CZ393899A3 - Způsob a zařízení pro autentifikaci účastníků mobilní telefonní sítě - Google Patents

Způsob a zařízení pro autentifikaci účastníků mobilní telefonní sítě Download PDF

Info

Publication number
CZ393899A3
CZ393899A3 CZ19993938A CZ393899A CZ393899A3 CZ 393899 A3 CZ393899 A3 CZ 393899A3 CZ 19993938 A CZ19993938 A CZ 19993938A CZ 393899 A CZ393899 A CZ 393899A CZ 393899 A3 CZ393899 A3 CZ 393899A3
Authority
CZ
Czechia
Prior art keywords
authentication
subscriber
authentication instance
instance
sres
Prior art date
Application number
CZ19993938A
Other languages
English (en)
Other versions
CZ294620B6 (cs
Inventor
Walter Mohrs
Original Assignee
Detemobil Deutsche Telekom Mobilnet Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Detemobil Deutsche Telekom Mobilnet Gmbh filed Critical Detemobil Deutsche Telekom Mobilnet Gmbh
Publication of CZ393899A3 publication Critical patent/CZ393899A3/cs
Publication of CZ294620B6 publication Critical patent/CZ294620B6/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Description

Vynález se týká způsobu a zařízení pro autentifikaci účastníků mobilní telefonní sítě digitálního komunikačního systému vzhledem k jedné autentifikační instanci bezšňůrového telefonního systému.
Dosavadní stav techniky
Pozadím vynálezu je, toho času zkoumaná a ve vývoji poháněná možnost, spojovat mobilní telefonní síť s bezšňůrovým telefonním systémem (HBS: Home Base Systém). Budoucí mobilní telefonní koncové přístroje se potom mohou provozovat nejenom samy v mobilní telefonní síti, ale také v domácí oblasti bezšňůrovým telefonním systémem jako kvazi „super - bezšňůrový telefon. Důležitou okrajovou podmínkou přitom je, že algoritmy, používané v mobilní telefonní síti k autentifikaci a šifrování hovoru/dat se mohou používat i v domácí oblasti - u bezšňůrového telefonního systému.
V GSM - mobilním komunikačním systému se k zabezpečení systému používá několik kryptoalgoritmů (A3, A5 a A8), pomocí kterých se zajišťuje autentifikace účastníků vůči síti a šifrování přenosu dat. K tomu se při každém vytvoření spojení mezi sítí a účastníkem, vycházeje z autentifikační
78702 (78702a.doc)
- 2 - .·*.*:*: Upravenádttina ··* ♦· ··» ···· ·· ♦ · ústředny, přenáší náhodné číslo (RAND) přes radiové rozhraní do osobní složky (SIM - karta) účastníka, a toto číslo se nejen v SIM, ale i v autentifikační ústředně při použití kryptoalgoritmů, s tam identicky existujícím Ki - klíčem, šifruje na hodnotu SRES. Hodnota SRES, stanovená v SIM, se přenáší do autentifikační ústředny a porovnává se s tam stanovenou hodnotou SRES. Pouze při shodě hodnot, stanovených nezávisle na sobě, se uskutečňuje pozitivní autentifikace účastníka.
Konstrukce a způsob činnosti SIM karet, jak se používají v mobilních komunikačních systémech GSM, jsou všeobecně popsány ve článku od Grigorova, Theodora et al.: SIM Cards, Telecomunication Journal of Australia, Bd. 43, Nr. 2, 1993, strany 33-38.
Pokud nyní chceme tuto autentifikační proceduru použít na bezšňůrový telefonní systém, znamenalo by to, že v pevné stanici bezšňůrového telefonního systému by se musely implementovat nutné kryptoalgoritmy, jakož by se tam musel uložit tajný klíč Ki. Toto by výhradně z bezpečnostně technických aspektů nebylo pro provozovatele mobilní telefonní sítě únosné a k tomu by to bylo spojeno s velmi vysokými technickými a administrativními nároky.
V této souvislosti uveřejňuje WO-A-95/24106 bezpečný, osobní radiový komunikační systém, přičemž je popsán způsob k autentifikaci účastníka mobilního telefonního provozu vůči základní stanici bezšňůrového telefonního systému. Základní stanice bezšňůrového telefonního systému je přes pevnou síť spojena se zařízeními mobilního komunikačního systému a předává mimo jiné autentifikační a verifikační signály mezi mobilním radiovým koncovým přístrojem a příslušnými
78702 (78702a.doc)
2a
U{jraVÍ»n&*stiana zařízeními mobilního komunikačního systému. Základní stanice bezšňůrového telefonního systému pracuje při vnitřní autentifikaci mobilního telefonního provozu v podstatě jenom jako pasivní reléová stanice a není s to, provádět autentifikační proceduru nezávisle a bez spojení pevnou sítí k mobilnímu komunikačnímu systému.
Předložený vynález má proto za úkol, uvést způsob a zařízení k autentifikaci účastníků mobilní telefonní sítě vzhledem k jedné autentifikační instanci bezšňůrového telefonního systému, jakož i ke korektnímu stanovení šifrovacího klíče, nutného pro šifrovaný přenos hovoru a/nebo dat, který se nechá realizovat jednoduše a s příznivými náklady a poskytuje dobré zabezpečení.
Podstata vynálezu
K řešení stanoveného úkolu je navržen způsob se znaky patentového nároku 1 a zařízení se znaky patentového nároku
78702 (78702a.doct « 9 fc w » w » v v « • · «fcfcfcfc * fcfc fc ··♦·«··♦ • « · »· fcfc fcfcfcfc fcfc «·· fcfcfcfc fcfc fcfc
XX .
Podstatnou předností vynálezu je, že zařízení ke stanovení autentifikačních a šifrovacích parametrů nepotřebuje spojení k autentifikační ústředně mobilní telefonní sítě (např. k MSC), ani nemusí obsahovat speciální čipovou kartu, která obsahuje mimo jiné autentifikační algoritmus, použitý v mobilní telefonní síti (u GSM: A3/A8), jakož i tajná data (Ki) účastníka mobilního telefonního provozu, kterého chceme autentifikovat.
Tímto vynálezem se můžeme zřeknout nejen poskytnutí autentifikačního algoritmu ze strany autentifikační instance bezšňůrového telefonního systému, ale i určitého klíče (Ki) v bezšňůrovém telefonním systému a v SIM.
Další předností je, že bezšňůrový telefonní systém, zejména pevná stanice (HBS) se musí podrobit jenom nepatrné modifikaci, aby se mohly provádět požadované funkce autentifikační instance.
Tohoto se dosahuje, přičemž bezšňůrový telefonní systém má schopnost, nejenom provádět autentifikační algoritmus použité čipové karty (SIM: Subscriber Identity Module), ale má i alespoň jeden tajný klíč, odsouhlasený SIM. Pokud bezšňůrový telefonní systém splňuje tyto obě okrajové podmínky, je s to, s přihlášenou SIM, provést autentifikační proceduru podle způsobu Challenge/Response, která je identická s tou, která se používá v digitálních mobilních telefonních sítích, zejména GSM.
Vychází se ze známého bezšňůrového telefonního systému,
78702 (78702a.doc)
• · · ··· « · ·· ·· • β • · * ···« ·· ··· který přednostně pracuje podle digitálního standardu DECT.
V prvním provedení je pevná stanice bezšňůrového telefonního systému vybavena přístrojem na čtení karet, se kterým se mohou číst popř. popisovat běžné čipové karty (SIM karty). Pevná stanice dále má generátor náhodných čísel, který může vytvářet 128-bitová náhodná čísla, používaná v systému GSM.
V pevné stanici je dále navržena energeticky nezávislá paměť, která má přednostně kapacitu paměti několika kilobyte.
K autentifikaci posílá pevná stanice bezšňůrového telefonního systému SIM kartě účastníka náhodnou hodnotu (RAND), která je známým způsobem zodpovězena hodnotou odpovědi (SRES) SIM kartou. Tímto postupem se zároveň vyjednává klíč (Kc) pro následné šifrování řeči, který se rovněž zjišťuje na základě náhodných čísel. Ideálním způsobem se v bezdrátovém telefonním systému využívá jako nosič algoritmu a klíče SIM karta příslušného účastníka mobilní telefonní sítě, který by chtěl používat bezšňůrový telefonní systém.
V postupu inicializace, který navzájem spolu seznamuje SIM kartu účastníka a bezšňůrový telefonní systém a který se musí v každém případě konat, zavádí účastník svou SIM kartu do čtecího přístroje pevné stanice bezšňůrového telefonního systému. SIM karta sděluje pevné stanici bezšňůrového telefonního systému nejenom svou identifikaci (číslo karty nebo IMSI), což by vlastně mělo stačit k obeznámení, ale pevná stanice provádí následně dodatečně určitý, dostatečně vysoký počet interních autentifikačních procedur. Přitom se
78702 (78702a.doc)
0 · 00
000 00·0 ·<<* 000
0 00 v pevné stanici vytváří náhodné číslo (RAND) a přenáší se na SIM kartu. Na SIM kartě se nyní provádí GSM procedura „RUN GSM ALGORITHM, která je na ní implementována, tzn. SIM karta zjišťuje známým způsobem z náhodného čísla zašifrovanou hodnotu SRES, jakož i šifrovací klíč Kc, a předává tyto hodnoty na pevnou stanici. Pevná stanice potom ukládá obdržené výsledky spolu s příslušným náhodným číslem v energeticky nezávislé paměti. Postup interní autentifikace se opakuje víckrát, jak bylo zmíněno výše. Získané hodnoty tvoří prakticky zásobu, se kterou se mohou následně přes radiové rozhraní provádět „regulérní autentifikace s SIM kartou.
Interní autentifikace je tedy stejný postup, který provádí každý mobilní telefonní koncový přístroj se svým SIM, když se přes radiové rozhraní sítě GSM předává „Authentication Request, v jednotlivostech :
předání náhodného čísla (RAND) na SIM, provedení GSM - příkazu „RUN GSM ALGORITHM, vyvolání dat odpovědi SIM, která odpovídají SRES a Kc.
Každým provedením těchto tří kroků si pevná stanice vytváří takzvaný autentifikační triplet (RAND, SRES, Kc) , který později umožňuje autentifikaci s SIM kartou.
Na základě tripletu, uloženého v pevné stanici bezšňůrového telefonního systému, se nyní může provádět řádná autentifikace mezi pevnou stanicí a mobilní stanicí, která, opírajíc se o GMS autentifikační proceduru, probíhá následujícím způsobem.
S každým vytvořením spojení posílá pevná stanice přes radiové rozhraní SIM kartě náhodnou hodnotu (RAND)
78702 (78702a.doc) • · «fefefe fefe • fefe «fefefe • fe Ϊ • fefe fefefe fe fe • fe fefe z množství předtím uložených tripletů. S touto náhodnou hodnotou vypočítává SIM karta příslušnou hodnotu odpovědi SRES a klíč Kc. Hodnota SRES se předává zpět na pevnou stanici a porovnává se s uloženou hodnotou SRES tripletu, příslušného k náhodnému číslu. Pokud hodnoty SRES souhlasí, je autentifikace úspěšná a je zajištěno, že šifrovací klíč Kc, vypočítaný v SIM kartě, souhlasí s příslušným klíčem Kc, uloženým v pevné stanici.
V dalším provedení je navrženo, nevybavovat pevnou stanicí bezšňůrového telefonního systému přístrojem ke čtení karet, nýbrž provádět interní inicializaci přes rozhraní spojené vodiči (např. X.25, RS232, nebo podobně), nebo existující radiové rozhraní. Zejména při přenosu inicializačních dat po radiovém rozhraní je třeba dávat pozor na zabezpečení vůči odposlechu, tzn. přenášená inicializační data by se měla přenášet šifrovaná. Toto by se mohlo jednoduchým způsobem dít tak, že inicializace, tzn. vytvoření dalšího tripletu, se uskutečňuje během regulérního spojení mezi mobilním telefonním koncovým přístrojem a pevnou stanicí, protože se přitom data přenášejí již zašifrovaná. Inicializace se pouze musí nastartovat pomocí tlačítka, příslušně navrženého na mobilním telefonním přístroji, nebo příslušným povelem.
Důležitým bodem je, že vytvoření tripletu probíhá v bezpečném prostředí, které se nenechá zvnějšku odposlouchávat (totiž přímo přes sběrnici s kontakty SIM/koncový přístroj, nebo přes zašifrovanou radiovou sběrnici). Dále je důležité, že uschování tripletu se v pevné stanici bezšňůrového telefonního systému uskutečňuje v chráněném systémovém okolí, ze kterého se nenechá číst. Nemělo by se zapomenout, že kvalita vytvoření náhodného
78702 (78702a.doc) • φ ·*· ·Φ φ φ · · φ * · · φφ· φφ· • · φ φ φφφ φ«φφ φφ φφ čísla v pevné stanici představuje nezanedbatelné bezpečnostní riziko.
Kolik tripletů se předem vytvoří, závisí na čase, který se poskytuje pro inicializaci, jakož i na kapacitě paměti, navržené v pevné stanici. Jako typická hodnota pro vytvoření tripletu pomocí SIM karty se může brát počet 2-3 triplety/sekundu. Potřebná paměť pro jeden triplet je 28 byte {RAND = 128 bit, SRES = 32 bit, Kc = 64 bit). Například se uvádí, že v inicializačním čase 1 minuta se mohou vytvářet triplety pro příštích 120 - 180 autentifikaci, které potřebují kapacitu paměti 3-5 kbyte.
Když je spotřebována zásoba tripletů, může se rozhodnout, zda je rychle zapotřebí nová inicializace, nebo zda HBS může ještě jednou sáhnout po již použitých tripletech. Ve druhém případě by HBS měl uživatele upozornit na to, že triplety se už používají znovu a že je zapotřebí nová inicializace.
Zásoba tripletů v HBS má být vázána na kartu, to znamená na číslo karty nebo IMSI od SIM. Tím se dosahuje, že na stejném HBS může současně pracovat několik SIM. Každý z použitých SIM se jenom musí podrobit stejné, výše popsané inicializační proceduře. Příslušné triplety se na základě individuálních IMSI, uložených na SIM kartách, ukládají v databázi, přiřazené IMSI, a příslušně se vybírají.
Díky dostatečně velké kapacitě paměti v HBS se nechá vytvořit zásoba tripletů, která je dostatečně velká, že opakované použití tripletů je nutné teprve dlouhodobě samo opakované použití tripletů, v náhodném pořadí, má nepředvídatelný charakter, tzn. má dostatečně vysokou
78702 (78702a.doc) • frfrfr fr frafr frfrfr • · • fr «· fr··· fr* frfrfr ···· bezpečnostní úroveň.
HBS může mít k obraně proti podvodu a zneužití mechanismus, který při opakovaně chybně provedené autentifikaci vyhodí uložené triplety a přihlášenému účastníkovi odejme právo k používání HBS.
Přehled obrázku na výkresech
Vynález bude blíže vysvětlen prostřednictvím konkrétních příkladů provedení znázorněných na výkresech, na kterých představuje obr. 1 inicializaci pevné stanice bezšňůrového telefonního systému pro SIM kartu;
obr. 2 autentifikace s inicializovanou SIM kartou.
Příklady provedení vynálezu
Na obrázku 1 je schematicky znázorněno vytvoření a uložení autentifikačního tripletu v pevné stanici JL bezšňůrového telefonního systému.
Pevná stanice 3. má zařízení 3 ke čtení a zapisování na čipové karty 4, do kterého se zavádí SIM karta 4 účastníka k inicializací účastnického poměru. Pomocí generátoru náhodných čísel se nyní známým způsobem vytváří 128 bitové náhodné číslo (RAND), které se předává na SIM kartu. Tam se startuje autentifikační algoritmus, tam uložený, tzn., SIM karta stanovuje z náhodného čísla (RAND) šifrované číslo
78702 (78702a.doc) • · ♦ ·* · ··· « · «« ·· • · ·· ·»« ·«·*
SRES a šifrovací klíč Kc, které se oba předávají na vyhodnocovací zařízení 5 pevné stanice 1. Předávané hodnoty se spolu s náhodným číslem ukládají do databáze 6 energeticky nezávislé paměti. Tato vnitřní inicializační procedura se několikrát opakuje a příslušné datové záznamy 7 se ukládají na způsob autentifikačního tripletu (RAND, SRES, Kc) v databázi V databázi jsou nyní uloženy inicializační triplety, které se mohou následovně používat k regulérní autentifikaci mezi mobilním telefonním koncovým přístrojem a pevnou stanicí.
Na obrázku 2 je znázorněno, které funkce probíhají v pevné stanici při reálné autentifikaci.
Mobilní telefonní koncový přístroj 8. se chce přihlásit u pevné stanice L· Mobilní telefonní koncový přístroj se přitom personalizuje SIM kartou, před tím inicializovanou u pevné stanice 1^ Nejdříve se přes radiové rozhraní vytváří spojení mezi mobilním telefonním koncovým přístrojem ř) a pevnou stanicí 1. IMSI, obsažená na SIM kartě, se předává na pevnou stanici 1, která zkouší, zda jí je IMSI známa, popř. zda SIM karta již byla inicializována. Pokud to tak není, odepře se přístup k pevné stanici a spojení se přeruší.
Pokud je SIM karta známa, sahá pevná stanice 1 po databázi 6, bere si další autentifikační triplet 7 a posílá náhodné číslo (RAND), obsažené v tripletu, na SIM kartu. SIM karta stanovuje z náhodného čísla odpověď SRES’ a posílá ji zpět na pevnou stanici 1. Tato porovnává hodnotu SRES' s hodnotou SRES, která je obsažena v aktuálně zvoleném tripletu pevné stanice. Jenom když se obě hodnoty SRES1, SRES shodují, obdrží mobilní telefonní koncový přístroj s přesně touto SIM kartou přístup k pevné stanici a může
78702 (78702a.doc) ·
Φ Φ Φ
ΦΦΦ «ΦΦΦ «Φ • · · φφφ φφφ φφφ φφφφ
Pokud se hodnoty SRES neshodují, odepře pevná stanice přístup.
Zastupuje:
Dr. Miloš Všetečka v.r.
Φ Φ
ΦΦ ΦΦ přes ní komunikovat.
76702 (78702a.doc)
JUDr. Miloš Všetečka advokát - 11 - .· • 4 · • 444 44 • 4 4 4 4 · 4 4 44 *44 444 • 4 4 · 444 4444 44 44
120 00 Praha 2, Hálkova 2
PATENTOVÉ NÁROKY
1. Způsob pro autentifikaci účastníka digitálního
mobilního komunikačního systému vzhledem k autentifikační instanci, vyznačující se následujícími kroky:
Jednorázová inicializace účastníka u autentifikační instance pomocí:
a) vytvoření náhodného čísla pomocí autentifikační instance;
b) předání náhodného čísla na složku mobilního komunikačního koncového přístroje účastníka, specifickou pro účastníka;
c) vyzvednutí dat odpovědi, stanovených z náhodného čísla, od složky, specifické pro účastníka;
d) uložení náhodného čísla s příslušnými daty odpovědi na způsob autentifikačního tripletu v energeticky nezávislé paměti autentifikační instance;
e) několikanásobné opakování kroků a) - d).
Regulérní autentifikace účastníka mobilního telefonního provozu vzhledem k autentifikační instanci přes společné radiové rozhraní na základě autentifikačního tripletu, uloženého při inicializaci v autentifikační instanci.
2. Způsob podle nároku 1, vyznačující se tím, že regulérní autentifikace zahrnuje následující kroky:
Přečtení autentifikačního tripletu z paměti autentifikační instance;
Přenos náhodného čísla přečteného autentifikačního tripletu na složku mobilního telefonního koncového
78702 (78702a.doc)
0 » 0 0 0 0 * • · 0 · 0 · 000 000 «00 0 0 00 #000 00 000 0000 00 00 přístroje, specifickou pro účastníka;
Vyzvednutí parametru odpovědi SRES', stanoveného z náhodného čísla, u složky, specifické pro účastníka;
Porovnání parametru odpovědi SRES’ s příslušnou hodnotou SRES, obsaženou v autentifikačním tripletu;
Při shodě hodnot SRES'a SRES povolení k přístupu pro účastníka mobilního telefonního provozu ke komunikaci přes digitální komunikační systém, přiřazený autentifikační instanci.
3. Způsob podle nároku 1 nebo 2, vyznačující se tím, že při jednonásobné nebo vícenásobné neshodě hodnot odpovědi SRES'a SRES se účastníkovi mobilního telefonního provozu odpírá přístup.
4. Způsob podle některého z nároků 1 až 3, vyznačující se tím, že složky, specifické pro účastníka, jsou ke své inicializaci spojeny s příslušným čtecím/zapisovacím zařízením autentifikační instance.
5. Způsob podle některého z nároků 1 až 4, vyznačující se tím, že při inicializaci se uskutečňuje výměna dat mezi složkou, specifickou pro účastníka a mezi autentifikační instancí, spojenými vodiči.
6. Způsob podle některého z nároků 1 až 4, vyznačující se tím, že při inicializaci se uskutečňuje bezdrátová výměna dat mezi složkou, specifickou pro účastníka a mezi autentifikační instancí.
7. Způsob podle některého z nároků 1 až 6, vyznačující se tím, že když jsou spotřebovány autentifikační triplety, uložené v autentifikační instanci,
78702 (78702a.doc) D\ř <innn onoa • «* « ·9· ··· startuje se nová inicializační procedura.
8. Způsob podle některého z nároků 1 až 7, vyznačující se tím, že autentifikační instance může spravovat více dat účastníka a autentifikačních tripletů, specifických pro účastníka.
9. Zařízení pro provádění způsobu podle předcházejících nároků, vyznačující se autentifikační instancí jako pevnou součástí druhého, digitálního komunikačního systému;
čtecím/zapisovacím zařízením, integrovaným v autentifikační instanci nebo s ní spojeným, které slouží ke čtení/zapisování dat na složce, specifické pro účastníka;
generátorem náhodných čísel k vytvoření náhodného čísla, navrženým v autentifikační instanci;
energeticky nezávislou pamětí, navrženou v autentifikační instanci.
10. Zařízení podle nároku 9, vyznačující se tím, že autentifikační instance je součástí pevné stanice digitálního bezdrátového telefonního systému.
11. Zařízení podle některého z nároků 9 nebo 10, vyznačující se tím, že digitální komunikační sítí je mobilní komunikační síť GSM.
12. Zařízení podle některého z nároků 9 až 11, vyznačující se tím, že složkou, specifickou pro účastníka, je SIM karta.
Zastupuje:
Dr. Miloš Všetečka v.r.
78702 (78702a.doc) • fc fcfcfc* fcfc

Claims (9)

  1. PATENTOVÉ NÁROKY
    JUDr. Miloš Všetečka advokát
    120 00 Praha 2, Hálkova 2
    1. Způsob pro autentifikaci účastníka digitálního mobilního komunikačního systému vzhledem k autentifikační instanci (1) digitálního bezšňůrového telefonního systému, vyznačující se následujícími kroky:
    Jednorázová inicializace účastníka autentifikační instance (1) bezšňůrového telefonního systému pomocí:
    a) vytvoření náhodného čísla pomocí autentifikační instance (1) bezšňůrového telefonního systému;
    b) předání náhodného čísla na složku (4) mobilního komunikačního koncového přístroje (8) účastníka, specifickou pro účastníka;
    c) vrácení dat odpovědi, stanovených z náhodného čísla, od složky (4), specifické pro účastníka na autentifikační instanci (1);
    d) uložení náhodného čísla s přiřazenými daty odpovědi na způsob autentifikačního tripletu (7) v energeticky nezávislé paměti autentifikační instance (1) bezšňůrového telefonního systému;
    e) několikanásobné opakování kroků a) - d).
    Regulérní autentifikace účastníka mobilního telefonního provozu vzhledem k autentifikační instanci (1) bezšňůrového telefonního systému přes společné radiové rozhraní na základě autentifikačního tripletu (7), uloženého při inicializaci v autentifikační instanci.
  2. 2. Způsob podle nároku 1, vyznačující se tím,
    16 7Θ702 (78702a.doc) * UjoraVeňá^jrana φφφ φφφφ ·Φ φφ • φ φ
    φ φ φφφφ φφ že regulérní autentifikace zahrnuje následující kroky:
    Přečtení autentifikačního tripletu (7) z paměti autentifikační instance (1);
    Přenos náhodného čísla přečteného autentifikačního tripletu (7) na složku (4) mobilního telefonního koncového přístroje (8), specifickou pro účastníka;
    Vrácení parametru odpovědi SRES', stanoveného z náhodného čísla, od složky (4), specifické pro účastníka na autentifikační instanci (1);
    Porovnání parametru odpovědi SRES' s příslušnou hodnotou SRES, obsaženou v autentifikačním tripletu (7);
    Při shodě hodnot SRES'a SRES povolení k přístupu pro účastníka mobilního telefonního provozu ke komunikaci přes digitální komunikační systém, přiřazený autentifikační instanci (1).
  3. 3. Způsob podle nároku 2, vyznačující se tím, že při jednonásobné nebo vícenásobné neshodě hodnot odpovědi SRES'a SRES se účastníkovi mobilního telefonního provozu odpírá přístup.
  4. 4. Způsob podle některého z nároků 1 až 3, vyznačující se tím, že složka (4), specifická pro účastníka, je ke své inicializaci spojena s příslušným čtecim/zapisovacím zařízením (3) autentifikační instance (1) 5. Způsob podle některého z nároků 1 až 4, vyznačující se tím, že při inicializaci se uskutečňuje výměna dat mezi složkou (4), specifickou pro účastníka a mezi autentifikační instancí (1), spojenými vodiči.
    16 78702 (78702a.doc)
    - 13 - ' ·. . i Upca\í0há.sÍrana • 00 * 0 0 0 • •0« 00 00· 0·«· 0· 00 6. Způsob podle některého z nároků 1 až 3, vyznačující se tím, že při inicializaci se uskutečňuje bezdrátová výměna dat mezi složkou (4) , specifickou pro účastníka a mezi autentifikační instancí (1) 7. Způsob podle některého z nároků 1 až 6, vyznáčující se tím, že když jsou spotřebovány
    autentifikační triplety (7) , uložené v autentifikační instanci (1), startuje se nová inicializační procedura.
  5. 8. Způsob podle některého z nároků 1 až 7, vyznačující se tím, že autentifikační instance (1) může spravovat více dat účastníka a autentifikačních tripletů (7), specifických pro účastníka.
  6. 9. Zařízení pro autentifikaci účastníka digitálního mobilního komunikačního systému vůči autentifikační instanci (1) digitálního bezšňůrového systému, vyznačující se autentifikační instancí (1) jako pevnou součástí digitálního bezšňůrového telefonního systému;
    čtecím/zapisovacím zařízením (3), integrovaným v autentifikační instanci (1) nebo s ní spojeným, které slouží ke čtení/zapisování dat, obsažených na složce (4), specifické pro účastníka, digitálního mobilního komunikačního systému;
    generátorem (2) náhodných čísel k vytvoření náhodného čísla, navržený v autentifikační instanci (1);
    energeticky nezávislou pamětí (6), navrženou v autentifikační instanci (1); a zařízením ke komunikaci s koncovými přístroji (8) digitálního mobilního komunikačního systému přes společné radiové rozhraní.
    16 78702 (78702a.doc)
    - 14 - Upcavaůá^trana ··· · · · v
  7. 10. Zařízení podle nároku 9, vyznačující se tím, že autentifikační instance (1) je součástí pevné stanice digitálního bezšňůrového telefonního systému.
  8. 11. Zařízení podle některého z nároků 9 nebo 10, vyznačující se tím, že digitálním mobilním komunikačním systémem je mobilní komunikační síť GSM.
  9. 12. Zařízení podle některého z nároků 9 až 11, vyznačující se tím, že složkou (4), specifickou pro účastníka, je SIM karta.
CZ19993938A 1997-05-05 1998-05-05 Způsob a zařízení pro autentifikaci účastníků mobilní telefonní sítě CZ294620B6 (cs)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19718827A DE19718827C2 (de) 1997-05-05 1997-05-05 Verfahren und Vorrichtung zum Authentisieren von Mobilfunkteilnehmern

Publications (2)

Publication Number Publication Date
CZ393899A3 true CZ393899A3 (cs) 2000-03-15
CZ294620B6 CZ294620B6 (cs) 2005-02-16

Family

ID=7828597

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ19993938A CZ294620B6 (cs) 1997-05-05 1998-05-05 Způsob a zařízení pro autentifikaci účastníků mobilní telefonní sítě

Country Status (10)

Country Link
US (1) US6741852B1 (cs)
EP (1) EP0980635B1 (cs)
JP (1) JP4153046B2 (cs)
AT (1) ATE230546T1 (cs)
AU (1) AU8209398A (cs)
CZ (1) CZ294620B6 (cs)
DE (2) DE19718827C2 (cs)
HU (1) HU223992B1 (cs)
PL (1) PL189806B1 (cs)
WO (1) WO1998051112A2 (cs)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ299977B6 (cs) * 1998-09-07 2009-01-14 T-Mobile Deutschland Gmbh Zpusob ke zvýšení bezpecnosti zpusobu autentifikace v digitálních mobilních radiotelefonních systémech

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19743561B4 (de) * 1997-10-01 2006-02-16 T-Mobile Deutschland Gmbh Verfahren zur Authentisierung von Teilnehmern eines digitalen Mobilfunknetzes
DE19921531C2 (de) * 1999-05-11 2002-04-04 Siemens Ag Verfahren zur Verschlüsselung einer Identifikationsinformation und elektronisches Gerät
BRPI0017415B8 (pt) 1999-06-15 2015-12-22 Siemens Ag processo e disposição para verificação de uma autenticidade de um primeiro participante de comunicação em uma rede de comunicação
FI113146B (fi) * 1999-10-19 2004-02-27 Setec Oy Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, autentikointikeskus, tilaajalaite ja SIM-kortti
US7246235B2 (en) 2001-06-28 2007-07-17 Intel Corporation Time varying presentation of items based on a key hash
US7243231B2 (en) * 2002-07-31 2007-07-10 Intel Corporation Sensory verification of shared data
US7716723B1 (en) * 2002-10-07 2010-05-11 Cisco Technology, Inc. System and method for network user authentication
EP1559201A4 (en) * 2002-11-08 2007-06-27 Carl Underwood CORDLESS HOME BASE UNIT FOR A CELLULAR REMOTE CHANNEL
US7146180B1 (en) * 2004-02-18 2006-12-05 Frank Kung Fu Liu Wireless node multiple handset cordless telephone system
DE102004043211A1 (de) * 2004-09-03 2006-03-09 Biotronik Crm Patent Ag Vorrichtung und Verfahren zum Betreiben eines mobilen Kommunikationsgerätes
KR100736047B1 (ko) * 2005-07-28 2007-07-06 삼성전자주식회사 무선 네트워크 장치 및 이를 이용한 인증 방법
JP2009239798A (ja) * 2008-03-28 2009-10-15 Brother Ind Ltd 通信装置
US9538355B2 (en) * 2008-12-29 2017-01-03 Google Technology Holdings LLC Method of targeted discovery of devices in a network
US9148423B2 (en) 2008-12-29 2015-09-29 Google Technology Holdings LLC Personal identification number (PIN) generation between two devices in a network
US8904172B2 (en) * 2009-06-17 2014-12-02 Motorola Mobility Llc Communicating a device descriptor between two devices when registering onto a network
KR101514905B1 (ko) * 2011-03-22 2015-04-23 엔이씨 유럽 리미티드 네트워크 동작 방법 및 네트워크
EP2533588A1 (en) 2011-06-08 2012-12-12 Cinterion Wireless Modules GmbH SIM information based SIM validation
PL397500A1 (pl) 2011-12-22 2013-06-24 Dco4 Spólka Z Ograniczona Odpowiedzialnoscia Sposób transmisji kodu jednorazowego w postaci alfanumerycznej
WO2014095001A1 (de) * 2012-12-17 2014-06-26 Giesecke & Devrient Gmbh Reputationssystem und verfahren

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2668002B1 (fr) * 1990-10-10 1994-05-06 Gerald Mazziotto Installation radiotelephonique a service de pre-paiement securise.
FI90181C (fi) * 1992-02-24 1993-12-27 Nokia Telecommunications Oy Telekommunikationssystem och ett abonnentautenticeringsfoerfarande
KR100304238B1 (ko) * 1993-07-16 2001-11-22 맨스 에케로프 무선통신시스템에서송수신기작동을제어하는방법및장치
US5812955A (en) * 1993-11-04 1998-09-22 Ericsson Inc. Base station which relays cellular verification signals via a telephone wire network to verify a cellular radio telephone
DE19525276C1 (de) * 1995-07-13 1997-01-30 Deutsche Telekom Mobil Verfahren zur Vereinfachung des Tests von Roaming-Beziehungen in GSM-Mobilfunknetzen
US5991407A (en) * 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
FI104140B1 (fi) * 1996-12-05 1999-11-15 Nokia Telecommunications Oy Matkaviestimen käyttö langattomana puhelimena

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ299977B6 (cs) * 1998-09-07 2009-01-14 T-Mobile Deutschland Gmbh Zpusob ke zvýšení bezpecnosti zpusobu autentifikace v digitálních mobilních radiotelefonních systémech

Also Published As

Publication number Publication date
PL189806B1 (pl) 2005-09-30
PL336787A1 (en) 2000-07-17
US6741852B1 (en) 2004-05-25
CZ294620B6 (cs) 2005-02-16
JP4153046B2 (ja) 2008-09-17
AU8209398A (en) 1998-11-27
DE19718827C2 (de) 2000-01-05
WO1998051112A2 (de) 1998-11-12
EP0980635A2 (de) 2000-02-23
HUP0004091A2 (en) 2001-03-28
HUP0004091A3 (en) 2002-09-30
EP0980635B1 (de) 2003-01-02
JP2001523419A (ja) 2001-11-20
DE19718827A1 (de) 1998-11-19
DE59806824D1 (de) 2003-02-06
ATE230546T1 (de) 2003-01-15
WO1998051112A3 (de) 1999-02-04
HU223992B1 (hu) 2005-04-28

Similar Documents

Publication Publication Date Title
CZ393899A3 (cs) Způsob a zařízení pro autentifikaci účastníků mobilní telefonní sítě
US6925560B1 (en) Pre-control of a program in an additional chip card of a terminal
US6799155B1 (en) Replacement of externally mounted user interface modules with software emulation of user interface module functions in embedded processor applications
CN100414528C (zh) 生物特征认证设备及生物特征信息认证方法
US5301234A (en) Radiotelephone installation for prepayment operation with security protection
US8666368B2 (en) Wireless network authentication apparatus and methods
RU2617836C2 (ru) Способ и оконечное устройство для поддержания карты модуля идентификации абонента в состоянии готовности
CA2461804C (en) A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
EP1613116A1 (en) Attaching at least one of algorithm and secret information specification to a field for storing random numbers for usage in an authentication calculation in a SIM card
EP1827049B1 (en) Authentication vector generating device, subscriber authentication module, mobile communication system and authentication vector generation method
JP2001500701A (ja) 移動通信システムにおけるコピーされた加入者認識の悪用防止
TR201808905T4 (tr) Bir sim kartın özgün, kişiselleştirilmiş bir ana sim vasıtasıyla kişiselleştirilmesi.
JP2002058066A (ja) 近距離無線アクセスおよび対応するサービス端末用のインタフェースを介してハイブリッド無線端末とサービス端末の間で近距離無線商取引を行う方法
JP3829803B2 (ja) バイオメトリック認証を伴う携帯無線電話端末からの呼のセットアップ
US20080227432A1 (en) Activating the Unlocking of a Mobile Terminal
CN106412887A (zh) 一种虚拟sim卡的快速鉴权方法、系统、服务器及终端
US7248886B1 (en) Public mobile communication system compatible wireless communication system
EP1176844B1 (en) Telecommunication system and method for authenticating information related to a subscriber
Vedder GSM: Security, services, and the SIM
US20030097341A1 (en) Method for encrypting data and a telecommunications terminal and access authorization card
CN101272253B (zh) 全球微波接入互通系统接入设备的鉴权方法
US20210306347A1 (en) Offline scripting for remote file management
US7394901B2 (en) Method for exchanging authentication information between a communication entity and an operator server
Urien et al. Introducing Smartcard in Wireless LAN Security
RU2574844C2 (ru) Устройство и способ аутентификации в беспроводной сети

Legal Events

Date Code Title Description
PD00 Pending as of 2000-06-30 in czech republic
MK4A Patent expired

Effective date: 20180505