Nothing Special   »   [go: up one dir, main page]

DE60129311T2 - Teilnehmerauthentifizierung - Google Patents

Teilnehmerauthentifizierung Download PDF

Info

Publication number
DE60129311T2
DE60129311T2 DE60129311T DE60129311T DE60129311T2 DE 60129311 T2 DE60129311 T2 DE 60129311T2 DE 60129311 T DE60129311 T DE 60129311T DE 60129311 T DE60129311 T DE 60129311T DE 60129311 T2 DE60129311 T2 DE 60129311T2
Authority
DE
Germany
Prior art keywords
subscriber
authentication
secret
way function
network operator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60129311T
Other languages
English (en)
Other versions
DE60129311D1 (de
Inventor
Kaisa Nyberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Inc
Original Assignee
Nokia Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Inc filed Critical Nokia Inc
Application granted granted Critical
Publication of DE60129311D1 publication Critical patent/DE60129311D1/de
Publication of DE60129311T2 publication Critical patent/DE60129311T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Professional, Industrial, Or Sporting Protective Garments (AREA)
  • Measuring Volume Flow (AREA)
  • Gyroscopes (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Facsimiles In General (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Die Erfindung betrifft einen Algorithmus, der bei Teilnehmerauthentifizierung in einem mobilen Kommunikationssystem verwendet wird, und im Spezielleren eine Authentifizierungsantwort, die bei Teilnehmerauthentifizierung verwendet wird.
  • Das mobile Kommunikationssystem bezieht sich allgemein auf ein beliebiges Telekommunikationssystem, das drahtlose Kommunikation ermöglicht, wenn sich Nutzer im Versorgungsgebiet des Systems bewegen. Das öffentliche Mobilfunknetz (engl.: public land mobile network) PLMN ist ein typisches Beispiel eines mobilen Kommunikationssystems.
  • In mobilen Kommunikationssystemen kommunizieren Mobilstationen und das eigentliche Netz normalerweise über Funkstrecken. Eine Funkstrecke ist physikalisch offen, was Sicherheitsrisiken verursacht, und deswegen sollten sowohl die Benutzer als auch der Netzbetreiber gegen Eindringen von dritter Seite geschützt sein, ob das Eindringen unabsichtlich ist oder nicht. Zum Beispiel wird illegaler Zugriff auf das Netzwerk verhindert, indem das Netz eine Mobilstation authentifiziert, wenn es sich beim Netz registriert. Das Abhörrisiko wird reduziert, indem Verschlüsselung verwendet wird.
  • Authentifizierung ist ein Verfahren, bei dem eine Seite die andere Seite entsprechend einem vereinbarten Verfahren authentifiziert. In dem paneuropäischen mobilen Kommunikationssystem GSM (engl.: Global System for Mobile communications), werden zum Beispiel die Algorithmen, die für Authentifizierung zu verwenden ist, und der Schlüssel Ki des Teilnehmers sowohl in dem Teilnehmeridentitätsmodul SIM (engl.: Subscri ber Identity Module) als auch in dem Authentifizierungszentrum zur Authentifizierung gespeichert. Bei dem GSM System wird die Authentifizierungsantwort SRES, die bei der Authentifizierung zu verwenden ist, durch Verwendung von Algorithmus A3 und des Schlüssels Ks berechnet, der bei der Verschlüsselung der Information zu verwenden ist, die über die Funkstrecke mit dem Algorithmus A8 zu übertragen ist. Normalerweise werden diese Algorithmen kombiniert, so dass sowohl die Authentifizierungsantwort SRES als auch der Verschlüsselungsschlüssel Kc während der Authentifizierung berechnet werden. Algorithmen A3 und A8 sind netzbetreiberspezifisch, proprietär und typischerweise geheim. Der Zufallszahlengenerator in dem Authentifizierungszentrum erzeugt eine Abfrage RAND, die zu einer Mobilstation über die Funkstrecke während der Authentifizierung übertragen wird. Die Abfrage RAND und der Teilnehmerschlüssel Ki werden zur Berechnung der Authentifizierungsantwort SRES und des Verschlüsselungsschlüssels Kc sowohl in dem Authentifizierungszentrum als auch in der Mobilstation verwendet. Während der Authentifizierung sendet die Mobilstation die von ihr berechnete Authentifizierungsantwort SRES zurück zu dem Netz, wo sie mit der Authentifizierungsantwort verglichen wird, die vom Authentifizierungszentrum berechnet wurde. Wenn die Antworten identisch sind, durchläuft die Mobilstation die Authentifizierung, wonach die zu sendende Information auf dem Funkweg normalerweise mit einem Verschlüsselungsschlüssel Kc verschlüsselt wird.
  • Das mit dem oben beschriebenen Authentifizierungsverfahren verbundene Problem besteht darin, dass eine netzbetreiberspezifische Anpassung nicht möglich ist. Weder können die Algorithmen anderen Netzbetreibern offengelegt werden, ohne zum Beispiel zur selben Zeit dem Netzbetreiber die Möglichkeit zu geben, in das Authentifizierungssystem eines anderen Netzbetreibers einzugreifen. Noch kann daher die Sicherheit des Systems garantiert werden.
  • Bisher sind aus EP 977 452 A2 eine Lösung, zur Aktualisierung geheimer, gemeinsam genutzter Daten in einem drahtlosen Kommunikationssystem und aus EP 982 965 A2 eine Lösung zum Festlegen einer Vereinbarung hinsichtlich von Sitzungsschlüsseln bekannt. Jedoch lehrt oder schlägt keine dieser bekannten Referenzen eine effiziente Lösung für eine netzbetreiberspezifische Anpassung vor.
  • KURZE BESCHREIBUNG DER ERFINDUNG
  • Die Aufgabe der Erfindung ist es, ein Verfahren und eine das Verfahren implementierende Vorrichtung bereitzustellen, um die oben erwähnten Probleme zu beseitigen. Die Aufgaben der Erfindung werden durch die Verfahren, Systeme, Authentifizierungszentren und Teilnehmeridentitätsmodule erreicht, die durch das charakterisiert sind, was in den unabhängigen Ansprüchen offenbart ist. Die bevorzugten Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen offenbart.
  • Die Erfindung basiert auf der Idee, dass ein Parameter für einen Netzbetreiber definiert wird und aus dem Teilnehmerschlüssel Ki und dem Netzbetreiberparameter mit einer One-Way-Funktion geheime Information berechnet wird. Die geheime Information und eine Abfrage (öffentliche Information) werden zur Berechnung zumindest einer Authentifizierungsantwort mit einer One-Way-Funktion verwendet, jedoch kann der Verschlüsselungsschlüssel Kc auch zu selben Zeit berechnet werden, wenn dies gewünscht ist. "Schlüssel" ist eine allgemeine Bezeichnung für verschlüsselte Information, d. h. ein secret. Ein Vorteil der Erfindung ist, dass sie eine netzbetreiberspezifische Authentifizierungsanpassung ermöglicht. Ein weiterer Vorteil ist, dass die Sicherheit der Erfindung nicht auf einem geheimen Algorithmus basiert, sondern auf einem geheimen Schlüssel und dadurch kann der Algorithmus den Netzbetreibern offenbart werden.
  • Bei einer bevorzugten Ausführungsform der Erfindung wird ein secret (oder secrets), das aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter berechnet wurde, in dem Teilnehmeridentitätsmodul gespeichert. Ein Vorteil dieser Ausführungsform ist, dass die Berechnung der Authentifizierungsantwort in das Teilnehmeridentifizierungsmodul leicht implementiert werden kann. Die Authentifizierung wird zudem schneller, wenn vorab berechnete Information verwendet wird. Ein weiterer Vorteil dieser Ausführungsform ist, dass der Netzbetreiberparameter nicht erlangt werden kann, auch wenn die in dem Identitätsmodul enthaltene Information dekodiert werden könnte.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Erfindung wird mittels bevorzugter Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen detaillierter beschrieben, in denen
  • 1 eine Netzarchitektur des GSM-Systems darstellt;
  • 2 ein Flussdiagramm eines Authentifizierungsalgorithmuses gemäß einer ersten bevorzugten Ausführungsform der Erfindung ist;
  • 3 Signalisierung gemäß einer ersten bevorzugten Ausführungsform der Erfindung darstellt; und
  • 4 ein Flussdiagramm eines Authentifizierungsalgorithmuses gemäß einer zweiten bevorzugten Ausführungsform der Erfindung ist.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Die vorliegende Erfindung ist für jedes Telekommunikationssystem anwendbar, wo der Teilnehmer authentifiziert wird. Dies umfasst das GSM-System, seine nächste Generation, bekannt als GSM 2+, und ähnliche Systeme, wie das PCS (Persönliches Kommunikationssystem; engl.: Personal Communication System) und DCS 1800 (Digitales zelluläres System für 1800 MHz; engl.: Digital Cellular System for 1800 MHz). Die Erfindung ist ebenso bei der dritten Generation mobiler Kommunikationssysteme anwendbar, wie das UMTS (engl.: Universal Mobile Telecommunications System) und IS-41 (Übergangs-standard; engl.: Interim Standard). Im Folgenden wird die Erfindung unter Verwendung des GSM-Systems als ein Beispiel beschrieben, ohne dabei die Erfindung auf dieses spezielle System zu beschränken.
  • 1 stellt die Netzarchitektur des GSM-Systems auf einer allgemeinen Ebene dar, da eine detailliertere Struktur des Systems für die Erfindung nicht relevant ist.
  • Die Struktur eines GSM-Netzes gemäß dem GSM-System 1 besteht aus zwei Teilen: einem Basisstationssubsystem BSS und einem Netzwerksubsystem NSS. Das BSS und Mobilstationen MS kommunizieren über Funkverbindungen. Das Basisstationssubsystem ist mit einem Mobilvermittlungszentrum MSC des Netzwerksubsystems NSS verbunden. Die Funktion der Mobilvermittlungszentrums ist es, Anrufe zu vermitteln, die zumindest eine Mobilstation MS betreffen. Einige Mobilvermittlungszentren sind mit anderen Telekommunikationsnetzen verbunden, wie dem PSTN (öffentliches Festnetz; engl.: Public Switched Telephone Network), und sie umfassen Vermittlungsfunktionen zum Vermitteln von Anrufen zu und von diesen Netzen. Diese Mobilvermittlungszentren werden Gatewayzentren genannt.
  • Das Netzwerksubsystem NSS umfasst zwei Typen von Datenbanken. Teilnehmerinformation über alle Teilnehmer des Netzes wird dauerhaft oder teilweise dauerhaft in einem Heimatregister (engl.: home location register) HLR gespeichert, wobei die Teilnehmerinformation der Teilnehmeridentifikation IMSI zugeordnet ist. Der andere Registertyp ist ein Besucherregister (engl.: Visitor Location Register) VLR. Wenn eine Mobilstation MS aktiv ist (in dem Netzwerk registriert ist und in der Lage, Anrufe zu tätigen oder zu empfangen), wird das meiste der in dem Heimatregister HLR enthaltenen Teilnehmerinformation über die Mobilstation MS in das Besucherregister des Mobilvermittlungszentrums MSC, in dessen Bereich sich die Mobilstation befindet, geladen (kopiert). Tatsächlich sind das Mobilvermittlungszentrum MSC und das Besucherregister VLR die zentralen Netzelemente in Bezug auf Mobilitätsverwaltung, Steuerung und Signalisierung.
  • Das Netzwerksubsystem umfasst auch ein Authentifizierungszentrum AuC. Das Authentifizierungszentrum AuC ist normalerweise Teil des Heimatregisters HLR des Teilnehmers. Das Authentifizierungszentrum AuC umfasst einen Zufallszahlgenerator (nicht gezeigt) zur Erzeugung von Abfragen (engl.: challenges), d. h. Zufallszahlenparameter RAND. Das Authentifizierungszentrum hat auch einen Speicher zum Speichern von Authentifizierungsinformation über den Teilnehmer und Authentifizierungsalgorithmen. Die Authentifizierungsinformation des Teilnehmers, die gemäß der ersten und zweiten bevorzugten Ausführungsform der Erfindung gespeichert werden soll, beinhaltet einen Teilnehmerschlüssel Ki und einen Netzbetreiberparameter T. Wenn der Netzbetreiber mehr als einen Parameter hat, kann das Authentifizierungszentrum den Teilnehmerschlüssel Ki mit den Parametern des richtigen Netzbetreibers kombinieren, z. B. indem der Netzbetreiberparameter oder eine Identifikation, die den Netzbetreiberparameter identifiziert, in die Teilnehmerinformation speichert. Vorzugsweise berechnet das Authentifizierungszentrum eine Authentifizierungsantwort SRES und einen Verschlüsselungsschlüssel aus dem Teilnehmerschlüssel, dem Netzbetreiberparameter und der Zufallszahl unter Verwendung eines der Authentifizierungsalgorithmen, die in 2, 3 und 4 gezeigt sind, und bildet "Authentifizierungstriplets", d. h. Einheiten, die die Zufallszahl RAND, die Authentifizierungsantwort SRES und den Verschlüsselungsschlüssel Kc umfassen. Der Netzbetreiberparameter ist vorzugsweise ein binärer Parameter, der die Identifikation des Netzbetreibers und das Geheimnis (engt.: secret) des Netzbetreibers umfasst. Der Netzbetreiberparameter muss nicht geheim sein. Der Netzbetreiberparameter T ist detaillierter in Verbindung mit 2 beschrieben.
  • Bei dieser Anwendung bezieht sich "Mobilstation" MS allgemein auf eine Einheit, die vom mobilen Teilnehmer und dem tatsächlichen Endgerät gebildet werden. Das Endgerät kann ein Gerät sein, das in einem mobilen Kommunikationssystem kommunizieren kann, oder eine Kombination mehrerer Geräte, z. B. ein multimedialer Computer, der mit einer von Nokia produzierten Telefonkarte ausgestattet ist, um für eine mobile Verbindung zu sorgen. Der Teilnehmer wird von dem Teilnehmeridentifikationsmodul SIM identifiziert, das entfernbar mit dem Endgerät verbunden ist. Das SIM ist eine Smartcard, die in die Mobilstation eingesetzt wird und umfasst Information, die sich auf die Identifizierung des Teilnehmers bezieht, wie zum Beispiel eine internationale mobile Teilnehmeridentifikation IMSI, und Mittel zur Authentifizierung des Teilnehmers. Mit anderen Worten, das SIM umfasst die bei Authentifizierung benötigten Algorithmen und Geheimnisse. Typischerweise umfasst die SIM auch eine temporäre mobile Teilnehmeridentifikation des Standortgebiets IMSI, mittels deren Übertragung die IMSI über den Funkweg vermieden werden kann.
  • Das Telekommunikationssystem, das Authentifizierungszentrum und die Mobilstation, die die Funktionalität entsprechend der vorliegenden Erfindung implementieren, umfassen zusätzlich zu den Geräten, die nach dem Stand der Technik zur Authentifizierung benötigt werden, Mittel, um den Netzbetreiberparameter bei der Authentifizierung zu berücksichtigen. Existierende Netzwerkknoten umfassen Prozessoren und Speicher, die für die Funktionen gemäß der Erfindung verwendet werden können. All die Änderungen, die benötigt werden, um die Erfindung zu implementieren, können mittels ergänzter oder aktualisierter Softwareroutinen und/oder Anwendungsschaltungen (ASIC) durchgeführt werden. Die Mobilstation und/oder das Authentifizierungszentrum können auch zusätzlichen Speicher benötigen.
  • 2 zeigt den Algorithmus A3/A8, der bei der ersten bevorzugten Ausführungsform der Erfindung verwendet wird und in dem zwei verschiedene Algorithmen kombiniert sind, wie es in dem GSM-System üblich ist. Für den Algorithmus der Erfindung ist es notwendig, zumindest einen Netzbetreiberparameter T und einen separaten Schlüssel Ki für jeden Teilnehmer zu definieren. Der teilnehmerspezifische Schlüssel Ki ist entsprechend dem Stand der Technik definiert und seine Länge beträgt entsprechend dem GSM-Standard 128 Bits. Bei der ersten bevorzugten Ausführungsform der Erfindung besteht der Algorithmus aus zwei verschiedenen Verschlüsselungsfunktionen, die Fachleuten auf dem Gebiet wohlbekannt sind: Die international standardisierte Hash-Funktion RIPEMD-128 und der Verschlüsselungsalgorithmus gemäß dem DES-Standard (engl.: Data Encryption Standard). Dies lässt das Kombinieren der besten Eigenschaften dieser Funktionen zu. Der Algorithmus, der bei der ersten bevorzugten Ausführungsform der Erfindung verwendet wird, ist somit einer der Nachrichtenauthentifizierungskodes MAC. Hash-Algorithmen sind inhärent nicht reversibel und numerisch effizient. Die Verschlüsse lungsalgorithmen sind auf der anderen Seite für intelligente Karten besser geeignet, von denen die meisten den DES-Algorithmus unterstützen. Der Verschlüsselungsalgorithmus ist eine Einweg-Funktion, bei der eine geheime Eingabe als der Schlüssel des Verschlüsselungsalgorithmus verwendet wird. Indem weithin verwendete und getestete Einweg-Funktionen angewendet werden, können wir zusichern, dass die für das Netz aufgestellten Sicherheitserfordernisse erfüllt werden. Offenheit erlaubt die Zusicherung, dass der Algorithmus nicht absichtliche Falltüren oder andere Schwachstellen enthält. Den Algorithmus komplett zu knacken, d. h. die Netzbetreiberparameter und Teilnehmerschlüssel durch Analyse des Algorithmus herauszufinden, ist hochgradig unwahrscheinlich, weil dies erfordern würde, die entsprechenden internationalen Standards zu knacken.
  • Bei der ersten bevorzugten Ausführungsform ist der Netzbetreiberparameter T ein 384-Bit Parameter, der aus dem Kode CC des Netzbetreibers und das Geheimnis CS des Netzbetreibers umfasst. Mit anderen Worten, T ist CC||CS. Es sollte noch betont werden, dass das Nachfolgende nur ein Beispiel für die Definition des Netzbetreiberparameters ist. Die Erfindung beschränkt auf keine Weise die Art, den Netzbetreiberparameter zu definieren.
  • Der Netzbetreiberkode CC bei der ersten bevorzugten Ausführungsform der Erfindung ein 128-Bit Hash-Kode, der zum Beispiel mit der Hash-Funktion RIPEMD-128 aus dem nachfolgenden Text erhalten wird, wenn 27 X's z. B. durch den Netzbetreibernamen und Leerzeichen ersetzt werden, wonach der Text in ASCII kodiert wird: NOKIA NETWORKS GSM A3A8 FOR XXXXXXXXXXXXXXXXXXXXXXXXXXX. Somit haben verschiedene Netzbetreiber verschiedene Parameter. Der gleiche Netzbetreiber kann ebenso verschiedene Parameter haben, wenn der Netzbetreiber verschiedene Buchstaben oder Ziffern an dem Ende sei nes Namens ergänzt. Der unterschiedliche Wert von nur einem einzelnen X führt zu einem unterschiedlichen Netzbetreiberkode CC.
  • Das Netzbetreibergeheimnis CS ist bei der ersten bevorzugten Ausführungsform der Erfindung eine Zeichenkette, die aus 256 Bits besteht. Der Netzbetreiber kann diese Zeichenkette frei auswählen. Jedoch ist es empfehlenswert, einen eindeutigen Wert für das Netzbetreibergeheimnis zu erzeugen, so dass es unvorhersagbar ist. Dies erlaubt zuzusichern, dass sich die Werte der Netzbetreiber voneinander erheblich unterscheiden. Der Wert des Netzbetreibers kann auch eine Zeichenkette von Nullen sein, wenn der Netzbetreiberparameter nicht geheim sein soll. Ein Netzbetreiber kann verschiedene unterschiedliche Geheimnisse CS und daher unterschiedliche Netzbetreiberparameter haben.
  • Bei dem Authentifizierungsalgorithmus gemäß der ersten bevorzugten Ausführungsform der Erfindung wird eine Zufallszahl, deren Länge gemäß dem GSM-Standard 128 Bits ist, in eine Abfrage RAND in Schritt 201 erzeugt. Der Teilnehmerschlüssel Ki wird in Schritt 202 abgefragt und der Netzbetreiberparameter T in Schritt 203. Der Unterwert wird auch Teilschlüssel genannt. In den Schritten 203 und 204 berechnen wir Unterwerte KE1 und KE2 für einen erweiterten Schlüssel. Jeder Unterwert besteht aus 128 Bits. Die Unterwerte werden unabhängig von dem Netzbetreiberparameter T und dem Teilnehmerschlüssel Ki berechnet. Um den Unterwert zu berechnen, werden der Netzbetreiberparameter T und der Teilnehmerschlüssel Ki maskiert, wobei aus diesem nach Maskierung ein Unterwert berechnet wird, indem eine Hash-Funktion RIPEMD-128 mit einer Runde verwendet wird. Bei der Berechnung wird ein anfänglicher Standardwert verwendet, aber Auffüllung und Längenhinzufügung werden nicht durchgeführt, da die Eingabe eine Standardlänge hat. Der Unterwert KE1 wird durch Verwendung einer Maske IPAD berechnet, die eine Zeichenkette ist, die aus 64 Oktetten 00110110 besteht. Der Unterwert KE2 wird durch Verwendung einer Maske OPAD berechnet, die eine Zeichenkette enthält, die aus 64 Oktetten 01011100 besteht. Nachdem die Unterwerte KE1 und KE2 berechnet wurden, wird eine 128-Bit Zwischenausgabe aus dem Unterwert KE1 und der Abfrage RAND in Schritt 206 berechnet, wobei ein Feistel-Netzwerk F mit drei Runden verwendet wird, indem der DES Algorithmus als Rundenfunktion dient. Die Berechnung ist unten detaillierter beschrieben. In Schritt 207 wird eine 128-Bitausgabe aus dem Unterwert KE2 und dem Zwischenresultat unter Verwendung eines Feistel-Netzwerk F mit drei Runden berechnet, wobei der DES Algorithmus als die Rundenfunktion dient. 32 am weitesten links stehende Bits werden aus der Ausgabe extrahiert, um eine Authentifizierungsanwort SRES zu bilden, und die nächsten 64 Bits werden verwendet, um einen Verschlüsselungsschlüssel Kc in Schritt 208 zu bilden.
  • Die weiter oben beschriebene Berechnung kann durch die folgende Formel entsprechend dem HMAC-Standard (Schlüssel-Hashing zur Nachrichtenauthentifizierung) ausgedrückt werden: H(({Ki || T} ⊕ OPAD) || H(({Ki || T} ⊕ IPAD) || RAND)),wobei eine neuartige proprietäre Hash-Funktion H der Erfindung erhalten wird, indem die standardisierte RIPEMD-128 und das Feistel-Netzwerk mit drei Runden mittels einer unten zu beschreibenden Schlüsselaufstellungsoperation (engl.: key scheduling operation) kombiniert wird. Schlüsselaufstellung bezieht sich auf die Art, in der der Algorithmus die Schlüsselparameter anwendet. In den meisten Fällen wird mehr als ein Teilschlüssel hergeleitet, der dann in verschiedenen Phasen der Algorithmusberechnung verwendet werden.
  • Das Feistel-Netzwerk F mit drei Runden nimmt zwei Eingaben entgegen, die bei der ersten bevorzugten Ausführungsform der Erfindung ein 128-Bitschlüssel KEj und eine 128-Bit-Dateneingabe DIj sind. Eine 128-Bit-Ausgabe Doj (DOj = F(KEj; DIj)) wird in zwei Phasen berechnet.
  • In der ersten Phase führen wir Schlüsselaufstellung durch. Bei der ersten bevorzugten Ausführungsform der Erfindung werden drei 64-Bit DES-Schlüssel auf eine neue Weise aus dem Schlüssel KEj erhalten. Zunächst wird der Schlüssel KEj in 16 Oktette KEj[0] ... KEj[15] unterteilt. Diese Oktette werden in 32 Oktette Mj[0] ... Mj[31] wie folgt konvertiert. Mj[k] = KEj[k], k = 0, ..., 15; Mj[k] = KEj[(k – 10) mod 8], k = 16, ..., 23; Mj[k] = KEj[((k – 20) mod 8) + 8], k = 24, ..., 31.
  • Auf diese Weise erscheint daher jeder der Schlüssel KEj zweimal in dem Feld Mj in der folgenden Anordnung:
    Figure 00120001
  • Der erste 64-Bit DES-Schlüssel Kj1 wird durch Änderung der Hälften jedes Oktetts in der ersten Reihe und durch Durchführung einer XOR-Operation an den Oktetten, die bei der Änderung erhalten wurden, und an den Oktetten der zweiten Reihe erhalten. Der Schlüssel der zweiten Runde wird erhalten, indem das gleiche Verfahren für die Oktette der zweiten und der dritten Reihe wiederholt wird. Entsprechend wird der dritte Schlüssel durch Wiederholung des Verfahrens für die Oktette der dritten und der vierten Reihe erhalten. Herleitung der DES-Schlüssel Kj1, Kj2 und Kj3 aus dem Feld Mj[0,1, .. 31] kann wie folgt ausgedrückt werden: Kjr[n] = (swap Mj[n + 8(r – 1)]) ⊕ + Mj[n + 8r], n = 0, ..., 7; r = 1, 2, 3;wobei "Vertauschung" die Hälften der Oktette B = B[0, ..., 7] wie folgt ändert: swap B = B[4, 5, 6, 7, 0, 1, 2, 3].
  • In der zweiten Phase wird die Dateneingabe DIj[0 ... 127] in zwei Teile unterteilt, d. h. einen linken Teil DIjL = DIj[0 ... 63] und einen rechten Teil DIjR = DIj[64 ... 127].
  • Die 128-Bit Ausgabe wird in zwei Teilen erzeugt, einem linken Ausgabeteil DOjL = [0 ... 63] und einem rechten Ausgabeteil DOjR = DOj[64 ... 127], wie folgt: DOjR = DIjL ⊕ + DES(Kj2; DIjR ⊕ DES(Kj1; DIjL)) DOjL = DIjR ⊕ + DES(Kj1; DIjL) ⊕ DES(Kj3; DOjR).
  • In Schritt 206 von 2 wird die Abfrage, die durch die Zufallszahl gebildet wird, als die Dateneingabe verwendet und in Schritt 207 von 2 die Zwischenausgabe DO1. Schritt 206 und 207 können durch die folgenden Formeln ausgedrückt werden:
    DI2 = DO1 = F(KE1; RAND), (Schritt 206)
    DO2 = F(KE2; DI2) = F(KE2; F(KE1; RAND)) (Schritt 207).
  • Der Algorithmus entsprechend der ersten bevorzugten Ausführungsform der Erfindung kann auf zwei Arten verwendet werden:
    In einem vorab berechneten Modus und in einem direkten Modus. In dem vorab berechneten Modus werden die Teilschlüssel KE1 und KE2 im voraus berechnet (d. h. Schritt 202 bis 205 wurden durchgeführt) und gespeichert. In dem vorab berechneten Modus werden die Schritte 206 bis 208 während der Authentifizierung zusätzlich zur Abfrage-Erzeugung ausgeführt. Wenn das oben erwähnte Feistel-Netzwerk F mit DES-Durchläufen in den Schritten 206 bis 208 verwendet wird, ist der Algorithmus, der während der aktuellen Authentifizierung in dem vorab berechneten Modus ausgeführt werden soll, der gleiche wie der 128-Bit DES Algorithmus DEAL.
  • 3 veranschaulicht eine Authentifizierung entsprechend der ersten bevorzugten Ausführungsform der Erfindung, wenn sich die Mobilstation im Netzwerk anmeldet. Die erste bevorzugte Ausführungsform der Erfindung verwendet den Algorithmus, der in Verbindung mit 2 beschrieben wurde, als solchen in dem Authentifizierungszentrum AuC und in dem vorab berechneten Modus in dem Teilnehmeridentifizierungsmodul SIM an. Das bedeutet, dass zusätzlich zu dem ganzen Algorithmus der Teilnehmerschlüssel Ki und der Netzbetreiberparameter T in dem Authentifizierungszentrum gespeichert werden, wohingegen nur Teile des Algorithmus und die Teilschlüssel KE1 und KE2 des erweiterten Schlüssels in dem Teilnehmeridentifizierungsmodul SIM gespeichert sind. Die Teilschlüssel werden auf die gleiche Weise wie der Teilnehmerschlüssel Ki behandelt und gesichert. Bei dem Beispiel von 3 wird um der Klarheit willen angenommen, dass die Mobilvermittlungsstelle und das Besucherregister in dieselbe Einheit MSC/VLR integriert sind.
  • Zu Beginn der Authentifizierung überträgt die Mobilstation MS die Identifizierungsdaten, auf deren Basis die SIM und der Teilnehmer identifiziert werden, zu dem Mobilvermittlungszentrum MSC/VLR in Nachricht 3-1. Gewöhnlich ist die Identifizierungsinformation die IMSI oder die TMSI. Das Mobilvermittlungszentrum MSC/VLR sendet eine Authentifizierungsantwort zu dem Authentifizierungszentrum AuC in Nachricht 3-2. Die Nachricht 3-2 beinhaltet die Teilnehmeridentität IMSI. Das Besucherregister kann die IMSI in eine IMSI ändern. In Schritt 3-3 wählt das Authentifizierungszentrum AuC einen teilnehmerspezifischen Authentifizierungsschlüssel Ki und den Netzbetreiberparameter T auf der Basis der Teilnehmeridentität IMSI, die in der Authentifizierungsantwort enthalten ist. Das Authentifizierungszentrum AuC berechnet die Teilschlüssel KE1 und KE2 aus dem Netzbetreiberparameter T und dem Teilnehmerschlüssel Ki, wie in Verbindung mit 2 beschrieben. Darüber hinaus erzeugt der Zufallszahlgenerator z. B. fünf Zufallszahlenparameter RAND in Abfragen hinein. Ein Prüfparameter SRES und ein Verschlüsselungsschlüssel Kc werden bei jeder Abfrage aus den Teilschlüsseln KE1 und KE2 gebildet, wie in Verbindung mit 2 beschrieben. Mit anderen Worten, wenn mehr als ein Authentifizierungstriplet zu einer Zeit berechnet wird, ist es ausreichend, nur die Teilschlüssel KE1 und KE2 mit dem ersten Trielet zu berechnen und dann die Teilschlüssel zur Berechnung der folgenden Triplets vorübergehend in den Speicher zu speichern. Das Authentifizierungszentrum AuC überträgt die fünf Authentifizierungstriplets RAND, SRES, Kc, wie berechnet, in Nachricht 3-4 zu dem Besucherregister MSC/VLR, wo sie in Schritt 3-5 gespeichert werden.
  • Das Besucherregister MSC/VLR wählt einen RAND Wert für die Parameter aus der Tabelle für RAND/SRES/Kc des Benutzers aus und sendet ihn der Mobilstation MS in Nachricht 3-6 und weiter zu dem Teilnehmeridentitätsmodul SIM. Bei der ersten bevorzugten Ausführungsform der Erfindung umfasst das SIM Teilschlüssel KE1 und KE2, die aus dem Teilnehmerschlüssel Ki und dem Netzbetreiberparameter T berechnet wurden. Das SIM umfasst auch die Schritte 206 bis 208 des Authentifizierungsalgorithmus A3, gezeigt in 2. In Schritt 3-7 berechnet das SIM den SRES-Parameter und den Verschlüsselungsschlüssel Kc mittels des erhaltenen RAND Parameters und der Schlüssel KE1 und KE2 unter Verwendung des Feistel-Netzwerks F mit DES Runden, wie oben beschrieben. Die Mobilstation sendet die SRES-Parameter zurück zu dem Besucherregister MSC/VLR. In Schritt 3-9 vergleicht das Besucherregister MSC/VLR den SRES-Wert, der von der Mobilstation gesendet wurde, mit dem gespeicherten SRES-Wert und informiert die Mobilstation MS in Nachricht 3-10, ob die Authentifizierung erfolgreich war oder nicht. Wenn der von dem Mobilfunkendgerät gesendete SRES-Wert der gleiche wie der gespeicherte SRES Wert ist, war die Authentifizierung erfolgreich und eine Verschlüsselung mit dem Verschlüsselungsschlüssel Kc kann auf dem Funkweg begonnen werden.
  • Wenn das Besucherregister VLR dabei ist, den Teilnehmer für das nächste Mal zu authentifizieren, wählt es den nächsten Wert für den Parameter RAND aus der Tabelle für RAND/SRES/Kc des Teilnehmers und sendet ihn zu der Mobilstation und weiter zu dem Teilnehmeridentitätsmodul SIM.
  • Die Tatsache, dass die erste bevorzugte Ausführungsform der Erfindung den vorab berechneten Modus des Algorithmus der Erfindung in dem Teilnehmeridentitätsmodul SIM und den direkten Modus des Algorithmus in dem Authentifizierungszentrum anwendet, sorgt für den Vorteil, dass die besten Merkmale beider Einweg-Funktionen miteinander kombiniert und optimale Leistung und Sicherheit auf eine eingepasste Art garantiert werden können. Der RIPEMD-128 ist eine beträchtlich effiziente Einweg-Funktion, aber der 8-Bit-Prozessor, der von dem Teilnehmeridentitätsmodul SIM verwendet wird, wird ihm nicht gerecht. Der DES ist nicht so effizient wie der RIPEMD-128, aber er ist bestens bekannt und kann auch sicher und effizient in das Teilnehmeridentitätsmodul SIM implementiert werden.
  • Jedes Mal, wenn das Authentifizierungszentrum AuC den Netzbetreiberparameter T in dem Netz verwendet, überprüft es auch, ob die Teilschlüssel KE1 und KE2, die im Teilnehmeridentitätsmodul SIM enthalten sind, wirklich unter Verwendung des Netzbetreiberparameters, um den es geht, erhalten wurden. Normalerweise nutzt ein Netzbetreiber verschiedene Teilnehmeridentitätsmodul-SIM-Hersteller, die auch die Teilnehmerschlüssel Ki selbst bilden. Der Netzbetreiber gibt ihnen möglicherweise auch den Netzbetreiberparameter, um die Teilschlüssel KE1 und KE2 zu bilden. Der Netzbetreiber kann jedem Hersteller einen anderen Netzbetreiberparameter geben, z. B. durch Nutzung eines herstellerspezifischen geheimen Teils CS und/oder durch Änderung des Namens des Netzbetreibers in dem Netzbetreiberkode CC. Der Netzbetreiber kann auch die Netzbetreiberschlüssel Ki und die zugehörigen Teilschlüssel KE1 und KE2 selbst bilden und sie dem Hersteller des Teilnehmeridentitätsmoduls SIM geben, so dass sie in dem Identitätsmodul gespeichert werden können.
  • Die oben beschriebenen Einweg-Funktionen, Masken und Schlüsselaufstellungen sind nur dafür gedacht, zu beschreiben, wie die Erfindung ausgeführt werden kann und beschränken die Erfindung in keiner Weise. Die oben beschriebenen Masken und Schlüsselaufstellungen sind nur Beispiele und nicht einmal notwendig. Es ist auch möglich, andere Einweg-Funktionen zu verwenden, die nicht öffentliche Funktionen sein müssen. Darüber hinaus kann die gleiche Einweg-Funktion in jeder Phase verwendet werden. Auf der anderen Seite können unterschiedliche Funktionen in jeder Phase verwendet werden, so dass die gleiche Funktion niemals zweimal für Berechnungen verwendet wird. Darüber hinaus kann zum Beispiel die erste Funktion einmal und die zweite Funktion dreimal verwendet werden.
  • In weiteren bevorzugten Ausführungsformen der Erfindung kann der vorab berechnete Modus auch in dem Authentifizierungszen trum AuC einsetzt werden. In diesem Fall müssen die Teilschlüssel KE1 und KE2 in dem Authentifizierungszentrum AuC für den Teilnehmer gespeichert werden. Auf der anderen Seite kann der direkte Modus in dem Teilnehmeridentitätsmodul SIM verwendet werden, wobei in diesem Fall der gesamte Algorithmus, der Teilnehmerschlüssel Ki und der Netzbetreiberschlüssel T in dem Teilnehmeridentitätsmodul gespeichert werden, aber nicht die Teilschlüssel KE1 und KE2.
  • 4 veranschaulicht eine zweite bevorzugte Ausführungsform der Erfindung. Hier wird der Algorithmus gemäß der Erfindung auf das Einfachste dargestellt, ohne irgendwelche detaillierten Beschreibungen, Funktionen und Kommentare über die Länge der Ausgaben und Eingaben. Der Teilnehmerschlüssel Ki und der Netzbetreiberparameter T werden auch bei der zweiten bevorzugten Ausführungsform der Erfindung definiert.
  • Der Algorithmus gemäß der zweiten bevorzugten Ausführungsform der Erfindung beginnt mit der Erzeugung einer Abfrage RAND in Schritt 401. Der Teilnehmerschlüssel Ki wird in Schritt 402 und der Netzbetreiberparameter T in Schritt 403 erhalten. Danach wird ein Schlüssel KE aus dem Teilnehmerschlüssel Ki und dem Netzbetreiberparameter T in Schritt 404 mit einer Einweg-Funktion berechnet. In Schritt 405 wird aus dem Schlüssel KE und der Abfrage RAND mit einer Einweg-Funktion eine Ausgabe berechnet und eine Authentifizierungsantwort SRES wird in Schritt 406 aus der Ausgabe extrahiert.
  • Berechnung gemäß der zweiten bevorzugten Ausführungsform der Erfindung kann durch die folgende Formel ausgedrückt werden: H2(H1(Ki || T) || RAND)
  • Bei der zweiten bevorzugten Ausführungsform der Erfindung ist es möglich, die gleichen Einweg-Funktionen, z. B. RIPEMD-128- Funktionen, zu verwenden. Zwei verschiedene Einweg-Funktionen können auch verwendet werden, z. B. die RIPEMD-128-Funktion in Schritt 404 und ein Feistel-Netzwerk mit sechs Runden, wobei die DES als eine Rundenfunktion dient, in Schritt 405, wie erklärt in Verbindung mit 2.
  • Die zweite bevorzugte Ausführungsform kann sowohl in dem vorab berechneten Modus als auch in dem direkten Modus angewendet werden. Bei dem vorab berechneten Modus wird der Schlüssel KE im voraus berechnet und z. B. in dem Teilnehmeridentitätsmodul SIM gespeichert.
  • Die in den 2, 3 und 4 veranschaulichten Schritte sind nicht genauer chronologischer Reihenfolge und einige der Schritte können gleichzeitig oder in einer anderen Reihenfolge als der gezeigten durchgeführt werden. Weiterhin können einige weitere Funktionen zwischen den Schritten durchgeführt werden. Auf der anderen Seite können einige Schritte weggelassen werden. Wichtig ist, dass der Netzbetreiberparameter auch als Eingabe bei der Authentifizierung verwendet wird. Die oben in Verbindung mit 3 beschriebenen Signalisierungsnachrichten dienen nur als Referenz und können einige separate Nachrichten zur Übertragung derselben Information enthalten. Die Nachrichten können auch andere Arten von Information enthalten. Abhängig von dem Netzbetreiber und dem System können andere Netzelemente, zwischen denen unterschiedliche Funktionalitäten aufgeteilt sind, auch an der Datenübertragung und Signalisierung teilnehmen. Darüber hinaus ist es möglich, dass das Teilnehmeridentitätsmodul ausgelegt ist, eine Abfrage zu erzeugen und diese in Verbindung mit Authentifizierung zu dem Authentifizierungszentrum zu senden.
  • Auch wenn die Erfindung oben in Verbindung mit Mobilkommunikationssystemen beschrieben wurde, kann der Authentifizierungsalgorithmus der Erfindung auch in Festnetzen angewendet werden, bei denen der Teilnehmer durch das Identitätsmodul authentifiziert wird.
  • Es sollte ersichtlich sein, dass die vorherige Beschreibung und die zugehörigen Zeichnungen die vorliegende Erfindung nur veranschaulichen sollen. Für einen Fachmann auf dem Gebiet ist es offensichtlich, dass die Erfindung variiert werden und modifiziert werden kann, ohne sich dabei vom Umfang der Erfindung, wie in den beigefügten Ansprüchen definiert, zu entfernen.
  • FIGURENLEGENDE
  • 2:
    • generate RAND – Erzeuge RAND
    • retrieve subscriber key Ki abfragen – Frage Teilnehmerschlüssel Ki ab
    • retrieve operator parameter T – Frage Netzbetreiberparameter T ab
    • calculate partial key KE1 – Berechne Teilschlüssel KE1
    • calculate partial key KE2 – Berechne Teilschlüssel KE2
    • calculate intermediate output – Berechne Zwischenausgabe
    • calculate output – Berechne Ausgabe
    • extract SRES and Kc – Extrahiere SRES und Kc
  • 3:
    • Retrieve Ki, T; – Frage Ki, T ab;
    • Generate RAND; – Erzeuge RAND;
    • Calculate SRES and Kc – Berechne SRES und Kc;
    • saue – Speichere
    • calculate SRES and Kc – Berechne SRES und Kc
    • compare – Vergleiche
  • 4:
    • generate RAND – Erzeuge RAND
    • retrieve subscriber key Ki – Frage Teilnehmerschlüssel Ki ab
    • retrieve operator parameter T – Frage Netzbetreiberparameter T ab
    • calculate KE with one way function – Berechne KE mit Einwegfunktion
    • extract SRES from output – Extrahiere SRES aus Ausgabe

Claims (20)

  1. Verfahren zum Ausführen einer Teilnehmerauthentifizierung in einem Telekommunikationssystem, wobei das Verfahren die Schritte umfasst: Definieren eines Schlüssels für den Teilnehmer; Erzeugen einer bei Authentifizierung zu verwendenden Abfrage (401) in einem Authentifizierungszentrum (AuC); gekennzeichnet durch Definieren eines Parameters für den Netzbetreiber des Teilnehmers; Berechnen (404) eines ersten Geheimnisses aus dem Schlüssel und dem Parameter mit einer ersten Einweg-Funktion in dem Authentifizierungszentrum (AuC); Berechnen (405) einer Ausgabe aus der Abfrage und dem ersten Geheimnis mit einer zweiten Einweg-Funktion in dem Authentifizierungszentrum (AuC); Extrahieren (406) einer Authentifizierungsantwort aus der Ausgabe in dem Authentifizierungszentrum (AuC); und Authentifizieren des Teilnehmers mit der Authentifizierungsantwort von dem Teilnehmer.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Verfahren auch die folgenden Schritte umfasst: Speichern des ersten Geheimnisses in einem Teilnehmeridentitätsmodul; und Berechnen (405) einer Ausgabe aus dem ersten Geheimnis und der Abfrage in dem Teilnehmeridentitätsmodul mit der zweiten Einweg-Funktion während der Authentifizierung.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Einweg-Funktion eine Hash-Funktion ist; und die zweite Einweg-Funktion ein Verschlüsselungsalgorithmus ist.
  4. Verfahren zum Ausführen einer Teilnehmerauthentifizierung in einem Telekommunikationssystem, wobei das Verfahren die Schritte umfasst: Definieren eines Schlüssels für den Teilnehmer; Erzeugen (201) einer bei Authentifizierung zu verwendenden Abfrage in einem Authentifizierungszentrum (AuC); gekennzeichnet durch Definieren eines Parameters für den Netzbetreiber des Teilnehmers; Berechnen (204) eines ersten Geheimnisses aus dem Schlüssel und dem Parameter mit einer ersten Einweg-Funktion in dem Authentifizierungszentrum (AuC); Berechnen (205) eines zweiten Geheimnisses aus dem Schlüssel und dem Parameter mit einer zweiten Einweg-Funktion in dem Authentifizierungszentrum (AuC); Berechnen (206) einer Zwischenausgabe aus der Abfrage und dem ersten Geheimnis mit einer dritten Einweg-Funktion in dem Authentifizierungszentrum (AuC); Berechnen (207) einer Ausgabe aus der Zwischenausgabe und dem zweiten Geheimnis mit einer vierten Einweg-Funktion in dem Authentifizierungszentrum (AuC); Extrahieren (208) einer Authentifizierungsantwort aus der Ausgabe in dem Authentifizierungszentrum (AuC); und Authentifizieren des Teilnehmers mit der Authentifizierungsantwort von dem Teilnehmer.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das Verfahren auch die folgenden Schritte umfasst: Maskieren des Schlüssels und Parameters mit einer ersten Maske, bevor das erste Geheimnis berechnet wird; Berechnen (204) des ersten Geheimnisses aus dem maskierten Schlüssel und Parameter; Maskieren des Schlüssels und Parameters mit einer zweiten Maske, bevor das zweite Geheimnis berechnet wird; und Berechnen (205) des zweiten Geheimnisses aus dem maskierten Schlüssel und Parameter.
  6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass das Verfahren auch die folgenden Schritte umfasst: Speichern des ersten und des zweiten Geheimnisses in einem Teilnehmeridentitätsmodul; und Berechnen der Zwischenausgabe aus dem ersten Geheimnis und der Abfrage in dem Teilnehmeridentitätsmodul mit der dritten Einweg-Funktion und der Ausgabe aus der Zwischenausgabe und dem zweiten Geheimnis mit der vierten Einweg-Funktion während der Authentifizierung.
  7. Verfahren nach Anspruch 4, 5 oder 6, dadurch gekennzeichnet, dass die erste und die zweite Einweg-Funktion Hash-Funktionen sind; und die dritte und die vierte Einweg-Funktion Verschlüsselungsalgorithmen sind.
  8. Verfahren nach Anspruch 3 oder 7, dadurch gekennzeichnet, dass die Hash-Funktion eine RIPEMD-128-Funktion ist; und der Verschlüsselungsalgorithmus einen DES-Verschlüsselungsalgorithmus verwendet.
  9. Verfahren nach einem vorigen Ansprüche, dadurch gekennzeichnet, dass der Parameter des Netzbetreibers des Teilnehmers einen Netzbetreiberkode und ein Netzbetreibergeheimnis aufweist.
  10. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das Verfahren ferner einen Schritt umfasst, bei dem ein Verschlüsselungsschlüssel ebenfalls aus der Ausgabe extrahiert wird.
  11. Telekommunikationssystem (GSM) mit einem Teilnehmeridentitätsmodul (SIM), das ausgelegt ist, um an einer Teilnehmerauthentifizierung teilzunehmen; einem Authentifizierungszentrum (AuC), das ausgelegt ist, um Authentifizierungsinformation über den Teilnehmer zu speichern, die wenigstens einen Teilnehmerschlüssel enthält; und wobei das System (GSM) ausgelegt ist, eine Abfrage als Parameter bei Authentifizierung zu verwenden und einen Teilnehmer zu authentifizieren, indem die von dem Teilnehmeridentitätsmodul berechnete Authentifizierungsantwort mit der von dem Authentifizierungszentrum berechneten Authentifizierungsantwort verglichen wird; dadurch gekennzeichnet, dass wenigstens ein Netzbetreiberparameter (T) für den Netzbetreiber des Teilnehmers definiert wird; das Authentifizierungszentrum (AuC) ausgelegt ist, den Netzbetreiberparameter zu speichern, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer ersten Einweg-Funktion ein erstes Geheimnis zu berechnen, aus dem ersten Geheimnis und der Abfrage mit einer zweiten Einweg-Funktion eine Ausgabe zu berechnen und eine Authentifizierungsantwort aus der Ausgabe zu extrahieren; das Teilnehmeridentitätsmodul (SIM) das erste Geheimnis aufweist und ausgelegt ist, aus dem ersten Geheimnis und der Abfrage mit der zweiten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine Authentifizierungsantwort zu extrahieren.
  12. Telekommunikationssystem (GSM) mit einem Teilnehmeridentitätsmodul (SIM), das ausgelegt ist, um an einer Teilnehmerauthentifizierung teilzunehmen; einem Authentifizierungszentrum (AuC), das ausgelegt ist, um Authentifizierungsinformation über den Teilnehmer zu speichern, die wenigstens einen Teilnehmerschlüssel enthält; und wobei das System (GSM) ausgelegt ist, eine Abfrage als ein Parameter bei Authentifizierung zu verwenden und einen Teilnehmer zu authentifizieren, indem die von dem Teilnehmeridentitätsmodul berechnete Authentifizierungsantwort mit der von dem Authentifizierungszentrum berechneten Authentifizierungsantwort verglichen wird; dadurch gekennzeichnet, dass wenigstens ein Netzbetreiberparameter (T) für den Netzbetreiber des Teilnehmers definiert ist; das Authentifizierungszentrum (AuC) ausgelegt ist, den Netzbetreiberparameter zu speichern, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer ersten Einweg-Funktion ein erstes Geheimnis zu berechnen, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer zweiten Einweg-Funktion ein zweites Geheimnis zu berechnen, aus dem ersten Geheimnis und der Abfrage mit einer dritten Einweg-Funktion eine Zwischenausgabe zu berechnen, aus dem zweiten Geheimnis und der Zwischenausgabe mit einer vierten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine Authentifizierungsantwort zu extrahieren; das Teilnehmeridentitätsmodul (SIM) ein erstes und ein zweites Geheimnis umfasst und ausgelegt ist, eine Zwischenausgabe mit einer dritten Einweg-Funktion zu berechnen, aus dem zweiten Geheimnis und der Zwischenausgabe mit einer vierten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine Authentifizierungsantwort zu extrahieren.
  13. Authentifizierungszentrum (AuC) in einem Telekommunikationssystem, das wenigstens einen Teilnehmer umfasst und in dem eine Abfrage als Parameter bei Authentifizierung verwendet wird, wobei das Authentifizierungszentrum ausgelegt ist, Authentifizierungsinformation über den Teilnehmer zu speichern, die wenigstens einen Teilnehmerschlüssel aufweist, dadurch gekennzeichnet, dass das Authentifizierungszentrum (AuC) ausgelegt ist, einen für den Netzbetreiber des Teilnehmers definierten Netzbetreiberparameter zu speichern, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer ersten Einweg-Funktion ein erstes Geheimnis zu berechnen; aus dem ersten Geheimnis und der Abfrage mit einer zweiten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine bei Authentifizierung zu verwendende Authentifizierungsantwort zu extrahieren.
  14. Authentifizierungszentrum (AuC) in einem Telekommunikationssystem, das wenigstens einen Teilnehmer umfasst, für den als Authentifizierungsinformation ein Teilnehmerschlüssel definiert ist, und in dem eine Abfrage als Parameter bei Authentifizierung verwendet wird, dadurch gekennzeichnet, dass das Authentifizierungszentrum (AuC) ausgelegt ist, ein erstes aus dem Teilnehmerschlüssel und einem für den Netzbetreiber des Teilnehmers definierten Netzbetreiberparameter mit einer ersten Einweg-Funktion berechnetes Geheimnis zu speichern, aus dem ersten Geheimnis und der Abfrage mit einer zweiten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine bei Authentifizierung zu verwendende Authentifizierungsantwort zu extrahieren.
  15. Authentifizierungszentrum (AuC) in einem Telekommunikationssystem, das wenigstens einen Teilnehmer umfasst und in dem eine Abfrage als Parameter bei Authentifizierung verwendet wird, wobei das Authentifizierungszentrum ausgelegt ist, Authentifizierungsinformation über den Teilnehmer zu speichern, die wenigstens einen Teilnehmerschlüssel aufweist, dadurch gekennzeichnet, dass das Authentifizierungszentrum (AuC) ausgelegt ist, einen für den Netzbetreiber des Teilnehmers definierten Netzbetreiberparameter zu speichern, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer ersten Einweg-Funktion ein erstes Geheimnis zu berechnen, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer zweiten Einweg-Funktion ein zweites Geheimnis zu berechnen, aus dem ersten Geheimnis und der Abfrage mit einer dritten Einweg-Funktion eine Zwischenausgabe zu berechnen, aus dem zweiten Geheimnis und der Zwischenausgabe mit einer vierten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine Authentifizierungsantwort zu extrahieren.
  16. Authentifizierungszentrum (AuC) in einem Telekommunikationssystem, das wenigstens einen Teilnehmer umfasst, für den als Authentifizierungsinformation ein Teilnehmerschlüssel definiert ist, und in dem eine Abfrage als Parameter bei Authentifizierung verwendet wird, dadurch gekennzeichnet, dass das Authentifizierungszentrum (AuC) ausgelegt ist, ein erstes aus dem Teilnehmerschlüssel und einem für den Netzbetreiber des Teilnehmers definierten Netzbetreiberparameter mit einer ersten Einweg-Funktion berechnetes Geheimnis und ein zweites aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer zweiten Einweg-Funktion berechnetes Geheimnis zu speichern, aus dem ersten Geheimnis und der Abfrage mit einer dritten Einweg-Funktion eine Zwischenausgabe zu berechnen, aus dem zweiten Geheimnis und der Zwischenausgabe mit einer vierten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine Authentifizierungsantwort zu extrahieren.
  17. Teilnehmeridentitätsmodul (SIM), das mit dem Endgerät verbunden werden kann, das von einem Teilnehmer in einem Telekommunikationssystem verwendet wird, wo eine Abfrage als ein Parameter bei Authentifizierung verwendet wird, wobei das Identitätsmodul einen Teilnehmerschlüssel enthält, dadurch gekennzeichnet, dass das Teilnehmeridentitätsmodul (SIM) auch einen für den Netzbetreiber des Teilnehmers definierten Netzbetreiberparameter umfasst; und ausgelegt ist, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer ersten Einweg-Funktion ein erstes Geheimnis zu berechnen, aus dem ersten Geheimnis und der Abfrage mit einer zweiten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine bei Authentifizierung zu verwendende Authentifizierungsantwort zu extrahieren.
  18. Teilnehmeridentitätsmodul (SIM), das mit dem Endgerät verbunden werden kann, das von einem Teilnehmer in einem Telekommunikationssystem verwendet wird, das bei Authentifizierung einen Teilnehmerschlüssel und eine Abfrage als den Parameter verwendet, dadurch gekennzeichnet, dass das Teilnehmeridentitätsmodul (SIM) ein erstes aus dem Teilnehmerschlüssel und einem für den Netzbetreiber des Teilnehmers definierten Netzbetreiberparameter mit einer ersten Einweg-Funktion berechnetes Geheimnis aufweist; und ausgelegt ist, aus dem ersten Geheimnis und der Abfrage mit einer zweiten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine bei Authentifizierung zu verwendende Authentifizierungsantwort zu extrahieren.
  19. Teilnehmeridentitätsmodul (SIM), das mit dem Endgerät verbunden werden kann, das von einem Teilnehmer in einem Telekommunikationssystem verwendet wird, wo eine Abfrage als der Parameter bei Authentifizierung verwendet wird, wobei das Identitätsmodul einen Teilnehmerschlüssel enthält, dadurch gekennzeichnet, dass das Teilnehmeridentitätsmodul (SIM) auch einen für den Netzbetreiber des Teilnehmers definierten Netzbetreiberparameter umfasst; und ausgelegt ist, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer ersten Einweg-Funktion ein erstes Geheimnis zu berechnen, aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer zweiten Einweg-Funktion ein zweites Geheimnis zu berechnen, aus dem ersten Geheimnis und der Abfrage mit einer dritten Einweg-Funktion eine Zwischenausgabe zu berechnen, aus dem zweiten Geheimnis und der Zwischenausgabe mit einer vierten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine bei Authentifizierung zu verwendende Authentifizierungsantwort zu extrahieren.
  20. Teilnehmeridentitätsmodul (SIM), das mit dem Endgerät verbunden werden kann, das von einem Teilnehmer in einem Telekommunikationssystem verwendet wird, das bei Authentifizierung einen Teilnehmerschlüssel und eine Abfrage als den Parameter verwendet, dadurch gekennzeichnet, dass das Teilnehmeridentitätsmodul (SIM) ein erstes aus dem Teilnehmerschlüssel und einem für den Netzbetreiber des Teilnehmers definierten Netzbetreiberpara meter mit einer ersten Einweg-Funktion berechnetes Geheimnis und ein zweites aus dem Teilnehmerschlüssel und dem Netzbetreiberparameter mit einer zweiten Einweg-Funktion berechnetes Geheimnis aufweist; und ausgelegt ist, aus der Abfrage des Teilnehmers und dem ersten Geheimnis mit einer dritten Einweg-Funktion eine Zwischenausgabe zu berechnen, aus der Zwischenausgabe und dem zweiten Geheimnis mit einer vierten Einweg-Funktion eine Ausgabe zu berechnen und aus der Ausgabe eine Authentifizierungsantwort zu extrahieren.
DE60129311T 2000-03-30 2001-03-26 Teilnehmerauthentifizierung Expired - Lifetime DE60129311T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FI20000732 2000-03-30
FI20000732A FI109864B (fi) 2000-03-30 2000-03-30 Tilaajan autentikaatio
PCT/FI2001/000293 WO2001076298A1 (en) 2000-03-30 2001-03-26 Subscriber authentication

Publications (2)

Publication Number Publication Date
DE60129311D1 DE60129311D1 (de) 2007-08-23
DE60129311T2 true DE60129311T2 (de) 2008-03-13

Family

ID=8558057

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60129311T Expired - Lifetime DE60129311T2 (de) 2000-03-30 2001-03-26 Teilnehmerauthentifizierung

Country Status (12)

Country Link
US (2) US8503676B2 (de)
EP (1) EP1277368B1 (de)
JP (2) JP4559689B2 (de)
KR (1) KR100775671B1 (de)
CN (2) CN1256002C (de)
AT (1) ATE367067T1 (de)
AU (1) AU2001250440A1 (de)
CA (1) CA2404551C (de)
DE (1) DE60129311T2 (de)
ES (1) ES2288508T3 (de)
FI (1) FI109864B (de)
WO (1) WO2001076298A1 (de)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10128300A1 (de) * 2001-06-12 2003-01-09 Giesecke & Devrient Gmbh Authentisierungsverfahren
US20040003059A1 (en) * 2002-06-26 2004-01-01 Kitchin Duncan M. Active key for wireless device configuration
EP1606925A4 (de) 2003-03-18 2010-01-20 Qualcomm Inc Authentifizierung zwischen einem cdma-netzwerk und einem gsm-netzwerk
FI116654B (fi) * 2003-10-23 2006-01-13 Siltanet Ltd Menetelmä käyttäjän autentikoimiseksi
US7302060B2 (en) * 2003-11-10 2007-11-27 Qualcomm Incorporated Method and application for authentication of a wireless communication using an expiration marker
US7765404B2 (en) * 2004-06-29 2010-07-27 Nokia Corporation Providing content in a communication system
US8611536B2 (en) * 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
CN1767430B (zh) * 2004-10-27 2010-04-21 华为技术有限公司 鉴权方法
JP2008535427A (ja) * 2005-04-07 2008-08-28 フランス テレコム データ処理デバイスとセキュリティモジュールとの間のセキュア通信
CN100466806C (zh) * 2005-04-11 2009-03-04 华为技术有限公司 一种移动终端和网络设备之间的鉴权方法
DE102005026982A1 (de) * 2005-06-10 2006-12-14 Siemens Ag Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung
US8229398B2 (en) * 2006-01-30 2012-07-24 Qualcomm Incorporated GSM authentication in a CDMA network
KR100766313B1 (ko) 2006-05-30 2007-10-11 삼성전자주식회사 이동통신단말기에서 보안 키의 암호화 장치 및 방법
JP2007329688A (ja) * 2006-06-07 2007-12-20 Canon Inc データ処理装置およびその方法
EP2192485A1 (de) * 2008-11-25 2010-06-02 Research in Motion System und Verfahren zum Laden von Software in ein Mobilfunkgerät über Funk
KR101211927B1 (ko) * 2008-12-18 2012-12-13 한국전자통신연구원 유비쿼터스 환경에서 디바이스 인식정보를 활용한 인증 장치 및 방법
WO2012159366A1 (zh) * 2011-08-03 2012-11-29 华为技术有限公司 数据管理方法和装置
EP2965488B1 (de) * 2013-03-08 2020-04-29 NEC Corporation Verfahren und system zur herstellung einer kommunikation zwischen einer benutzervorrichtung und einem server
KR102182894B1 (ko) * 2014-02-28 2020-11-26 삼성전자주식회사 패스워드 기반의 인증을 수행하는 사용자 장치 및 그것의 패스워드 등록 방법 및 인증 방법
EP2950254A1 (de) * 2014-05-30 2015-12-02 Deutsche Telekom AG Transaktionsautorisierungssystem
EP3468130A1 (de) * 2017-10-06 2019-04-10 Gemalto Sa Verfahren zur übermittlung eines verschlüsselten identifizers, der in einem sicherheitselement enthalten ist, auf ein physisches oder virtuelles element eines telekommunikationsnetzes, entsprechendes sicherheitselement, physisches oder virtuelles element und terminal, das mit diesem sicherheitselement zusammenarbeitet.
WO2019220270A1 (en) 2018-05-14 2019-11-21 nChain Holdings Limited Computer-implemented systems and methods for using a blockchain to perform an atomic swap
CN111770494B (zh) * 2020-06-17 2023-05-23 中国人民解放军国防科技大学 一种基于手机号的北斗rdss用户身份认证和火线注册方法及装置
US20230394471A1 (en) * 2022-06-03 2023-12-07 Paypal, Inc. Facilitating cryptocurrency-based transactions with time constraint

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5239294A (en) * 1989-07-12 1993-08-24 Motorola, Inc. Method and apparatus for authenication and protection of subscribers in telecommunication systems
FI90181C (fi) * 1992-02-24 1993-12-27 Nokia Telecommunications Oy Telekommunikationssystem och ett abonnentautenticeringsfoerfarande
US5455863A (en) * 1993-06-29 1995-10-03 Motorola, Inc. Method and apparatus for efficient real-time authentication and encryption in a communication system
WO1995015066A1 (en) * 1993-11-24 1995-06-01 Telefonaktiebolaget Lm Ericsson Authentication for analog communication systems
FR2718312B1 (fr) 1994-03-29 1996-06-07 Rola Nevoux Procédé d'authentification combinée d'un terminal de télécommunication et d'un module d'utilisateur.
GB9416595D0 (en) * 1994-08-17 1994-10-12 British Telecomm User authentication in a communications network
US5598459A (en) * 1995-06-29 1997-01-28 Ericsson Inc. Authentication and handover methods and systems for radio personal communications
US5991407A (en) * 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
DE19547110A1 (de) * 1995-12-16 1997-06-19 Sel Alcatel Ag Mobilfunksystem mit leitungsgebundenen Teilnehmeranschlüssen
AUPO323496A0 (en) * 1996-10-25 1996-11-21 Monash University Digital message encryption and authentication
US6105133A (en) * 1997-03-10 2000-08-15 The Pacid Group Bilateral authentication and encryption system
FI106604B (fi) * 1997-04-16 2001-02-28 Nokia Networks Oy Menetelmä tilaajan identiteetin suojaamiseksi
FI106605B (fi) * 1997-04-16 2001-02-28 Nokia Networks Oy Autentikointimenetelmä
US7246098B1 (en) * 1997-07-15 2007-07-17 Silverbrook Research Pty Ltd Consumable authentication protocol and system
FI105253B (fi) 1997-11-11 2000-06-30 Sonera Oyj Siemenluvun generointi
DE19820422A1 (de) * 1998-05-07 1999-11-11 Giesecke & Devrient Gmbh Verfahren zur Authentisierung einer Chipkarte innerhalb eines Nachrichtenübertragungs-Netzwerks
US6338140B1 (en) * 1998-07-27 2002-01-08 Iridium Llc Method and system for validating subscriber identities in a communications network
US6918035B1 (en) * 1998-07-31 2005-07-12 Lucent Technologies Inc. Method for two-party authentication and key agreement
US6243811B1 (en) * 1998-07-31 2001-06-05 Lucent Technologies Inc. Method for updating secret shared data in a wireless communication system
US6591364B1 (en) * 1998-08-28 2003-07-08 Lucent Technologies Inc. Method for establishing session key agreement
DE19850665A1 (de) * 1998-11-03 2000-05-04 Siemens Ag Verfahren und Anordnung zur Authentifikation von einer ersten Instanz und einer zweiten Instanz
US7415110B1 (en) * 1999-03-24 2008-08-19 Intel Corporation Method and apparatus for the generation of cryptographic keys
US6839434B1 (en) * 1999-07-28 2005-01-04 Lucent Technologies Inc. Method and apparatus for performing a key update using bidirectional validation
US6865673B1 (en) * 2000-03-21 2005-03-08 3Com Corporation Method for secure installation of device in packet based communication network
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä

Also Published As

Publication number Publication date
CA2404551A1 (en) 2001-10-11
FI109864B (fi) 2002-10-15
EP1277368A1 (de) 2003-01-22
FI20000732A0 (fi) 2000-03-30
CN1419793A (zh) 2003-05-21
FI20000732A (fi) 2001-10-01
CN1256002C (zh) 2006-05-10
JP2003530046A (ja) 2003-10-07
KR20020093016A (ko) 2002-12-12
JP4676968B2 (ja) 2011-04-27
US8503676B2 (en) 2013-08-06
USRE45873E1 (en) 2016-01-26
DE60129311D1 (de) 2007-08-23
ES2288508T3 (es) 2008-01-16
CN1665339A (zh) 2005-09-07
EP1277368B1 (de) 2007-07-11
JP2007234030A (ja) 2007-09-13
CA2404551C (en) 2009-02-17
KR100775671B1 (ko) 2007-11-13
ATE367067T1 (de) 2007-08-15
WO2001076298A1 (en) 2001-10-11
US20030101345A1 (en) 2003-05-29
AU2001250440A1 (en) 2001-10-15
CN100446618C (zh) 2008-12-24
JP4559689B2 (ja) 2010-10-13

Similar Documents

Publication Publication Date Title
DE60129311T2 (de) Teilnehmerauthentifizierung
DE69635714T2 (de) Teilnehmer authentifizierung in einem mobilen kommunikationssystem
DE69914999T2 (de) Verfahren zur Authentisierung und Absprache zwischen zwei Teilnehmern
DE69727641T2 (de) Verfahren zum Senden einer sicheren Botschaft in einem Telekommunikationssystem
DE69736384T2 (de) Verwaltung von authentifizierungsschlüsseln in einem mobilen kommunikationssystem
DE60002700T2 (de) Verbessertes Verfahren für die Authentifikation des Teilnehmerkennungsmoduls eines Benutzers
DE60117726T2 (de) System und Verfahren zur Schlüsselumwandlung
DE69731665T2 (de) Verhinderung des missbrauchs einer kodierten teilnehmeridentität in einem mobilfunksystem
DE60113925T2 (de) Integritätsprüfung in einem kommunikationssystem
DE69937322T2 (de) Verfahren zum Aktualisieren von geheimen gemeinsam genutzten Daten in einem drahtlosen Kommunikationssystem
DE60125519T2 (de) Zählerinitialisierung, insbesondere für funkrahmen
DE69921039T2 (de) Verfahren zur Erstellung eines Schlüssels unter Verwendung einer Funkkommunikation und eines Kennwortprotokolls
DE69534012T2 (de) Authentifizierungsverfahren für mobile Kommunikation
DE60017292T2 (de) Authentifizierungsverfahren zwischen einem Teilnehmer und einem Dienstleister, der durch einen Netzbetreiber erreichbar ist, mittels Bereitstellung eines gesicherten Kanals
DE60310968T2 (de) Sicherheits- und Privatsphärenverbesserungen für Sicherheitseinrichtungen
EP1952574B1 (de) Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks
DE69929574T2 (de) Verfahren zur Sicherung einer Funkverbindung in einem drahtlosen System
DE602004004844T2 (de) Authentifizierung des Zugriffs auf ein drahtloses Local Area Network basierend auf Sicherheitswerte(n), die einem zellularen Mobilfunksystem zugeordnet sind
DE60024728T2 (de) Verfahren und Vorrichtung zur Schlüsselaktualisierung mittels gegenseitiger Validierung
DE69806886T2 (de) Verstärkung des Authentifizierungsprotokolls für schnurlose Kommunikationssyteme
DE69518521T2 (de) Verfahren und einrichtung zur schlüsselumwandlung zur unterscheidung zwischen veschiedenen netzen
DE60037390T2 (de) Authentifikation in einem mobilen kommunikationssystem
DE602004011554T2 (de) Verfahren und vorrichtung zum authentifizieren bei der drahtlosen kommunikation
DE60001277T2 (de) Integritätsschutzmethode für signalisierung in einem funknetz
EP0980635B1 (de) Verfahren und vorrichtung zum authentisieren von mobilfunkteilnehmern

Legal Events

Date Code Title Description
8364 No opposition during term of opposition