-
Die
Erfindung betrifft die Sicherung der Datenübertragung über ein Telekommunikationsnetzwerk
oder mehrere Telekommunikationsnetzwerke.
-
Unter
Sicherung versteht man hier die Fähigkeit, eine Authentifizierung
der Parteien sicherzustellen, die miteinander kommunizieren möchten, um dann
gegebenenfalls einen gesicherten Kommunikationskanal zwischen ihnen
aufzustellen.
-
Der
Erfindungsbereich ist insbesondere, jedoch nicht ausschließlich, den
Anwendungen angepasst, bei denen der Teilnehmer im Telekommunikationsnetzwerk über ein
mobiles Telefon (oder ME für „Mobile
Equipment" in Englisch
(Mobile Ausrüstung)) Verbindung
aufnimmt, beispielsweise unter Verwendung der GSM- Telekommunikationsnorm
(für „Global
Systems for Mobile Communications" in Englisch (Globale Systeme für Mobile
Kommunikationen)) bzw. eine gleichwertige oder Wettbewerbsnorm wie DCS
1800 (für „Digital
Cellular with 1800 MHz" in Englisch
(Digitales Zellentelefon mit 1800 MHz)), PCS 1900 (für „Personal
Communication System with 1900 MHz" in Englisch), DECT (für „Digital
European Cordless Telecommunications" (Digitale Europäische Drahtlose Telekommunikationen)
in Englisch) oder UMTS (für „Universal
Mobile Telecommunications System" in
Englisch).
-
In
bekannter Weise werden diese Kommunikationsnetzwerke mit mobilen
Geräten
von den „mobilen
Netzbetreibern",
nachfolgend „Betreiber" genannt, betrieben,
die alle Verwaltungsfunktionen für Abonnements,
Zuleitung von Kommunikationen oder Verhandlungen über die
Zugangsbedingungen ihrer Teilnehmer zu über die Kommunikationsnetzwerke zugängliche
Dienstleistungsträger
(oder auch „Inhaltsdienstleistungen
oder Dienstleistungsserver") verwalten.
-
Das
Verfahren der Erfindung betrifft bevorzugterweise den Fall in dem
der Teilnehmer, der an das Telekommunikationsnetzwerk über ein
mobiles Terminal angeschlossen ist, in gesicherter Form mit einem
anderen Teilnehmer, typi scherweise ein Dienstleistungsträger, Verbindung
aufnimmt, wobei dieser über
ein anderes, mit dem Netzwerk des Teilnehmers verbundenes Telekommunikationsnetzwerk,
erreichbar ist.
-
In
der Tat ist das Sicherungsverfahren der Erfindung vorteilhafterweise
in jedem anderen Kontext anwendbar, bei dem der Teilnehmer an eine über ein
Telekommunikationsnetzwerk zugängliche Dienstleistung
den Wunsch hat, in gesicherter Weise und ohne Übertragung geheimer Elemente über das Netz
mit einer in der Ferne befindlichen dritten Partei Verbindung aufzunehmen,
im Rahmen der Kommunikation von Daten, bei der entweder ein einziges Netzwerk
oder zwei oder mehrere miteinander verbundene Netzwerke zum Einsatz
kommen, wobei der Übergang
von einem zum anderen einen Abbruch des Protokolls bewirkt.
-
Obwohl
die Erfindung ursprünglich
auf Kommunikationen anwendbar ist, die einerseits zwischen einem
geschlossenen Netzwerk (des Typs GSM), bei dem der Teilnehmer abonniert
ist, und andererseits einem offenen Netzwerk (vom Typ Internet)
aufgebaut werden, ist die offene oder geschlossene Natur eines jeden
der teilnehmenden Netzwerke keine einschränkende Eigenschaft des allgemeinen
Prinzips der Erfindung.
-
Viele
Inhaltsdienstleistungen sind im allgemeinen über ein offenes Kommunikationsnetzwerk, typischerweise
das Internet, welches sein eigenes Kommunikationsprotokoll besitzt,
zugänglich.
Wenn ein bewegliches GSM-Terminal den Zugang zu einer derartigen
Dienstleistung sucht, gibt es demnach einen Abbruch des Protokolls
an der Schnittstelle zwischen dem GSM-Netzwerk und dem Zugangsnetzwerk
zum Dienstleister vom Typ Internet. Es ist andererseits die Rolle
der Telekommunikationsbetreiber, diese Elemente der Vermittlung
und Verflechtung sicherzustellen und zu verwalten.
-
Es
gibt derzeit Verfahren der Authentifizierung und Vertraulichkeit,
die für
jedes dieser zwei Netzwerke spezifisch sind. Die bekannten Lösungen bestehen
somit darin, die für
das eine und dann für das
anderer Netzwerk verfügbaren
Vorgehensweisen bei der Übertragung
eines jeden Datenzuges nebeneinander anzuwenden. Daraus ergibt sich
im Allgemeinen ein Bruch der Vertraulichkeit auf der Ebene der Schnittstelle.
Insbesondere der Einsatz von abgesicherten Protokollen auf jedem
davor und danach liegenden Teilstück erfordert, dass der Betreiber
sich in Besitz der geheimen Elemente, Schlüssel und/oder kryptographische
Algorithmen befindet, die zur Anwendung eines jeden Authentifizierungs-
und Vertraulichkeitsverfahrens erforderlich sind. Diese Verantwortung übt auf den
Betreiber einen Zwang zum Erhalten der Vertraulichkeit aus, der
für den Dienstleister,
für den
Teilnehmer und sogar für
den Betreiber selbst unerwünscht
sein kann.
-
Eine
weitere bekannte Lösung
besteht darin, eine „Dritte
Vertrauenspartei" genannte
dritte Partei für
die Verwaltung der Geheimnisse einzusetzen, wobei diese Lösung ebenfalls
beschwerlich und somit für
einige Fälle
ungeeignet ist, bei denen Kosten und Komplexität der Verwaltung unerwünscht sind.
-
Eine
weitere Lösung,
die von M. Walker in „Security
in Mobile and Cordless Telecommunications" (Sicherheit bei der mobilen und drahtlosen
Telekommunikation) (Computer Systems and Software Engineering, Proceedings
of CompEuro - 4–8
Mai 1992, Den Hag, S. 493–496,
XP000344244) verwendet einen dynamischen Passwortmechanismus, bei dem
ein feststehendes Terminal einem beweglichen Terminal einen (aleatorische)
Zugangsantrag liefert. Das bewegliche Terminal beantwortet diesen
Zugangsantrag durch Verwendung eines kryptographischen Algorithmus
unter der Kontrolle eines Authentifizierungsschlüssels. Das feststehende Terminal vergleicht
dann die vom beweglichen Terminal gesendete Antwort mit der erwarteten
Antwort und betrachtet die Authentifizierung als gelungen, wenn
beide Werte übereinstimmen.
-
Ein
beträchtlicher
Nachteil dieser Vorgehensweise nach dem Stand der Technik ist, dass
sie hin und her Läufe
zwischen dem beweglichen Terminal und dem feststehenden Terminal
und somit eine länger
dauernde Authentifizierung benötigt.
-
R.
Molvar et al. schlagen ebenfalls in „Authentification of mobile
users" (Authentifizierung
beweglicher Benutzer) (IEEE NETWORK, Band 8, Nr. 2, 1. März 1994,
S. 26–34,
XP000515077) eine Lösung
für die
Authentifizierung von GSM-Mobilgeräten vor,
ausgehend von einer SIM Karte (in Englisch „Subscriber Identity Module" für „Teilnehmer
Identifizierungsmodul"),
die in einem Mobilgerät
enthalten ist und einen nur vom Netzwerk des Teilnehmers bekannten
Geheim schlüssel
enthält.
Bei einer Verbindung mit einem Teilnehmer eines anderen Netzwerkes,
schickt ein Authentifizierungszentrum dem Netzwerk des Teilnehmers
ein Informationstriplet, das einen Zugangsantrag, eine unterschriebene
Antwort und einen entsprechenden Schlüssel umfasst.
-
Ein
Nachteil dieser Technik ist jedoch, dass sie großen Netzwerken, die verschiedene
Verwalter haben, schlecht angepasst ist und bezüglich der Passbandverwaltung
wenig effektiv ist.
-
Zweck
der Erfindung ist es, diese verschiedenen Nachteile des Standes
der Technik auszuräumen.
-
Genauer
gesagt besteht ein erster Zweck der Erfindung darin, ein Authentifizierungsverfahren
zu gewährleisten,
das sich unabhängig
von den nacheinander von einer Verbindung genutzten Netzwerken einsetzen
lässt.
Ein derartiges Authentifizierungsverfahren muss es zumindest dem
Dienstleister ermöglichen,
den Teilnehmer zu identifizieren, wobei dies bevorzugterweise bei
jeder Sitzung gegenseitig erfolgen soll.
-
Ferner
bezweckt die Erfindung das Bereitstellen eines Verfahrens zur Datenübertragung über einen
chiffrierten Kanal, der es einem Teilnehmer und einem Dienstleister
ermöglichen
sicher miteinander zu kommunizieren, ohne Intervention des Betreibers des
Anschlussnetzwerkes des Teilnehmers, auch dann, wenn dies ohne seine
Kenntnis erfolgt.
-
Noch
ein Zweck der Erfindung ist das Bereitstellen eines Verfahrens,
welches dem Betreiber das Definieren des Sicherungsschemas und das
Garantieren der Qualität
der Authentifizierung über
die von ihm kontrollierte Verbindung ermöglicht, ohne dass er weder
den Inhalt noch die Funktionselemente des chiffrierten Kanals kennen
muss.
-
Es
ist ebenfalls Zweck der Erfindung, dem Teilnehmer und dem Dienstleister
das Teilen der Kenntnis eines Chiffrierungsschlüssels für die unter ihnen über das
Netzwerk ausgetauschten Meldungen zu ermöglichen, wobei vorteilhafterweise jeder Schlüssel für jede Kommunikationssitzung
verschieden ist, ohne dass der Chiffrierungsschlüssel zu irgendeinem Zeitpunkt über das
Netzwerk laufen muss.
-
Die
Erfindung bezweckt ebenfalls die optimierte Verwendung der von einem
GSM-Netzwerk stammenden Sicherheitsressourcen, nämlich im Wesentlichen die Verwendung
eines geheimen Elementes oder mehrerer Geheimelemente sowie eines
Algorithmus bzw. mehrerer Algorithmen, der (die) in den Terminals
der Netzwerkteilnehmer vorhanden ist (sind) – bzw. gegebenenfalls (wieder)programmierbar
ist (sind), typischerweise im Teilnehmer-Identifizierungsmodul, im allgemeinen „SIM-Karte" genannt (in Englisch „Subscriber
Identiy Module",
Teilnehmer Identifizierungsmodul), der mit dem Funktelefonterminal
des Teilnehmers zusammenwirkt.
-
Noch
ein Zweck der Erfindung ist das Bereitstellen eines Passwortes an
den Teilnehmer sowie der Mittel zum Berechnen eines Chiffrierungs/Dechiffrierungsschlüssels, die
ausschließlich
vom Dienstleister zugeteilt und verwaltet werden und somit weder
vom Betreiber noch von dritten Parteien bekannt sein müssen.
-
Die
Erfindung soll ebenfalls die Lieferung eines Verfahrens bezwecken,
das eine reelle „Dichtigkeit" vom Standpunkt der
Sicherheit der Kommunikationen sowie der eventuell vom Teilnehmer
in Gang gesetzten Vorgänge
zwischen den verschiedenen Dienstleistern gewährleistet.
-
Diese
Zwecke sowie andere, die im Nachhinein ersichtlich werden, erreicht
man nach der Erfindung mit Hilfe eines Verfahren zum Sichern einer Verbindung
zwischen einerseits einem Teilnehmer eines Telekommunikationsnetzes
und andererseits einem über
einen Betreiber dieses Telekommunikationsnetzes, an welches der
Teilnehmer angebunden ist, erreichbaren Dienstleister, wobei das
Verfahren dadurch gekennzeichnet, dass es einerseits eine anfängliche
Eintragung dieses Teilnehmers bei dem Dienstleister über den
Betreiber und andererseits einen Vorgang zur Abwicklung einer jeden
Kommunikationssitzung zwischen dem Teilnehmer und dem Dienstleister
umfasst.
-
Unter
Teilnehmer versteht man selbstverständlich nicht nur den Benutzer,
sondern und hauptsächlich
seine Netzwerkausrüstung.
Ebenfalls versteht man unter Dienstleister hauptsächlich den
an das Netzwerk angeschlossenen Datenverarbeitungsserver. Jedoch,
wie weiter unten ersichtlich, können einige
Informationsübertragungen
außerhalb
des Netzwerkes stattfinden (beispielsweise über Postdienste, Fax usw.)
und somit andere Gebilde, insbesondere Individuen, zu ihrer Realisierung
einbinden.
-
Nach
der Erfindung umfasst die anfängliche Eintragung
folgendes:
- – einerseits, das Bereitstellen
durch den Betreiber des Telekommunikationsnetzes an den Dienstleister
einer Kennung (Device ID) des Teilnehmers in seinem Anbindungsnetz
und einer Authentifizierung (R1) des Teilnehmers, gebildet von einem
ersten, auf der Grundlage einer Kennung (IDx)
des Dienstleisters im Netzwerk des Betreibers berechneten numerischen
Wertes, der Kennung (Device ID) des Teilnehmers in seinem Anschlussnetzwerk
und einem geheimen Element (Sec.Op.), das den Teilnehmer charakterisiert;
- – andererseits
das Bereitstellen durch den Dienstleister an den Teilnehmer von
Kennungs-/Authentifizierungsdaten (Login, mdp) des Teilnehmers beim
Dienstleister.
-
Andererseits
umfasst nach der Erfindung das Abwicklungsverfahren einer jeden
Sitzung eine Authentifizierung des Teilnehmers durch den Dienstleister
mit Hilfe der folgenden Schritte:
- – einen
Schritt zum Berechnen eines zweiten numerischen Wertes (R2) auf
der Grundlage einer Kennung (mdp) des Teilnehmers beim Dienstleister
und eines auf der Ebene des Teilnehmers erzeugten Diversifikationswertes
(Date),
- – einen
Schritt zur Berechnung eines dritten numerischen Wertes (R3), ausgehend
vom ersten numerischen Wert (R1), dem zweiten numerischen Wert (R2)
sowie eines dritten Datenwertes (Login), der den Teilnehmer beim
Dienstleister identifiziert,
- – einen
Schritt zum Senden eines ersten Datenblocks durch den Teilnehmer
an den Dienstleister, wobei dieser Block vom dritten numerischen
Wert (R3) und von den Eingangsdaten gebildet wird, nämlich einem
Datenwert (Login), der den Teilnehmer beim Dienstleister identifiziert,
und dem auf der Ebene des Teilnehmers erzeugten Diversifikationswert
(Date),
- – einen
Schritt zum Authentifizieren des Teilnehmers durch den Dienstleister
mittels der erneuten Validierungsberechnung des dritten numerischen Wertes
(R3) auf der Grundlage der Eingangsdaten (Login, date) des ersten
Datenblocks und von bereits dem Dienstleister zur Verfügung stehenden
und mit dem Teilnehmer assoziierten Daten (R1, mdp).
-
Nach
einer weiteren vorteilhaften Eigenschaft der Erfindung umfasst das
Verfahren ebenfalls eine Authentifizierung des Dienstleisters durch
den Teilnehmer mit Hilfe der folgenden Schritte:
- – einen
Schritt zur Berechnung eines vierten numerischen Wertes (R4), ausgehend
von der Authentifizierung (R1) des Teilnehmers, einer aleatorischen
(random) Variablen, die auf der Ebene des Dienstleisters erzeugt
wird und eines Diversifikationswertes (Date);
- – einen
Schritt zur Übertragung
eines zweiten Datenblocks vom Dienstleister an den Teilnehmer, wobei
dieses Raster aus dem vierten numerischen Wert (R4) und der aleatorischen
Variablen (Random) gebildet wird;
- – einen
Schritt zur Authentifizierung des Dienstleisters durch den Teilnehmer
durch erneute Berechnung der Validierung des vierten numerischen
Wertes (R4), ausgehend von der aleatorischen Variablen (Random)
des zweiten Datenblocks und von dem Teilnehmer zur Verfügung stehenden
Daten (R1, Date).
-
Somit
ermöglicht
das Verfahren, wenn es alle oben erwähnten Eigenschaften einhält, eine
gegenseitige Authentifizierung des Teilnehmers und des Dienstleisters.
-
Wenn
die Authentifizierung, bevorzugt gegenseitig, bestätigt wurde,
umfasst das Verfahren ferner vorteilhafterweise:
- – eine Phase
zur Erzeugung eines dem Teilnehmer und dem Dienstleister gemeinsamen
Sitzungsschlüssels
(Kses) und,
- – eine
Phase zur Übertragung
von mit Hilfe des besagten Schlüssels
(Kses) verschlüsselten
Daten.
-
In
diesem Falle umfasst die Phase zur Erzeugung eines Sitzungsschlüssels (Kses)
die folgenden Schritte:
- – einen Schritt zur Berechnung
eines Sitzungsschlüssels
(Kses) durch den Dienstleister, ausgehend von Berechnungsdaten,
die den zweiten numerischen Wert (R2) und eine aleatorische Variable
(Random2) umfassen;
- – einen
Schritt zur Übertragung
der alleinigen aleatorischen Variablen (Random2) an den Teilnehmer,
ausgenommen dann, wenn die aleatorischen Variablen Random und Random2
identisch sind, da in diesem Falle die Phase zum Erzeugen eines Sitzungsschlüssels (Kses)
keine Datenübertragung
vom Dienstleister zum Teilnehmer umfasst, weil die aleatorische
Variable dem Teilnehmer, dank des zweiten Datenblocks, bereits zur
Verfügung
steht;
- – einen
Schritt zum Berechnen des Sitzungsschlüssels durch den Teilnehmer,
ausgehend von den Berechnungsdaten, nämlich die übertragene aleatorische Variable
(Random2) und den zweiten, dem Teilnehmer zur Verfügung stehenden
numerischen Wert (R2).
-
Bei
den bisher dargestellten Eigenschaften der Erfindung umfasst das
Verfahren bei jeder Sitzung die folgenden aufeinander folgenden
und voneinander getrennten Schritte:
- – Authentifizierung
des Teilnehmers durch den Dienstleister;
- – Authentifizierung
des Dienstleisters durch den Teilnehmer;
- – Berechnung
eines Sitzungsschlüssels
zum Aufstellen eines chiffrierten Kanals.
-
In
dieser Weise lässt
sich selektiv alles oder ein Teil des vollständig vorgeschlagenen Verfahrens einsetzen.
-
Jedoch
ist es bei einer weiteren Ausführungsvariante
möglich,
den Authentifizierungsschritt des Dienstleisters durch den Teilnehmer
mit dem Schritt zur Berechnung des Sitzungsschlüssels zum Aufstellen des chiffrierten
Kanals zu kombinie ren. Nach dieser Variante umfassen die Daten zum
Berechnen des Sitzungsschlüssels
(Kses) ebenfalls das Authentifizierungszeichen des Teilnehmers (R1),
wobei dieses Authentifizierungszeichen (R1) sowohl dem Dienstleister
als auch dem Teilnehmer zur Verfügung
steht, ohne dass es vom ersten zum zweiten übertragen werden muss. Zu diesem
Zeitpunkt gilt der korrekte Empfang des berechneten Sitzungsschlüssels (Kses)
als Authentifizierung des Dienstleisters durch den Teilnehmer, aufgrund
der Verständlichkeit
der vom Dienstleister empfangenen verschlüsselten Daten, welche mit Hilfe
des vom Teilnehmer berechneten Sitzungsschlüssels (Kses) entziffert werden.
-
Somit
sind die Berechnungen und die Informationsübertragungen bezüglich der
vierten numerischen Variablen R4 nicht mehr notwendig.
-
Die
Berechnung des Sitzungsschlüssels,
ob im Modus der Realisierung durch getrennte Schritte oder im Modus,
bei dem die zurücklaufende
Authentifizierung und die Berechnung des Schlüssels kombiniert werden, kann
ferner selbst eine Variante aufweisen, bei der diese Daten zum Berechnen
des Sitzungsschlüssels
(Kses) ebenfalls den Diversifikationswert (Date) enthalten, wobei
darauf hingewiesen wird, dass dieser Diversifikationswert (Date)
sowohl dem Dienstleister als auch dem Teilnehmer zur Verfügung steht,
so dass keine Notwendigkeit der Übertragung
vom ersten an den zweiten besteht.
-
Somit
kombiniert nach der Erfindung und unabhängig von den Varianten das
Authentifizierungsschema zwei Sicherungsebenen, nämlich eine
Identifizierung/Authentifizierung (Device ID, R1) auf der Ebene
des Netzwerks, mit einer Identifizierung auf der Anwendungsebene
(login, mdp). Man stützt
sich demnach auf die inhärente
Sicherheit, die ein Telekommunikationsnetzwerk auf der Ebene der
Anwendung bei der Authentifizierung der Parteien und/oder der Aufstellung
einer chiffrierten Verbindung bieten kann.
-
Die
gegenseitige Authentifizierung basiert auf der Verbreitung eines
Wertes R1 durch den Betreiber zum Zeitpunkt der Eintragung des Teilnehmers
beim Dienstleister, wobei dieser für den Schutz dieses Wertes,
den er in seiner Authentifizierungsdatenbank aufbewahrt, zuständig ist.
Der Teilnehmer selbst behält
diesen Wert R1 (aus Sicherheitsgründen) prinzipiell nicht, ist
aber in der La ge, ihn automatisch bei jeder Initialisierung einer
neuen Sitzung erneut zu berechnen. Zu diesem Zeitpunkt müssen zwei
Datensätze
ausgetauscht werden, damit sich die Parteien gegenseitig authentifizieren
und einen gesicherten Kanal aufstellen.
-
Es
sei darauf hingewiesen, dass das Aufstellen eines chiffrierten Kanals
nur eine geheime Information benötigt,
deren Erzeugung in die Verantwortung des Anschlussbetreibers fällt, wobei
der Teilnehmer in Besitz dieser geheimen Information ist oder diese
in seinem mit dem Netz verbundenen Gerät eingeschlossen ist.
-
Nach
einer vorteilhaften Eigenschaft der Erfindung erzeugt der Dienstleister
eine Datenbank, die jedem eingetragenen Teilnehmer mindestens eines der
folgenden Datenwerte zuordnet:
- – eine Kennung
(Device ID) des Teilnehmers in seinem Anschlussnetzwerk;
- – Kennungs-/Authentifizierungsdaten
des Teilnehmers gegenüber
dem Dienstleister (Login, mdp);
- – den
vom Betreiber zum Zeitpunkt der ersten Eintragung empfangenen numerischen
Wert R1;
- – gegebenenfalls
mindestens einige der für
die laufende Kommunikationssitzung spezifischen Werte Date, R3,
R4, Random, Random2 und Kses.
-
Nach
einer weiteren Eigenschaft der Erfindung werden mindestens einige
dieser ersten, zweiten und dritten (gegebenenfalls auch vierten)
numerischen Werte R1, R2, R3, R4 sowie der Sitzungsschlüssel Kses
mit Hilfe eines kryptographischen Algorithmus f1, f2, f3, fk berechnet.
Bevorzugterweise gehört
dieser kryptographische Algorithmus der folgendes umfassenden Gruppe
an:
- – die
Algorithmen mit Zerteilungsfunktion in eine einzige Richtung mit
Schlüssel,
wie beispielsweise DES im MAC-Modus;
- – die
Algorithmen mit Zerteilungsfunktion in eine einzige Richtung ohne
Schlüssel,
wie beispielsweise md5 (eingetragenes Warenzeichen), RIPEM und SHA;
- – die
Algorithmen mit Bitvermischung.
-
Vorteilhafterweise
wird der erste numerische Wert R1 mit Hilfe eines Algorithmus f1
vom Typ A3/A8 berechnet.
-
Nach
einer weiteren bevorzugten Eigenschaft der Erfindung gehört das Geheimelement (Sec.
Op.), welches den Teilnehmer kennzeichnet, der Gruppe an, die den
in der SIM-Karte des Mobiltelefons bzw. mobilen Endgeräts des Teilnehmers
enthaltenen Ki-Schlüssel
(wenn er sich in Gegenwart eines Netzwerkes des Typs GSM befindet)
und einen beliebigen, im Terminal des Teilnehmers verfügbaren Kkm-Schlüssel umfasst.
-
In
gleicher Weise, wenn das Anschlussnetzwerk des Teilnehmers das GSM-Netzwerk ist, gehört die Kennung
(Device ID) des Teilnehmers in seinem Anschlussnetzwerk der Gruppe
an, die die IMSI („International
Mobile Subscriber Identity" (Internationale mobile
Teilnehmeridentität))
und den MSISDN („Mobile
Station ISDN Nr" (ISDN-Nr.
für mobile
Stationen)) umfasst.
-
Bevorzugterweise
werden die Identifizierungs-/Authentifizierungsdaten (login, mdp)
des Teilnehmers gegenüber
dem Dienstleister aus den folgenden Elementen gebildet:
- – eine
Kennung (login) des Teilnehmers im Netzwerk des Dienstleisters,
- – ein
vom Dienstleister dem Teilnehmer zur Verfügung gestelltes geheimes Element
(mdp).
-
Vorteilhafterweise
gehört
der zum Berechnen eines zweiten numerischen Wertes (R2) benutzte
Diversifikationswert (Date) der Gruppe an, welche das Datum und/oder
die Uhrzeit der Sitzung, eine bei jeder neuen vom Teilnehmer angeforderten
Sitzung inkrementierte Zahl und eine auf der Ebene des Teilnehmers
erzeugte aleatorische Zahl umfasst.
-
Vorteilhafterweise
kann sich der Dienstleister von der Qualität des Diversifikationswertes
(Date) des Teilnehmers überzeugen,
indem er sicherstellt, dass sich dieser Wert effektiv im Laufe der
Zeit ändert.
Er kann diese Prüfung
beispielsweise durchführen,
indem er den Wert (Date) des letzten Anschlussversuchs behält, um festzustellen,
ob dieser auch verschieden vom laufenden Wert (Date) ist.
-
Es
ist ebenfalls möglich,
die Verwendung des zweiten numerischen Wertes R2 dadurch zu vereinfachen,
dass er einfach dem vom Dienstleister an den Teilnehmer bereitgestellten
geheimen Element (mdp) gleichgesetzt wird. In diesem Falle ist dieser Wert
nicht mehr „dynamisch" (d.h., als Funktion
der Vorkommnisse variabel), sonder fest gefügt. Dann wird die kryptographische
Funktion f2 selbstverständlich
nicht mehr verwendet.
-
Weitere
Eigenschaften und Vorteile der Erfindung werden beim Lesen der nachfolgenden
Beschreibung einer veranschaulichenden und nicht einschränkenden
Ausführung
der Erfindung sowie beim Betrachten der beigefügten Figuren deutlich, wobei:
-
1 eine
schematische Darstellung eines Konfigurationsbeispiels von Kommunikationsnetzwerken
zeigt, innerhalb derer die Erfindung zum Einsatz kommen kann;
-
2 eine
schematische Darstellung der aufeinander folgenden Phasen der Variante
des Sicherungsverfahrens nach der Erfindung zeigt, bei der die rücklaufende
Identifizierung mit der Berechnung des Sitzungsschlüssels kombiniert
wird;
-
3 die
Hauptschritte der Berechnung der im Rahmen der nach der Erfindung
gesicherten Datenübertragung
zeigt.
-
Die
Konfiguration von 1 besteht aus einem ersten Kommunikationsnetzwerk 11,
das von einem Betreiber 12 verwaltet wird und einen Teilnehmer 13 umfasst.
Um diese Konfiguration genauer zu veranschaulichen, kann man annehmen,
dass das Netzwerk 11 ein geschlossenes Abonnentennetzwerk
von der Art eines GSM-Netzwerkes ist. Der Teilnehmer 13 besitzt
ein mobiles Telefon, typischerweise ein tragbares Terminal mit einer „SIM"-Karte, das mit dem
Netzwerk 11 über
eine Basisstation (BTS) kommuniziert. Der selbe Betreiber 12 stellt
auch beispielsweise die Verwaltung eines Intranets sicher, an das
ein zweiter Teilnehmer 14 angeschlossen ist. Dieser Teilnehmer 14 kommuniziert
mittels eines Rechners 18, der über ein Modem 19 an
das Netzwerk angeschlossen ist.
-
Auf
Antrag eines Teilnehmers ist der Betreiber 12 in der Lage,
eine Verbindung 15 mit einem zweiten Netzwerk 16 herzustellen,
das selbst eine bestimmte Anzahl von Teilnehmern umfasst, davon einen
online Dienstleister 17.
-
Beim
Netzwerk 16 selbst handelt es sich beispielsweise um ein
offenes Netzwerk vom Typ Intranet, welches das IP-Kommunikationsprotokoll
benutzt. Der online Dienstleister 17 bietet eine Dienstleistung,
deren Inhalt mittels eines vorherigen Eintragungsvorgangs beim Dienstleistungsträger zugänglich ist.
Es handelt sich beispielsweise um eine Bankdienstleistung, die eine
Bank ihren Kunden zur Verfügung
stellt und mit der sie ihre Konten abrufen und/oder Transaktionen
aus der Ferne ausführen können. Diese
Operationen sind vertraulich und verlangen einerseits, dass die
miteinander kommunizierenden Teilnehmer (der Teilnehmerkunde einerseits und
die Bank andererseits) ihre Identitäten gegenseitig authentifizieren,
um jeglichen Missbrauch auszuschließen und, andererseits, dass
der Datenaustausch chiffriert erfolgt, um Vertraulichkeitsverletzungen
entgegentreten zu können.
-
Jede
Verbindung eines Kundenteilnehmers mit dem online Dienstleister
startet eine Kommunikationssitzung, deren Aufbau und Ablauf nach
dem Verfahren der Datenübertragung über einen
gesicherten Kanal gemäß der Erfindung
läuft.
-
Nach
der Erfindung benötigt
das Aufstellen eines gesicherten Kanals die vorherige Eintragung des
Teilnehmers beim Dienstleister und, dass der Betreiber dem Dienstleister
Daten zum Identifizieren und Authentifizieren zwischen Teilnehmer
und Dienstleister liefert, die beim späteren Aufstellen von Kommunikationssitzungen
benutzt werden. Dagegen erfolgen die Aufstellung und die Verwendung
des gesicherten Kanals ohne Zutun des Netzwerkbetreibers des Teilnehmers,
selbstverständlich
mit Ausnahme der Transportebene der Bruttokommunikation, wobei diese
unentziffert und für
den Betreiber unentzifferbar bleibt, da die geheimen Elemente nur
dem Teilnehmer und dem Dienstleister bekannt sind. Der Betreiber
definiert lediglich das Sicherungsschema, d.h., er ermöglicht den
Einsatz der Erfindung. Der Betreiber garantiert die Qualität dieses
Schemas für
die Authentifizierungs- und Vertraulichkeitsdienste. Dagegen behält der Dienstleister
selbstverständlich
die Verantwortung für
die Kontinuität
der Sicherungskette auf seiner eigenen Ebene.
-
Im
Diagramm der 2 erscheinen nacheinander die
beiden aufeinander folgenden Verfahren zum Einsetzen des Verfahrens
der Erfindung, nämlich:
- – ein
erstes Verfahren 20 zur anfänglichen Eintragung des Teilnehmers
beim Dienstleister über
den Betreiber,
- – ein
zweites Verfahren 30 zur Abwicklung einer jeden Kommunikationssitzung
zwischen Teilnehmer und Dienstleister.
-
Beim
ersten Eintragungsvorgang 20 (oder Abonnementabschluss)
findet man im Wesentlichen den Austausch der folgenden Daten.
-
In
einer ersten Zeit stellt (21) der Telekommunikationsbetreiber
dem Teilnehmer eine Kennzeichnung des Dienstleisters (IDx) zu, bei
dem sich der Teilnehmer eintragen möchte. Die Kennzeichnung IDx
ist einzigartig für
jeden Dienstleister, der über
das Netzwerk des Betreibers nach dem Sicherungsschema der Erfindung
zugänglich
ist. Wenn der Dienstleister über
ein Netzwerk des Typs Internet zugänglich ist, kann die Kennzeichnung
IDx beispielsweise eine URL (in Englisch „Uniform Resource Locator", Gleichmäßiger Ressourcen-Lokalisierer)
sein.
-
Andererseits
führt (22)
der Betreiber einen Satz von zwei Daten zum Dienstleister, nämlich:
- – eine
Kennung (Device ID) des Teilnehmers innerhalb seines Anschlussnetzwerkes
und
- – eine
Authentifizierung (R1) des Teilnehmers, die vorteilhafterweise unter
Bedingungen berechnet wird, die nachfolgend detailliert im Zusammenhang
mit der Erläuterung
der 3 beschrieben werden.
-
Die
Authentifizierung R1 wird ausgehend von einer Gruppe von einmaligen
Werten im Netzwerk des Betreibers berechnet und ist somit spezifisch
für die
Verbindung zwischen dem hier betrachteten einerseits spezifischen
Teilnehmer und andererseits spezifischen Dienstleister und muss
in diesem Sinne durch den Dienstleister geschützt werden. Dieser Wert R1
ist demnach für
einen gegebenen Teilnehmer je nach Dienstleister verschieden. Die Authentifizierung
R1 wird dauerhaft in der Authentifizierungsdatenbank des Dienstleisters
gespeichert.
-
Als
Gegenleistung liefert (23) der Dienstleister dem Teilnehmer
ebenfalls zwei Identifizierungsdaten des Teilnehmers beim Dienstleister,
nämlich: eine Kennung
(login) des Teilnehmers im Netzwerk des Dienstleisters und ein geheimes
Element (mdp), beispielsweise in der Form eines Passwortes.
-
Alle
oder ein Teil der in diesem Stadium ausgetauschten Daten können vorteilhafterweise
außerhalb
der Kommunikationsleitung („off
line" in Englisch)
laufen, nach Vorgehensweisen, die jedem der Beteiligten eigen sind
(beispielsweise über
Fax, Kurier oder jedes andere Mittel). Es kann jedoch in einigen
Fällen
einfacher sein, sie über
die Leitung zu übertragen.
-
Beim
zweiten Verfahren 30 zur Abwicklung einer jeden Kommunikationssitzung
zwischen Teilnehmer und Dienstleister, kann man mehrere verschiedene,
aufeinander folgende Phasen unterscheiden.
-
Zuerst
authentifiziert sich der Teilnehmer beim Dienstleister, indem er
ihm einen Datenblock zukommen lässt
(31), bestehend aus einem numerischen Wert (R3) und einem
Satz zweier Eingangsdaten, nämlich
der Wert (Login), der den Teilnehmer beim Dienstleister identifiziert
und einen Diversifikationswert (Date), der auf der Ebene des Teilnehmers erzeugt
wird.
-
Diese Übertragung
eines Datenblocks erfolgt unmittelbar nachdem der Teilnehmer beispielsweise über die
Tastatur seines Telekommunikationsterminals das Wertepaar (login,
mdp) aufgenommen hat, das ihn beim Dienstleister identifiziert und
authentifiziert. Der Wert login wird direkt in dem oben erwähnten, an
den Dienstleister gesendeten Datenblock eingefügt, während der Wert mdp nicht übertragen,
sondern bei der Berechnung des numerischen Wertes R3 verwendet wird.
-
Die
Berechnungsmodalitäten
des numerischen Wertes R3 werden im Zusammenhang mit der nachfolgenden
Erläuterung
der 3 detailliert beschreiben.
-
Der
Diversifikationswert kann jeder Wert sein, der die Variabilität sicherstellt
und das Wiedereinspielen der vom Teilnehmer bei der vorhergehenden
Iteration gelieferten Daten ausschließt. Der Zweck ist selbstverständlich das
Verhindern von „Wiedereinspielen" genannten Eindringversuchen („replay
attack" in Englisch), bei
denen ein dritter Beteiligter versucht, sich für den Teilnehmer auszugeben.
Der Diversifikationswert wird vorteilhafterweise vom Datum und/oder
der Uhrzeit der Sitzung gebildet, kann jedoch genauso gut eine Zahl
sein, die vom Teilnehmer bei jeder neuen Sitzung inkrementiert wird,
oder eine auf der Ebene des Teilnehmers erzeugte aleatorische oder
pseudo-aleatorische Zahl sein.
-
Beim
Empfang des beim Schritt 31 gesendeten Datenblocks, authentifiziert
(32) der Dienstleister den Teilnehmer durch Wiederberechnung,
zwecks Validierung, des dritten numerischen Wertes (R3), ausgehend
von den Eingangdaten (login, date) des Datenblocks sowie von Authentifizierungsdaten
(R1, mdp), die dem Dienstleister bereits bekannt und dem Teilnehmer
zugeordnet sind. Erhält
der Dienstleister bei der Validierungsneuberechnung einen Wert,
der identisch zu dem vom Teilnehmer empfangenen Wert R3 ist, so
ist der Teilnehmer validiert und authentifiziert.
-
Der
nachfolgende Schritt 33 besteht für den Dienstleister im Erzeugen
eines Sitzungsschlüssels (Kses),
ausgehend von einer bestimmten Zahl von Daten (s. weiter unten),
einschließlich
einer aleatorischen Variablen (Random). Zu diesem Zeitpunkt beschränkt sich
der Dienstleister darauf, dem Teilnehmer die einzige aleatorische
Variable (Random) zu senden (34), die dem Teilnehmer seinerseits
zum Wiederberechnen (35) desselben Sitzungsschlüssels (Kses)
dient. Wenn diese Berechnung exakt ist, so ermöglicht sie es dem Teilnehmer
den Dienstleister zu authentifizieren, aufgrund der Verständlichkeit der
vom Dienstleister empfangenen chiffrierten Daten, welche mit Hilfe
des vom Teilnehmer berechneten Sitzungsschlüssels (Kses) entschlüsselt werden.
-
Teilnehmer
und Dienstleister können
dann in gesicherter Weise über
den aufgestellten chiffrierten Kanal miteinander kommunizieren (40).
-
Diese
in der Figur veranschaulichte Ausführung stellt nur eine der Varianten
der Erfindung dar, nämlich
diejenige, bei der die rückläufige Authentifizierung
(d.h., die Authentifizierung des Dienstleisters durch den Teilnehmer)
und die Berechnung des Sitzungsschlüssels kombiniert sind. Der
Fachmann wird keine Schwierigkeiten haben, die anderen Varianten, ausgehend
von diesem Veranschaulichungsbeispiel, zu konzipieren.
-
3 zeigt
die Hauptschritte der Berechnung der numerischen Werte, die im Verlauf
des Verfahrens der ursprünglichen
Eintragung eines Teilnehmers erfolgen, gefolgt von der Authentifizierung
und das Chiffrieren der zwischen Teilnehmer und Dienstleister aufgebauten
Verbindungen.
-
Der
erste numerische Wert R1 wird mit Hilfe eines Chiffrierungsalgorithmus
f1 berechnet, beispielsweise vom Typ A3/A8, MD5 oder DES, wobei bevorzugterweise
die folgenden Eingangsdaten verwendet werden:
- – der Wert „IDx", der den Dienstleister
innerhalb des Anschlussnetzwerkes des Teilnehmers identifiziert.
Diese Kennung wird beispielsweise vom Netzwerkbetreiber definiert,
der somit mittels verschiedener Werte verschiedene, dem Teilnehmer zugängliche
Dienstleister bezeichnet. Wie bereits erwähnt, wird jeder Dienstleister „x" durch einen verschiedenen
Wert „IDx" identifiziert;
- – der
Wert „Device
ID", der den Teilnehmer
innerhalb seines Anschlussnetzwerkes, beispielsweise durch seinen
Namen, identifiziert oder jede andere, vom Betreiber zugeordnete
Kennung des Teilnehmers. Die Kennung (Device ID) des Teilnehmers
kann auch seine IMSI („International
Mobile Subscriber Identity" (Internationale
mobile Teilnehmeridentität))
oder seine MSISDN-Nummer („Mobile
Station ISDN Nr" (ISDN-Nr.
für mobile Stationen))
sein;
- – ein
geheimes Element (Sec Opé),
das den Teilnehmer im Netzwerk des Betreibers authentifiziert. Dieses
geheime Element kann beispielsweise ein Passwort, ein Code vom Typ
PIN (in Englisch „Personal
Identity Code" (persönlicher
Identitätscode))
oder ein Schlüssel
sein, das auf die Ebene der Netzwerkausrüstung beschränkt ist.
Im Falle eines GSM-Netzwerkes,
ist das besagte geheime Element vorteilhafterweise der auf die SIM-Karte
eingeschränkte
Schlüssel
Ki. Es ist jedoch jedes andere geheime Element als Eingangswert
zum Berechnen von R1 annehmbar, beispielsweise ein spezifischer
Schlüssel
Kkm, welcher ausschließlich
der Authentifizierung der GSM-Teilnehmer gegenüber der Gesamtheit der Inhaltsserver
zugeordnet ist. Wenn das Terminal des Teilnehmers ein Rechner ist
(vom Typ PC oder einer anderen Art), so kann man ebenfalls einen „Hardware"-Schlüssel (englische
Bezeichnung für „Materiellen" Schlüssel) verwenden.
-
Der
Wert R1 wird nach der Formel R1 = f1 (DeviceI, IDx, Sec. Opé) berechnet.
Der kryptographische Algorithmust A3A8 ist besonders geeignet, in
dem Maße
in dem er, nach Einsatz der GSN-Normen, bereits in der SIM-Karte
vorhanden ist. In diesem Falle gilt R1 = f1 (DeviceID, IDx, Ki),
und R1 wird vorteilhafterweise über
zwölf Bytes
mit f1 = A3A8 ausgedrückt.
Der Algorithmus bietet demnach den Vorteil, die Entwicklungen zu
minimieren, für
dritte geheim zu sein und einer mit dem Anschlussnetzwerk kohärenten Sicherheitsebene
zu entsprechen. Jeder andere bereits in der SIM-Karte vorhandene Algorithmus,
wie dies im allgemeinen für
den DES-Algorithmus zutrifft, ist ebenfalls von Vorteil. Es sind ebenfalls
andere kryptographische Algorithmen denkbar.
-
Die
Ausrüstung
des Teilnehmers, die im Falle eines GSM-Netzwerkes aus dem GSM-Terminal
mit der SIM-Karte und einem geeigneten Navigationsprogramm besteht,
ist in der Lage, den Wert R1 automatisch zu berechnen, wenn sich
der Teilnehmer für den
Zugang zu einem spezifischen Dienstleister entscheidet, selbstverständlich nachdem
er sich bei seinem Netzwerkbetreiber authentifiziert hat.
-
Der
zweite numerische Wert R2 wird nach der Formel R2 = f2 (date, mdp)
berechnet, wobei:
- – der Algorithmus f2 jeder
geeignete kryptographische Algorithmus ist. Bevorzugterweise handelt es
sich um einen Algorithmus, der eine Versiegelungsberechnung über eine
nur in eine Richtung wirkende Zerteilungsfunktion ausführt. Dabei kann
es sich typischerweise um einen Schlüsselalgorithmus handeln, wie
beispielsweise DES im MAC-Modus
oder um einen Algorithmus ohne Schlüssel, wie md5 (eingetragenes
Markenzeichen für
einen von der Firma RSA Inc. vertriebenen Kompressionsalgorithmus),
RIPEM oder SHA. Diese Algorithmen wirken nicht einschränkend auf
die Erfindung.
- – So
ist es auch möglich,
einen Bitmischungsalgorithmus zu verwenden, wobei jedoch diese Möglichkeit
eine im kryptographischen Sinn schwache Lösung darstellt;
- – der
Wert (date) ist der oben erläuterte
Diversifikationswert;
- – der
Wert mdp ist das geheime Element, das beim Schritt 23 durch
den Dienstleister an den Teilnehmer gesendet wird, den der Dienstleister jedoch
auch in seiner Authentifizierungsdatenbank gespeichert hat.I Dieser
Wert R2 wird nicht als solcher an den Dienstleister gesendet. Es
handelt sich um eine dazwischen liegende Variante, die für die Berechnung
des numerischen Wertes R3 verwendet wird. Dieser Wert R2 kann andererseits
problemlos auf der Ebene des Terminals des Teilnehmer gespeichert
werden, wenn dieses Terminal über
einen Speicher verfügt
(beispielsweise in einem Speichercache). Die Tatsache, dass der Wert
R2 gespeichert wird, beeinträchtigt
in keiner Weise die Sicherheit des Verfahrens.
-
Der
dritte numerische Wert R3 wird nach der Formel R3 = f3 (R1, R2,
login) berechnet, wobei:
- – der numerische Wert R1 der
Authentifizierungswert des Teilnehmers ist, der wie oben im Detail erläutert berechnet
wird und dem Dienstleister bei der Eintragung zugesandt wird;
- – die
Modalitäten
zum Berechnen des numerischen Wertes R2 wurden ebenfalls oben genau angegeben;
- – der
Wert login ist die Kennung des Teilnehmers im Netz des Dienstleisters
und wird vom Teilnehmer an den Dienstleister innerhalb des beim Schritt 31 der 2 zugeführten Datenblocks
gesendet;
- – der
Algorithmus f3 ist vorteilhafterweise identisch zu dem für f2 gewählten. Er
kann auf jeden Fall unter den für
f2 erwähnten
Möglichkeiten
gewählt
werden.
-
Der
Sitzungsschlüssel
Kses kann in der Form Kses = fk (R1, R2, Random) ausgedrückt werden,
wobei:
- – der
Algorithmus fk vorteilhafterweise identisch zu dem für f2 und
f3 gewählten
ist. Er kann auf jeden Fall unter den selben für f2 erwähnten Möglichkeiten gewählt werden;
- – die
numerischen Werte R1 und R2 sind die bereits erwähnten;
- – der
aleatorische oder pseudo-aleatorische Wert Random vom Dienstleister
gewählt
wird.