特許ウォッチ

公開番号2025073479
公報種別公開特許公報(A)
公開日2025-05-13
出願番号2023184321
出願日2023-10-26
発明の名称256ビットルート鍵を利用する装置
出願人KDDI株式会社
代理人個人,個人
主分類H04W 12/04 20210101AFI20250502BHJP(電気通信技術)
要約【課題】USIMに格納されているルート鍵の長さを、モバイル装置に知らせること。
【解決手段】USIMは、格納しているルート鍵の長さを示すファイルを備えている。ステップS1において、モバイル装置MEはUSIMを初期化する。ステップS2において、モバイル装置MEはファイルシステムをスキャンし、関連データをメモリにロードする。ステップS3において、256ビット対応のモバイル装置MEは、USIMが256ビット対応であることを示すファイルを検索する。USIMが256ビット対応である場合は、ステップS5において、モバイル装置MEは、256ビットのアルゴリズムを含むUEセキュリティ機能をネットワークNWに提示する。これにより、USIMが256ビット対応である場合に、256ビットのアルゴリズムを使用することが可能となる。
【選択図】図1

特許請求の範囲【請求項１】
モバイル装置と、ルート鍵が格納されるＵＳＩＭと、を備える端末装置であって、
前記ＵＳＩＭは、格納されているルート鍵の長さを示すファイルを備える、端末装置。
続きを表示（約 940 文字）【請求項２】
前記モバイル装置は、前記ＵＳＩＭに格納されているルート鍵の長さを示すファイルを、前記ＵＳＩＭから読み込む、請求項１に記載の端末装置。
【請求項３】
前記モバイル装置は、サポートするアルゴリズムのリストを作成し、前記ＵＳＩＭに格納されているルート鍵の長さよりも長い鍵長のアルゴリズムを前記リストから削除する、請求項２に記載の端末装置。
【請求項４】
前記モバイル装置は、ＡＵＴＨＥＮＴＩＣＡＴＥコマンドにより、必要な鍵の長さを前記ＵＳＩＭに指定する、請求項２に記載の端末装置。
【請求項５】
前記格納されているルート鍵の長さを示すファイルは、格納されているルート鍵の長さが２５６ビットであることを示すファイルである、請求項１から請求項４のうちいずれか一項に記載の端末装置。
【請求項６】
モバイル装置と、ルート鍵が格納されるＵＳＩＭと、を備える端末装置であって、
前記モバイル装置は、ネットワーク装置から受信した認証リクエストに含まれるパラメータの長さ及び／又はＡＭＦフィールドのデータに基づいて、ＵＳＩＭが使用しているルート鍵の長さを決定する端末装置。
【請求項７】
前記パラメータがＲＡＮＤ及び／又はＡＵＴＮである、請求項６に記載の端末装置。
【請求項８】
前記モバイル装置が、ＲＡＮＤ及び／又はＡＵＴＮの長さが１２８ビットより長い場合に、前記ＵＳＩＭが使用しているルート鍵の長さが２５６ビットであると決定する、請求項７に記載の端末装置。
【請求項９】
前記モバイル装置が、ＡＭＦフィールドの２バイトのデータの内、仕様によって設定されるデータに基づいて、前記ＵＳＩＭが使用しているルート鍵の長さを決定する、請求項６に記載の端末装置。
【請求項１０】
モバイル装置と、ルート鍵が格納されるＵＳＩＭと、を備える端末装置であって、
前記モバイル装置は、認証応答メッセージに含まれる応答（ＲＥＳ）の長さに基づいて、前記ＵＳＩＭが使用しているルート鍵の長さを決定する端末装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、ＵＳＩＭ（Universal Subscriber Identity Module）に格納されているルート鍵の長さを、ＭＥ（モバイル装置：Mobile Equipment）に知らせるための技術に関する。
続きを表示（約 2,600 文字）【背景技術】
【０００２】
端末装置ＵＥ（User Equipment）は、例えば、スマートフォンのような、ユーザが使用する移動通信端末である。端末装置ＵＥ同士が通信する場合には、５Ｇのような移動体通信網を介して通信する。この移動体通信網のことを、以後、「ネットワークＮＷ」という。
【０００３】
端末装置ＵＥとネットワークＮＷとが無線で通信する際には、それぞれ送信するメッセージを暗号化して送信する。そして受信した側で復号化する。メッセージを暗号化するためのアルゴリズムを「暗号アルゴリズム」という。
また、無線で通信する際に途中で第三者にメッセージを改ざんされる恐れがある。したがって、送信側で、改ざん検知のためのコードを作成し、そのコードをメッセージに付加して送信する。改ざん検知のためのコードを作成するアルゴリズムを、「改ざん検知アルゴリズム」という。
【０００４】
現在の移動体通信は、５Ｇも含めて、基地局と端末装置ＵＥ（User Equipment）の間の無線区間及びコアネットワークと端末装置ＵＥの間の通信について、１２８ビットの改ざん検知及び暗号アルゴリズムを使用している。しかし、３ＧＰＰ（登録商標）（Third Generation Partnership Project）ＳＡ３では、２５６ビットアルゴリズムを導入することが検討されている。
２５６ビットアルゴリズムを仕様書ＴＳ３３．５０１に追加するだけで、アルゴリズムの追加は対応可能であるが、暗号に利用する鍵の長さが統一されていないという課題が残る。
【０００５】
実際の利用において、暗号アルゴリズムに使用される鍵のエントロピーが鍵長と等しいことが望まれる。５Ｇでは、ＵＳＩＭ（Universal Subscriber Identity Module）に格納されているルート鍵の長さが１２８ビットである可能性があり、そのことにより、そのルート鍵に基づいて生成される２５６ビットの鍵に対しても１２８ビットのエントロピーしか提供されない。その結果、２５６ビットアルゴリズムを利用しているにもかかわらず、実際の強度は１２８ビットアルゴリズムとほぼ同等の安全性しか提供できないことになる。このような状況では、期待されるセキュリティレベルを実現することができないだけでなく、計算リソースが浪費されることになる。
【０００６】
端末装置ＵＥは、ＭＥ（モバイル装置：Mobile Equipment）とＵＳＩＭ（Universal Subscriber Identity Module）で構成され、ＵＳＩＭにはルート鍵が格納されており、認証を担当する。モバイル装置ＭＥは認証応答と鍵ＣＫ及び鍵ＩＫを受け取り、これらの鍵を連結して更に別の鍵を導出する。これらの鍵はすべて２５６ビットで生成される。ただし、モバイル装置ＭＥはルート鍵の長さを知らず、鍵の実際のエントロピーも知らされることはない。現在、３ＧＰＰ（登録商標）システムは１２８ビットの暗号アルゴリズムのみをサポートしており、鍵は使用前に１２８ビットに切り捨てられるため、現時点でそれが問題になることはない。
【先行技術文献】
【非特許文献】
【０００７】
３ＧＰＰ（登録商標）ＳＡ３，ＴＳ２４．５０１
３ＧＰＰ（登録商標）ＳＡ３，ＴＳ３１．１０２
３ＧＰＰ（登録商標）ＳＡ３，ＴＳ３３．５０１
３ＧＰＰ（登録商標）ＳＡ３，ＴＳ３５．２０６
３ＧＰＰ（登録商標）ＳＡ３，ＴＳ３５．２３１
【発明の概要】
【発明が解決しようとする課題】
【０００８】
３ＧＰＰ（登録商標）で複数の認証プロトコルを定義しており、１２８ビットルート鍵を使用する認証プロトコルもあれば２５６ビットルート鍵を使用する認証プロトコルもある。１２８ビットプロトコルであるMILENAGE（ＴＳ３５．２０６で規定）は、１２８ビットのルート鍵を使用し、１２８ビットの鍵ＣＫ及び鍵ＩＫを生成する。これに対して、TUAK（ＴＳ３５．２３１で規定）は、２５６ビットルート鍵を使用でき、２５６ビットの鍵ＣＫ及び鍵ＩＫを生成できる。ただし、どのプロトコルを利用するかは、ＵＳＩＭとＡｕＣ（認証センター：Authentication Center）又はＨＳＳ（ホーム加入者サーバ：home subscriber server）又はＡＲＰＦ（認証証明書リポジトリ及び処理機能：Authentication credentials Repository Function）のみが知っており、モバイル装置ＭＥはどのプロトコルが使用されているかを知らない。
【０００９】
原則として、１２８ビット認証プロトコルであるMILENAGEは、長さ１２８ビットの鍵ＣＫと１２８ビットの鍵ＩＫを出力し、TUAKプロトコルは２５６ビットに設定されていれば、２５６ビットの鍵ＣＫと鍵ＩＫを出力する。ただし、モバイル装置ＭＥとＵＳＩＭ間のインターフェース仕様（ＴＳ３１．１０２）は、１２８ビットの鍵ＣＫと鍵ＩＫにのみ対応している。そのため、モバイル装置ＭＥは使用されたプロトコルもルート鍵の長さも知らされず、単に１２８ビットの鍵ＣＫと鍵ＩＫを受け取る。そのため、モバイル装置ＭＥは、２５６ビットの長さの暗号アルゴリズムを使用することが妥当かどうかを判断できない。
【００１０】
単純な解決策として、モバイル装置ＭＥとＵＳＩＭの間のインターフェースを２５６ビット長の鍵の交換で実現する方法がある。しかし、この方法では、レガシーモバイル装置ＭＥに新しいＵＳＩＭが挿入された場合に、モバイル装置ＭＥは１２８ビットの鍵ＣＫ及び鍵ＩＫを待ち受け、ＵＳＩＭは２５６ビットの鍵を送信するため、互換性を確保することができない。そこで、２５６ビットの鍵ＣＫ及び鍵ＩＫを生成可能なＵＳＩＭとそれに対応したモバイル装置ＭＥ、及び１２８ビットの鍵ＣＫ及び鍵ＩＫを生成するＵＳＩＭと２５６ビット鍵に対応したモバイル装置ＭＥに対しての互換性の問題を発生させずに解決する方法が必要である。
（【００１１】以降は省略されています）

関連特許