다.
스토리지(62)는, 영구 스토리지, 솔리드 스테이트 메모리, 원격 장착형 메모리, 자기 매체, 광 매체, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 착탈식 메모리, 또는 기타 임의의 적절한 로컬 또는 원격 메모리 컴포넌트를 포함한 그러나 이것으로 제한되지 않는 임의의 형태의 휘발성 또는 비휘발성 컴퓨터 판독가능한 메모리일 수 있다. 스토리지(62)는, 네트워크 디바이스(57)에 의해 이용되는, 소프트웨어 및 인코딩된 로직을 포함한, 임의의 적절한 명령어, 데이터 또는 정보를 저장할 수 있다. 스토리지(62)는, 프로세서(60)에 의해 이루어진 임의의 계산 및/또는 인터페이스(58)를 통해 수신된 임의의 데이터를 저장하는데 이용될 수 있다.
네트워크 디바이스(57)는 또한, 네트워크 디바이스(57), 네트워크 WN1 또는 WN2, 및/또는 UE 사이의 시그널링 및/또는 데이터의 유선 전달에 이용될 수 있는 인터페이스(58)를 포함한다. 예를 들어, 인터페이스(58)는 네트워크 디바이스(57)가 유선 접속을 통해 네트워크 WN1 또는 WN2로부터 데이터를 송수신하는 것을 허용하는데 필요할 수 있는 임의의 포맷팅, 코딩, 또는 변환을 수행할 수 있다.
본 발명의 양태들은 AKA에 PFS를 추가하는 것에 관한 것이다.
이하의 실시예는 간소화를 위해 4G/LTE 환경에서 설명될 것이지만, IMS AKA(IP 멀티미디어 서브시스템 AKA) 및 EAP-AKA(확장가능한 인증 프로토콜 ―AKA)에도 적용가능하며, 실시예는 또한, 현재 논의된 5G 시스템 또는 AKA에 기초한 기타 임의의 미래의 시스템, 또는 미리 공유된 키를 갖는 신원 모듈이 이용되는 다른 설정에도 역시 적용가능한 것으로 현재 보고 있다.
전술된 바와 같이, 본 발명의 양태들은, Diffie-Hellman(DH) 프로토콜에 기초한 이점을 갖는, 통신 디바이스와 제1 네트워크 디바이스 사이의 통신에서 완벽한 순방향 보안을 제공하는 것에 관한 것이다.
그러나, 이 프로토콜은 필요한 파라미터들을 전달하기 위해 계산 노력과 추가의 대역폭을 요구한다: 교환된 DH 파라미터들은 현재 표준화된 AKA 프로토콜(RAND, RES 등)의 파라미터들보다 훨씬 크다. 에어 인터페이스를 통해 시그널링되는 비트들의 수를 증가시키는 것이 가능하더라도, 표준화된 USIM-ME 인터페이스를 UE에서 유지하는 것이 바람직할 것이며, 이것은, DH는 강력한 보안 기능을 제공한다면 수준 이하로 떨어지는 프로토콜 파라미터들의 크기에 대한 병목 현상을 의미한다. (RAND는 현재 128 비트이고 AKA의 128 비트 강도와 일치하는 보안에 도달하기 위해 DH의 타원 곡선 변형에 대해 적어도 256 비트의 DH 파라미터들이 필요하며, 표준 이산 로그 DH 모듈로 소수 p에 대해 약 3000 비트이다). 게다가, DH는 중간자(MITM; man-in-the-middle) 공격에 민감하며 이것은 DH 파라미터들을 인증하기 위해 소정의 메커니즘을 추가할 필요성을 암시한다. 이것을 수행하는 자연스러운 접근법은 AKA에 또 다른 데이터 필드를 추가하는 것일 것이고 이것은 더 많은 시그널링 오버헤드로 이어진다.
따라서, 하나의 목적은 장기 공유 키들의 이용과 관련하여 통신 디바이스와 통신 네트워크 사이의 통신의 보안 수준을 높이는 것이다. 추가 메시지를 전송하는 것도 역시 관심대상일 수 있다. 따라서 새로운 메시지의 추가 없이 기존 메시지 구조가 이용되는 것이 바람직하다. 이것은, 추가 메시지의 전송이 특히 통신 디바이스에서 제한된 자원일 수 있는 에너지를 이용하기 때문에, 통신 디바이스에 관해서 뿐만 아니라 일반적인 환경 수준에서도 에너지 절약의 관점에서 중요할 수 있다. 또한, 네트워크 통신도 일반적으로 표준화되어 있고, 완벽한 순방향 보안을 추가하기 위한 직접적인 접근법을 이용하는 경우 인증 및 MITM 보호를 제공하는데 필요한 새로운 요소를 기존 메시지에 추가하는 것보다 새로운 메시지 도입에 관해 협의하는 것이 훨씬 더 어렵다.
진행하기 전에, DH 프로토콜에 의해 예시된 PFS를 제공하는 프로토콜의 인증에 대한 약간의 관찰이 유익하다. AKA라는 특정한 정황에서, 본 기술분야의 통상의 기술자는 USIM에서의 계산에 의해 생성된 AKA 결과 파라미터들 중 하나 이상, 즉, 이러한 목적을 위한 RES, CK 및/또는 IK를 이용하는 것을 유혹받을 수 있다. 이것은 일반적으로 보안에 위험하다. 예를 들어, 어떤 함수 F'에 대한 x = F'(CK, IK) 및/또는 y = F'(CK, IK)를 통해 DH 파라미터들 g^x 및/또는 g^y를 계산하는 것은 이들 파라미터들이 장기 키 K의 지식으로부터 계산될 수 있기 때문에 완벽한 순방향 보안으로 이어지지 않을 것이다. 따라서, AKA 파라미터와 프로토콜 데이터 필드의 재사용은 유익하지만, 주의를 기울여 실행해야 한다. 따라서 x와 y는 AKA 파라미터와는 독립적이어야 한다.
반면에, MITM에 대한 보호를 위해, 우리는 AKA 파라미터들 중 하나 이상을 이용하고 표준 MAC을 추가할 수 있다. 예를 들어, UE로부터의 AKA 응답은 다음을 포함할 수 있다:
Figure pct00001
(따라서 이것은 아마도, 전술된 AKA 프로토콜의 MAC 파라미터와 혼동되지 않는 또 다른 MAC 함수이다. 또한, 우리는 고정된 AKA 파라미터 세트를 고려하고 있기 때문에, 인덱스 i를 억제하고, 예를 들어, CK(i) 대신 위의 CK를 기재한다는 점에 유의한다.) 일반적으로, MAC에서 이용하기 위한 키, 즉,
Figure pct00002
에 대한 입력의 제1 파라미터로서 복수의 옵션이 존재할 것이라는 점에 유의한다. 너무 많은 상세사항으로 설명을 모호하게 하지 않기 위해, 종종 키(및 덜 중요한 다른 파라미터들)를 억제하고, 앞서와 같이
Figure pct00003
대신에
Figure pct00004
라고 기재한다. 여기서 ...는 아마도 다른 변수/파라미터들을 나타내고, ||은, 입력들을 MAC 함수에 결합하는 방식, 예를 들어, 연결(concatenation)을 나타낸다. 그러나, 훨씬 더 경제적인 방식은 UE로부터 MME로 전송될 때 RES를 운반하는 기존의 정보 요소에 MAC을 병합하는 것이며, 예를 들어,
Figure pct00005
를 계산하고, 키로서 RES(및 선택사항으로서 CK, IK)를 이용하고, UE는 RES', g^y만으로 응답하는 것이다. MAC 함수는 (3GPP TS 33.102에서 정의된) 네이티브 AKA f-함수들 중 하나인 HMAC에 기초하거나, 또는 다른 적절한 함수, 예를 들어, AES에 기초할 수 있다. RES는 g^y와 키-값(CK/IK 또는 RES)에 기초하는 MAC으로서 계산되기 때문에, 이것은 사실상 g^y의 진본성에 대한 검증 코드라는 것은 명확하다. 또한, MAC이 또한, 키로서의 RES에 기초할 때, MAC은 동시에 RES를 검증하는데 이용될 수 있다. MAC은 RES'를 계산하는데 이용될 수 있는 하나의 가능한 함수일 뿐이라는 점도 역시 깨달아야 한다. 또 다른 예는 일반적으로 키 도출 함수 또는 의사난수 함수이다.
통신 오버헤드를 절감하면서도 여전히 PFS를 제공하기 위하여 네트워크로부터 ME로 전송되는 DH 값 g^x에 대해 유사한 고려사항이 적용된다.
구체적으로, AuC/HSS는 일부 실시예에서 그에 따라 서빙 네트워크에 전송된 인증 벡터를 생성할 수 있다, 즉, RAND = g^x 등의 파라미터를 계산하고, f-함수에 입력하기 전에 RAND에 해시를 적용하는 등등을 수행한다. 따라서, g^x는 새로운 정보 요소를 추가하지 않고도 RAND AKA 프로토콜 필드에서 효과적으로 운반된다. 일부 실시예에서, HSS는 CK, IK(또는 Kasme 등의 이로부터 도출된 키들)를 인증 벡터(AV)의 일부로서 MME에 전송할 필요가 없는데, 그 이유는 결과적 공유 키는 AV 생성시에는 HSS에 알려지지 않은 g^(xy)에 기초할 것이기 때문이다. 다른 실시예에서, AuC/HSS는 키 생성에서 포함될 이들 CK, IK를 포함할 수 있다. 예를 들어, LTE에서 키들은 CK, IK로부터의 Kasme 키의 도출시에 PLMN(Public Land Mobile Network) 식별자의 포함을 통해 액세스 네트워크에 "바인딩"된다. HSS는 언급된 바와 같이 AV가 생성되는 시점에서 g^(xy)를 알지 못하기 때문에, PLMN ID로의 바인딩은, CK, IK로부터의 어떤 추가 키의 도출시에 PLMN ID를 포함하고 그 도출된 키를 AV에 포함함으로써 달성될 수 있다. 또한, MME가 채용될 때, 즉, HSS로부터의 AV에서 XRES가 주어지면, 상기 실시예에서 가입자 진본성을 검증하기 전에 XRES'= MAC(XRES, g^y)를 계산할 것이고, 일부 적절한 함수 F에 대해
Figure pct00006
로서 Kasme를 도출하고, 등등을 수행할 것이다. ME는 Kasme를 유사하게 계산할 수 있다.
이제 도 7 및 도 8을 참조하여 제1 실시예가 설명될 것이고, 여기서 도 7은 통신 네트워크의 네트워크 디바이스와 통신하는 사용자 장비의 통신 보안을 강화하는 방법의 플로차트를 도시하고, 도 8은 통신 네트워크의 제1 네트워크 디바이스의 통신 보안을 강화하는 방법에서의 방법 단계들의 플로차트를 도시한다.
여기서 주어진 예에서, 통신 네트워크(36)는 제1 무선 네트워크 WN1이고 제1 네트워크 디바이스(44)는 제1 무선 네트워크의 MME이다.
동작은 UE가 제1 통신 네트워크(36)에 부착되는 것에서 시작될 수 있다. 이것의 일부로서, 식별자, 예를 들어, 국제 모바일 가입자 신원(IMSI)이 UE로부터 또는 더 정확히는 UE의 USIM(48)으로부터 제1 네트워크 디바이스(44)에 제공될 수 있고, 제1 네트워크 디바이스(44)는, 차례로, 인증 벡터(AV)에 대한 요청을 제2 통신 네트워크(38) 내의 제2 네트워크 디바이스(46)에 전송한다. 제2 네트워크 디바이스(46)는, 인증 토큰 AUTN, 랜덤 값 RAND, 검증 계산 XRES의 예상된 결과뿐만 아니라 초기 세션 키 Kasme를 포함할 수 있는 인증 벡터를 생성한다. 이것은 또한 키들 CK/IK 등의 다른 키들을 포함할 수 있다. 따라서, 지금까지, 제2 네트워크 노드(46)는 기존(3GPP) AKA 명세에 따라 동작할 수 있다. 이러한 방식으로, 제1 네트워크 디바이스(44)는, 적어도, 랜덤 값 RAND 및 예상된 검증 결과 XRES를 포함할 수 있는 인증 벡터를 획득한다(단계 74). 여기서, RAND는 챌린지로서 이용하기 위해 UE에 제공되고 AUTN은 이 챌린지에 대한 챌린지 검증 코드를 포함한다고 말할 수 있다.
인증 벡터를 획득한 후, 제1 네트워크 디바이스는 제1 PFS 파라미터 PFS1을 획득하고(단계 76), 제1 PFS 파라미터 PFS1은 베이스 값 g를 랜덤 값 x로 거듭제곱하여, 즉, g^x로서의 생성을 통해 획득될 수 있고, 여기서, 랜덤 값 x는 제1 네트워크 디바이스(44)에 의해 생성될 수 있다. 대안으로서, 랜덤 값 x 및/또는 제1 PFS 파라미터 PFS1은 제2 네트워크 디바이스(46)로부터 획득되고, 이 경우 제2 노드(46)는 AKA에 의해 현재 명시된 것들 이외의 추가 동작을 수행한다. 그 후, 제1 네트워크 디바이스(44)는 제1 PFS 파라미터 PFS1에 대한 제1 검증 코드 VC1을 획득한다(단계 78). 한 변형에서, 제1 네트워크 디바이스(44)는 검증 코드 자체를 생성함으로써 VC1을 획득하고, 또 다른 변형에서는, 제2 네트워크 디바이스는 제1 검증 코드를 생성한다. 따라서, 제2 변형 예에서, 제2 노드(46)는 AKA에 의해 현재 명시된 것들 이외의 추가적인 동작을 수행하는 경우도 있다. 제1 검증 코드 VC1은, XRES 또는 초기 세션 키 Kasme 등의 인증 벡터의 알려진 키를 키로서 이용하여 제1 PFS 파라미터 PFS1을 통해 메시지 인증 코드(MAC)로서 생성될 수 있다. 제2 네트워크 디바이스(46)가 제1 검증 코드를 생성할 때, RAND 값은 제1 PFS 파라미터 PFS1에 기초한다. 이 경우, RAND 값은, 제1 PFS 파라미터 PFS1로서 또는 암호화 해시 등의 제1 PFS 파라미터 PFS1의 해시로서 제2 네트워크 디바이스(46)에 의해 생성될 수 있다. 이로써, 예를 들어, UE에 의해, 챌린지 검증 코드 AUTN를 역시 제1 PFS 파라미터 PFS1에 대한 제1 검증 코드 VC1로서 이용하는 것이 가능하다. 여기서, 이들 양쪽 예에서의 RAND는 사실상 UE의 USIM(48)에 대한 챌린지라고 말할 수 있다.
그 다음, 제1 네트워크 디바이스(44)는, 양쪽 모두 아마도 RAND 정보 요소에 의해 인코딩되는, 챌린지 RAND, 제1 PFS 파라미터 PFS1, 및 제1 검증 코드 VC1을 UE에 전송하고, 이것은 인증 요청 메시지 ARQ에서 전송되는 이점을 갖는다(단계 80). 제1 검증 코드 VC1이 별개의 코드(즉, AUTN과는 상이한 코드), 예를 들어, 제1 네트워크 디바이스(44)에 의해 생성된 전용 MAC인 경우, 인증 토큰 AUTN은 메시지 내에 별개로 제공될 수 있다.
챌린지 RAND, 제1 PFS 파라미터 PFS1(RAND에서 또는 추가 파라미터에서 인코딩됨) 및 제1 검증 코드 VC1(AUTN 또는 별개의 코드에서 인코딩됨)이 UE에서 수신된다(단계 64). 이들은, 더 구체적으로는, ME(46)의 통신 모듈(50)에 의해 수신되고 그로부터 PFS-AKA 모듈(52)에 포워딩되는 인증 요청 메시지 ARQ를 통해 수신될 수 있다.
PFS AKA 모듈(52)에서, 챌린지 또는 그 파생물은 USIM(48)에 포워딩된다(단계 65). 이것은 순수한 챌린지를 USIM 48에 포워딩하기 위해 수행된다. 순수한 챌린지는, 전술된 대안에 따라, 2가지 방법 중 하나로 획득될 수 있다. RAND 정보 요소가 제1 PFS 파라미터 PFS1을 인코딩한다면, PFS AKA 모듈이 RAND 정보 요소의 해시, 즉, g^x의 해시를 계산함으로서 파생물로서 획득될 수 있다. 이것은, RAND가 이미 제1 PFS 파라미터 g^x의 해시가 아니면, 이 단계에서 계산될 수 있다는 것을 의미한다. RAND 정보 요소가 제1 PFS 파라미터 PFS1을 인코딩하지 않으면, RAND 정보 요소의 값은 USIM에 직접 입력될 수 있다. 또한 PFS AKA 모듈에 의해 수신된 챌린지가 암호화 해시 등의 제1 PFS 파라미터의 해시라면, 이것은 직접 USIM에 포워딩될 수 있다. 포워딩은 UE 내의 표준화된 USIM-ME 인터페이스를 통해 수행된다.
전술된 바와 같이, USIM(48)은 키 K를 포함하고, 키 K는 제2 네트워크 디바이스(46)와 미리 공유된다는 이점을 수반한다. 이것은 또한 암호화 처리 수단을 포함한다. 이 모듈(48)은 적어도 하나의 결과 파라미터(CK/IK)를 챌린지(RAND 및 AUTN)에 대한 응답으로 제공할 수 있다. 하나의 결과 파라미터는, 초기 세션 키 Kasme를 획득하기 위해 PFS AKA 모듈(52)에 의해 이용될 수 있는 암호화 키 CK 및 무결성 보호 키 IK 등의 하나 이상의 암호 키일 수 있다.
또 다른 결과 파라미터는 챌린지에 대한 응답 파라미터 RES일 수 있으며, 이 응답 파라미터는 응답 값을 갖는다. 따라서, 이러한 응답 파라미터는 미리 공유된 키 및 상기 암호화 처리 수단에 기초하여 계산된 암호 값을 갖는다.
따라서, 모바일 장비(46) 및 더 구체적으로는 PFS AKA 모듈(52)은, 하나 이상의 결과 파라미터를 획득하거나 또는 수신하고(단계 66), 계속 진행하여, 제1 PFS 파라미터 PFS1의 진본성, 즉, g^x의 진본성을 결정한다(단계 68). 따라서, 이것은 VC1 및 하나 이상의 결과 파라미터에 기초하여, PFS 파라미터 PFS1이 진본인지를 결정한다. 이것은, 결과 파라미터들 중 하나 이상에 기초하는 제1 검증 코드에 대한 키를 통해 및 VC1에서 운반된 MAC을 검증하는 상기 키를 이용하여 수행될 수 있다. 제1 검증 코드가 챌린지의 일부이거나 챌린지 검증 코드 AUTN, 즉, AUTN의 MAC-서브필드에서 운반된다면, 진본성을 결정하기 위해 결과 파라미터가 획득되는 것으로 충분하다. 즉, AUTN의 검증이 USIM 내부에서 실패한 경우 USIM(49)은 어떠한 결과 파라미터도 제공하지 않고 대신 오류 상태 코드를 반환할 것이다. 따라서, 제1 검증 코드는, 챌린지 검증 코드의 적어도 일부로서 제공될 수 있다. 따라서, 진본성은 USIM(48)이 적어도 하나의 결과 파라미터를 제공하는 것에 기초하여 결정된다.
적어도 하나의 결과 파라미터는, 신원 모듈에 의한, 미리-공유된 키 K 및 암호화 처리 수단을 이용한 상기 챌린지, 또는 챌린지의 파생물의 검증 실패를 나타내는 오류 표시를 포함할 수 있다. 이것은, RAND = g^x abd -AUTN 검증이 USIM 내부적으로 실패하는 경우일 수 있다. 이러한 오류 신호가 PFS AKA 모듈(52)에 의해 수신되면, 제1 PFS 파라미터가 진본이 아니라고 직접 결정될 수 있다.
그 후, ME(46) 또는 더 정확히는 ME(46)의 PFS AKA 모듈(52)은 제2 PFS 파라미터 PFS2 및 제2 검증 코드 VC2를 생성하고(단계 70), 이 제2 PFS 파라미터 PFS2는, 베이스 값 g를 또 다른 랜덤 값 y로 거듭제곱하여, 즉 g^y로서 생성될 수 있다. 검증 코드(VC2)는, 결국 제2 PFS 파라미터 PFS2의 메시지 인증 코드(MAC), 및 키, 예를 들어, 결과 파라미터들 중 하나 또는 결과 파라미터들의 파생물, Kd, 예를 들어, Kasme로서 생성될 수 있다. 따라서, 제2 검증 코드는 제2 PFS 파라미터 및 결과 파라미터 또는 결과 파라미터의 파생물을 이용하여 계산될 수 있다. 이 제2 검증 코드 VC2가 응답 파라미터 RES에 기초하여 생성된다면, VC2는 대개 RES를 운반하는 정보 요소에서 인코딩될 수 있다. 이것은, 그 다음, RES 및 g^y의 MAC 등의, RES 및 g^y의 함수로서 생성될 수 있고, 여기서 RES는 키로서 역할한다. 따라서, PFS 모듈은 VC2를 MAC(Kd, g^y, ...), MAC(Kasme, g^y, ...) 또는 MAC(RES, g^y, ....)로서 계산한다. 제2 PFS 파라미터 PFS2 및 제2 검증 코드 VC2는, 그 다음, 별개의 응답 파라미터 RES(Kd가 키로서 이용된 경우), 또는 (RES가 키로서 이용된 경우)와 함께, 보통은 RES 정보 요소일 수 있는 요소 내에 VC2를 인코딩함으로써 제1 네트워크 디바이스에 전송되고(단계 72), 더 구체적으로는 인증 요청 응답 메시지 ARE에서 전송될 수 있다.
PFS AKA 모듈(52)은 또한, 제1 및 제2 검증 코드가 특정한 관계를 만족하는지를 검증할 수 있다. 이것은, 제1 PFS 파라미터, 즉, g^x가 챌린지 RAND에서 인코딩되지 않고 제1 검증 코드 VC1이 별개의 코드, 예를 들어, USIM 외부에서 검증되는 명시적인 MAC인 경우일 수 있다. 이 경우 특정한 관계는 평등성이다.
제2 PFS 파라미터 PFS2 및 제2 검증 코드 VC2 및 아마도 별개의 응답 파라미터는, 제1 네트워크 디바이스(44)에 의해, 예를 들어, 인증 요청 응답 메시지 ARE에서 수신된다(단계 82). 그 다음, 제1 네트워크 디바이스(44)는 응답 파라미터 RES의 진본성을 결정하고(단계 84), 이것은 챌린지 결과 또는 응답 파라미터 값 RES를 예상된 챌린지 결과 XRES와 비교함으로써 수행될 수 있다. 마지막으로, 제2 PFS 파라미터 PFS2가 제2 검증 코드 VC2에 기초하여 검증된다(단계 86). 제2 검증 코드 VC2가 응답 RES와는 별개로 제공된다면, 단계 86에서의 검증은, 제2 검증 코드 VC2에 대한 키로서 초기 세션 키 Kasme 또는 그 파생물 Kd를 이용한 제2 PFS 파라미터의 MAC에 기초할 수 있다. 제2 검증 코드 VC2가 키로서 응답 파라미터 값에 기초하는 함수로서 제공되고 VC2가 RES 파라미터에서 인코딩된 경우, 제1 네트워크 디바이스는 단계들 84 및 86을 동시에 수행할 수 있는데, 그 이유는, 제2 검증 코드에 대한 정확한 값은, UE가, 정확한 RES를 이용했다는 것, 즉, XRES에 의해 표시된 것과 동일한 값을 이용했다는 것을 의미하기 때문이다.
이로써 통신 보안을 강화하는 방식이 구현되었다. 이것은 더 구체적으로는, 완벽한 순방향 보안을 제공하기 때문에 비밀의 미리 공유된 키가 누설되었을 경우에 보안을 강화한다.
후속하는 세션들에서, 예를 들어, UE와 네트워크 사이, 더 구체적으로는, UE와 제1 네트워크 디바이스(44) 사이의 데이터 또는 시그널링 교환에서, 통신을 보호하기 위해 세션 키가 이용되고, 이 세션 키가 제1 및 제2 PFS 파라미터에 기초하는 것이 가능하다. 세션 키는, 더 구체적으로는, g^(xy)에 따라, 베이스 g를 값 x로 거듭제곱하고 이것을 다시 값 y로 거듭제곱한 값에 기초할 수 있다. 대안으로서, Kasme 및 g^(xy)의 조합의 파생물이 이용될 수 있다. 이로써, 적어도 제1 및 제2 PFS 파라미터를 생성하는데 이용된 값 x 및 y에 적어도 기초하는 보안 세션 키가 획득된다는 것을 알 수 있다. 따라서 이것은 PFS 파라미터 중 하나와 다른 PFS 파라미터의 지수에 기초하여 생성된다. 이것은, 더 구체적으로는, PFS AKA 모듈(52)이 제1 PFS 파라미터 PFS1 및 제2 PFS 파라미터 PFS2의 지수 y에 기초하여 세션 키를 생성할 수 있는 반면, 제1 네트워크 디바이스(44)는 제2 PFS 파라미터 PFS2와 제1 PFS 파라미터 PFS1의 지수 x에 기초하여 세션 키를 생성한다는 것을 의미할 수 있다.
이제 제2 실시예가 도 9를 참조하여 설명될 것이며, 도 9는, HSS의 형태인 제2 네트워크 디바이스, MME의 형태인 제1 네트워크 디바이스, 및 ME와 USIM으로 분리되는 사용자 장비를 수반하는 시그널링 차트를 도시하고 있다. 이 실시예에서, 제2 노드(HSS)는 현재의 AKA 명세의 일부가 아닌 단계들을 수행하고, 도 10은 챌린지 검증 코드를 더욱 상세하게 도시한다.
도 10에서 알 수 있는 바와 같이 및 앞서 설명된 바와 같이, AUTN 파라미터에 의해 제공되는 챌린지 검증 코드는 다음과 같은 필드들을 포함한다: AMF(Authentication Management Field), MAC(Message Authentication Code), 및 이 경우에는 익명 키 AK에 의해 암호화 시퀀스 번호 표시 SQN. MAC 필드는 제1 검증 코드 VC1A로서 이용된다는 것을 역시 알 수 있다. 여기서 제1 검증 코드에 대해 SQN 필드를 이용하는 것도 가능하다고 말할 수 있다.
제2 실시예는, 네트워크/네트워크 디바이스로부터 UE/통신 디바이스로 전송될 때 PFS 파라미터로서 DH 값을 운반하기 위해 RAND 파라미터를 이용하는 것에 기초한다: RAND = g^x 또는 g^x의 파생물.
DH의 일부 변형에 따라 계산된 PFS 파라미터는 RAND의 현재의 표준화된 크기인 128 비트보다 상당히 더 클 수 있다는 점에 유의한다. 따라서, USIM-ME 인터페이스에서 문제가 발생할 수 있다. 이를 해결하기 위해, USIM(및 HSS, 홈 가입자 서버)에서 f-알고리즘에 RAND를 입력하기 전에, 제공된 RAND 값은, 예를 들어, 암호화 해싱: RAND' = H(RAND) = H(g^x)에 의해 압축될 수 있고, 여기서, H는 적절한 비트수를 생성하는 적절한 함수이고, 예를 들어, H는 SHA2(SHA는 Secure Hash Algorithm을 상징함), AES(Advanced Encryption Standard), HMAC(key-Hashed Message Authentication Code) 등에 기초할 수 있다. 원칙적으로 H는 또한, RAND로부터 128 비트 세트, 예를 들어, 128개의 최하위 비트를 선택하는 함수일 수 있다. UE 측에서는, USIM에 RAND'를 입력하기 전에, ME(예를 들어, PFS 모듈)에서 H가 유사하게 적용될 수 있다. RAND는 USIM을 향하는 챌린지이기 때문에, ME가 그 챌린지의 파생물을 생성하여 USIM에 포워딩할 수 있다는 것을 알 수 있다. 결과적으로, AKA MAC-필드(AUTN 내부에 포함됨)는 RAND'에 의존하여 계산될 것이지만, H의 이용을 통해, 사실상 여전히 RAND, 즉, g^x에 의존하여 계산될 것이다. 따라서, AuC(인증 센터)/HSS로부터 USIM으로의 이 DH 값의 인증이 획득되어, 수송 동안에 g^x의 임의의 스푸핑(spoofing) 또는 수정이 UE 내의 USIM에서의 AUTN 검증에 의해 검출될 것이기 때문에, 특히 서빙 네트워크와 UE 사이의 MITM 공격을 방지한다.
도 4와 도 7을 참조하면, 이것은, 제1 PFS 파라미터 PFS1의 수정 또는 조작은 높은 확률로 AUTN(더 정확하게는, MAC-서브필드)이 올바르지 않다는 것을 암시한다는 것을 의미한다. 그러면 AUTN의 검증이 USIM(48) 내부에서 실패할 것이고, USIM은 어떠한 결과 파라미터도 제공하지 않을 것이다. 따라서, 제1 PFS 파라미터의 진본성은 USIM(48)이 적어도 하나의 결과 파라미터를 제공하는 것에 기초하여 결정된다.
더 큰 RAND 값은 AuC/HSS에 의해 계산될 수 있고 인증 벡터(AV)의 수정된 형태로 MME(Mobile Management Entity)에 전송된다. 또 다른 가능성은, MME가 AV에서 정규 크기의 RAND를 수신하고 RAND를 UE에 전송하기 전에 RAND에 비트 세트를 뒤에 추가하거나 앞에 추가함으로써 RAND를 확장하는 것이다. 후자의 경우, 함수 H의 선택은 MME가 수신된 RAND를 확장하는 방법과 일치해야 하고, 그렇지 않으면 USIM은 RAND/AUTN 쌍을 거부할 것이다.
이 제2 실시예의 나머지 부분은, AUTN이 (이하의 VC1A에 대응하는) 제1 검증 코드 VC1을 제공하는데 이용되거나, 또는 등가적으로, 제1 PFS 파라미터 PFS1이 RAND 정보 요소 내에 인코딩되는 특별한 경우에 제1 실시예와 동일하다. 제2 실시예의 동작은 더 구체적으로는 다음과 같으며 도 9에 도시된 바와 같다.
● 예를 들어, 네트워크 부착(88)의 일부로서, 식별자, 예를 들어, IMSI(International Mobile Subscriber Identity)는 UE(USIM)로부터 제공된다. 이것은 HSS에 포워딩된다(10).
● HSS는 인증 벡터(들)(AV)를 생성한다(89). 이 실시예에 의해 추가된 일부 새로운 컴포넌트는 강조표시된다(다른 부분들은 일반적으로 영향받지 않는다). 특히, RAND가 논의된 바와 같이 g^x로서 생성되고, 그 압축된 버전 RAND'는 f1, f2, ... 등의 통상의 AKA 계산에서 이용된다. 응답 AV(90)에서, HSS는 (나중에 MME가 공유된 키를 계산하는 것을 허용하기 위해) x를 포함/추가한다. 따라서, HSS는, MME가 x로부터 RAND를 계산할 수 있기 때문에 RAND를 전송하는 것을 생략할 수 있다. 마찬가지로, 세션 키 K'가 이제는 DH 값들(g^x 및 g^y)로부터 추론될 수 있기 때문에, CK 및 IK(또는 그로부터 도출된 키들, 예를 들어, LTE의 Kasme)를 전송하는 것이 항상 필요하지는 않을 수도 있다. CK 및 IK가 전송될 필요가 있는지는 본 개시내용의 다른 곳에서 논의된 실시예의 상세사항에 의존한다.
● MME는 RAND와 AUTN을 UE/USIM에 포워딩한다(20). 여기서, RAND는 챌린지일 뿐만 아니라 제1 PFS 파라미터 PFS1이고, AUTN의 MAC 필드는 사실상 g^x인 RAND에 의존하여 계산되었기 때문에 제1 PFS 파라미터 PFS1에 대한 제1 검증 코드 VC1A이다.
● UE(예를 들어, ME 부분)는 RAND' = H(RAND)를 계산하고 이것을 AKA 파라미터 도출(RES, CK, IK)을 위해 USIM에 전송한다(92). 언급된 바와 같이, USIM이 내부적으로 AUTN의 MAC-부분을 검증할 때, 이것은 또한 g^x의 진본성을 검증하는 역할을 한다.
● USIM은 RES, CK, IK로 응답할 수 있다(94). 이러한 응답을 수신하는 ME를 통해, 제1 PFS 파라미터 PFS1가 진본이라고 결정할 수 있는데, 그 이유는 다른 경우에는 이들 파라미터를 포함하는 응답이 제공되지 않을 것이기 때문이다.
● UE는 DH 값 g^y 및 연관된 인증 정보를 생성한다(96). 따라서, 이것은 제2 PFS 파라미터 PFS2 및 제2 검증 코드 VC2A를 생성한다. 제2 검증 코드 VC2A는 형태
Figure pct00007
의 값 RES'로서 실현될 수 있다. 인증 정보의 정확한 포맷(이용할 키 Kd 등)은 달라질 수 있다:
- 한 변형에서, RES만이 키 Kd의 기초로서 이용된다.
- 또 다른 변형에서 RES와, CK, IK 중 적어도 하나가, Kd에 대한 기초로서 이용된다(이것은, 인증 벡터를 생성할 때 HSS가 이들을 포함한다고 가정한다). Kasme를 Kd에 대한 기초로서 이용할 수도 있다. 따라서, 제2 검증 코드 VC2A는 키 Kd에 대한 기초로서 이용되는 RES를 통해 RES'로서 생성될 수 있다. RES가 인증/응답 RES'를 도출하는데 포함되지 않는다면, ME가 RES도 전송할 필요가 있을 수 있다는 점에 유의한다. 일반적으로, RES'는 현재의 AKA 프로토콜의 RES를 대체할 수도 있고, RES와 함께 여분의 파라미터로서 전송될 수도 있다:
그 다음, ME는 g^y 및 RES'를 MME에 전송한다(24).
● MME는 대응하는 계산을 수행하여(98) RES'를 검증하고 공유된 키 K'를 계산할 수 있다. g^(xy)에 대한 의존성 외에도, K'는 또한, HSS에 의해 제공되는 경우, CK, IK(또는 Kasme)에 의존하여 계산될 수 있다, 예를 들어, 키 도출 함수 G에 대해
Figure pct00008
. (예를 들어, 암호화 등의 데이터 보호를 위한) 추가의 키들이 UE와 MME(도시되지 않음)에 의해 K'로부터 도출될 수 있다.
제2 실시예의 변형에서, 이용된 챌린지는 g^x의 해시이다. 이것은, HSS에 의해 생성되고 MME에 의해 UE에 전송되는 RAND가 g^x의 해시라는 것을 의미한다. 이것은 g^x를 동반해야 할 것이다. 이로써 RAND는 ME가 그 해시를 계산하지 않고 ME로부터 USIM으로 직접 전송될 수 있다.
제3 실시예에서, 제2 노드는 현재의 AKA 명세의 일부가 아닌 임의의 단계를 수행할 필요가 없을 수도 있다. 제2 노드가 현재의 AKA 명세에 대한 추가적인 단계들을 수행하는 몇 가지 옵션이 있지만, 이들 단계들은 선택사항이므로 원한다면 피할 수 있다.
이 실시예에서, RAND 파라미터는 g^x에 관한 정보를 네트워크(서빙 또는 홈 네트워크)로부터 UE로 전달하거나 운반하는데 이용되지 않는다. 결과적으로, AUTN도 역시 제1 검증 코드를 전달하는데 이용될 수 없다. 대신에, 네트워크는 별도로 RAND를 UE에 전송하고, 동일한 메시지 내의 새로운 정보 요소에 g^x를 RAND로서 포함시킨다. 언급된 바와 같이, 전송은 HSS에서 시작될 수 있거나, MME에서 시작될 수 있다(예를 들어, MME는 랜덤 x를 국지적으로 생성한다). 이 경우에, g^x는 인증될 필요가 있고 네트워크(서빙 또는 홈)는 g^x를 통해 계산된 추가 MAC을 메시지에 역시 포함한다. 이 MAC에 대한 키는, 예를 들어, RES, 또는 CK/IK 중 하나 또는 양쪽 모두일 수 있다. 이것은 또한, Kasme 등의 그 파생물일 수도 있다. 함수 H는 이 실시예에서는 신원 함수일 것이다. 이로써 파생물은 챌린지와 동일하게 된다. 이러한 실시예에서의 하나의 이점은, 서빙 네트워크(예를 들어, MME)가 x 값을 선택할 수 있고, 서빙 네트워크와 AuC/HSS 사이에서 이것을 시그널링할 필요가 없다는 것이다. 사실상, 오늘날 이용되는 것과 같은 이들 노드들 사이의 동일한 신호가 재사용될 수 있다. 단점은 더 큰 g^x 값뿐만 아니라 128-비트 RAND가 서비스 네트워크로부터 UE로 전송될 필요가 있다는 것이다. 따라서, 에어 인터페이스를 통해 소정의 더 많은 대역폭이 요구된다.
이제, USIM, ME, MME 및 HSS를 수반하는 시그널링 차트를 도시하는 도 10을 참조하여 제3 실시예가 더 설명될 것이다.
● 동작은 MME가 인증 벡터에 대한 요청(10)을 HSS에 전송하는 것으로 시작할 수 있으며, HSS는, RAND, AUTN, XRES 및 세션 키 Kasme를 포함하는 인증 벡터 응답(100)으로 응답한다. 그 다음, MME는 제1 PFS 파라미터 PFS1를 생성할 뿐만 아니라 제1 검증 코드 VC1B를 생성하며, 여기서, 제1 PFS 파라미터 PFS1은 g^x로서 생성될 수 있고, 제1 검증 코드 VC1B는 공통 키로서 예를 들어 XRES 또는 Kasme를 이용하여 MAC(g^x)로서 생성될 수 있다. 이것이 완료되면, MME는 인증 요청 메시지(20)를 UE의 ME에 전송한다. 이 경우의 인증 요청은, RAND, AUTN, g^x 및 MAC(g^x)를 포함한다. 그 다음, ME는 AUTN의 일부로서 챌린지 RAND 및 챌린지 검증 코드를 USIM에 포워딩하고(102), USIM은, 키들 CK/IK 및 응답 파라미터 RES로 응답한다(104). 이로써 USIM은 챌린지에 올바르게 응답했다. ME는 그 다음 제1 검증 코드 VC1B를 이용하여 제1 PFS 파라미터 PFS1을 인증하고, 이것은, 이 경우에는 (ME에서의 응답 파라미터 값 RES와 동일한) XRES인 공통 키를 통해 제1 검증 코드 VC1B가 생성되는 것을 통해 이루어질 수 있다. ME는 그 다음 제2 PFS 파라미터 PFS2 및 제2 검증 코드 VC2B를 생성하고, 여기서, 제2 PFS 파라미터 PFS2는 g^y로서 생성될 수 있고 제2 검증 코드 VC1B는, CK/IK, Kasme 또는 RES 중 MME에게 알려진 임의의 것을 이용하여 MAC(g^y)로서 생성될 수 있으며, 그 다음, 이들을 결과 RES와 함께 인증 응답 메시지(24)에서 전송한다. MME는 그 다음, RES와 XRES를 비교하여 결과를 검증하고, 또한, MAC(g^y) 및 적절한 키, 예를 들어, CK/IK 또는 XRES를 이용하여 g^y를 검증한다. 그 후, ME는, 통상적으로 g^(xy)의 해시인, g^(xy)의 함수로서 세션 키 K'를 계산한다(106). 또한 MME는 동일한 g^(xy)의 함수로서 세션 키 K'를 계산한다(108).
이로써 UE는 개선된 보안으로 제1 무선 네트워크와 통신할 수 있다.
이 제3 실시예에서도, 제2 검증 코드 VC2B를 계산하는데 이용된 키가 이전의 실시예들에서와 같이 RES에 의존한다면, 제2 검증 코드로서 RES'를 이용하는 것이 가능하다는 것을 알아야 한다.
모든 실시예는 미국 특허 제7,194,765호에 개시된 발명과 결합될 수 있다는 점에 유의한다. 이 경우, HSS는 MME에게 XRES가 아니라, XRES'= H(XRES)를 제공할 것이다. UE는, MME가 XRES'를 계산하고 검증할 수 있도록 MME에게 RES를 명시적으로 시그널링할 수 있다. 이 경우에, CK 및 IK 중 적어도 하나(또는 그로부터 도출된 소정의 키)가 RES'의 계산에 포함되어야 한다.
GBA 및 EAP-AKA는 AKA를 이용하기 때문에, 본 기술분야의 통상의 기술자라면 설명된 실시예들이 직접적인 수정에 의해 이러한 정황들에서 적용될 수 있다는 것을 이 설명 후에 알 수 있을 것이라는 점에 다시 한번 유의한다.
본 개시내용의 실시예들 중 적어도 하나의 이점은, 낮은 비용 또는 최소 비용으로, PFS를 네트워크 인증, 예를 들어, 모바일 네트워크 인증에 부가하여, AKA 프로토콜에 대해 SIM-ME 인터페이스와의 하위 호환을 가능하게 하거나 및/또는 보장한다. 본 개시내용의 실시예들 중 적어도 하나의 또 다른 이점은, 해킹된 HSS들 및 해킹된 스마트 카드 벤더 사이트들 등의 장기 키 노출의 영향을 제한한다는 것이다. 다른 이점으로는, 추가적인 전송의 이용을 피하여, 결국 에너지를 절약한다는 것이다.
모바일 장비의 컴퓨터 프로그램 코드는, 예를 들어, CD ROM 디스크 또는 메모리 스틱 등의, 데이터 저장 매체의 형태로 된 컴퓨터 프로그램 제품의 형태일 수 있다. 이 경우에, 데이터 저장 매체는, 전술된 모바일 장비의 기능을 구현할 컴퓨터 프로그램 코드를 갖춘 컴퓨터 프로그램을 포함한다. 컴퓨터 프로그램 코드(112)를 갖춘 하나의 이러한 데이터 저장 매체(110)가 도 12에 개략적으로 도시되어 있다.
제1 네트워크 디바이스의 컴퓨터 프로그램 코드는, 예를 들어, CD ROM 디스크 또는 메모리 스틱 등의, 데이터 저장 매체의 형태로 된 컴퓨터 프로그램 제품의 형태일 수 있다. 이 경우에, 데이터 저장 매체는, 전술된 제1 네트워크 디바이스의 기능을 구현할 컴퓨터 프로그램 코드를 갖춘 컴퓨터 프로그램을 포함한다. 컴퓨터 프로그램 코드(116)를 갖춘 하나의 이러한 데이터 저장 매체(114)가 도 13에 개략적으로 도시되어 있다.
도 14에 개략적으로 도시된 바와 같이, 통신 디바이스(40)는 일부 실시예들에서:
네트워크 디바이스로부터, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 수신하기 위한 수신 유닛(118),
챌린지 또는 그 파생물을 신원 모듈에 포워딩하기 위한 포워딩 유닛(120),
신원 모듈로부터 응답으로서 적어도 하나의 결과 파라미터를 수신하기 위한 수신 유닛(122),
결과 파라미터에 기초하여, 제1 PFS 파라미터가 진본인지를 결정하기 위한 결정 유닛(124),
결정이 제1 PFS 파라미터가 진본이라는 것이면 제2 PFS 파라미터를 생성하고 네트워크 디바이스에 전송하기 위한 생성 유닛(126)을 포함한다. 유닛들은 한 실시예에서 소프트웨어 명령어들에 대응한다. 또 다른 실시예에서, 유닛들은 ASIC 또는 FPGA와 같은 하나 이상의 하드웨어 회로에서 하드웨어 유닛들로서 구현된다.
통신 디바이스는, 통신 디바이스와 네트워크 디바이스 사이의 통신을 위한 세션 키를 생성하기 위한 생성 유닛을 더 포함할 수 있고, 여기서, 세션 키는 적어도 제1 및 제2 PFS 파라미터를 생성하는데 이용되는 값들에 기초한다.
챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 수신하기 위한 수신 유닛(118)은, 네트워크 디바이스로부터 인증 요청 메시지에서, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 수신하기 위한 수신 유닛일 수 있고, 여기서, 인증 요청 메시지는 또한, 챌린지 검증 코드를 포함한다. 적어도 하나의 결과 파라미터를 수신하기 위한 수신 유닛(122)은, 챌린지에 대한 응답으로서 응답 파라미터를 수신하기 위한 수신 유닛일 수 있고, 생성 유닛(126)은 제2 검증 코드와 함께 제2 PFS 파라미터를 생성하고 이들을 응답 파라미터를 역시 포함하는 인증 응답 메시지에서 전송하기 위한 생성 유닛일 수 있다.
또한, 결정 유닛(124)은, 인증 요청 메시지의 대응하는 별도의 정보 요소에 포함된 제1 검증 코드를 이용하여 제1 PFS 파라미터의 진본성을 결정하기 위한 결정 유닛일 수 있다.
제1 검증 코드가 챌린지 검증 코드의 적어도 일부로서 제공된다면, 결정 유닛(124)은 또한, 신원 모듈이 적어도 하나의 결과 파라미터를 제공하는 것에 기초하여 제1 PFS 파라미터의 진본성을 결정하기 위한 결정 유닛일 수 있다.
생성 유닛(126)은 응답 파라미터에 기초하여 제2 검증 코드를 생성하고 응답 파라미터에 할당된 인증 응답 메시지의 정보 요소에서 제2 검증 코드를 전송하기 위한 생성 유닛일 수 있다.
도 15에 도시된 바와 같이, 제1 네트워크 디바이스(44)는 일부 실시예들에서:
챌린지를 획득하기 위한 획득 유닛(128),
제1 PFS 파라미터를 획득하기 위한 획득 유닛(130),
제1 PFS 파라미터에 대한 제1 검증 코드를 획득하기 위한 획득 유닛(132),
챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 통신 디바이스에 전송하기 위한 전송 유닛(134),
통신 디바이스로부터, 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터를 수신하기 위한 수신 유닛(136),
응답 파라미터의 진본성을 결정하기 위한 결정 유닛(138), 및
제2 검증 코드에 기초하여 제2 PFS 파라미터를 검증하기 위한 검증 유닛(140)을 포함한다.
유닛들은 한 실시예에서 소프트웨어 명령어들에 대응한다. 또 다른 실시예에서, 유닛들은 ASIC 또는 FPGA와 같은 하나 이상의 하드웨어 회로에서 하드웨어 유닛들로서 구현된다.
제1 네트워크 디바이스(44)는, 통신 디바이스와 제1 네트워크 디바이스 사이의 통신을 위한 세션 키를 계산하기 위한 계산 유닛을 더 포함할 수 있고, 여기서, 세션 키는 적어도 제1 및 제2 PFS 파라미터를 생성하는데 이용되는 값들에 기초한다.
챌린지를 획득하기 위한 획득 유닛(128)은, 챌린지 검증 코드를 획득하기 위한 획득 유닛일 수 있고, 전송 유닛(134)은, 챌린지, 제1 PFS 파라미터 및 제1 검증 코드를 함께 챌린지 검증 코드와 함께 인증 요청 메시지에 전송하기 위한 전송 유닛일 수 있고, 수신 유닛(136)은 인증 응답 메시지에서 제2 PFS 파라미터, 제2 검증 코드 및 응답 파라미터를 수신하기 위한 수신 유닛일 수 있다.
제1 검증을 획득하기 위한 획득 유닛(132)은 제1 PFS 파라미터를 이용하여 제1 검증 코드를 생성하기 위한 생성 유닛을 포함할 수 있고, 전송 유닛(134)은 인증 요청 메시지의 대응하는 별도의 정보 요소에서 제1 검증 코드를 전송하기 위한 전송 유닛일 수 있다.
제1 네트워크 디바이스는 또한, 제1 PFS 파라미터를 생성하는데 이용될 값 x를 수신하기 위한 수신 유닛을 포함할 수 있다. 지수 값인 값 x는, 씨드 값이라고도 부를 수 있다. 이 경우에, 제1 검증 코드를 획득하기 위한 획득 유닛(132)은, 챌린지 검증 코드의 적어도 일부로서 제1 검증 코드를 획득하기 위한 획득 유닛일 수 있고, 전송 유닛(134)은 제1 검증 코드를 챌린지 검증 코드의 적어도 일부로서 인증 요청 메시지에서 전송하기 위한 전송 유닛일 수 있다.
챌린지를 획득하기 위한 획득 유닛(128)은 또한, 예상된 챌린지 결과를 획득하기 위한 획득 유닛일 수 있고, 결정 유닛(138)은 예상된 챌린지 결과와의 비교를 통해 응답 파라미터의 진본성을 결정하기 위한 결정 유닛일 수 있다.
응답 파라미터는, 응답 파라미터에 기초하는 제2 검증 코드를 통해 인증 응답 메시지에 포함될 수 있다. 이 경우, 수신 유닛(136)은 응답 파라미터에 할당된 인증 응답 메시지의 정보 요소에서 제2 검증 코드를 수신하기 위한 수신 유닛일 수 있고, 결정 유닛(138) 및 검증 유닛(140)은, 응답 파라미터의 진본성을 결정하고 동시에 제2 검증 코드를 이용하여 제2 PFS 파라미터를 검증하기 위한 결합된 결정 및 검증 유닛일 수 있다.
도 16에 개략적으로 도시된 바와 같이, 제2 네트워크 디바이스는 결국 일부 실시예에서 챌린지를 제1 네트워크 디바이스에 전송하기 위한 전송 유닛(14)을 포함할 수 있다.
이것은 또한, 제1 PFS 파라미터가 적어도 값 x에 기초한 생성을 통해 획득되도록 하기 위하여 값을 제공하기 위한 제공 유닛(144), 제1 PFS 파라미터를 이용하여 챌린지 검증 코드를 생성하기 위한 생성 유닛, 및 그 값을 제1 네트워크 디바이스에 전송하기 위한 전송 유닛을 더 포함한다.
유닛들은 한 실시예에서 소프트웨어 명령어들에 대응한다. 또 다른 실시예에서, 유닛들은 ASIC 또는 FPGA와 같은 하나 이상의 하드웨어 회로에서 하드웨어 유닛들로서 구현된다.
본 발명이 현재로서 가장 실용적이고 바람직한 실시예인 것으로 간주되는 것과 연계하여 설명되었지만, 본 발명은 개시된 실시예들로 제한되어서는 안 되며, 오히려, 다양한 수정 및 균등한 구조를 포괄하고자 한다는 점을 이해하여야 한다. 따라서, 본 발명은 이하의 청구항들에 의해서만 제한되어야 한다.

Claims (53)

  1. 통신 네트워크(36)의 네트워크 디바이스(44)와 통신하기 위한 통신 디바이스(40)로서, 상기 통신 디바이스(40)는:
    상기 네트워크 디바이스(44)로부터, 챌린지(challenge)(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1; VC1A; VC1B)를 수신하고,
    상기 챌린지의 파생물(derivative)을 신원 모듈(identity module)(48)에 포워딩하며,
    상기 신원 모듈(48)로부터 응답으로서 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하고,
    상기 결과 파라미터(CK/IK, RES)에 기초하여, 상기 제1 PFS 파라미터(PFS1)가 진본(authentic)인지를 결정하며,
    상기 결정이 상기 제1 PFS 파라미터(PFS1)가 진본이라는 것이면, 제2 PFS 파라미터(PFS2)를 생성하여 상기 네트워크 디바이스에 전송하도록 동작하는, 통신 디바이스(40).
  2. 통신 네트워크(36)의 네트워크 디바이스(44)와 통신하기 위한 통신 디바이스(40)로서, 상기 통신 디바이스(40)는:
    상기 네트워크 디바이스(44)로부터, 챌린지(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1; VC1A; VC1B)를 수신하고,
    상기 챌린지를 신원 모듈(48)에 포워딩하며,
    상기 신원 모듈(48)로부터 응답으로서 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하고,
    상기 결과 파라미터(CK/IK, RES)에 기초하여, 상기 제1 PFS 파라미터(PFS1)가 진본인지를 결정하며,
    상기 결정이 상기 제1 PFS 파라미터(PFS1)가 진본이라는 것이면, 제2 PFS 파라미터(PFS2)를 생성하여 상기 네트워크 디바이스에 전송하도록 동작하는, 통신 디바이스(40).
  3. 제1항 또는 제2항에 있어서, 상기 통신 디바이스(40)와 상기 네트워크 디바이스(44) 사이의 통신을 위한 세션 키(K')를 생성하도록 추가로 동작하며, 상기 세션 키는, 상기 제1 및 제2 PFS 파라미터(PFS1, PFS2)를 생성하는데 이용된 값들(x, y)에 적어도 기초하는, 통신 디바이스(40).
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 세션 키는, 상기 제1 PFS 파라미터(PFS1), 및 상기 제2 PFS 파라미터(PFS2)의 지수(exponent)(y)에 기초하는, 통신 디바이스.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 통신 디바이스는, 상기 챌린지(RAND)를 수신하고, 상기 포워딩을 수행하며, 상기 적어도 하나의 결과 파라미터를 수신하고, 상기 제1 PFS 파라미터(PFS1)가 진본인지를 결정하며, 제2 PFS 파라미터(PFS2)를 생성하여 전송하도록 동작하는 모바일 장비(mobile equipment)(46)를 포함하는, 통신 디바이스(40).
  6. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 통신 디바이스는 상기 신원 모듈(48)을 포함하고, 상기 신원 모듈은 키 및 암호화 처리 수단을 포함하는, 통신 디바이스(40).
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 제1 및 제2 PFS 파라미터들은 Diffie-Hellman 파라미터들인, 통신 디바이스.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서, 상기 제1 검증 코드(VC1A; VC1B)는 적어도 상기 제1 PFS 파라미터에 기초한 메시지 인증 코드를 포함하는, 통신 디바이스.
  9. 제1항, 제3항 내지 제8항 중 어느 한 항에 있어서, 상기 파생물은 상기 챌린지와 동일한, 통신 디바이스.
  10. 제1항, 제3항 내지 제8항 중 어느 한 항에 있어서, 상기 파생물은 상기 챌린지의 해시(hash)인, 통신 디바이스.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서, 상기 챌린지(RAND), 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1; VC1A; VC1B)를 수신하도록 동작할 때, 상기 네트워크 디바이스(44)로부터 인증 요청 메시지(20) ―상기 인증 요청 메시지는 또한 챌린지 검증 코드(AUTN)를 포함함― 에서 이것들을 수신하도록 동작하고, 상기 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하도록 동작할 때, 상기 챌린지에 대한 응답으로서 응답 파라미터(RES)를 수신하도록 동작하며,
    상기 제2 PFS 파라미터(PFS2)를 생성하여 전송하도록 동작할 때, 제2 검증 코드(VC2; VC2A; VC2B)와 함께 상기 제2 PFS 파라미터를 생성하고 이것들을 상기 응답 파라미터(RES)를 또한 포함하는 인증 응답 메시지(24)에서 전송하도록 동작하는, 통신 디바이스.
  12. 제11항에 있어서, 상기 인증 요청 메시지(20)는 상기 인증 요청 메시지의 대응하는 별도의 정보 요소에서 상기 제1 검증 코드(VC1B)를 포함하고, 상기 통신 디바이스는, 상기 제1 PFS 파라미터(PFS1)의 진본성을 결정하도록 동작할 때, 상기 제1 검증 코드(VC1B)를 이용하도록 동작하는, 통신 디바이스(40).
  13. 제11항에 있어서, 상기 제1 검증 코드(VC1A)는 상기 챌린지 검증 코드(AUTN)의 적어도 일부로서 제공되고, 상기 통신 디바이스는, 상기 제1 PFS 파라미터(PFS1)의 진본성을 결정하도록 동작할 때,
    상기 신원 모듈(48)이 상기 적어도 하나의 결과 파라미터(CK/IK, RES)를 제공하는 것에 기초하여 상기 진본성을 결정하도록 동작하는, 통신 디바이스(40).
  14. 제13항에 있어서, 상기 챌린지는 상기 제1 PFS 파라미터에 기초하는, 통신 디바이스.
  15. 제11항 내지 제14항 중 어느 한 항에 있어서, 상기 적어도 하나의 결과 파라미터들(CK/IK, RES) 중 적어도 하나에 기초하여 상기 제2 검증 코드(VC2A)를 생성하도록 추가로 동작하고, 상기 인증 응답 메시지를 전송하도록 동작할 때, 상기 응답 파라미터(RES)에 할당된 정보 요소에서 상기 제2 검증 코드(VC2A)를 전송하도록 동작하는, 통신 디바이스.
  16. 제11항 내지 제15항 중 어느 한 항에 있어서, 상기 제2 검증 코드(VC2A)는 적어도 상기 제2 PFS 파라미터(PFS2)에 기초하여 메시지 인증 코드로서 생성되는, 통신 디바이스.
  17. 제8항, 제10항, 제16항 중 어느 한 항에 있어서, 상기 해시/메시지 인증 코드는 HMAC/SHA-256에 기초하는, 통신 디바이스.
  18. 통신 네트워크(36)의 네트워크 디바이스(44)와 통신하는 통신 디바이스(40)를 위한 방법으로서, 상기 방법은 상기 통신 디바이스에 의해 수행되고,
    상기 네트워크 디바이스(44)로부터, 챌린지(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1; VC1A; VC1B)를 수신하는 단계(64),
    상기 챌린지의 파생물을 신원 모듈(48)에 포워딩하는 단계(65),
    상기 신원 모듈(48)로부터 응답으로서 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하는 단계(66),
    상기 결과 파라미터(CK/IK, RES)에 기초하여, 상기 제1 PFS 파라미터(PFS1)가 진본인지를 결정하는 단계(68), 및
    상기 결정이 상기 제1 PFS 파라미터(PFS1)가 진본이라는 것이면, 제2 PFS 파라미터(PFS2)를 생성하여(70) 상기 네트워크 디바이스에 전송하는(72) 단계
    를 포함하는 방법.
  19. 통신 네트워크(36)의 네트워크 디바이스(44)와 통신하는 통신 디바이스(40)를 위한 방법으로서, 상기 방법은 상기 통신 디바이스에 의해 수행되고,
    상기 네트워크 디바이스(44)로부터, 챌린지(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1; VC1A; VC1B)를 수신하는 단계(64),
    상기 챌린지를 신원 모듈(48)에 포워딩하는 단계(65),
    상기 신원 모듈(48)로부터 응답으로서 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하는 단계(66),
    상기 결과 파라미터(CK/IK, RES)에 기초하여, 상기 제1 PFS 파라미터(PFS1)가 진본인지를 결정하는 단계(68), 및
    상기 결정이 상기 제1 PFS 파라미터(PFS1)가 진본이라는 것이면, 제2 PFS 파라미터(PFS2)를 생성하여(70) 상기 네트워크 디바이스에 전송하는(72) 단계
    를 포함하는 방법.
  20. 제18항 또는 제19항에 있어서, 상기 통신 디바이스와 상기 네트워크 디바이스(44) 사이의 통신을 위한 세션 키(K')를 생성하는 단계(96; 106)를 더 포함하고, 상기 세션 키는, 상기 제1 및 제2 PFS 파라미터(PFS1, PFS2)를 생성하는데 이용된 값들(x, y)에 적어도 기초하는, 방법.
  21. 제18항 내지 제20항 중 어느 한 항에 있어서, 상기 세션 키는, 상기 제1 PFS 파라미터(PFS1), 및 상기 제2 PFS 파라미터(PFS2)의 지수(y)에 기초하는, 방법.
  22. 제18항 내지 제21항 중 어느 한 항에 있어서, 상기 챌린지(RAND), 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1; VC1A; VC1B)는 인증 요청 메시지(20)에서 수신되고(64), 상기 인증 요청 메시지는 또한, 챌린지 검증 코드(AUTN)를 포함하며,
    상기 적어도 하나의 결과 파라미터(CK/IK, RES)는 상기 챌린지에 대한 응답으로서 수신된 응답 파라미터(RES)를 포함하고, 상기 제2 PFS 파라미터(PFS2)를 생성하여 전송하는 단계는, 제2 검증 코드(VC2; VC2A; VC2B)와 함께 상기 제2 PFS 파라미터(PFS2)를 생성하여 이것들을 상기 응답 파라미터(RES)를 역시 포함하는 인증 응답 메시지(24)에서 전송하는 단계를 포함하는, 방법.
  23. 제22항에 있어서, 상기 인증 요청 메시지(20)는 상기 인증 요청 메시지의 대응하는 별도의 정보 요소에서 상기 제1 검증 코드(VC1B)를 포함하고, 상기 제1 PFS 파라미터(PFS1)의 진본성의 결정(68)은 상기 제1 검증 코드(VC1B)를 이용하여 이루어지는, 방법.
  24. 제22항에 있어서, 상기 제1 검증 코드(VC1A)는 상기 챌린지 검증 코드(AUTN)의 적어도 일부로서 제공되고, 상기 제1 PFS 파라미터(PFS1)의 진본성의 결정(68)은 상기 신원 모듈이 상기 적어도 하나의 결과 파라미터(CK/IK, RES)를 제공하는 것에 기초하여 상기 진본성을 결정하는 것을 포함하는, 방법.
  25. 제22항 내지 제24항 중 어느 한 항에 있어서, 상기 제2 검증 코드(VC2A)를 상기 응답 파라미터(RES)에 기초하게 하는 단계를 더 포함하고, 상기 인증 응답의 전송은 상기 제2 검증 코드(VC2A)를 상기 응답 파라미터(RES)에 할당된 상기 인증 응답 메시지의 정보 요소에서 전송하는 것을 포함하는, 방법.
  26. 제18항, 제20항 내지 제25항 중 어느 한 항에 있어서, 상기 파생물은 상기 챌린지와 동일한, 방법.
  27. 제18항, 제20항 내지 제25항 중 어느 한 항에 있어서, 상기 파생물은 상기 챌린지의 해시인, 방법 디바이스.
  28. 통신 네트워크(36)의 네트워크 디바이스(44)와 통신하는 통신 디바이스(40)를 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨터 프로그램 코드(112)를 포함하고, 상기 컴퓨터 프로그램 코드(112)는 상기 통신 디바이스(40)에서 실행될 때, 상기 통신 디바이스(40)로 하여금:
    상기 네트워크 디바이스(44)로부터, 챌린지(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1; VC1A; VC1B)를 수신하게 하고,
    상기 챌린지의 파생물을 신원 모듈(48)에 포워딩하게 하며,
    상기 신원 모듈(48)로부터 응답으로서 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하게 하고,
    상기 결과 파라미터(CK/IK, RES)에 기초하여, 상기 제1 PFS 파라미터(PFS1)가 진본인지를 결정하게 하며,
    상기 결정이 상기 제1 PFS 파라미터(PFS1)가 진본이라는 것이면, 제2 PFS 파라미터(PFS2)를 생성하여 상기 네트워크 디바이스(44)에 전송하게 하는, 컴퓨터 프로그램.
  29. 통신 네트워크(36)의 네트워크 디바이스(44)와 통신하는 통신 디바이스(40)를 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨터 프로그램 코드(112)를 포함하고, 상기 컴퓨터 프로그램 코드(112)는 상기 통신 디바이스(40)에서 실행될 때, 상기 통신 디바이스(40)로 하여금:
    상기 네트워크 디바이스(44)로부터, 챌린지(RAND), 제1 PFS 파라미터(PFS1) 및 제1 검증 코드(VC1; VC1A; VC1B)를 수신하게 하고,
    상기 챌린지를 신원 모듈(48)에 포워딩하게 하며,
    상기 신원 모듈(48)로부터 응답으로서 적어도 하나의 결과 파라미터(CK/IK, RES)를 수신하게 하고,
    상기 결과 파라미터(CK/IK, RES)에 기초하여, 상기 제1 PFS 파라미터(PFS1)가 진본인지를 결정하게 하며,
    상기 결정이 상기 제1 PFS 파라미터(PFS1)가 진본이라는 것이면, 제2 PFS 파라미터(PFS2)를 생성하여 상기 네트워크 디바이스(44)에 전송하게 하는, 컴퓨터 프로그램.
  30. 통신 네트워크(36)의 네트워크 디바이스(44)와 통신하는 통신 디바이스(40)의 통신 보안을 강화하기 위한 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은 제28항 또는 제29항에 따른 컴퓨터 프로그램 코드(112)를 갖춘 데이터 저장 매체(110)를 포함하는 컴퓨터 프로그램 제품.
  31. 제1 통신 네트워크(36)의 제1 네트워크 디바이스(44)로서, 상기 제1 네트워크 디바이스(44)는:
    챌린지(RAND)를 획득하고,
    제1 PFS 파라미터(PFS1)를 획득하며,
    상기 제1 PFS 파라미터(PFS1)에 대한 제1 검증 코드(VC1; VC1A; VC1B)를 획득하고,
    상기 챌린지(RAND), 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1; VC1A; VC1B)를 통신 디바이스(40)에 전송하며,
    상기 통신 디바이스(40)로부터, 제2 PFS 파라미터(PFS2), 제2 검증 코드(VC2; VC2A; VC2B) 및 응답 파라미터(RES)를 수신하고,
    상기 응답 파라미터의 진본성을 결정하며,
    상기 제2 검증 코드(VC2; VC2A; VC2B)에 기초하여 상기 제2 PFS 파라미터(PFS2)를 검증하도록 동작하는, 제1 네트워크 디바이스(44).
  32. 제31항에 있어서, 상기 통신 디바이스(40)와 상기 제1 네트워크 디바이스(44) 사이의 통신을 위한 세션 키(K')를 계산하도록 추가로 동작하며, 상기 세션 키는, 상기 제1 및 제2 PFS 파라미터(PFS1, PFS2)를 생성하는데 이용된 값들(x, y)에 적어도 기초하는, 제1 네트워크 디바이스(44).
  33. 제31항 또는 제32항에 있어서, 상기 세션 키는, 상기 제2 PFS 파라미터(PFS2), 및 상기 제1 PFS 파라미터(PFS1)의 지수(x)에 기초하는, 제1 네트워크 디바이스(44).
  34. 제31항 내지 제33항 중 어느 한 항에 있어서, 상기 챌린지를 획득하도록 동작할 때, 챌린지 검증 코드(AUTN)를 획득하도록 추가로 동작하고, 상기 챌린지(RAND), 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1; VC1A; VC1B)를 전송하도록 동작할 때, 이것들을 상기 챌린지 검증 코드(AUTN)와 함께 인증 요청 메시지(20)에서 전송하도록 동작하고, 상기 제2 PFS 파라미터(PFS2), 상기 제2 검증 코드(VC2; VC2A; VC2B) 및 상기 응답 파라미터(RES)를 수신하도록 동작할 때, 이것들을 인증 응답 메시지(24)에서 수신하도록 동작하는, 제1 네트워크 디바이스(44).
  35. 제34항에 있어서, 상기 제1 검증 코드(VC1B)를 획득하도록 동작할 때, 상기 제1 PFS 파라미터(PFS1)를 이용하여 상기 제1 검증 코드(VC1B)를 생성하도록 동작하고, 상기 인증 요청 메시지를 전송하도록 동작할 때, 상기 제1 검증 코드(VC1B)를 상기 인증 요청 메시지의 대응하는 별도의 정보 요소에서 전송하도록 동작하는, 제1 네트워크 디바이스.
  36. 제34항에 있어서, 상기 제1 PFS 파라미터(PFS1)를 획득하도록 동작할 때, 상기 제1 PFS 파라미터(PFS1)를 생성하는데 이용될 값 x를 수신하도록 추가로 동작하고, 상기 제1 검증 코드(VC1A)를 획득하도록 동작할 때, 상기 챌린지 검증 코드(AUTN)의 적어도 일부로서 상기 제1 검증 코드를 획득하도록 동작하고, 상기 인증 요청 메시지를 전송하도록 동작할 때, 상기 제1 검증 코드(VC1A)를 상기 챌린지 검증 코드(AUTN)의 적어도 일부로서 전송하도록 동작하는, 제1 네트워크 디바이스.
  37. 제34항 내지 제36항 중 어느 한 항에 있어서, 상기 챌린지(RAND)를 획득하도록 동작할 때, 예상된 챌린지 결과(XRES)를 획득하도록 추가로 동작하고, 상기 응답 파라미터(RES)의 진본성을 결정하도록 동작할 때, 상기 예상된 챌린지 결과(XRES)와의 비교를 통해 상기 진본성을 결정하도록 동작하는, 제1 네트워크 디바이스.
  38. 제34항 내지 제36항 중 어느 한 항에 있어서, 상기 응답 파라미터(RES)는 상기 응답 파라미터(RES)에 기초하는 상기 제2 검증 코드(VC2A)를 통해 상기 인증 응답 메시지에 포함되고, 상기 제1 네트워크 디바이스는, 상기 인증 응답 메시지(24)를 수신하도록 동작할 때, 상기 응답 파라미터(RES)에 할당된 상기 인증 응답 메시지의 정보 요소에서 상기 제2 검증 코드(VC2A)를 수신하도록 동작하고, 상기 응답 파라미터의 진본성을 결정하도록 동작하고 상기 제2 PFS 파라미터(PFS2)를 검증하도록 동작할 때, 상기 제2 검증 코드(VC2A)를 이용하여 동시에 이것들을 수행하도록 동작하는, 제1 네트워크 디바이스.
  39. 제1 통신 네트워크(36)의 제1 네트워크 디바이스(44)를 위한 방법으로서, 상기 방법은 상기 제1 네트워크 디바이스(44)에 의해 수행되고,
    챌린지(RAND)를 획득하는 단계(74);
    제1 PFS 파라미터(PFS1)를 획득하는 단계(76),
    상기 제1 PFS 파라미터에 대한 제1 검증 코드(VC1; VC1A; VC1B)를 획득하는 단계(78),
    상기 챌린지(RAND), 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1; VC1A; VC1B)를 통신 디바이스(40)에 전송하는 단계(80),
    상기 통신 디바이스(40)로부터, 제2 PFS 파라미터(PFS2), 제2 검증 코드(VC2; VC2A; VC2B) 및 응답 파라미터(RES)를 수신하는 단계(82),
    상기 응답 파라미터의 진본성을 결정하는 단계(84), 및
    상기 제2 검증 코드(VC2; VC2A; VC2B)에 기초하여 상기 제2 PFS 파라미터(PFS2)를 검증하는 단계(86)
    를 포함하는 방법.
  40. 제39항에 있어서, 상기 통신 디바이스(40)와 상기 제1 네트워크 디바이스(44) 사이의 통신을 위한 세션 키(K')를 계산하는 단계(96, 108)를 더 포함하고, 상기 세션 키는, 상기 제1 및 제2 PFS 파라미터(PFS1, PFS2)를 생성하는데 이용된 값들(x, y)에 적어도 기초하는, 방법.
  41. 제39항 또는 제40항에 있어서, 상기 세션 키는, 상기 제2 PFS 파라미터(PFS2), 및 상기 제1 PFS 파라미터(PFS1)의 지수(x)에 기초하는, 방법.
  42. 제39항 또는 제41항에 있어서, 상기 챌린지(RAND)의 획득은 또한 챌린지 검증 코드(AUTN)의 획득을 포함하고, 상기 챌린지, 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1, VC1A, VC1B)의 전송은, 이것들을 상기 챌린지 검증 코드(AUTN)와 함께 인증 요청 메시지(20)에서 전송하는 것을 포함하고, 상기 제2 PFS 파라미터(PFS2), 상기 제2 검증 코드(VC2; VC2A, VC2B) 및 상기 응답 파라미터(RES)의 수신은 이것들을 인증 응답 메시지(24)에서 수신하는 것을 포함하는, 방법.
  43. 제42항에 있어서, 상기 제1 검증 코드의 획득은, 상기 제1 PFS 파라미터(PFS1)를 이용하여 상기 제1 검증 코드(VC1B)를 생성하는 것을 포함하고, 상기 인증 요청 메시지의 전송은 상기 제1 검증 코드(VC1B)를 대응하는 별도의 정보 요소에서 전송하는 것을 포함하는, 방법.
  44. 제42항에 있어서, 상기 제1 PFS 파라미터(PFS1)의 획득은, 상기 제1 PFS 파라미터(PFS1)를 생성하기 위한 값(x)을 수신하는 것을 더 포함하고, 상기 제1 검증 코드(VC1A)의 획득은, 상기 챌린지 검증 코드(AUTN)의 적어도 일부로서 상기 제1 검증 코드(VC1A)를 획득하는 것을 포함하고, 상기 인증 요청 메시지의 전송은 상기 챌린지 검증 코드(AUTN)의 적어도 일부로서 상기 제1 검증 코드(VC1A)를 전송하는 것을 포함하는, 방법.
  45. 제42항 내지 제44항 중 어느 한 항에 있어서, 상기 챌린지(RAND)와 함께 예상된 챌린지 결과(XRES)를 획득하는 단계를 더 포함하고, 상기 응답 파라미터(RES)의 진본성의 결정은, 상기 예상된 챌린지 결과(XRES)와의 비교를 통해 상기 진본성을 결정하는 것을 포함하는, 방법.
  46. 제42항 내지 제44항 중 어느 한 항에 있어서, 상기 응답 파라미터(RES)는 상기 응답 파라미터(RES)에 기초하는 상기 제2 검증 코드(VC2A)를 통해 상기 인증 응답 메시지에 포함되고, 상기 인증 응답 메시지(24)의 수신은, 상기 응답 파라미터(RES)에 할당된 상기 인증 응답 메시지의 정보 요소에서 상기 제2 검증 코드(VC2A)를 수신하는 것을 포함하고, 상기 응답 파라미터의 진본성의 결정 및 상기 제2 PFS 파라미터(PFS2)의 검증은 상기 제2 검증 코드(VC2A)를 이용하여 동시에 수행되는, 방법.
  47. 제1 통신 네트워크(36)의 제1 네트워크 디바이스(44)를 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 컴퓨터 프로그램 코드(116)를 포함하고, 상기 컴퓨터 프로그램 코드(116)는 상기 제1 네트워크 디바이스(44)에서 실행될 때 상기 제1 네트워크 디바이스로 하여금:
    챌린지(RAND)를 획득하게 하고,
    제1 PFS 파라미터(PFS1)를 획득하게 하며,
    상기 제1 PFS 파라미터(PFS1)에 대한 제1 검증 코드(VC1; VC1A; VC1B)를 획득하게 하고,
    상기 챌린지(RAND), 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1, VC1A, VC1B)를 통신 디바이스(40)에 전송하게 하며,
    상기 통신 디바이스(40)로부터, 제2 PFS 파라미터(PFS2), 제2 검증 코드(VC2; VC2A; VC2B) 및 응답 파라미터(RES)를 수신하게 하고,
    상기 응답 파라미터의 진본성을 결정하게 하며,
    상기 제2 검증 코드(VC2; VC2A; VC2B)에 기초하여 상기 제2 PFS 파라미터(PFS2)를 검증하게 하는, 컴퓨터 프로그램.
  48. 제1 통신 네트워크(36)의 제1 네트워크 디바이스(44)를 위한 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은 제45항에 따른 컴퓨터 프로그램 코드(116)를 갖춘 데이터 저장 매체(114)를 포함하는 컴퓨터 프로그램 제품.
  49. 제1 통신 네트워크(36)의 제1 네트워크 디바이스(44) 및 제2 통신 네트워크(38)의 제2 네트워크 디바이스(46)를 포함하는 시스템으로서,
    상기 제2 네트워크 디바이스(46)는 챌린지(RAND)를 상기 제1 네트워크 디바이스에 전송하도록 동작하고,
    상기 제1 네트워크 디바이스는,
    상기 챌린지(RAND)를 수신하고,
    제1 PFS 파라미터(PFS1)를 획득하며,
    상기 제1 PFS 파라미터(PFS1)에 대한 제1 검증 코드(VC1; VC1A; VC1B)를 획득하고,
    상기 챌린지(RAND), 상기 제1 PFS 파라미터(PFS1) 및 상기 제1 검증 코드(VC1, VC1A, VC1B)를 상기 통신 디바이스(40)에 전송하며,
    상기 통신 디바이스로부터, 제2 PFS 파라미터(PFS2), 제2 검증 코드(VC2; VC2A; VC2B) 및 응답 파라미터(RES)를 수신하고,
    상기 응답 파라미터(RES)의 진본성을 결정하며, 상기 제2 검증 코드(VC2; VC2A; VC2B)에 기초하여 상기 제2 PFS 파라미터(PFS2)를 검증하도록 동작하는, 시스템.
  50. 제49항에 있어서, 상기 제2 네트워크 디바이스(46)는 적어도 값 x에 기초한 생성을 통해 상기 제1 PFS 파라미터(PFS1)를 획득하기 위해 상기 값(x)을 제공하고 상기 제1 PFS 파라미터(PFS1)를 이용하여 상기 챌린지 검증 코드(VC1A)를 생성하고 상기 값(x)을 상기 제1 네트워크 디바이스(44)에 전송하도록 추가로 동작하며, 상기 제1 네트워크 디바이스(44)는, 차례로, 상기 제1 검증 코드(VC1A)를 상기 챌린지 검증 코드(AUTN)로서 상기 통신 디바이스(40)에 전송하도록 동작하는, 시스템.
  51. 제2 통신 네트워크(38)를 위한 제2 네트워크 디바이스(46)로서, 상기 제2 네트워크 디바이스(46)는,
    제1 통신 네트워크(36)의 제1 네트워크 디바이스(44)로부터, 통신 디바이스(40)의 신원 모듈(48)에 관련된 인증 데이터에 대한 요청을 수신하고,
    제1 PFS 파라미터(PFS1)를 생성하며,
    적어도 상기 제1 PFS 파라미터(PFS1) 및 상기 제2 네트워크 디바이스(46)와 상기 신원 모듈(48) 사이에 공유되는 키에 기초하여 제1 검증 코드(AUTN)를 생성하고,
    상기 요청에 응답하여, 상기 제1 네트워크 디바이스(46)에, 적어도 상기 제1 검증 코드 및 상기 제1 PFS 파라미터(PFS1)가 도출될 수 있는 값을 전송하도록 동작하는, 제2 네트워크 디바이스(46).
  52. 제51항에 있어서, 상기 제1 PFS 파라미터(PFS1)가 도출될 수 있는 상기 값은 상기 제1 PFS 파라미터(PFS1)를 포함하는, 제2 네트워크 디바이스(46).
  53. 제51항에 있어서, 상기 제1 PFS 파라미터(PFS1)는 Diffie-Hellman 파라미터를 포함하고, 상기 제1 PFS 파라미터(PFS1)가 도출될 수 있는 상기 값은 상기 Diffie-Hellman 파라미터의 지수(x)를 포함하는, 제2 네트워크 디바이스(46).
KR1020177023886A 2015-02-27 2015-07-13 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비 KR102033465B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562121689P 2015-02-27 2015-02-27
US62/121,689 2015-02-27
PCT/SE2015/050822 WO2016137374A1 (en) 2015-02-27 2015-07-13 Security arrangements in communication between a communication device and a network device

Publications (2)

Publication Number Publication Date
KR20170108102A true KR20170108102A (ko) 2017-09-26
KR102033465B1 KR102033465B1 (ko) 2019-10-17

Family

ID=56788912

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177023886A KR102033465B1 (ko) 2015-02-27 2015-07-13 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비

Country Status (15)

Country Link
US (5) US9787661B2 (ko)
EP (2) EP3262861B1 (ko)
JP (3) JP2018507646A (ko)
KR (1) KR102033465B1 (ko)
CN (1) CN107409305B (ko)
AR (1) AR105756A1 (ko)
AU (1) AU2015384233B2 (ko)
BR (1) BR112017018428A2 (ko)
CA (1) CA2977950C (ko)
ES (1) ES2881632T3 (ko)
IL (1) IL253734B (ko)
MX (2) MX367997B (ko)
RU (1) RU2663972C1 (ko)
WO (1) WO2016137374A1 (ko)
ZA (1) ZA201705850B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200031160A (ko) * 2017-09-29 2020-03-23 애플 인크. 자동 기능을 위한 액세스 제어 시스템과 통신하고 레인징하는 모바일 디바이스

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG10201509342WA (en) * 2015-11-12 2017-06-29 Huawei Int Pte Ltd Method and system for session key generation with diffie-hellman procedure
US9979554B2 (en) * 2016-01-11 2018-05-22 Panasonic Avionics Corporation Methods and systems for securely accessing line replaceable units
WO2017176068A1 (en) * 2016-04-06 2017-10-12 Samsung Electronics Co., Ltd. System and method for validating authenticity of base station and/or information received from base station
FR3057132A1 (fr) * 2016-10-04 2018-04-06 Orange Procede d'authentification mutuelle entre un equipement utilisateur et un reseau de communication
US10805349B2 (en) 2017-03-29 2020-10-13 At&T Intellectual Property I, L.P. Method and system to secure and dynamically share IOT information cross multiple platforms in 5G network
WO2018187937A1 (en) * 2017-04-11 2018-10-18 Huawei Technologies Co., Ltd. Network authentication method, device, and system
US10841302B2 (en) * 2017-05-24 2020-11-17 Lg Electronics Inc. Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system
WO2019000171A1 (en) * 2017-06-26 2019-01-03 Zte Corporation METHODS AND COMPUTER DEVICE FOR AUTHENTICATING USER EQUIPMENT VIA HOME NETWORK
WO2019086444A1 (en) 2017-10-30 2019-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Methods, computer programs, computer program product, communication devices, network device and server
WO2019106451A1 (en) * 2017-11-30 2019-06-06 Telefonaktiebolaget Lm Ericsson (Publ) Serving-network based perfect forward security for authentication
US10637858B2 (en) * 2018-02-23 2020-04-28 T-Mobile Usa, Inc. Key-derivation verification in telecommunications network
US11265699B2 (en) 2018-02-23 2022-03-01 T-Mobile Usa, Inc. Identifier-based access control in mobile networks
CN111869182B (zh) * 2018-03-22 2023-01-17 英国电讯有限公司 对设备进行认证的方法、通信系统、通信设备
US11184177B2 (en) * 2018-09-19 2021-11-23 Synaptics Incorporated Method and system for securing in-vehicle ethernet links
US11218466B2 (en) * 2018-10-31 2022-01-04 Salesforce.Com, Inc. Endpoint security
CN111404666B (zh) * 2019-01-02 2024-07-05 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
EP3684088A1 (en) 2019-01-18 2020-07-22 Thales Dis France SA A method for authentication a secure element cooperating with a mobile equipment within a terminal in a telecommunication network
CN111669276B (zh) * 2019-03-07 2022-04-22 华为技术有限公司 一种网络验证方法、装置及系统
US11076296B1 (en) * 2019-05-13 2021-07-27 Sprint Communications Company L.P. Subscriber identity module (SIM) application authentication
EP3787250B1 (en) * 2019-08-27 2021-07-28 GlobalmatiX AG Authentication between a telematic control unit and a core server system
EP4035035A4 (en) * 2019-09-25 2023-10-04 Commonwealth Scientific and Industrial Research Organisation CRYPTOGRAPHIC SERVICES FOR BROWSER APPLICATIONS
CN110830985B (zh) * 2019-11-11 2022-04-29 重庆邮电大学 一种基于信任机制的5g轻量级终端接入认证方法
CN111669748B (zh) * 2020-05-20 2021-06-29 中国科学院软件研究所 一种隐私保护的移动通信认证方法
WO2022069056A1 (en) * 2020-10-02 2022-04-07 Huawei Technologies Co., Ltd. Protection of sensitive user data in communication networks
US11743044B2 (en) * 2021-09-21 2023-08-29 Salesforce, Inc. Password-less authentication using key agreement and multi-party computation (MPC)
US20230412378A1 (en) * 2022-06-16 2023-12-21 Qualcomm Incorporated Methods and systems for key exchange and encryption

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030229789A1 (en) * 2002-06-10 2003-12-11 Morais Dinarte R. Secure key exchange with mutual authentication
US20060205388A1 (en) * 2005-02-04 2006-09-14 James Semple Secure bootstrapping for wireless communications
US20110055585A1 (en) * 2008-07-25 2011-03-03 Kok-Wah Lee Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering
US20140201809A1 (en) * 2012-07-13 2014-07-17 Interdigital Patent Holdings, Inc. Characteristics of Security Associations

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5491749A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks
EP0872080B1 (en) * 1995-06-05 2010-12-15 CQRCert LLC Multi-step digital signature method and system
US7010692B2 (en) * 1996-04-17 2006-03-07 Phoenix Technologies Ltd. Cryptographic methods for remote authentication
CA2228185C (en) * 1997-01-31 2007-11-06 Certicom Corp. Verification protocol
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
GB0004178D0 (en) * 2000-02-22 2000-04-12 Nokia Networks Oy Integrity check in a communication system
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7194765B2 (en) 2002-06-12 2007-03-20 Telefonaktiebolaget Lm Ericsson (Publ) Challenge-response user authentication
US7725730B2 (en) * 2002-08-09 2010-05-25 Emc Corporation Cryptographic methods and apparatus for secure authentication
US8005070B2 (en) * 2003-03-12 2011-08-23 Lon Communication Mgmt. Llc Extension of a local area phone system to a wide area network with handoff features
WO2005008385A2 (en) * 2003-07-07 2005-01-27 Cryptography Research, Inc. Reprogrammable security for controlling piracy and enabling interactive content
US20050086342A1 (en) * 2003-09-19 2005-04-21 Andrew Burt Techniques for client-transparent TCP migration
US7434050B2 (en) * 2003-12-11 2008-10-07 International Business Machines Corporation Efficient method for providing secure remote access
US7434054B2 (en) * 2004-03-31 2008-10-07 Microsoft Corporation Asynchronous enhanced shared secret provisioning protocol
US7545932B2 (en) * 2004-10-29 2009-06-09 Thomson Licensing Secure authenticated channel
US7464267B2 (en) * 2004-11-01 2008-12-09 Innomedia Pte Ltd. System and method for secure transmission of RTP packets
WO2006064359A1 (en) * 2004-12-17 2006-06-22 Telefonaktiebolaget Lm Ericsson (Publ) Clone-resistant mutual authentication in a radio communication network
US7747865B2 (en) * 2005-02-10 2010-06-29 International Business Machines Corporation Method and structure for challenge-response signatures and high-performance secure Diffie-Hellman protocols
WO2006085207A1 (en) * 2005-02-11 2006-08-17 Nokia Corporation Method and apparatus for providing bootstrapping procedures in a communication network
US20060206710A1 (en) * 2005-03-11 2006-09-14 Christian Gehrmann Network assisted terminal to SIM/UICC key establishment
US8132006B2 (en) * 2005-05-03 2012-03-06 Ntt Docomo, Inc. Cryptographic authentication and/or establishment of shared cryptographic keys, including, but not limited to, password authenticated key exchange (PAKE)
JP2007028529A (ja) * 2005-07-21 2007-02-01 Fuji Xerox Co Ltd 情報記録システム、情報再生システム、および情報記録再生システム
US7730309B2 (en) * 2005-07-27 2010-06-01 Zimmermann Philip R Method and system for key management in voice over internet protocol
GB0517592D0 (en) * 2005-08-25 2005-10-05 Vodafone Plc Data transmission
US20070086590A1 (en) * 2005-10-13 2007-04-19 Rolf Blom Method and apparatus for establishing a security association
US8122240B2 (en) 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association
KR101316150B1 (ko) * 2006-01-25 2013-10-08 파나소닉 주식회사 단말 장치, 서버 장치 및 디지털 컨텐츠 배포 시스템
US8522025B2 (en) * 2006-03-28 2013-08-27 Nokia Corporation Authenticating an application
US20090100264A1 (en) * 2006-04-28 2009-04-16 Yuichi Futa Communication device and communication system
CA2655721C (en) * 2006-06-19 2013-10-22 Interdigital Technology Corporation Method and apparatus for security protection of an original user identity in an initial signaling message
US9503462B2 (en) * 2007-02-08 2016-11-22 Nokia Technologies Oy Authenticating security parameters
US8667285B2 (en) * 2007-05-31 2014-03-04 Vasco Data Security, Inc. Remote authentication and transaction signatures
US20110004754A1 (en) * 2007-06-12 2011-01-06 John Michael Walker Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures
US9279899B2 (en) * 2007-07-18 2016-03-08 Westerngeco L.L.C. System and technique to estimate physical propagation parameters associated with a seismic survey
JP5432156B2 (ja) * 2007-10-05 2014-03-05 インターデイジタル テクノロジー コーポレーション Uiccと端末との間のセキュア通信方法
US8812858B2 (en) * 2008-02-29 2014-08-19 Red Hat, Inc. Broadcast stenography of data communications
WO2009126647A2 (en) * 2008-04-07 2009-10-15 Interdigital Patent Holdings, Inc. Secure session key generation
CN101286844B (zh) * 2008-05-29 2010-05-12 西安西电捷通无线网络通信有限公司 一种支持快速切换的实体双向鉴别方法
US9258696B2 (en) * 2009-02-11 2016-02-09 Alcatel-Lucent Method for secure network based route optimization in mobile networks
EP2249593B1 (en) * 2009-05-04 2013-01-02 NTT DoCoMo, Inc. Method and apparatus for authenticating a mobile device
CN101662465B (zh) * 2009-08-26 2013-03-27 深圳市腾讯计算机系统有限公司 一种动态口令验证的方法及装置
US8510561B2 (en) * 2010-02-26 2013-08-13 Research In Motion Limited Methods and devices for computing a shared encryption key
KR101198120B1 (ko) * 2010-05-28 2012-11-12 남궁종 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법
US8572385B2 (en) * 2010-07-29 2013-10-29 Brown University System and method for optimal verification of operations on dynamic sets
US8850545B2 (en) * 2011-03-23 2014-09-30 Interdigital Patent Holdings, Inc. Systems and methods for securing network communications
US20130298209A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using sngle sign-on systems
US8971851B2 (en) * 2012-06-28 2015-03-03 Certicom Corp. Key agreement for wireless communication
US9088408B2 (en) * 2012-06-28 2015-07-21 Certicom Corp. Key agreement using a key derivation key
US20150244685A1 (en) * 2012-09-18 2015-08-27 Interdigital Patent Holdings Generalized cryptographic framework
CN104937865B (zh) * 2012-10-21 2017-12-12 Lg电子株式会社 监测无线通信系统中的下行链路控制信道的方法和装置
KR102024531B1 (ko) * 2012-12-14 2019-09-25 한국전자통신연구원 송신 메시지 연결성을 제공하는 익명 인증 및 키 합의 장치 및 방법
US9768962B2 (en) * 2013-03-15 2017-09-19 Microsoft Technology Licensing, Llc Minimal disclosure credential verification and revocation
US9769658B2 (en) * 2013-06-23 2017-09-19 Shlomi Dolev Certificating vehicle public key with vehicle attributes
US20150031334A1 (en) * 2013-07-25 2015-01-29 Htc Corporation Method of Handling Authentication for Wireless Charging
GB2586549B (en) * 2013-09-13 2021-05-26 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
US9326141B2 (en) * 2013-10-25 2016-04-26 Verizon Patent And Licensing Inc. Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
US20160277956A1 (en) * 2014-03-03 2016-09-22 Telefonaktiebolaget L M Ericsson (Publ) Methods and Devices for Improving Connection Procedures in Radio Access Networks
US9264900B2 (en) * 2014-03-18 2016-02-16 Huawei Technologies Co., Ltd. Fast authentication for inter-domain handovers
US9628273B2 (en) 2014-04-30 2017-04-18 Thamir Alshammari Cryptographic method and system for secure authentication and key exchange
US10142840B2 (en) * 2015-01-29 2018-11-27 Motorola Mobility Llc Method and apparatus for operating a user client wireless communication device on a wireless wide area network
SG10201509342WA (en) * 2015-11-12 2017-06-29 Huawei Int Pte Ltd Method and system for session key generation with diffie-hellman procedure
KR102549272B1 (ko) * 2016-05-17 2023-06-30 한국전자통신연구원 패스워드와 id 기반 서명을 이용한 인증 키 합의 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030229789A1 (en) * 2002-06-10 2003-12-11 Morais Dinarte R. Secure key exchange with mutual authentication
US20060205388A1 (en) * 2005-02-04 2006-09-14 James Semple Secure bootstrapping for wireless communications
US20110055585A1 (en) * 2008-07-25 2011-03-03 Kok-Wah Lee Methods and Systems to Create Big Memorizable Secrets and Their Applications in Information Engineering
US20140201809A1 (en) * 2012-07-13 2014-07-17 Interdigital Patent Holdings, Inc. Characteristics of Security Associations

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200031160A (ko) * 2017-09-29 2020-03-23 애플 인크. 자동 기능을 위한 액세스 제어 시스템과 통신하고 레인징하는 모바일 디바이스
KR20210111877A (ko) * 2017-09-29 2021-09-13 애플 인크. 자동 기능을 위한 액세스 제어 시스템과 통신하고 레인징하는 모바일 디바이스
KR20220016281A (ko) * 2017-09-29 2022-02-08 애플 인크. 자동 기능을 위한 액세스 제어 시스템과 통신하고 레인징하는 모바일 디바이스
KR20220130256A (ko) * 2017-09-29 2022-09-26 애플 인크. 자동 기능을 위한 액세스 제어 시스템과 통신하고 레인징하는 모바일 디바이스

Also Published As

Publication number Publication date
US10659447B2 (en) 2020-05-19
CA2977950C (en) 2020-12-22
JP2018507646A (ja) 2018-03-15
CN107409305B (zh) 2021-05-25
EP3876573B1 (en) 2022-09-07
ZA201705850B (en) 2018-12-19
AR105756A1 (es) 2017-11-08
US11722473B2 (en) 2023-08-08
IL253734A0 (en) 2017-09-28
US10965660B2 (en) 2021-03-30
US10057232B2 (en) 2018-08-21
KR102033465B1 (ko) 2019-10-17
CN107409305A (zh) 2017-11-28
JP2019169963A (ja) 2019-10-03
MX367997B (es) 2019-09-13
IL253734B (en) 2021-01-31
US20160255070A1 (en) 2016-09-01
EP3262861A1 (en) 2018-01-03
JP6979420B2 (ja) 2021-12-15
RU2663972C1 (ru) 2018-08-14
CA2977950A1 (en) 2016-09-01
EP3876573A1 (en) 2021-09-08
US20180332021A1 (en) 2018-11-15
MX2017010250A (es) 2017-11-17
EP3262861B1 (en) 2021-06-02
US20190394184A1 (en) 2019-12-26
US9787661B2 (en) 2017-10-10
US20210176227A1 (en) 2021-06-10
JP2021193800A (ja) 2021-12-23
US20160255064A1 (en) 2016-09-01
AU2015384233A1 (en) 2017-08-24
AU2015384233B2 (en) 2019-03-07
MX2019005063A (es) 2019-08-05
EP3262861A4 (en) 2018-02-21
BR112017018428A2 (pt) 2018-04-17
ES2881632T3 (es) 2021-11-30
WO2016137374A1 (en) 2016-09-01

Similar Documents

Publication Publication Date Title
JP6979420B2 (ja) 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
EP3041164B1 (en) Subscriber profile transfer method, subscriber profile transfer system, and user equipment
US9668139B2 (en) Secure negotiation of authentication capabilities
CN109788480B (zh) 一种通信方法及装置
US11115195B2 (en) Authentication server of a cellular telecommunication network and corresponding UICC
CN110583036B (zh) 网络认证方法、网络设备及核心网设备
US11228429B2 (en) Communication with server during network device during extensible authentication protocol—authentication and key agreement prime procedure
CN102318386A (zh) 向网络的基于服务的认证
CN111865870B (zh) 一种参数发送方法及装置
CN109076058B (zh) 一种移动网络的认证方法和装置
US11381973B2 (en) Data transmission method, related device, and related system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right