專利名稱:在無線電話網(wǎng)絡(luò)中的鑒權(quán)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到在數(shù)字小區(qū)無線電話網(wǎng)絡(luò)中在移動無線電話終端和路由子系統(tǒng)(通常稱之為固定網(wǎng)絡(luò))之間的鑒權(quán)的方法。更確切地說����,本發(fā)明改進(jìn)了能夠從終端中移除的微處理器卡或模塊(被稱為SIM(用戶身份模塊)芯片卡)與無線電話網(wǎng)絡(luò)的鑒權(quán)中心之間通過無線接口進(jìn)行的鑒權(quán)。
正如附
圖1中示意性地表明的那樣����,一個屬于GSM類型的數(shù)字蜂窩無線電話網(wǎng)絡(luò)RR(下文將以范例的形式來引用它),原理上包含了若干移動無線電話終端MS和一個固定的網(wǎng)絡(luò)��,正常情況下在后者中主要流動著信令��、控制、數(shù)據(jù)和語音消息�����。
在附圖1所示的網(wǎng)絡(luò)RR中��,主要描繪了一些主要的讓數(shù)據(jù)流經(jīng)的實體����,這些數(shù)據(jù)是要傳送給在某個瞬間處于某個位置區(qū)域的移動終端MS的。這些實體是連接到一個以上的��、附帶內(nèi)置的在電話交換網(wǎng)RTC中的路由功能的電話交換機(jī)CAA的移動服務(wù)交換機(jī)MSC��,這些CAA為來訪移動終端的通信提供管理功能��,其中包括終端MS——在給定時刻它正位于由該交換機(jī)MSC來提供服務(wù)的相應(yīng)的位置區(qū)域內(nèi)�����。訪問者位置記錄器VLR連接到了交換機(jī)MSC����,并包含處于其位置區(qū)域內(nèi)的移動終端(也就是其中的SIM卡)的一些特征信息,譬如身份碼和注冊簡檔����。連接到交換機(jī)MSC的基站控制器BSC主要管理著移動終端的信道分配�����、基站功率、以及移動終端在小區(qū)間的切換�。連接到控制器BSC的基站BTS對于給定時刻終端MS所處在的無線小區(qū)進(jìn)行覆蓋。
無線電話網(wǎng)絡(luò)RR中還包含標(biāo)稱的位置記錄器HLR��,后者與鑒權(quán)中心AUC相合作���,并通過無線電話網(wǎng)絡(luò)RR的信令網(wǎng)連接到移動服務(wù)的交換機(jī)群���。
記錄器HLR基本上就是一個如同記錄器VLR一樣的數(shù)據(jù)庫,它為每個終端MS保存了其SIM卡的(也即擁有該SIM卡的用戶的)國際身份碼IMSI(國際移動用戶身份碼)����、電話號碼、該用戶的注冊簡檔�,以及移動終端所連接到的記錄器VLR的號碼,當(dāng)在位置區(qū)域之間轉(zhuǎn)移時該VLR被更新�。
鑒權(quán)中心AUC對用戶進(jìn)行鑒權(quán)�����,并參與對通過終端MS及其在給定時刻所連結(jié)的基站BTS之間的無線接口IR進(jìn)行傳輸?shù)臄?shù)據(jù)的加解密����。在與終端MS進(jìn)行的所有通信之前、或者當(dāng)終端開機(jī)或在越區(qū)切換的時刻�����,它管理用于確定密碼鍵值的符合GSM標(biāo)準(zhǔn)的鑒權(quán)算法A3和算法A8(有時合并成單個的算法A38)�,在移動終端MS的SIM卡中也有冗余的一份算法�����。特別地���,當(dāng)用戶獲得注冊時,鑒權(quán)中心AUC將保存一個鑒權(quán)鍵值Ki�����,該鍵值是對應(yīng)于保存在標(biāo)稱的位置記錄器HLR中的用戶的身份碼IMSI而專門分配給該用戶的。
在所有事情中���,對移動無線電話終端進(jìn)行鑒權(quán)以便能夠識別該用戶是很重要的��。為了保證最大限度的靈活性�,鑒權(quán)中心不對移動終端MS本身進(jìn)行鑒權(quán)�����,而是對其所包含的芯片卡SIM進(jìn)行鑒權(quán)�����。這個卡包含著分配給該用戶的鍵值Ki��,并通過其所已知的鑒權(quán)算法A3而在不泄漏原鍵值的條件下來驗證鍵值�����。固定網(wǎng)絡(luò)向該卡發(fā)送一個隨機(jī)數(shù)RAND(質(zhì)詢),要求這個卡把該隨機(jī)數(shù)和鍵值輸入到鑒權(quán)算法中去執(zhí)行一次密碼運(yùn)算�����,并以GSM標(biāo)準(zhǔn)的署名響應(yīng)SRES(簽名響應(yīng))的形式返回結(jié)果。對于一個惡意地希望以SIM卡擁有者的帳號記帳而建立無線電話連接的第三方“攻擊者”而言,預(yù)測該隨機(jī)數(shù)是非常困難的�����。在不知道密鑰的情況下,攻擊者不能偽造出響應(yīng)。隨機(jī)數(shù)的位數(shù)的規(guī)模防止了攻擊者把所有簽署隨機(jī)數(shù)/響應(yīng)對的數(shù)值保存在一個字典中。這樣�����,在無線電話網(wǎng)中的鑒權(quán)過程就鑒別了包含鍵值的該SIM卡��。
簡要地說����,此鑒權(quán)過程包含如下步驟首先,當(dāng)移動電話服務(wù)的注一旦剛被建立����,以及此后每次記錄器HLR用盡了其儲備的三元組(隨機(jī)數(shù),署名響應(yīng)�,加密鍵值)的時候,根據(jù)用戶的SIM卡的身份碼IMSI���,由鑒權(quán)中心AUC選擇一些隨機(jī)數(shù)RAND����,并且一方面應(yīng)用鑒權(quán)算法A3���,以所選擇的數(shù)值RAND和分配給用戶的鍵值Ki的函數(shù)的方式來對應(yīng)地確定一些署名響應(yīng)��,另一方面應(yīng)用鑒權(quán)算法A8�,以所選擇的數(shù)值RAND和鍵值Ki的函數(shù)的方式來對應(yīng)地確定一些加密鍵值,以便把該三元組提供給位置記錄器HLR�����;每當(dāng)被SIM卡剛剛連接的訪問者位置記錄器VLR請求對該卡進(jìn)行鑒權(quán)����,記錄器HLR就選擇至少一個三元組并將其提供給記錄器VLR,以便把所選擇的三元組的隨機(jī)數(shù)通過固定網(wǎng)絡(luò)和移動終端MS發(fā)送到SIM卡��;SIM卡執(zhí)行密碼運(yùn)算����,把傳輸來的隨機(jī)數(shù)值和鍵值Ki提供給鑒權(quán)算法A3以便產(chǎn)生署名響應(yīng)SRES,并把它返回給記錄器VLR�;記錄器VLR將署名響應(yīng)SRES和所選擇的三元組中的那個數(shù)相比較,而當(dāng)出現(xiàn)相等情形時����,該卡就被鑒定是真的了。
盡管這樣的鑒權(quán)過程能夠允許固定網(wǎng)絡(luò)對卡進(jìn)行鑒權(quán)��,但另一方面它并不能允許SIM卡來對固定網(wǎng)絡(luò)進(jìn)行鑒權(quán)�。并沒有提供任何相互的鑒權(quán)��。
除這一缺點(diǎn)之外還有一點(diǎn)就是容許無限次地選擇任意數(shù)值發(fā)送給SIM卡。
這兩個缺點(diǎn)使得SIM卡對于通過輔助信道的攻擊(諸如電流攻擊)或者通過邏輯手段(譬如涉及密碼分析學(xué)的)的攻擊變得脆弱�。
在密碼學(xué)的領(lǐng)域,有幾種攻擊類型是眾所周知的����,它們被用來獲得作用于某種加密運(yùn)算的鍵值。
這些攻擊中的第一種��,也是最簡單的一種���,就是獲得一個隨機(jī)數(shù)以及由這個數(shù)值產(chǎn)生的鑒權(quán)算法的結(jié)果�����,并把所有可能的鍵值和這一隨機(jī)數(shù)輸入到算法中直到得出前面所得到的結(jié)果�����。在GSM網(wǎng)絡(luò)的鑒權(quán)場合中�����,這種所謂的蠻力攻擊平均需要2127次(也就是1后面跟著38個零所構(gòu)成的數(shù))的加密運(yùn)算才能獲得該鍵值���。盡管這種攻擊并不需要用到卡(因為該計算可以在微計算機(jī)上完成)����,但所需要花費(fèi)的時間將過于漫長了采用每秒可以完成10000次運(yùn)算的計算機(jī)�,這種攻擊將需要耗費(fèi)5×1026年。
第二種攻擊用到了密碼算法中的設(shè)計缺陷�����。對于這種攻擊���,經(jīng)常需要把挑選出來的消息輸入到算法中并對結(jié)果進(jìn)行分析�。據(jù)報道一種稱為COMP128的算法已受到了攻擊�����,該算法被用于根據(jù)GSM標(biāo)準(zhǔn)的鑒權(quán)和確定A3A8加密鍵值的算法����。它平均需要選擇160,000個隨機(jī)數(shù)并獲得相應(yīng)的結(jié)果。在當(dāng)前的GSM環(huán)境中���,這種攻擊是能夠被運(yùn)用的����,因為SIM卡能夠以攻擊者所需要的任意多次數(shù)來對任意隨機(jī)數(shù)執(zhí)行密碼運(yùn)算���,這足以破解SIM卡��。
最后�����,第三種攻擊使用了“邊信道”����。這些邊信道傳遞著秘密數(shù)據(jù)的信息�,一般是實施密碼函數(shù)時的物理量。邊信道一個典型的例子就是芯片卡所消耗的功率����。一種采用這種信道的攻擊就是DPA(差分功率分析),目前它需要用已知但不必是挑選出來的隨機(jī)數(shù)執(zhí)行數(shù)千次密碼算法�。這種攻擊是完全可實現(xiàn)的,只要該攻擊者擁有這個SIM卡���。
本發(fā)明的目標(biāo)就是補(bǔ)救上述所評論的鑒權(quán)過程的缺陷�����,特別是使得后面兩種類型的攻擊變得相當(dāng)困難����,并且不需要改動無線電話網(wǎng)絡(luò)的硬件,而基本上只需要修改與鑒權(quán)有關(guān)的少數(shù)軟件�。
至此,提出一種在電信網(wǎng)絡(luò)中的第一實體和第二實體之間的包含如下步驟的鑒權(quán)方法把第一和第二實體中分別存儲的第一個鍵值���、和由第二實體所產(chǎn)生并從第二實體傳送給第一實體的一個隨機(jī)數(shù)分別提供給存儲在第一和第二實體中的第一種相同的算法��,并在第二實體中�����,對第一實體中所存儲的第一種算法所產(chǎn)生并傳送給第二實體的結(jié)果���、與第二實體中存儲的第一種算法所產(chǎn)生的結(jié)果進(jìn)行比較。其特征在于預(yù)先執(zhí)行的以下步驟把第一和第二實體中分別存儲的第二個鍵值和由第二實體所產(chǎn)生并從第二實體傳送給第一實體的那個隨機(jī)數(shù)分別提供給存儲在第二和第一實體中的第二種相同的算法��,并在第一實體中����,對第二實體中的第二種算法所產(chǎn)生并連同隨機(jī)數(shù)傳送給第一實體的簽名與第一實體中的第二種算法所產(chǎn)生的簽名結(jié)果進(jìn)行比較;而僅當(dāng)傳輸來的簽名和該簽名結(jié)果相同時��,才在第一實體中把第一個鍵值和該隨機(jī)數(shù)提送給第一種算法。
根據(jù)優(yōu)選的實施方案���,第一實體和第二實體分別是無線電話網(wǎng)絡(luò)中的無線電話終端和固定網(wǎng)絡(luò)�。在固定網(wǎng)絡(luò)對終端進(jìn)行鑒權(quán)(包含應(yīng)用第一種算法并對響應(yīng)與響應(yīng)結(jié)果進(jìn)行比較的步驟)之前��,所述應(yīng)用第二種算法并對簽名與簽名結(jié)果進(jìn)行比較的這些步驟構(gòu)成了終端對固定網(wǎng)絡(luò)的鑒權(quán)��。由此���,本發(fā)明的方法增加了一次鑒權(quán)并把它和對終端的鑒權(quán)相結(jié)合,允許終端僅在對固定網(wǎng)絡(luò)完成鑒權(quán)之后才執(zhí)行對它的鑒權(quán)��,這使得終端對于上述的后兩種類型的攻擊變得不脆弱得多���。
在終端中�����,該隨機(jī)數(shù)首先用于鑒別網(wǎng)絡(luò)而不是終端����。接著該隨機(jī)數(shù)又用于網(wǎng)絡(luò)設(shè)備對終端的鑒權(quán)���。對于這第二種鑒權(quán)�����,優(yōu)選的是在第二實體中將簽名連同所產(chǎn)生的隨機(jī)數(shù)一起提供給第一種算法��,而在第一實體中把傳送來簽名和隨機(jī)數(shù)值一起提供給第一種算法��。該隨機(jī)數(shù)和簽名可以分別具有Q比特和(P-Q)比特��,而P是一個整數(shù)常數(shù)��。
本發(fā)明使得上述的攻擊變得非常困難����、或者實際上是不可能的。攻擊者必需偵聽在網(wǎng)絡(luò)上激活的SIM卡才能獲得有效的隨機(jī)數(shù)�,并且為了能夠發(fā)起攻擊必需搜集足夠數(shù)量的隨機(jī)數(shù)值。
這遠(yuǎn)遠(yuǎn)不是容易的事情攻擊者并不能控制無線電話網(wǎng)絡(luò)中的鑒權(quán)過程的頻率����。考慮到GSM網(wǎng)絡(luò)中對SIM卡的鑒權(quán)次數(shù)是變動的并依賴于網(wǎng)絡(luò)的�����,這種攻擊將耗費(fèi)大量的時間。
本發(fā)明的第一個優(yōu)點(diǎn)就是由兩次連續(xù)的鑒權(quán)組成���,這使得在SIM卡被激活和被網(wǎng)絡(luò)識別之前�,對于該SIM不可能驗證所需要獲得的隨機(jī)數(shù)值���。這將阻止在銷售點(diǎn)發(fā)起攻擊�����,而目前的技術(shù)發(fā)展?fàn)顟B(tài)下,在卡被激活(即售出)開始使用之前�,銷售商可以攻擊其存貨中的卡并制造復(fù)制品。
本發(fā)明使得大多數(shù)的密碼分析攻擊成為不可能���,特別是那些需要選定隨機(jī)數(shù)的攻擊����。這是因為為了使卡執(zhí)行密碼運(yùn)算����,只有使用被驗明了的隨機(jī)數(shù)值,而這些數(shù)值并不具有攻擊者所需要的格式。
本發(fā)明使得采用邊信道的攻擊方式特別難以奏效��,因為這需要大量的硬件和大量的時間來獲得有效的隨機(jī)數(shù)值����。從花費(fèi)和時間上講,這種攻擊的代價使得其本身遠(yuǎn)遠(yuǎn)難以是有利可圖的���,并易于使眾多的盜打電話者氣餒��。
由此�,本發(fā)明相當(dāng)程度地改進(jìn)了無線電話網(wǎng)絡(luò)中的鑒權(quán)過程的安全性����。它只需要對SIM卡、第一實體�����、第二實體內(nèi)所包含的標(biāo)稱的記錄器和鑒權(quán)中心的軟件作一些修改����,而對網(wǎng)絡(luò)的基礎(chǔ)結(jié)構(gòu)沒有任何影響。這樣的改動可以是逐步完成的而不必中斷固定網(wǎng)絡(luò)��。
本發(fā)明可以包括這樣的步驟每當(dāng)傳送來的簽名和簽名結(jié)果不一樣的時候并且只要某個變量小于一個預(yù)定數(shù)值(優(yōu)選情形下的該數(shù)值是可編程的)的時候,可以在第一實體(譬如終端)中對這個變量進(jìn)行遞增并斷開實體間的連接��,并且當(dāng)該變量至少等于某個預(yù)定數(shù)值的時候��,第一實體拒絕建立第一實體對第二實體(譬如固定設(shè)備)的任何接入���。拒絕建立任何接入的步驟可以伴隨著使得對第一實體的使用僅僅限于內(nèi)部的��,或者禁止任何對第一實體的使用����。
特別是在無線電話網(wǎng)絡(luò)的環(huán)境中�,在終端內(nèi)應(yīng)用第二個鍵值之前,在固定網(wǎng)絡(luò)中用于鑒權(quán)和記錄終端身份號的裝置需要確定一些三元組��,其每個三元組都包含一個隨機(jī)數(shù)�、以及對應(yīng)于該隨機(jī)數(shù)的一個簽名和一個響應(yīng)結(jié)果����。在鑒權(quán)之前(也就是在應(yīng)用這些步驟之前),在包含鑒權(quán)中心的固定網(wǎng)中�,要根據(jù)該隨機(jī)數(shù)、簽名��、以及第一個和第二個鍵值中的至少一個來確定一個加密鍵值。在鑒權(quán)之后��,僅當(dāng)該響應(yīng)與用來進(jìn)行比較的響應(yīng)結(jié)果相同的時候����,在終端才執(zhí)行確定一個作為隨機(jī)數(shù)值、簽名��、和第一個和第二個鍵值中的至少一個鍵值的函數(shù)的加密鍵值的步驟��。
根據(jù)其他能進(jìn)一步提高第一實體和第二實體之間的數(shù)據(jù)交換的安全性的變型方案��,在第二實體中的第二個鍵值是第二個密鑰����,而在第一實體中的第二個鍵值是不同于第二個密鑰的公鑰。在類似的情形下����,第一實體中第一個鍵值是第一個密鑰,而第二實體中的第一個鍵值是不同于第一個密鑰的公鑰�����。
本發(fā)明也涉及到身份碼模塊�,譬如第一實體(譬如移動無線終端)中的用戶身份卡�����,其特征在于它包含至少能存儲第二種算法和至少第二個鍵值的裝置����,以及至少能根據(jù)本發(fā)明來執(zhí)行應(yīng)用第一種鑒權(quán)并比較簽名和簽名結(jié)果的步驟的裝置�。
隨著參考相應(yīng)的附圖來閱讀下面對幾種優(yōu)選實施方案的描述,本發(fā)明的其他特征和優(yōu)點(diǎn)將變得更清晰附圖1是一個數(shù)字蜂窩無線電話網(wǎng)絡(luò)的示意性模塊圖�����;附圖2給出根據(jù)本發(fā)明的鑒權(quán)方法的步驟���。
在下文中�,本發(fā)明的方法是在GSM類型的無線電話網(wǎng)絡(luò)RR的環(huán)境中來加以描述的����,該環(huán)境已經(jīng)參考附圖1表述過了����,而本發(fā)明的方法基本上只需要對鑒權(quán)中心AUC和移動終端的SIM卡中的軟件進(jìn)行修改和補(bǔ)充。
在下文的描述中��,固定網(wǎng)絡(luò)被想象成連接到考察中的移動無線電話終端MS的從無線接口IR開始的一串實體,其中包含了基站BTS���、基站控制器BSC�����、帶有訪問者位置記錄器VLR的交換機(jī)MSC�����,以及HLR-AUC組合�。
需要聲明的是��,用戶的移動無線電話終端MS包含一個可拆卸的稱為SIM芯片卡的微處理器模塊��,它被連接到終端帶有微處理器的數(shù)字電路總線上�,而該總線伺服于移動終端的鍵盤、顯示屏����,以及外圍插座。正如附圖中所示��,SIM芯片卡在原理上包括一個微處理器�、存儲了卡的操作系統(tǒng)和特定的應(yīng)用算法的ROM����、存儲了與用戶有關(guān)的所有特征(譬如身份碼IMSI���、注冊簡檔�、被叫方電話號碼和姓名列表�、諸如鍵值和密碼等保密性數(shù)據(jù),等等)的EEPROM非易失性存儲器�,以及用于對將要從終端的數(shù)字電路接收的數(shù)據(jù)和將要發(fā)送給終端的數(shù)字電路的數(shù)據(jù)進(jìn)行處理的RAM存儲器。特別地�����,鑒權(quán)與確定加密鍵值的算法和這些鍵值以及其他涉及這些算法的參數(shù)將在ROM和EEPROM中進(jìn)行保存和管理����。
參看附圖2,從無線電話終端MS的SIM卡被投入到與子網(wǎng)絡(luò)BTS���、BSC��、MSC以及被包含于無線電話網(wǎng)絡(luò)RR之中并暫時性地連接著無線電話終端MS的VLR的通信開始起,根據(jù)本發(fā)明的鑒權(quán)方法接下來開始運(yùn)行����,并先行提出對密碼鍵值進(jìn)行確認(rèn)����。
附圖2中所示的方法主要包含步驟E0到E14��。在附圖2中�����,虛線中的模塊涉及到步驟E0�、E2、E9’�、E90、E20�、E11和E110,它們基本上是在固定網(wǎng)絡(luò)中執(zhí)行的��,獨(dú)立于任何鑒權(quán)請求的并且根據(jù)所展示的實施方案���,至少是在步驟E3對鑒權(quán)請求進(jìn)行考慮之前執(zhí)行的�。
一開始�����,在步驟E0,可以認(rèn)為移動終端把下列內(nèi)容存儲到其SIM卡的ROM和EEPROM存儲器中即��,SIM卡的身份碼IMSI(也就是擁有該SIM卡的用戶的身份碼)����、(在可以實現(xiàn)時)由主控交換中心MSC分配的該卡的臨時身份碼TMSI、使得網(wǎng)絡(luò)能夠?qū)K端進(jìn)行鑒權(quán)的第一個鑒權(quán)鍵值Ki與第一種鑒權(quán)算法AA����、確認(rèn)加密鍵值的算法AC、加密/解密算法�、基于本發(fā)明借助于SIM卡使得能夠?qū)W(wǎng)絡(luò)進(jìn)行鑒權(quán)的第二個鑒權(quán)鍵值Kj與第二種鑒權(quán)算法AJ,以及初始時等于0的整數(shù)變量m及其整數(shù)上界值M��。在步驟E0����,除了整數(shù)m和M外,這些初始數(shù)據(jù)以及算法也被存入固定網(wǎng)絡(luò)�����。各個用戶的鍵值Ki和Kj被存入與用戶身份碼IMSI相對應(yīng)的鑒權(quán)中心AUC����,而臨時的身份碼僅由訪問者位置記錄器VLR來進(jìn)行分配�����,該VLR被連接到與移動終端MS相連接的移動服務(wù)MSC的交換機(jī)的。兩種算法AA和AJ以及確認(rèn)加密鍵值的算法AC都存入鑒權(quán)中心AUC�,而加密/解密算法被安裝在基站BTS中。如同接下來會看到的那樣�,鑒權(quán)中心AUC向標(biāo)稱的位置記錄器HLR提供一些三元組((NA,SG)��,RSRES�,Kc)。
當(dāng)終端提出對移動服務(wù)的接入請求時(譬如在移動終端開機(jī)之后��,或者需要更新終端的位置時�,或者在電話通信之前,或者在記錄器VLR的要求下為了對SIM卡進(jìn)行鑒別而周期性地發(fā)出)��,終端MS與附屬的子寄存器交換信令以便為終端MS提供一條通信信道��,并由終端MS通過把SIM卡的身份碼IMSI傳送給訪問者位置記錄器VLR來向子網(wǎng)絡(luò)申明終端的身份碼�,或者(當(dāng)可以實現(xiàn)時)把臨時身份碼TMSI連同涉及最近一次建立的連接的位置區(qū)域的LAI一起進(jìn)行傳輸。在附圖2中����,以一種簡化了的方式通過步驟E1來描述了為終端MS提供一條信道而進(jìn)行了這些信令交換��。
接下來的步驟E2到E8涉及到由本發(fā)明增添的由SIM卡對網(wǎng)絡(luò)進(jìn)行的鑒權(quán)的過程���,實際上,該過程部分地位于鑒權(quán)中心AUC和記錄器VLR��,部分地位于SIM卡的ROM和EEPROM存儲器中����。
首先在鑒權(quán)中心AUC中,偽隨機(jī)發(fā)生器提供了一些Q比特字長的隨機(jī)數(shù)值NA�����。在步驟E2�����,不同于鍵值Ki的鍵值Kj被存入鑒權(quán)中心AUC���,而Q比特字長的每一個隨機(jī)數(shù)NA都被提供給鑒權(quán)中心內(nèi)的網(wǎng)絡(luò)鑒權(quán)算法AJ的輸入端�。作為一個變量而言�����,鍵值Kj和Ki可以是一樣的。舉例來說����,算法AJ是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))類的,并產(chǎn)生長度為(P-Q)比特的隨機(jī)數(shù)值簽名���。在步驟E20,隨機(jī)數(shù)NA與相應(yīng)的簽名SG被寫入與SIM卡的身份碼IMSI相關(guān)聯(lián)的HLR�����,而記錄器HLR所挑選的(NA�����,SG)組合中至少有一個被傳送給終端所連接的記錄器VLR���。
根據(jù)本發(fā)明����,當(dāng)訪問者位置記錄器VLR決定借助SIM卡來對固定網(wǎng)絡(luò)進(jìn)行鑒權(quán)的時候���,在步驟E3處把所選擇的這一對(NA�����,SG)被相繼引入鑒權(quán)請求消息中����,并分別由交換機(jī)MSC、控制器BSC和最后由基站BTS通過無線空中接口IR傳送給移動終端MS����。而選擇整數(shù)P(P>Q)使得不必修改符合在無線電話網(wǎng)絡(luò)RR中實施的標(biāo)準(zhǔn)的鑒權(quán)消息的長度(在這種情形下也就是包含數(shù)值RAND時的消息的長度)。整數(shù)P通常等于128�����,也就是說����,(NA,SG)組合的尺寸是16個八位字節(jié)���。表示隨機(jī)數(shù)NA的比特數(shù)的整數(shù)Q可以大于或小于P/2���;然而����,整數(shù)P和Q可以滿足等式P/2=Q��。
在步驟E4����,作為對相連接的基站BTS所發(fā)送來的鑒權(quán)請求消息的響應(yīng),在移動終端MS的SIM卡中把隨機(jī)數(shù)值NA和簽名SG寫入SIM卡的RAM存儲器�。在后續(xù)的步驟E5,類似步驟E2在鑒權(quán)中心AUC中啟用算法AJ的方式一樣���,立即把隨機(jī)數(shù)NA和鍵值Kj提供給SIM卡的ROM和EEPROM中所包含的算法AJ。在步驟E6���,將算法AJ產(chǎn)生的結(jié)果RSG和鑒權(quán)中心AUC傳來的簽名SG進(jìn)行比較并讀取��。
在步驟E6����,如果RSG和SG相異���,則在步驟E7將變量m和預(yù)設(shè)的整數(shù)M(通常近似等于10)進(jìn)行比較�。每當(dāng)SG和RSG不相同時,只要m<M���,則在一個計數(shù)器中把變量m遞增1��,而SIM卡不執(zhí)行后續(xù)的步驟E9(在步驟E9中���,會隨鑒權(quán)請求消息之后產(chǎn)生一個簽名響應(yīng)SRES),并接著釋放專用的信令信道��,這導(dǎo)致無線資源被釋放���,而終端所請求的對移動服務(wù)的連接將不能被建立起來�����,正如步驟E71和E72所指示的那樣����。該計數(shù)器是包含在SIM卡內(nèi)部的�����,而整數(shù)M是可編程的����,所以提供該SIM卡的運(yùn)營商可以對整數(shù)M進(jìn)行選擇���。
在步驟E7,當(dāng)變量m到達(dá)上界限M時�����,如上一樣不能被建立起對移動服務(wù)的接入����,此外如同步驟E73所表示的任何新的鑒權(quán)都按慣例被拒決。這意味著SIM卡很可能正處于冒用用戶帳號(由網(wǎng)絡(luò)分配給用戶帳號的)的惡意的第三方的攻擊之下�����。這種情形下本發(fā)明推薦兩種變型方案����。
對于第一種變型方案�,SIM卡允許用戶只能將無線電話終端MS用于對終端而言是內(nèi)部的本地命令。舉例來說�,本地命令用于通過鍵盤或者終端的語音識別裝置來查閱呼叫電話號碼列表,而不允許任何的電話通信得以建立�����。
對于第二種變型,SIM卡將阻止用戶通過鍵盤和/或語音識別裝置而進(jìn)行的任何操作�,并讓終端關(guān)機(jī),或者說�����,SIM卡變得“沉默”了���;SIM卡不再接受任何命令�����,而終端MS將不能使用�����。
回到步驟E6���,當(dāng)所述結(jié)果RSG和簽名SG相等時,將在步驟E8讀取所收到的隨機(jī)數(shù)NA和簽名SG以及鑒權(quán)鍵值Ki�,以便在步驟E9將它們提供給公知的鑒權(quán)算法AA。在這一階段����,鑒權(quán)過程將基本上如同一個公知的SIM卡一樣繼續(xù)下去了�。算法AA將給出一個署名響應(yīng)SRES(簽了名的響應(yīng))��,后者被包含在一個發(fā)送給相連接的基站BTS的消息中��,而BTS將通過控制器BSC和交換機(jī)MSC重新把消息傳送給記錄器VLR�����。
首先�����,在鑒權(quán)請求E3之前(因此也就是在SIM卡中執(zhí)行步驟E3到E9之前)����,記錄器VLR和HLR已經(jīng)為該用戶保存了數(shù)值NA和簽名SG,而鑒權(quán)中心AUC在步驟E20之后對于所說的隨機(jī)數(shù)NA中的每一個�,都在步驟E9’把該隨機(jī)數(shù)NA���、相應(yīng)的簽名SG和第一個鍵值Ki提供給算法AA��。算法AA對于每一個(NA���,SG)組合都產(chǎn)生一個署名響應(yīng)結(jié)果RSRES���。隨同步驟E20一起,所述結(jié)果RSRES在步驟E90被寫入記錄器HLR�,而記錄器所挑選的(NA,SG)組合連同相應(yīng)的結(jié)果RSRES一起被傳送給記錄器VLR���,后者將保存它們�����。
在步驟E9后�,一旦接收到由移動終端MS傳送來的署名響應(yīng)SRES��,記錄器VLR將在步驟E91讀取署名響應(yīng)結(jié)果RSRES��,并在步驟E10把它與接收到的響應(yīng)SRES相比較�����。如果這兩個結(jié)果不一致�,則記錄器VLR指示主控交換中心MSC在步驟E101切斷該終端與固定網(wǎng)的連接,從而阻止了終端尋求接入移動服務(wù)的請求。
在相反的情形下����,在步驟E10鑒權(quán)中心AUC驗證了對SIM卡的鑒權(quán)(這是跟隨在SIM卡根據(jù)本發(fā)明對網(wǎng)絡(luò)RR的鑒權(quán)(步驟E5)之后),從而啟動對后續(xù)的����、在移動終端MS和子網(wǎng)BTS-BSC-MSC之間交換的消息的加密和解密。
首先在步驟E11�����,鑒權(quán)中心AUC將對應(yīng)于所說的若干個隨機(jī)數(shù)NC和鍵值的(NA��,SG)組合提供給確定加密鍵值的算法AC��,以便產(chǎn)生加密鍵值Kc�,后者將在伴隨著步驟E20和E90同步的步驟E110中被存入記錄器VLR。由此����,若干個三元組((NA,SG)���,RSRES�,Kc)首先被存儲在標(biāo)稱的位置記錄器HRL中��,而這些被選出來的三元組中至少有一個將被寫入與SIM卡的身份碼IMSI/TMSI相關(guān)連的記錄器VLR中���。
緊隨步驟E10之后����,交換機(jī)MSC將決定切換成加密模式�,傳送一個帶有鍵值Kc的激活加密消息,后者被實體BSC和BTS接力傳送給移動終端MS���,同時基站BTS也獲得了鍵值Kc���。
此外,在步驟E9執(zhí)行了鑒權(quán)操作之后����,SIM卡在步驟E12讀取隨機(jī)數(shù)NA和SG以及鑒權(quán)鍵值Ki,以便把它們提供給加密算法AC�����,從而在步驟E13確定加密鍵值Kc���。
最后���,在步驟E14和E14’����,終端MS和用戶線子網(wǎng)(特別是包含了與SIM卡中的內(nèi)容一致的加密解密算法和存儲了給定的鍵值Kc的用戶線路中的BTS)可以利用鍵值Kc來交換經(jīng)過了加密和解密的消息�。
在變型方案中,作為E13和E11的第一鍵值Ki的替換���,讀取第二鍵值Kj(或者第一和第二鍵值Ki和Kj)并把它們分別提供給算法AC����。
根據(jù)別的變型方案�,在鑒權(quán)中心分配給SIM卡的鍵值Kj是一個秘密的私鑰Kjs,而在SIM卡中所包含的Kj是一個不同于Kjs的公鑰�����,它與私鑰Kjs間具有復(fù)雜的聯(lián)系����。網(wǎng)絡(luò)鑒權(quán)算法AJ是不對稱的,這使得盡管SIM卡不知道(并由此任何惡意人員不知道)私鑰Kjs�����,仍然可以在步驟E6通過與結(jié)果RSG比較來驗證簽名SG。
以類似的方式����,SIM卡中的鍵值Ki可以用秘密的私鑰Kis來代替���,而鑒權(quán)中心AUC的鍵值Ki是一個公鑰��,于是卡的鑒權(quán)算法AA就是不對稱的了�����。
盡管對本發(fā)明的描述是遵循優(yōu)選的實施方案的并參照了無線電話網(wǎng)絡(luò)中的移動無線電話和固定網(wǎng)絡(luò)之間的無線電話網(wǎng)�,本發(fā)明的鑒權(quán)方法可以被應(yīng)用到涉及任意兩個分別需要去鑒定對方的實體的電信網(wǎng)絡(luò)中去����,而每個實體都可以是一組具有預(yù)定好的相互鏈接的實體。
權(quán)利要求
1.在電信網(wǎng)絡(luò)(RR)中的第一實體(MS)和第二實體(VLR��,HLR�,AUC)之間的一種鑒權(quán)方法,包含這樣的步驟(E9����,E9’)把第一和第二實體中分別存儲的第一個鍵值(ki)和由第二實體所產(chǎn)生并從第二實體傳送給第一實體的一個隨機(jī)數(shù)(NA)分別提供給存儲在第一和第二實體中的第一種相同的算法(AA)�,并在第二實體(VLR�,HLR,AUC)中�����,對第一實體中所存儲的第一種算法所產(chǎn)生并傳送給第二實體的響應(yīng)(SRES)和第二實體中的第一種算法所產(chǎn)生的響應(yīng)結(jié)果(RSRES)進(jìn)行比較(E10)�����,其特征在于預(yù)先執(zhí)行的以下步驟把第一和第二實體中分別存儲的第二個鍵值(Kj)和由第二實體所產(chǎn)生并從第二實體傳送給第一實體的那個隨機(jī)數(shù)(NA)分別提供(E2����,E5)給存儲在第二實體(VLR,HLR��,AUC)和第一實體(MS)中的第二種算法(AJ)���,并在第一實體(MS)中����,對第二實體中的第二種算法所產(chǎn)生并連同隨機(jī)數(shù)(NA)傳送給第一實體的簽名(SG)與第一實體中的第二種算法所產(chǎn)生的簽名結(jié)果(RSG)進(jìn)行比較��;而僅當(dāng)傳輸來的簽名(SG)和簽名結(jié)果(RSG)相同時,才在第一實體(MS)中把第一個鍵值(Ki)和該隨機(jī)數(shù)(NA)提供給第一種算法(AA)��。
2.根據(jù)權(quán)利要求1的的方法�,在第二實體(VLR,HLR�,AUC)中連同所產(chǎn)生的隨機(jī)數(shù)(NA)一起把簽名(SG)提供(E9’)給第一種算法(AA),并且��,在第一實體(MS)中也把連同隨機(jī)數(shù)(NA)一起傳輸?shù)暮灻?SG)提供(E9)給第一種算法(AA)�。
3.根據(jù)權(quán)利要求1或2的方法�����,隨機(jī)數(shù)(NA)和簽名(SG)分別具有Q比特和(P-Q)比特���,而P是一個整數(shù)常數(shù)���。
4.根據(jù)權(quán)利要求1到3中任意一個的方法,包含這樣的步驟在第一實體(MS)中每次傳輸來的簽名(SG)和簽名結(jié)果(RSG)不一樣并且只要一個變量(m)小于一個優(yōu)選地是可編程的預(yù)定數(shù)值(M)的時候����,就對這個變量進(jìn)行遞增(E71)并斷開(E72)實體間的連接的步驟,并且當(dāng)該變量(m)至少等于某個預(yù)定數(shù)值(M)的時候�,第一實體拒絕(E73)建立任何對第二實體(VLR�����,HLR��,AUC)的接入����。
5.根據(jù)權(quán)利要求4的方法����,所述拒絕(E73)建立任何接入的步驟可以伴隨著授權(quán)使得對第一實體(MS)的使用僅僅限于內(nèi)部。
6.根據(jù)權(quán)利要求5的方法���,所述拒絕(E73)建立任何接入的步驟可以伴隨著禁止對第一實體(MS)的任何使用�。
7.根據(jù)權(quán)利要求1到6中任意一個的方法����,第一實體和第二實體分別是無線電話網(wǎng)絡(luò)(RR)中的無線電話終端(MS)和固定網(wǎng)絡(luò)(VLR,HlR����,AUG)。
8.根據(jù)權(quán)利要求7的方法,在終端(MS)里提供第二個鍵值(Kj)的步驟(E5)之前����,固定網(wǎng)絡(luò)中的鑒權(quán)和記錄終端身份的裝置(VLR,HLR�,AUC)確定若干三元組,每個三元組包含一個隨機(jī)數(shù)(NA)�����、以及對應(yīng)于該隨機(jī)數(shù)的一個簽名(SG)和一個響應(yīng)結(jié)果(RSRES)��。
9.根據(jù)權(quán)利要求7或8的方法���,包含這樣的步驟在提供的步驟(E2,E5�����,E9����,E9’)之前,在固定網(wǎng)絡(luò)(VLR���,HLR��,AUC)中要作為該隨機(jī)數(shù)值(NA)�、簽名(SG)、和第一個和第二個鍵值(Ki�,Kj)中的至少一個的函數(shù)來確定(E11)一個加密鍵值(Kc)。
10.根據(jù)權(quán)利要求7到9中任意一個的方法�,包含這樣的步驟僅當(dāng)相比較的響應(yīng)(SRES)和響應(yīng)結(jié)果(RSRES)是一樣的時候,才作為該隨機(jī)數(shù)值(NA)�����、簽名(SG)��、和第一個和第二個鍵值(Ki����,Kj)中的至少一個的函數(shù)來確定(E13)一個加密鍵值(Kc)。
11.根據(jù)權(quán)利要求1到10中任意一個的方法����,在第二實體(VLR,HLR�����,AUG)中的第二個鍵值(Kjs)是第二個密鑰,而在第一實體(MS)中的第二個鍵值是不同于第二個密鑰的公鑰(Kj)��。
12.根據(jù)權(quán)利要求1到11中任意一個的方法�,在第一實體(MS)中的第一個鍵值(Kis)是第一個密鑰,而在第二實體(VLR���,HLR��,AUC)中的第一個鍵值是不同于第一個密鑰的公鑰(Ki)���。
13.位于第一實體(MS)中的身份碼模塊(SIM),其特征在于它包含存儲了至少第二種算法(AJ)和至少第二個鍵值(Kj)的裝置(ROM����,EEPR0M)、用于至少執(zhí)行根據(jù)權(quán)利要求1至11之一的向第二種算法(AA)進(jìn)行提供的步驟(E5)以及將簽名(SG)和簽名結(jié)果(RSG)進(jìn)行比較的步驟(E6)的裝置(ROM��,EEPROM��,RAM)�����。
全文摘要
本發(fā)明涉及到電信網(wǎng)絡(luò)中在兩個單元之間提高鑒權(quán)操作中的安全性的方法,這特別是指在移動終端(MS)和固定網(wǎng)絡(luò)(具體地說,就是蜂窩無線電話網(wǎng)絡(luò)中的訪問者位置寄存器,原籍位置寄存器(VLR,HLR)和鑒權(quán)中心(AUC))之間�。在固定網(wǎng)絡(luò)對終端(更確切地說,是其中的SIM卡)進(jìn)行第一種鑒權(quán)操作(E9,E94,E10)之前,采用了基于算法(AJ)的第二種鑒權(quán)操作(E2-E6),其中輸入由固定網(wǎng)絡(luò)產(chǎn)生并進(jìn)行傳送的一個隨機(jī)數(shù)(NA)以及與第一種鑒權(quán)操作的鍵值(Ki)不同的鍵值(Kj)。由固定網(wǎng)絡(luò)和終端分別產(chǎn)生一個進(jìn)行傳輸?shù)暮灻?SG)和一個簽名結(jié)果(RSG),并在終端中進(jìn)行比較,以便在二者相等的情形下允許進(jìn)行第一種鑒權(quán)操作(E2-E6)��。
文檔編號H04L9/32GK1341338SQ00804160
公開日2002年3月20日 申請日期2000年2月15日 優(yōu)先權(quán)日1999年2月22日
發(fā)明者J·L·吉勞德, N·布勒特 申請人:格姆普拉斯公司