-
HINTERGRUND DER ERFINDUNG
-
1. Erfindungsgebiet
-
Die
vorliegende Erfindung betrifft die Kommunikation und insbesondere
die Aktualisierung von Schlüsseln
oder sonstigen, von kommunizierenden Teilnehmern benutzten Informationen.
-
2. Stand der
Technik
-
Ein
typisches drahtloses Kommunikationssystem stellt drahtlose Kommunikationsdienste
für ein
geographisches Gebiet bereit. Wenn eine drahtlose Einheit Kommunikation
mit dem drahtlosen Kommunikationssystem versucht, authentifiziert
oder überprüft das drahtlose
Kommunikationssystem die Identität
der drahtlosen Einheit, ehe es der drahtlosen Einheit Zugang zum
drahtlosen Kommunikationssystem erlaubt. Dafür besitzen in einem typischen
drahtlosen Kommunikationssystem sowohl die drahtlose Einheit als
auch das drahtlose Kommunikationssystem einen A-KEY genannten Geheimwert. Vom
drahtlosen Kommunikationssystem wird der A-KEY und eine zufallsmäßig erzeugte
Folge RANDSSD zum Erzeugen eines gemeinsamen geheimen Datenwerts
(SSD – Shared
Secret Data) benutzt. Der SSD kann in SSD-A(Shared Secret Data A)-
und SSD-B(Shared Secret Data B)-Werte eingeteilt werden. Der Wert
SSD-A wird für
Authentifizierungsverfahren benutzt, und der Wert SSD-B wird für Schlüsselerzeugung
und Verschlüsselungsverfahren
benutzt. Vom drahtlosen Kommunikationssystem wird die RANDSSD zur
drahtlosen Einheit übertragen.
Die drahtlose Einheit berechnet dann SSD auf die gleiche Weise,
wie er durch das drahtlose Kommunikationssystem berechnet wurde.
-
Vor
Annahme von neuen SSD-Werten zur Verwendung in Authentifizierungs-
und Verschlüsselungsverfahren werden
die neuen SSD-Werte von der drahtlosen Einheit validiert. Dafür erzeugt
die drahtlose Einheit eine zufallsmäßige Abfrage RANDBS zum Erzeugen
eines Validierungs-Signaturwertes AUTHBS. Auch sendet die drahtlose
Einheit die RANDBS zum drahtlosen Kommunikationssystem, und vom
drahtlosen Kommunikationssystem wird AUTHBS unter Verwendung von
RANDBS von der drahtlosen Einheit auf die gleiche Weise abgeleitet. Das
drahtlose Kommunikationssystem sendet den AUTHBS-Wert zur drahtlosen
Einheit, und die drahtlose Einheit vergleicht den an der drahtlosen
Einheit erzeugten AUTHBS-Wert mit dem vom System gesendeten AUTHBS-Wert.
Wenn der Vergleich erfolgreich ist, ist die SSD-Aktualisierung erfolgreich.
-
Nach
der SSD-Aktualisierung wird die drahtlose Einheit typischerweise
vom drahtlosen Kommunikationssystem authentifiziert, um sicherzustellen, daß die drahtlose
Einheit den SSD richtig berechnet hat. Vom drahtlosen Kommunikationssystem
wird eine Folge wie beispielsweise eine zufallsmäßige Abfrage RANDU erzeugt
und die RANDU-Folge
zur drahtlosen Einheit gesendet, die RANDU und SSD-A zum Erzeugen
eines Authentifizierungs-Signaturwertes
AUTHU benutzt. Vom drahtlosen Kommunikationssystem wird der Authentifizierungs-Signaturwert AUTHU
auf die gleiche Weise erzeugt. Die drahtlose Einheit überträgt dann
den durch die drahtlose Einheit berechneten Wert AUTHU zum drahtlosen
Kommunikationssystem. Vom drahtlosen Kommunikationssystem wird der
durch das System berechnete AUTHU-Wert mit dem von der drahtlosen
Einheit empfangenen AUTHU-Wert
verglichen. Wenn die Werte übereinstimmen,
ist die drahtlose Einheit authentifiziert.
-
Die
oben beschriebene SSD-Aktualisierung und Authentifizierung der drahtlosen
Einheit erfordert, daß die
drahtlose Einheit die Gültigkeit
der SSD-Aktualisierung bestätigt,
gefolgt von der Durchführung
einer getrennten Authentifizierung der drahtlosen Einheit durch
das System, um die Gültigkeit
der SSD-Aktualisierung aus der Perspektive der drahtlosen Einheit
und des drahtlosen Kommunikationssystems sicherzustellen. Im Ergebnis
bestätigt
die drahtlose Einheit, daß die
SSD-Aktualisierung erfolgreich ist, ehe die Authentifizierung der
drahtlosen Einheit eingeleitet werden kann. Nach Bestätigung der SSD-Aktualisierung
durch die drahtlose Einheit wird vom System eine getrennte Authentifizierung
durchgeführt,
die erfordert, daß das
System zusätzliche
Informationen wie beispielsweise eine zufallsmäßige Abfrage RANDU erzeugt
und die zufallsmäßige Abfrage
zur drahtlosen Einheit sendet. Die drahtlose Einheit muß dann reagieren,
indem sie dem System den unter Verwendung von RANDU abgeleiteten
Authentifizierungs-Signaturwert AUTHU sendet.
-
Die
Lösung
dieses Problems, die hiermit offenbart wird, wird durch die unabhängigen Ansprüche 1, 5,
10 und 14 definiert.
-
KURZE BESCHREIBUNG
DER ERFINDUNG
-
Die
vorliegende Erfindung bietet ein Schlüsselaktualisierungssystem,
das Informationen in einer Aktualisierungsnachricht von einem Kommunikationssystem
zum Erzeugen eines neuen Schlüssels und
Durchführen
einer gegenseitigen Validierung des neuen Schlüssels benutzt. Nachdem der
neue Schlüssel
von einer Einheit validiert ist, wird mindestens ein Teil der Informationen
aus der Aktualisierungsnachricht vom Kommunikationssystem zum Validieren
des neuen Schlüssels
benutzt. Im Ergebnis ist es nicht erforderlich, daß das Kommunikationssystem
zum Validieren des neuen Schlüssels
eine getrennte Authentifizierungsabfrage erzeugt und überträgt. Beispielsweise
kann ein drahtloses Kommunikationssystem eine Aktualisierungsnachricht
mit einer Folge RANDSSD zur drahtlosen Einheit senden. Die drahtlose
Einheit erzeugt unter Verwendung mindestens eines Teils der RANDSSD-Folge
einen neuen SSD, und die drahtlose Einheit benutzt mindestens einen
Teil des neuen SSD zum Erzeugen eines Signaturwertes AUTHBS zum
Validieren des neuen Schlüssels
und damit der Heimatauthentifizierungszentrale, die die Aktualisierung
des SSD einleitete. Nach Validieren des neuen Schlüssels durch Vergleichen
des durch die drahtlose Einheit erzeugten AUTHBS mit einem durch
das drahtlose Kommunikationssystem erzeugten AUTHBS durch die drahtlose
Einheit benutzt die drahtlose Einheit mindestens einen Teil der
Folge RANDSSD und mindestens einen Teil des neuen SSD zum Erzeugen
des Validierungswertes AUTHSSD. Der Validierungswert AUTHSSD kann
zum drahtlosen Kommunikationssystem zusammen mit einem Bestätigungssignal
gesendet werden, das anzeigt, daß die drahtlose Einheit den
neuen Schlüssel
validiert hat. Das drahtlose Kommunikationssystem kann den neuen
SSD durch Vergleichen des von der drahtlosen Einheit empfangenen
Validierungswertes AUTHSSD mit einem auf gleiche Weise durch das
drahtlose Kommunikationssystem erzeugten Validierungswert validieren.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
Weitere
Aspekte und Vorteile der vorliegenden Erfindung können bei
Lesen der nachfolgenden ausführlichen
Beschreibung und unter Bezugnahme auf die Zeichnungen offenbar werden.
In den Zeichnungen zeigt:
-
1 ein
allgemeines Diagramm eines drahtlosen Kommunikationssystems, in
dem das Schlüsselaktualisierungs-
und gegenseitige Validierungssystem nach den Grundsätzen der
vorliegenden Erfindung benutzt werden kann;
-
2a und 2b die
gemeinsame Benutzung eines Schlüssels
mit einem Besuchsregister durch das Heimatregister und das Authentifizierungsverfahren
in einem typischen Netz wie beispielsweise einem IS-41-konformen
Netz;
-
3 ein
zwischen einer drahtlosen Einheit und einem auf IS-95B basierenden
drahtlosen Kommunikationssystem benutztes Schlüsselaktualisierungs- und getrenntes
Authentifizierungsverfahren; und
-
4 ein
Verfahren zum Durchführen
einer Schlüsselaktualisierung
mit gegenseitiger Validierung nach den Grundsätzen der vorliegenden Erfindung.
-
AUSFÜHRLICHE BESCHREIBUNG
-
1 zeigt
einen Teil eines typischen drahtlosen Kommunikationssystems 5,
das drahtlose Kommunikationsdienste durch eine Basisstation 10 für ein der
Basisstation 10 zugeordnetes geographisches Gebiet 12 wie
beispielsweise eine Zelle oder einen Sektor bereitstellt. Wenn sich
eine drahtlose Einheit 14 in der Zelle 12 zuerst
anmeldet oder Kommunikationen mit der Basisstation 10 versucht,
authentifiziert oder überprüft die Basisstation 10 die Identität der drahtlosen
Einheit, ehe sie der drahtlosen Einheit 14 Zugang zum drahtlosen
Kommunikationssystem erlaubt. Das Heimatnetz für die drahtlose Einheit 14 kann
eine Sammlung von Zellen sein, die einen zellularen geographischen
Versorgungsbereich bilden, wo die drahtlose Einheit 14 resident
ist und ist typischerweise das Netz, das von dem Diensteanbieter
gesteuert wird, der mit dem Eigentümer der drahtlosen Einheit
einen Vertrag zur Bereitstellung von drahtlosen Kommunikationsdiensten
abgeschlossen hat. Wenn sich die drahtlose Einheit 14 in einem
anderen Netz als ihrem Heimatnetz befindet, wird sie als in einem
Besuchskommunikationsnetz befindlich bezeichnet. Wenn die drahtlose
Einheit 14 im Besuchskommunikationsnetz betrieben wird,
bedeutet die Authentifizierung der drahtlosen Einheit durch die
Basisstation 10 das Kommunizieren mit einem Heimat-Berechtigungszentrum 16 des
Heimatnetzes der drahtlosen Einheit.
-
Im
Beispiel der 1 befindet sich die drahtlose
Einheit 14 in einem Besuchskommunikationsnetz. Infolgedessen
bedeutet die Authentifizierung der drahtlosen Einheit 14 Kommunizieren
mit dem Heimat-Berechtigungszentrum 16 des Heimatnetzes der
drahtlosen Einheit. Wenn die drahtlose Einheit 14 versucht,
auf das Besuchskommunikationsnetz zuzugreifen, kommuniziert die
Basisstation 10 mit einem Besuchs-Berechtigungszentrum 18 des
Besuchskommunikationsnetzes. Das Besuchs-Berechtigungszentrum 18 bestimmt
aus einer Kennung der drahtlosen Einheit oder des Endgeräts wie beispielsweise
der Telefonnummer der drahtlosen Einheit 14, daß die drahtlose
Einheit 14 bei einem Netz angemeldet ist, das das Heimat-Berechtigungszentrum 16 benutzt.
Das Besuchs-Berechtigungszentrum 18 kommuniziert dann mit
dem Heimat-Berechtigungszentrum 16 über ein Netz, wie beispielsweise
ein Zeichengabenetz 20 unter dem als TIA/EIA-41-D identifizierten
Standard mit dem Titel „Cellular
Radiotelecommunications Intersystem Operations" (Zellulare Funktelekommunikations-Operationen
zwischen Systemen), Dezember 1997 („IS-41"). Das Heimat-Berechtigungszentrum 16 greift
dann auf ein Heimatregister (HLR – Home Location Register) 22 zu,
das einen Registrierungseintrag für die drahtlose Einheit 14 aufweist.
Das Heimatregister 22 kann der drahtlosen Einheit durch
eine Kennung wie beispielsweise die Telefonnummer der drahtlosen
Einheit zugeordnet sein. Die im Heimatregister 22 enthaltenen Informationen
werden zum Erzeugen von Authentifizierungs- und Verschlüsselungsschlüsseln wie
beispielsweise einem gemeinsam benutzten geheimen Datenschlüssel (SSD – Shared
Secret Data) und sonstigen Informationen benutzt, die dann einem
Besuchsregister (VLR – Visitor
Location Register) 24 des Besuchs-Berechtigungszentrums 18 zugeführt werden.
Die Informationen vom Besuchsregister 24 werden dann dazu benutzt,
der Basisstation 10 Informationen zuzuführen, wie beispielsweise eine
Zufallszahlabfrage, die zur drahtlosen Einheit 14 übertragen
wird, so daß die
drahtlose Einheit 14 antworten kann und dadurch als eine
drahtlose Einheit authentifiziert werden kann, die für den Empfang
von Kommunikationsdiensten berechtigt ist.
-
2A und 2B zeigen,
wie eine drahtlose Einheit 14 in einem Besuchsnetz authentifiziert wird,
das zu dem Zeichengabestandard IS-41 kompatibel ist. Sowohl die
drahtlose Einheit 14 als auch das Heimatregister 22 enthalten
einen mit A-KEY bezeichneten geheimen Wert. Wenn die drahtlose Einheit 14 Zugang
zu einem Besuchsnetz anfordert, fordert das Berechtigungszentrum 18 des
Besuchsnetzes (1) Daten vom Heimat-Berechtigungszentrum 16 (1)
an. Das der drahtlosen Einheit zugeordnete Heimatregister 22 wird
unter Verwendung einer Kennung wie beispielsweise der Telefonnummer der
drahtlosen Einheit gefunden. Das Heimatregister 22 für die drahtlose
Einheit 14 speichert den A-KEY, der zum Erzeugen eines
gemeinsamen Datenwerts (SSD – Shared
Secret Data) benutzt wird, der zum Besuchsregister 24 übertragen
wird. Der SSD kann durch Durchführen
eines CAVE-Algorithmus unter Verwendung einer Zufallszahl RANDSSD
als Eingabe und des A-KEY als Schlüsseleintrag berechnet werden.
Der CAVE-Algorithmus ist in der Technik wohlbekannt und ist im Standard
IS-41 spezifiziert. Der SSD kann in Werte SSD-A (Shared Secret Data A)
und SSD-B (Shared Secret Data B) eingeteilt werden. Der Wert SSD-A
wird für
Authentifizierungsverfahren benutzt und der Wert SSD-B wird zur
Schlüsselerzeugung
und für
Verschlüsselungsverfahren
benutzt. Vom Heimat-Berechtigungszentrum 16 werden die
Werte SSD-A, SSD-B und RANDSSD zum Besuchsregister 24 des
Besuchsnetzes übertragen. Wie
unten besprochen wird vom Besuchsnetz der SSD, der von der drahtlosen
Einheit 14 benutzt werden wird, durch Übertragen von RANDSSD zur drahtlosen
Einheit aktualisiert.
-
Die
drahtlose Einheit 14 berechnet dann SSD auf die gleiche
Weise wie er vom Heimat-Berechtigungszentrum 16 berechnet
wurde, wie durch die Gleichung SSD-A, SSD-B = CAVEA-KEY(RANDSSD)
gezeigt. Nachdem sowohl die drahtlose Einheit als auch das Besuchsregister 24 die
Schlüssel SSD-A
und SSD-B besitzen und das Aktualisierungsverfahren wie unten beschrieben
abgeschlossen ist, kann die drahtlose Einheit 14 vom Besuchsnetz
authentifiziert werden.
-
2B zeigt,
wie eine drahtlose Einheit in einem Besuchsnetz authentifiziert
wird, nachdem sowohl die drahtlose Einheit als auch das Besuchsregister
die Werte SSD-A und SSD-B aktualisiert haben, die als gemeinsame
Schlüssel
bezeichnet werden können.
Vom Besuchs-Berechtigungszentrum 18 (1)
wird die drahtlose Einheit 14 durch Senden einer Zufallsnummernabfrage
RAND zur drahtlosen Einheit abgefragt. An diesem Punkt berechnen sowohl
die drahtlose Einheit als auch das Heimat-Berechtigungszentrum den
Wert AUTHR, wobei AUTHR gleich der Ausgabe einer kryptographischen Funktion
wie beispielsweise des CAVE-Algorithmus ist, unter Verwendung der
Zufallszahl RAND und des SSD-A-Wertes
als Eingaben wie durch AUTHR = CAVESSD-A(RAND)
dargestellt. Die drahtlose Einheit überträgt dann den berechneten Wert
AUTHR zum Besuchs-Berechtigungszentrum 18 (1).
Vom Besuchs-Berechtigungszentrum 18 wird sein berechneter
Wert von AUTHR mit dem von der drahtlosen Einheit 14 empfangenen
Wert verglichen. Wenn die Werte übereinstimmen,
ist die drahtlose Einheit 14 authentifiziert und ihr wird
Zugang zum Besuchsnetz erteilt.
-
Zusätzlich berechnen
sowohl die drahtlose Einheit 14 als auch das Besuchs-Berechtigungszentrum 18 den
Wert des Chiffrierschlüssels
KC, wobei der Wert KC gleich
der Ausgabe des CAVE-Algorithmus bei Verwendung des Werts SSD-B
als Schlüsseleingabe
und Zusatzinformationen wie beispielsweise RAND als Eingabe wie
gezeigt durch KC = CAVESSD-B(RAND)
ist. An diesem Punkt sind Kommunikationen zwischen der drahtlosen
Einheit und dem Besuchsnetz erlaubt und können unter Verwendung einer
kryptographischen Funktion verschlüsselt werden, wo die Eingabe
die zu verschlüsselnde
Nachricht und der Schlüssel
KC sind. Die kryptographischen Funktionen
sind durch ihre jeweiligen Standards für CDMA-(Code Division Multiple
Access)-, TDMA-(Time Division Multiple Access)- und GSM-(Global
System for Mobile Communication)-Systeme spezifiziert. Es ist zu
beachten, daß hinsichtlich
IS-41 Kommunikationen zwischen dem Besuchs-Berechtigungszentrum 18 und
dem Heimat-Berechtigungszentrum 16 typischerweise jedes Mal
dann ausgeführt
werden, wenn sich die drahtlose Einheit 14 beim Besuchsnetz
anmeldet, im Gegensatz zu jedem Mal, wenn ein Ruf zur drahtlosen
Einheit 14 durchgeführt
wird. Auch ist es möglich,
die gleichen Verfahren auszuführen,
wenn sich die drahtlose Einheit im Heimatnetz befindet. In diesem
Fall kommuniziert statt des Besuchs-Berechtigungszentrums das Heimat-Berechtigungszentrum
mit der drahtlosen Einheit. Die Kommunikationen zwischen der drahtlosen
Einheit und dem Berechtigungszentrum in den drahtlosen Kommunikationssystemen durchlaufen
eine drahtlose Basisstation.
-
Wenn
das Heimat-Berechtigungszentrum 16 bestimmt, daß der SSD-Schlüsselwert
aktualisiert werden muß,
beispielsweise weil gewisse Kriterien anzeigen, daß der SSD
kompromittiert sein könnte, kann
der der drahtlosen Einheit 14 zugeordnete SSD-Wert aktualisiert
werden. 3 zeigt das SSD-Aktualisierungsverfahren,
das von dem als TIA/EIA-95-B identifizierten Standard mit dem Titel „Mobile
Station-Base Station Compatibility Standard for Dual-Mode Spread
Spectrum Systems" (Mobilstation-Basisstation-Kompatibilitätsstandard
für Doppelmodus-Spreizspektrumsysteme)
(„IS-95B") zwischen der drahtlosen
Einheit und dem drahtlosen Kommunikationssystem. Das drahtlose Kommunikationssystem
kann die versorgende Basisstation, das Besuchs- Berechtigungszentrum, das Besuchsregister,
das Heimat-Berechtigungszentrum
und/oder das Heimatregister umfassen. Durch das SSD-Aktualisierungsverfahren
werden sowohl der drahtlosen Einheit als auch dem drahtlosen Kommunikationssystem
aktualisierte Schlüssel
(SSD-A und SSD-B) bereitgestellt, die zur Verschlüsselung
und Authentifizierung benutzt werden.
-
Zum
Einstellen des Wertes SSD erstellt das Heimat-Berechtigungszentrum eine RANDSSD-Folge.
Unter Verwendung der RANDSSD-Folge, des A-KEY und der ESN der drahtlosen
Einheit als Eingaben in eine kryptographische Funktion wie beispielsweise
ein SSD-Erzeugungsverfahren 30 erzeugt
das Heimat-Berechtigungszentrum
einen neuen Schlüsselwert
(SSD). Das Heimat-Berechtigungszentrum sendet die RANDSSD-Folge durch das Besuchs-Berechtigungszentrum
und die versorgende Basisstation in einer Aktualisierungsnachricht
wie beispielsweise eine SSD-Aktualisierungsnachricht 32 zur
drahtlosen Einheit, um den SSD zu aktualisieren. Die drahtlose Einheit
führt die
von der versorgenden Basisstation empfangene RANDSSD-Folge zusammen
mit dem A-Schlüssel
und der elektronischen Seriennummer (ESN), die an der drahtlosen
Einheit gespeichert sind, einer kryptographischen Funktion wie beispielsweise
einem SSD-Schlüsselerzeugungsverfahren 34 zu.
Mit dem SSD-Schlüsselerzeugungsverfahren 34 wird
der neue SSD erzeugt, der in SSD-A-NEW und SSD-B-NEW eingeteilt
wird. Von den SSD-Erzeugungsverfahren 30 und 34 wird
der CAVE-Algorithmus unter Verwendung einer Zufallszahl RANDSSD, ESN
und des Wertes A-KEY als Eingaben implementiert. Der CAVE-Algorithmus
ist in der Technik als Einwegfunktion wohlbekannt, die die Bestimmung
der Eingaben auf die der Ausgabe erteilte Funktion inhibiert.
-
Vor
Annahme der bei Authentifizierungs- und Verschlüsselungsverfahren zu benutzenden
neuen SSD-Werte wird der neue SSD-Wert, und damit das Heimat-Berechtigungszentrum 16,
das die Erzeugung des neuen SSD-Wertes einleitete, von der drahtlosen
Einheit validiert. Dafür
erzeugt die drahtlose Einheit eine Zufallszahl RANDBS am Block 36. Von
der drahtlosen Einheit werden RANDBS und SSD-A-NEW zusammen mit
Zusatzdaten wie beispielsweise der ESN und/oder einer aus einer
IMSI (International Mobile Station Identification) abgeleiteten
Kette AUTH_DATA einer kryptographischen Funktion wie beispielsweise
einem Signaturverfahren 38 zugeführt. Das Signaturverfahren 38 erzeugt den
Validierungssignaturwert AUTHBS. Auch sendet die drahtlose Einheit
die RANDBS zum drahtlosen Kommunikationssystem, beispielsweise als
Teil eines Basisstationsabfrageauftrags 37. Unter Verwendung
einer entsprechenden kryptographischen Funktion wie beispielsweise
eines Signaturverfahrens 40 wird vom drahtlosen Kommunikationssystem
AUTHBS unter Verwendung von RANDBS von der drahtlosen Einheit, SSD-A-NEW
aus dem SSD-Erzeugungsverfahren 30 unter Zusatzdaten wie
beispielsweise der ESN und/oder der AUTH_DATA, die von der drahtlosen
Einheit zur Ableitung von AUTHBS benutzt werden, abgeleitet. Das
drahtlose Kommunikationssystem sendet den durch das Signaturverfahren 40 erzeugten
Wert AUTHBS zur drahtlosen Einheit, beispielsweise in einem Basisstations-Abfragebestätigungsauftrag 41.
Im Block 42 wird von der drahtlosen Einheit der an der
drahtlosen Einheit erzeugte Wert AUTHBS mit dem vom System gesendeten
Wert AUTHBS verglichen. Wenn der Vergleich erfolgreich ist, setzt
die drahtlose Einheit den SSD-A-Wert auf SSD-A-NEW und den SSD-B-Wert
auf SSD-B-NEW. Dann sendet die drahtlose Einheit einen SSD-Aktualisierungsbestätigungsauftrag 43 zum
Heimat-Berechtigungszentrum, der
den erfolgreichen Abschluß der
SSD-Aktualisierung anzeigt. Bei Empfang des SSD-Aktualisierungsbestätigungsauftrags setzt das Heimat-Berechtigungszentrum
SSD-A und SSD-B auf die vom System erzeugten Werte SSD-A-NEW und
SSD-B-NEW.
-
Nach
dem SSD-Aktualisierungsverfahren wird vom drahtlosen Kommunikationssystem
die drahtlose Einheit typischerweise authentifiziert, um die Gültigkeit
des Wertes des neuen SSD-Schlüssels sicherzustellen.
Vom drahtlosen Kommunikationssystem wird eine Folge wie beispielsweise
eine Zufallsabfrage RANDU erzeugt und die RANDU-Folge zur drahtlosen
Einheit gesendet, beispielsweise in einer Authentifizierungsabfragenachricht 44.
Bei Empfang der Authentifizierungsabfragenachricht 44 führt die
drahtlose Einheit mindestens einen Teil der Folge RANDU einer kryptographischen
Funktion, beispielsweise einem Authentifizierungssignaturverfahren 46 zu,
mit den Eingaben ESN, AUTH_DATA, SSD-A und einer aus RANDU und IMSI
abgeleiteten RAND_CHALLENGE. Das Authentifizierungssignaturverfahren 46 erzeugt
den Authentifizierungssignaturwert AUTHU als Ausgabe des CAVE-Algorithmus unter
Verwendung von RAND_CHALLENGE, ESN, AUTH_DATA und SSD-A als Eingaben.
Vom drahtlosen Kommunikationssystem wird der Authentifizierungssignaturwert
AUTHU unter Anwendung des Authentifizierungssignaturverfahrens 48 auf
gleiche Weise erzeugt. Dann überträgt die drahtlose
Einheit den durch die drahtlose Einheit berechneten Wert AUTHU zum
drahtlosen Kommunikationssystem. Vom drahtlosen Kommunikationssystem
wird der durch das System berechnete Wert AUTHU mit dem von der
drahtlosen Einheit empfangenen Wert AUTHU im Block 50 verglichen.
Wenn die Werte übereinstimmen,
ist die drahtlose Einheit authentifiziert und vom drahtlosen Kommunikationssystem wird
der neue SSD-Wert validiert.
-
Die
oben beschriebene SSD-Aktualisierung und Authentifizierung der drahtlosen
Einheit erfordert, daß die
drahtlose Einheit die Gültigkeit
der SSD-Aktualisierung bestätigt,
gefolgt von der Durchführung
einer getrennten Authentifizierung der drahtlosen Einheit durch
das System, um die Gültigkeit
der SSD-Aktualisierung aus der Perspektive der drahtlosen Einheit
und des drahtlosen Kommunikationssystem sicherzustellen.
-
Infolgedessen
muß die
drahtlose Einheit den SSD-Bestätigungsauftrag übertragen,
um die SSD-Aktualisierung
zu bestätigen,
ehe die Authentifizierung der drahtlosen Einheit eingeleitet werden kann.
Nachdem die drahtlose Einheit die SSD-Aktualisierung bestätigt, wird
vom System eine getrennte Authentifizierung durchgeführt, die
erfordert, daß das System
Zusatzinformationen wie beispielsweise eine Zufallsabfrage RANDU
erzeugt und die Zufallsabfrage zur drahtlosen Einheit sendet. Die
drahtlose Einheit muß dann
antworten, indem sie dem System den unter Verwendung von RANDU abgeleiteten
Authentifizierungssignaturwert AUTHU sendet.
-
Eine
beispielhafte Ausführungsform
der Schlüsselaktualisierung
unter Verwendung gegenseitiger Validierung nach den Grundsätzen der
vorliegenden Erfindung wird unten beschrieben, die ein verbessertes
Schlüsselaktualisierungsverfahren
bereitstellt. Wenn beispielsweise ein Heimat-Berechtigungszentrum
eine Schlüsselaktualisierung
wie beispielsweise einen gemeinsam benutzten geheimen (SSD-)Datenschlüssel (Shared
Secret Data) initialisiert, da beispielsweise gewisse Kriterien
am Heimat-Berechtigungszentrum anzeigen, daß der Schlüssel kompromittiert sein kann
oder aus irgendeinem anderen Grund (beispielsweise, um initialisiert
zu werden), kann das Heimat-Berechtigungszentrum
eine Aktualisierungsnachricht zur drahtlosen Einheit senden lassen.
Nach den Grundsätzen
der vorliegenden Erfindung benutzt die drahtlose Einheit Informationen
(beispielsweise RANDSSD und/oder Zusatzinformationen) in der Aktualisierungsnachricht und
einen intern gespeicherten Geheimwert (beispielsweise A-Schlüssel), der
nur der drahtlosen Einheit und dem Heimat-Berechtigungszentrum bekannt ist,
zum Erzeugen des neuen oder aktualisierten Schlüssels (beispielsweise SSD).
Nachdem die drahtlose Einheit den neuen Schlüsselwert erzeugt und den neuen
Schlüssel
und damit das Heimat-Berechtigungszentrum validiert hat, wird vom
drahtlosen Kommunikationssystem unter Verwendung mindestens eines
Teils von in der Aktualisierungsnachricht gesendeten Informationen
(beispielsweise RANDSSD und/oder andere Informationen) eine Validierung
des neuen Schlüssels
(beispielsweise des SSD) durchgeführt. So ist nach Durchführung einer SSD-Aktualisierung
für das
System keine getrennte Authentifizierungsabfrage (beispielsweise
RANDU) zum Validieren des neuen SSD erforderlich.
-
Je
nach Ausführungsform
und/oder ob die drahtlose Einheit sich bei einem Besuchs- oder Heimatnetz
anmeldet, können
Teile des Schlüsselaktualisierungs- und gegenseitigen
Validierungssystems in unterschiedlichen Teilen des drahtlosen Kommunikationssystems
implementiert werden wie beispielsweise an der versorgenden Basisstation,
dem Besuchs-Berechtigungszentrum, dem Besuchsregister, dem Heimatregister
und/oder dem Heimat-Berechtigungszentrum. Sobald die drahtlose Einheit
den neuen SSD-Wert validiert hat und das drahtlose Kommunikationssystem
den neuen SSD validiert hat, können
die drahtlose Einheit und das drahtlose Kommunikationssystem die
aktualisierten Schlüssel
(SSD-A und SSD-B) zur Verschlüsselung
und Authentifizierung benutzen.
-
4 zeigt
eine Ausführungsform
der Schlüsselaktualisierung
und des gegenseitigen Validierungsverfahrens zwischen einer drahtlosen
Einheit und dem drahtlosen Kommunikationssystem. Die drahtlose Einheit
und das Heimatregister teilen sich einen Geheimwert-A-Schlüssel. Wenn
eine Schlüsselaktualisierung,
beispielhaft eines gemeinsam benutzten Schlüssels (SSD) durchzuführen ist, erstellt
das Heimat-Berechtigungszentrum
eine RANDSSD-Folge am Block 100. Die RANDSSD-Folge kann
eine Zufallszahl, eine Pseudozufallszahl, die sich nach einer gewissen
Periode wiederholt, oder die Ausgabe eines stetig zunehmenden Zählers sein, dessen
Empfangswert nicht weniger gleich einem vorher empfangenen Wert
sein kann. Das Heimat-Berechtigungszentrum
greift auf das der drahtlosen Einheit zugeordnete Heimatregister
unter Verwendung einer Kennung wie beispielsweise einer Telefonnummer
der drahtlosen Einheit zu, die von der drahtlosen Einheit empfangen
oder aus von der drahtlosen Einheit empfangenen Informationen bestimmt
worden ist. Dann berechnet das Heimat-Berechtigungszentrum einen
neuen Schlüsselwert SSD,
indem es die Ausgabe einer kryptographischen Funktion wie beispielsweise
eines SSD- oder Schlüsselerzeugungsverfahrens 102,
unter Verwendung der RANDSSD-Folge und des Geheimschlüssels A-KEY
als Eingaben benutzt. Der neue Wert SSD kann in SSD-A-NEW und SSD-B-NEW
eingeteilt werden. Nachdem die SSD-Aktualisierung gegenseitig validiert
worden ist, wird SSD-A in Authentifizierungsverfahren benutzt, und
SSD-B wird bei der Schlüsselerzeugung
benutzt, beispielsweise bei der Erzeugung des Chiffrierschlüssels KC, oder Verschlüsselungsverfahren. Nach der
Darstellung in 4 können Ausführungsformen der Schlüsselaktualisierung und
des gegenseitigen Validierungssystems zusätzliche Eingabe(n) in das Schlüsselerzeugungsverfahren 102 benutzen,
beispielsweise einen Wert, der für die
drahtlose Einheit oder die Teilnahme charakteristisch ist, wie beispielsweise
die ESN und/oder IMSI.
-
Das
drahtlose Kommunikationssystem sendet die RANDSSD-Folge zur drahtlosen
Einheit in einer SSD-Aktualisierungsnachricht 104 zum Erzeugen
des neuen SSD-Wertes. Die drahtlose Einheit erzeugt den neuen Wert
SSD (SSD-A-NEW und SSD-B-NEW)
für den
Schlüssel
SSD auf die gleiche Weise wie das drahtlose Kommunikationssystem
unter Verwendung der vom System empfangenen RANDSSD-Folge, des in der
drahtlosen Einheit gespeicherten A-KEYs und jeglicher Zusatzinformationen
wie beispielsweise der in der drahtlosen Einheit gespeicherten ESN,
als Eingaben in ein SSD-Erzeugungsverfahren 106. Von den
SSD-Erzeugungsverfahren 102 und 106 wird der CAVE-Algorithmus
unter Verwendung einer Zufallszahl RANDSSD, ESN und des wertes A-KEY
als Schlüsseleingabe
implementiert. Der CAVE-Algorithmus ist in der Technik als Einwegfunktion
wohlbekannt. Es können
andere Erzeugungsverfahren benutzt werden.
-
Nach
Erzeugen des neuen SSD-Wertes (SSD-A-NEW, SSD-B-NEW) authentifiziert die drahtlose Einheit
das drahtlose Kommunikationssystem und validiert damit den neuen
SSD-Wert. Dafür
erzeugt die drahtlose Einheit eine Zahl oder Folge RANDES, wie beispielsweise
eine Zufallszahl im Block 108, und sendet RANDBS zum drahtlosen Kommunikationssystem.
Die RANDBS-Folge kann eine Pseudozufallszahl sein, die sich nach
einer gewissen Periode wiederholt, oder die Ausgabe eines ständig zunehmenden
Zählers,
dessen Empfangswert nicht weniger gleich einem vorher empfangenen Wert
sein kann. von der drahtlosen Einheit werden RANDBS und SSD-A-NEW
zusammen mit jeglichen Zusatzdaten wie beispielsweise der ESN und/oder einer
aus einer IMSI (International Mobile Station Identification) abgeleiteten
AUTH_DATA-Kette
einem Signaturverfahren 110 zugeführt. Vom Signaturverfahren 110 wird
der Signaturwert AUTHBS erzeugt. Auf Seiten des drahtlosen Kommunikationssystems wird
von einem Signaturverfahren 112 AUTHBS unter Verwendung
der aus der drahtlosen Einheit empfangenen RANDBS-Folge, SSD-A-NEW
aus dem SSD-Erzeugungsverfahren 102 und jeglicher zusätzlicher,
von der drahtlosen Einheit benutzter Daten wie beispielsweise ESN
und/oder AUTH_DATA abgeleitet. Das System sendet den durch das Signaturverfahren 112 erzeugten
AUTHBS-Wert zur
drahtlosen Einheit zur Überprüfung. Im
Block 114 vergleicht die drahtlose Einheit den an der drahtlosen
Einheit erzeugten AUTHBS-Wert mit dem vom System empfangenen AUTHBS-Wert.
Wenn der Vergleich erfolgreich ist, hat die drahtlose Einheit den
neuen SSD-Wert und damit das drahtlose Kommunikationssystem validiert,
und die drahtlose Einheit kann den SSD-A- Wert auf SSD-A-NEW und den SSD-B-Wert auf
SSD-B-NEW setzen.
-
Dann
wird vom drahtlosen Kommunikationssystem der neue SSD-Wert validiert.
Die der drahtlosen Einheit zum Aktualisieren des Schlüsselwertes SSD
zugeführte
Folge RANDSSD wird auch zum Validieren des neuen SSD benutzt. Die
drahtlose Einheit benutzt den vom System empfangenen RANDSSD und
den an der drahtlosen Einheit durch das SSD-Erzeugungsverfahren 106 erzeugten SSD-A-NEW zusammen mit
jeglichen Zusatzdaten wie beispielsweise mindestens Teilen von RANDBS, ESN
und/oder AUTH_DATA zur Bereitstellung von Eingaben in ein Signaturverfahren 116.
Beispielsweise können
mindestens ein Teil von RANDSSD und mindestens ein Teil von SSD-A-NEW
wie auch jegliche Zusatzdaten wie beispielsweise die ESN und AUTH_DATA
dem Signaturverfahren 116 zugeführt werden. Von der drahtlosen
Einheit wird dann ein Validierungswert AUTHSSD erzeugt. Die drahtlose
Einheit sendet AUTHSSD zum drahtlosen Kommunikationssystem. Auf
Seiten des drahtlosen Kommunikationssystems führt das System einem entsprechenden Signaturverfahren 118 durch
die drahtlose Einheit benutzte Eingaben zum Erzeugen von AUTHSSD
zu, beispielsweise die RANDSSD-Folge, der durch das System unter
Verwendung des SSD-Erzeugungsverfahrens 102 erzeugte SSD-A-NEW
und jegliche, von der drahtlosen Einheit benutzte Zusatzdaten wie
beispielsweise ESN und AUTH_DATA. Vom Signaturverfahren 118 wird
der Validierungswert AUTHSSD erzeugt, und das System vergleicht
im Block 120 den vom System erzeugten AUTHSSD mit dem von
der drahtlosen Einheit empfangenen AUTHSSD. Wenn der Vergleich erfolgreich
ist, validiert das System den aktualisierten Schlüssel SSD,
und das System setzt den SSD-A-Wert auf den durch das System erzeugten
Wert SSD-A-NEW und den SSD-B-Wert auf den durch das drahtlose Kommunikationssystem
erzeugten Wert SSD-B-NEW.
-
Die
Schlüsselaktualisierung
und das gegenseitige Validierungsverfahren können periodisch ausgeführt werden;
wenn das drahtlose Kommunikationssystem bestimmt, daß der gemeinsam
benutzte Schlüssel
SSD auf Grundlage gewisser Kriterien kompromittiert sein könnte; wenn
die drahtlose Einheit zum Heimatnetz oder einem verläßlichen
Besuchsnetz zurückkehrt;
wenn der A-Key geändert wird;
wenn eine neue Teilnahme zum Initialisieren des SSD-Wertes hergestellt
wird; und/oder aus anderen Gründen.
Zusätzlich
können
je nach Ausführungsform
die Eingaben in die Schlüsselerzeugungsverfahren 102 und 106 und
die Signaturverfahren 110, 112, 116 und 118 Werte
zusätzlich
zu den oben erwähnten
oder aus diesen und anderen werten abgeleitete Eingaben enthalten.
Beispielsweise können mindestens
Teile der elektronischen Seriennummer (ESN) der drahtlosen Einheit,
die Telefonnummer (MIN1) der drahtlosen Einheit und/oder die IMSI
der drahtlosen Einheit als Eingabe(n) in die Schlüsselerzeugungs-
und Signaturverfahren 102, 106, 110, 112, 116 und 118 benutzt
werden. Die Schlüsselerzeugungsverfahren 102 und 106 und
die Signaturverfahren 110, 112, 116 und 118 können Hash-Funktionen oder
eine beliebige kryptographische Einweg-Funktion wie beispielsweise
der CAVE-Algorithmus und/oder SHA-1 sein. Hash-Funktionen können als Einwegfunktionen
charakterisiert sein (eine Funktion, für die es nicht durchführbar ist,
bei der gegebenen Ausgabe die Eingabe zu regenerieren), als Funktionen,
die eine mehr-eindeutige Abbildung von Eingaben auf Ausgaben erzeugen,
und/oder als Funktionen, die Ausgaben mit weniger Informationen
als die Eingaben erzeugen, wodurch die Eingaben bei gegebener Ausgabe
schwierig zu ermitteln sind. In solchen Funktionen wird die Ausgabe
als eine Signatur der Eingabe bezeichnet.
-
In
Abhängigkeit
von der Ausführungsform können die
Kommunikationen für
die Schlüsselaktualisierung
und das gegenseitige Validierungssystem zwischen der drahtlosen Einheit
und dem Heimat-Berechtigungszentrum stattfinden (durch das Besuchs-Berechtigungszentrum,
wenn sich die drahtlose Einheit in einem Besuchsnetz befindet).
In alternativen Ausführungsformen
können
Teile der Schlüsselaktualisierung
und des gegenseitigen Validierungssystems an anderen Stellen als
dem Heimat-Berechtigungszentrum
durchgeführt
werden. Wenn beispielsweise das Heimat-Berechtigungszentrum RANDSSD
zusammen mit dem SSD-A-NEW zum Besuchs-Berechtigungszentrum sendet, um den
Signaturwert AUTHBS zu erzeugen, könnte das Besuchs-Berechtigungszentrum
den zur drahtlosen Einheit gesendeten AUTHBS erzeugen, und/oder das
Besuchs-Berechtigungszentrum könnte
AUTHSSD erzeugen und AUTHSSD mit dem von der drahtlosen Einheit
gesendeten AUTHSSD vergleichen. Je nach Ausführungsform können die
Eingaben für
die SSD-Erzeugungs-
und Signaturverfahren der drahtlosen Einheit, dem Besuchs-Berechtigungszentrum und/oder
dem Heimat-Berechtigungszentrum von unterschiedlichen Quellen aus übermittelt
werden. Wenn beispielsweise die ESN als Eingabe in das Signaturverfahren
benutzt wird und das Besuchs-Berechtigungszentrum die Berechnung
von AUTHBS und AUTHSSD durchführt,
könnte
die ESN vom Heimat-Berechtigungszentrum aus zum Besuchs-Berechtigungszentrum übertragen
werden.
-
Zusätzlich zu
der (den) oben beschriebenen Ausführungsform(en) kann die Schlüsselaktualisierung
und das gegenseitige Validierungssystem nach den Grundsätzen der
vorliegenden Erfindung benutzt werden, die Eingangsparameter zu
den Schlüsselerzeugungs-
und Signaturverfahren hinzufügen und/oder
weglassen und/oder Variationen oder Teile des beschriebenen Systems
benutzen. Beispielsweise wird die Schlüsselaktualisierung und das
gegenseitige Validierungssystem unter vergleichender Bezugnahme
auf ein Zellularnetz mit IS-95-B beschrieben, bei dem ein gemeinsam
benutzter Schlüssel SSD
aktualisiert wird, aber es können
andere drahtlose Systeme mit unterschiedlichen Mehrfachzugriffsverfahren
wie beispielsweise TDMA oder GSM benutzt werden, bei denen andere
Informationen gemäß den Grundsätzen der
vorliegenden Erfindung aktualisiert werden. Es versteht sich, daß verschiedene
Schreibweisen, Verweise und Charakterisierungen der verschiedenen
Werte, Eingaben und Architekturblöcke benutzt werden können. Beispielsweise kann
die Funktionalität
des Heimat-Berechtigungszentrums
und des Besuchs-Berechtigungszentrums in
Mobilvermittlungsstellen (MSC – Mobile
Switching Centres) eines drahtlosen Kommunikationssystems durchgeführt werden.
Es versteht sich, daß das
System und Teile desselben und der beschriebenen Architektur in
Verarbeitungsschaltungen in der drahtlosen Einheit implementiert
oder darin integriert sein können,
oder an unterschiedlichen Stellen des drahtlosen Kommunikationssystems,
oder in anwendungsspezifischen integrierten Schaltungen, softwaregesteuerten
Verarbeitungsschaltungen, Firmware oder sonstigen Anordnungen diskreter
Bauteile, wie es ein gewöhnlicher
Fachmann im Nutzen der vorliegenden Offenbarung verstehen würde. Was
beschrieben worden ist, ist nur für die Anwendung der Grundsätze der
vorliegenden Erfindung beispielhaft. Der Fachmann wird leicht erkennen,
daß diese
und verschiedene andere Modifikationen, Anordnungen und Verfahren
an der vorliegenden Erfindung durchgeführt werden können, ohne
den dargestellten und hier beschriebenen beispielhaften Anwendungen streng
zu folgen, und ohne aus dem durch die Ansprüche definierten Rahmen der
vorliegenden Erfindung zu weichen.