DE69230741T2

DE69230741T2 - Verfahren und Anordnung zur Verschlüsselung von Informationssignalen

Info

Publication number: DE69230741T2
Application number: DE69230741T
Authority: DE
Inventors: James Alexander Reeds Iii; Philip Andrew Treventi
Original assignee: AT&T Corp
Current assignee: AT&T Corp
Priority date: 1991-09-13
Filing date: 1992-09-03
Publication date: 2000-08-17
Anticipated expiration: 2012-09-04
Also published as: EP0532226B1; JPH07303101A; EP0532226A3; JP3034706B2; JP3581810B2; FI108690B; FI924092A; US5172414A; FI924092A0; JP2000124898A; DE69230741D1; JP2000124897A; JP3667576B2; EP0532226A2

Description

Die vorliegende Erfindung betrifft Verfahren und Vorrichtungen zum Verschlüsseln einer Menge von Nachrichtensignalen und Verfahren und Vorrichtungen zum Entschlüsseln einer Menge von Nachrichtensignalen.
Bei der herkömmlichen Telefonie ist jeder Fernsprechapparat (Faxeinheit, Modem usw.) physisch mit einem eindeutigen Port auf einer Vermittlung in einem Ortsvermittlungsamt verbunden. Die Verbindung erfolgt durch ein fest zugeordnetes Kabel oder durch einen gekennzeichneten Kanal auf einem fest zugeordneten Kabel. Die Kabelverbindung wird durch den Dienstanbieter installiert (bei dem es sich in der Regel um den Netzbetreiber handelt), und der Dienstanbieter kann deshalb relativ sicher sein, daß diese Übertragung auf dem Kanal von dem Teilnehmer ankommt. Die Authentifizierung eines Teilnehmers bei der drahtlosen Telefonie ist vergleichsweise weniger sicher.
Mit der derzeitigen zellularen Telefonieanordnung in den Vereinigten Staaten zeigt das Zellulartelefon eines Zellular-Telefonteilnehmers bei der Einleitung einer Verbindung dem Dienstanbieter zur Gebührenberechnung die Identität des Anrufers an. Diese Informationen sind nicht verschlüsselt. Wenn ein Eindringling zum richtigen Zeitpunkt lauscht, kann er die Identifizierungsinformationen des Teilnehmers erlangen. Dazu gehören die Rufnummer des Teilnehmers und die elektronische Seriennummer (ESN) des Geräts des Teilnehmers. Danach kann der Eindringling sein eigenes Zellulartelefon programmieren und sich für den echten Teilnehmer ausgeben, um betrügerisch Dienste zu erlangen. Als Alternative kann sich ein Eindringling selbst in eine hergestellte Verbindung einspeisen, das Zellulartelefongerät des Kunden durch Senden einer größeren Leistung überdecken und die Verbindung durch Senden bestimmter Steuercodes zu dem Dienstanbieter für seine Zwecke umlenken. Im Prinzip hat eine solche Piraterie deshalb Erfolg, weil der Dienstanbieter über keinen Mechanismus zur unabhängigen Authentifizierung der Identität des Anrufers verfügt, wenn die Verbindung hergestellt wird und/oder während die Verbindung aktiv ist.
Es ist Technologie verfügbar, die es einem Lauscher ermöglicht, automatisch alle Zellularfrequenzen in einer gegebenen Zelle nach solchen Identifizierungsinformationen zu scannen. Demzufolge grassiert die Piraterie von zellularen Telefondiensten. Außerdem legt der Mangel an Verschlüsselung der Sprachsignale Lauschern den Inhalt von Gesprächen offen. Kurz gesagt besteht ein klarer und aktueller Bedarf an effektiven Sicherheitsmaßnahmen in der Technik der zellularen Telefonie, und dies legt die Verwendung der Kryptologie zur Sicherstellung der Authentifizierung und Abhörsicherheit nahe.
Es gibt mehrere standardmäßige kryptographische Verfahren zur Lösung dieser allgemeinen Art von Authentifizierungsproblem, die bei der zellularen Telefonie besteht, es zeigt sich jedoch, daß diese jeweils mit praktischen Problemen behaftet sind. Zunächst kann ein klassisches Abfrage/Antwort-Protokoll verwendet werden, das auf einem kryptographischen Algorithmus mit privatem Schlüssel basiert. Bei diesem Ansatz wird ein geheimer Schlüssel, der außerdem dem Heimatsystem bekannt ist, an die Mobilstation eines Teilnehmers ausgegeben. Wenn ein Versorgungssystem einen Teilnehmer authentifizieren möchte, fordert es von dem Heimatsystem eine Abfrage und eine Antwort zur Verwendung mit dem gegebenen Teilnehmer an. Das Heimatsystem stellt eine Zufallsabfrage zusammen und legt eine einseitige Funktion an die mit dem Schlüssel des Teilnehmers verkettete Abfrage an, um die entsprechende Antwort zu erhalten. Die Abfrage und Antwort werden dem Versorgungssystem zugeführt, das die Abfrage an die Mobilstation ausgibt. Die Mobilstation antwortet wiederum mit der Antwort, die sie aus der Abfrage und ihrem gespeicherten geheimen Schlüssel berechnet. Das Versorgungssystem vergleicht die durch das Heimatsystem und durch die Mobilstation zugeführten Antworten, und wenn diese übereinstimmen, wird die Mobilstation als authentisch angesehen.
Das Problem bei diesem Ansatz besteht darin, daß das Versorgungssystem häufig nicht in der Lage ist, das Heimatsystem schnell genug zu kontaktieren, um eine Authentifizierung bei einem Verbindungsaufbau zu ermöglichen, oder daß die Datenbanksoftware auf dem Heimatsystem nicht in der Lage ist, schnell genug den geheimen Schlüssel des Teilnehmers nachzuschlagen und das Abfrage/Antwort-Paar zusammenzustellen. Netz- oder Softwareverzögerungen von einer oder zwei Sekunden würden soviel Totzeit hinzufügen, bis der Teilnehmer nach dem Abnehmen des Hörers bei der Einleitung einer Verbindung einen Wählton hört, und längere Verzögerungen (bei den zur Zeit von Zellularanbietern verwendeten Steuernetzen und Vermittlungsvorrichtungen) wären üblich. Im derzeitigen Milieu sind solche Verzögerungen unannehmbar.
Die Kryptographie mit öffentlichem Schlüssel stellt eine weitere standardmäßige Klasse von Verfahren zur Lösung von Authentifizierungsproblemen bereit. Allgemein ausgedrückt würde jeder Mobilstation ein "Zertifikat des öffentlichen Schlüssels der Identität zugeteilt, das durch den öffentlichen Schlüssel des Dienstanbieters unterschrieben ist und angibt, daß die Mobilstation ein rechtmäßiger Kunde des Dienstanbieters ist. Zusätzlich würden jedem Handy geheime Daten (private Schlüssel) gegeben, die es zusammen mit dem Zertifikat verwenden kann, um Dritten (wie zum Beispiel dem Versorgungssystem) zu beweisen, daß es ein rechtmäßiger Kunde ist.
Zum Beispiel könnte der Dienstanbieter über ein Paar von RSA-Schlüsseln (F, G) verfügen, wobei F privat und G öffentlich ist. Der Dienstanbieter könnte jedem Handy sein eigenes Paar (D, E) von RSA-Schlüsseln zusammen mit F(E) (der Verschlüsselung des öffentlichen Schlüssels E des Handys unter Verwendung des privaten Schlüssels F des Anbieters) zuteilen. Ein Handy gibt dann seine Identität an, indem es (E, F (E)) zu dem Versorgungssystem sendet. Das Versorgungssystem wendet G auf F(E) an, um E zu gewinnen. Das Versorgungssystem erzeugt eine Abfrage X, verschlüsselt sie mit dem öffentlichen Schlüssel E des Handys zur Gewinnung von E(X), das es zu dem Handy sendet. Das Handy wendet seinen privaten Schlüssel D auf E(X) an, um X zu erhalten, das es als Antwort im Klartext zum Server zurücksendet.
Obwohl bei bestimmten Varianten dieses Verfahrens weniger Berechnungen oder Datenübertragungen als bei anderen beteiligt sind, gibt es bisher kein Authentifizierungsverfahren mit öffentlichem Schlüssel, das effizient in weniger als einer Sekunde auf der zur Zeit in zellularen Fernsprechern verwendeten Hardware ausgeführt werden kann. Obwohl die Netzkonnektivität zwischen dem Versorgungs- und dem Heimatsystem zum Zeitpunkt der Authentifizierung nicht benötigt wird, so wie es beim klassischen Ansatz der Fall ist, schließen dieselben Zeitbegrenzungen, die den klassischen Ansatz ausschließen, auch den Ansatz mit öffentlichem Schlüssel aus.
Ein weiteres Verfahren wird von R. M. Needham und M. D. Schroeder in Using Encryption for Authentication in Large Computer Networks, Comm. of the ACM, Band 21, Nr. 12, 993-999 (Dezember 1978), vorgeschlagen. Kurz gefaßt erfordert das Verfahren von Needham-Schroeder, daß ein vertrauenswerter Dritter (AS) als ein Authentifizierungsserver dienen sollte, der Sitzungsschlüssel an die potentiellen Teilnehmer (A und B) verteilt, die versuchen, sichere Übermittlungen einzurichten. Das Protokoll ist folgendermaßen: wenn der Teilnehmer A mit dem Teilnehmer B kommunizieren möchte, sendet er seinen eigenen Namen, den Namen des Teilnehmers B und eine Transaktionskennung zu dem Authentifizierungsserver AS. Der Server AS gibt den Namen des Teilnehmers B, einen Sitzungsschlüssel, die Transaktionskennung und eine mit dem Schlüssel von B verschlüsselte Nachricht zurück. Alle diese Informationen werden mit dem Schlüssel von A verschlüsselt. Der Teilnehmer A empfängt die Informationen, entschlüsselt sie, wählt den Teil, der mit dem Schlüssel von B verschlüsselt ist, und leitet diesen Teil an den Teilnehmer B weiter. Der Teilnehmer B entschlüsselt die empfangenen Nachrichten und findet darin den Namen des Teilnehmers A und den Sitzungsschlüssel. Eine letzte Prüfung (zur Verhinderung von "Wiederholungen") erfolgt durch den Teilnehmer B, indem er eine Abfrage an den Teilnehmer A ausgibt und der Teilnehmer A unter Verwendung des Sitzungsschlüssels antwortet. Eine beim Teilnehmer B gefundene Übereinstimmung authentifiziert die Identität des Teilnehmers A.
Aus EP-A-0354770 ist ein Verfahren zum Verschlüsseln eines 64-Bit-Schlüssels mit einem 128- Bit-Verschlüsselungsschlüssel und einem 64-Bit- Steuervektor (oder einem 128-Bit-Steuervektor) bekannt. Ein Steuervektor ist eine kompaktifizierte Datenstruktur zur Definition des Verwendungsattributes kryptographischer Schlüssel zwischen Netzwerkgeräten. In EP-A-0354770 wird, wenn der Steuervektor eine beliebige Länge aufweist, zunächst eine Hash-Funktion auf ihn angewandt, die einen Steuervektor mit vielen Bit auf einen Hash-Wert mit weniger Bit (z. B. 128 Bit) abbildet. Somit dient das Hash-Verfahren in einem Verschlüsselungsprozeß dazu, die Länge eines Steuervektors beliebiger Länge, der einem kryptographischen Schlüssel zugeordnet ist, zu verringern.
Aus EP-A-0105553 ist eine Vorrichtung zur mehrfachen Verschlüsselung eines Datensignals bekannt, wobei die Wahrscheinlichkeit der Übertragung von Klartext durch eine Modulo-2N-Addition herabgesetzt wird. Somit kann möglicherweise derselbe Schlüssel, der auf eine erste Verschlüsselungseinrichtung angewandt wird, auch dann der zweiten Verschlüsselungseinrichtung zugeführt werden, wenn die zweite Verschlüsselungseinrichtung versehentlich auf Entschlüsseln eingestellt wird.
Gemäß einem Aspekt der vorliegenden Erfindung wird ein Verfahren nach Anspruch 1 bereitgestellt.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein Verfahren nach Anspruch 2 bereitgestellt.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird eine Vorrichtung nach Anspruch 9 bereitgestellt.
Gemäß noch einem weiteren Aspekt der vorliegenden Erfindung wird eine Vorrichtung nach Anspruch 10 bereitgestellt.
Nachrichten, die verschlüsselt werden, werden durch drei aufeinanderfolgende Transformationen verschlüsselt, die einen selbstinvertierenden Verschlüsselungsprozeß ergeben. Bei der ersten Transformationen wird zu jedem Wort der zu verschlüsselnden Nachricht eine randomisierte Konstante addiert. Die Konstante steht in Beziehung mit einer im Hash-Verfahren verarbeiteten Zeichenkette, die einen Teil des Gemeinsames-Geheimnis-Datenfelds umfaßt und mit der Hash-Funktion verarbeitetet wird, die beim Ableiten des Gemeinsames-Geheimnis-Datenfelds verwendet wird. Bei der zweiten Transformationen wird die Menge von Wörtern, aus denen die (durch die erste Transformation modifizierte) Nachricht besteht, in eine erste und eine zweite Hälfte aufgeteilt, und die erste Hälfte wird teilweise auf der Grundlage der zweiten Hälfte modifiziert. Bei der dritten Transformationen wird von jedem Wort der (durch die zweite Transformation modifizierten) zu verschlüsselnden Nachricht eine randomisierte Konstante subtrahiert. Wiederum steht die Konstante in Beziehung mit einer im Hash-Verfahren verarbeiteten Zeichenkette, die einen Teil des Gemeinsames-Geheimnis-Datenfelds umfaßt und mit der Hash-Funktion verarbeitetet wird, die beim Ableiten des Gemeinsames-Geheimnis-Datenfelds verwendet wird.

Kurze Beschreibung der Zeichnungen

Fig. 1 zeigt eine Anordnung von Netzanbietern und Zellularfunkanbietern, die zur Versorgung sowohl stationärer als auch mobiler Fernsprecher und dergleichen verbunden sind;
Fig. 2 zeigt den Prozeß zur Lenkung der Erzeugung eines Gemeinsames-Geheimnis-Datenfelds und der Verifikation desselben;
Fig. 3 zeigt den Registrierungsprozeß in einer besuchten Basisstation zum Beispiel wenn die Mobileinheit das erste Mal in die durch die Basisstation versorgte Zelle eintritt;
Fig. 4 zeigt die Elemente, die verkettet und im Hash-Verfahren verarbeitet werden, um die Gemeinsames- Geheimnis-Daten zu erzeugen;
Fig. 5 zeigt die Elemente, die verkettet und im Hash-Verfahren verarbeitet werden, um die Verifikationsfolge zu erzeugen;
Fig. 6 zeigt die Elemente, die verkettet und im Hash-Verfahren verarbeitet werden, um die Registrierungsfolge zu erzeugen, wenn die Mobileinheit zu senden beginnt;
Fig. 7 zeigt die Elemente, die verkettet und im Hash-Verfahren verarbeitet werden, um die Verbindungseinleitungsfolge zu erzeugen;
Fig. 8 zeigt den Sprachverschlüsselungs- und Entschlüsselungsprozeß in einer Mobileinheit;
Fig. 9 zeigt die Elemente, die verkettet und im Hash-Verfahren verarbeitet werden, um die Neuauthentifizierungsfolge zu erzeugen;
Fig. 10 zeigt den dreistufigen Prozeß zur Verschlüsselung und Entschlüsselung ausgewählter Steuer- und Datennachrichten; und
Fig. 11 zeigt ein Blockschaltbild der Hardware einer Mobileinheit.

Ausführliche Beschreibung

Die Sicherheitsbedürfnisse der Zellulartelefonie können mit einer Anordnung erfüllt werden, die von einem Gemeinsames-Geheimnis-Datenfeld abhängt. Die Mobileinheit hält ein Geheimnis, das ihr durch den Dienstanbieter zugewiesen wird, und erzeugt aus diesem Geheimnis ein Gemeinsames-Geheimnis- Datenfeld. Der Dienstanbieter erzeugt ebenfalls das Gemeinsames-Geheimnis-Datenfeld. Wenn eine Mobileinheit in die Zelle einer Basisstation eintritt, identifiziert sie sich der Basisstation und führt der Basisstation eine im Hash-Verfahren verarbeitete Authentifizierungszeichenkette zu. Die Basisstation konsultiert den Anbieter, und wenn bestimmt wird, daß die Mobileinheit eine rechtmäßige Einheit ist, führt der Anbieter der Basisstation das Gemeinsames- Geheimnis-Datenfeld zu. Danach kommuniziert die Mobileinheit mit der Basisstation mit Hilfe von Authentifizierungsprozessen, die zwischen der Mobileinheit und der Basisstation ausgeführt werden, wobei das Gemeinsames-Geheimnis-Datenfeld verwendet wird.
Ein Merkmal dieser Anordnung besteht darin, daß die verschiedenen Basisstationen keinen Zugang zu dem Geheimnis haben, das durch den Anbieter in der Mobileinheit installiert wurde, und nur die Basisstationen, die erfolgreich einen Dialog mit der Mobileinheit geführt haben, besitzen das Gemeinsames- Geheimnis-Datenfeld.
Der zeitaufwendigere Authentifizierungsprozeß, der das Geheimnis verwendet und nur unter Beteiligung des Anbieters stattfindet, tritt andererseits nur gelegentlich auf, wenn eine Mobileinheit das erste Mal in die Zelle eintritt (oder wenn vermutet wird, daß das Gemeinsames-Geheimnis-Datenfeld kompromittiert wurde).
Sowohl die Mobileinheit als auch die Basisstation verwenden zur Erzeugung eines Paars von Verschlüsselungsschlüsseln einen Teil des Gemeinsames- Geheimnis-Datenfelds. Der erste Verschlüsselungsschlüssel in dem Paar wird von der Mobileinheit zur Verschlüsselung von Sprache und von der Basisstation zur Entschlüsselung von Sprache verwendet. Der zweite Verschlüsselungsschlüssel in dem Paar wird von der Basisstation zur Verschlüsselung von Sprache und von der Mobileinheit zur Entschlüsselung von Sprache verwendet.
Zur Erzeugung des Gemeinsames-Geheimnis- Datenfelds und zur Erzeugung des Paars von Verschlüsselungsschlüsseln wird dieselbe Hash-Funktion verwendet.
In einer mobilen zellularen Fernsprechanordnung befinden sich viele Mobiltelefone, eine wesentlich kleinere Anzahl von Zellularfunkanbietern (wobei jeder Anbieter über eine oder mehrere Basisstationen verfügt) und einen oder mehrere Vermittlungsnetzanbieter (Netzbetreiber). Die Zellularfunkanbieter und die Netzbetreiber schließen sich zusammen, um einem Zellulartelefonteilnehmer zu ermöglichen, sowohl mit zellularen als auch nichtzellularen Fernsprechteilnehmern zu kommunizieren. Diese Anordnung ist als Diagramm in Fig. 1 abgebildet, wobei sich der Netzbetreiber I und der Netzbetreiber II zusammenschließen, um ein Vermittlungsnetz mit den Vermittlungen 10-14 zu bilden. Die stationären Einheiten 20 und 21 sind mit der Vermittlung 10 verbunden, die Mobileinheiten 22 und 23 können sich frei bewegen, und die Basisstationen 30-40 sind mit den Vermittlungen 10-14 verbunden. Die Basisstationen 30-34 gehören zum Anbieter 1, die Basisstationen 35 und 36 gehören zum Anbieter 2, die Basisstation 37 gehört zum Anbieter 4 und die Basisstationen 38-40 gehören zum Anbieter 3. Für die vorliegende Beschreibung ist eine Basisstation synonym mit einer Zelle, wobei ein oder mehrere Sender anzutreffen sind. Eine Ansammlung von Zellen bildet ein zellulares geographisches Versorgungsgebiet (CGSA), wie zum Beispiel die Basisstationen 30, 31 und 32 in Fig. 1.
Jede Mobileinheit besitzt eine elektronische Seriennummer (ESN), die für diese Einheit eindeutig ist. Die ESN-Nummer wird durch den Hersteller in der Einheit installiert, wenn die Einheit gebaut wird (zum Beispiel in einem Nur-Lese-Speicher), und ist unveränderbar. Sie ist jedoch zugänglich.
Wenn ein Kunde einen Dienstvertrag für eine Mobileinheit einrichten möchte, die der Kunde besitzt oder mietet, weist der Dienstanbieter dem Kunden eine Rufnummer (MIN1-Kennzeichnung), eine Bereichscodekennzeichnung (MIN2-Kennzeichnung) und ein "Geheimnis" (A-Schlüssel) zu. Die Kennzeichnungen MIN1 und MIN2 sind einem gegebenen CGSA des Anbieters zugeordnet, und alle Basisstationen in der Anordnung von Fig. 1 können das CGSA identifizieren, zu dem ein bestimmtes Paar von MIN2 und MIN1 gehört. Der A-Schlüssel ist nur dem Gerät des Teilnehmers und dem CGSA-Prozessor des Anbieters (in Fig. 1 nicht explizit gezeigt) bekannt. Der CGSA-Prozessor führt die ESN, den A-Schlüssel, MIN1- und MIN2-Kennzeichnungen der Einheit und alle weiteren Informationen, über die der Dienstanbieter verfügen möchte.
Wenn die Kennzeichnungen MIN1 und MIN2 und der A-Schlüssel installiert sind, ist die Einheit des Kunden für den Dienst initialisiert, wenn der CGSA-Prozessor eine spezielle Zufallsfolge (RANDSSD) und eine Direktive zur Erzeugung eines Felds "Gemeinsames-Geheimnis-Daten" (SSD-Feld) zu der Mobileinheit sendet. Das CGSA sendet die RANDSSD und die Direktive zur Erzeugung des SSD-Felds durch die Basisstation der Zelle, in der sich die Mobileinheit befindet. Die Erzeugung des SSD-Felds folgt dem in Fig. 2 beschriebenen Protokoll.
Nebenbei bemerkt werden in der Anordnung von Fig. 1 von jeder Basisstation Informationen auf einem bestimmten, im voraus zugewiesenen Frequenzkanal (Rundsendeband) zu allen Einheiten in ihrer Zelle rundgesendet. Zusätzlich führt die Basisstation eine zweiseitige Kommunikation mit jeder Mobileinheit über einen gegenseitig vereinbarten (vorübergehend) fest zugeordneten Kanal. Die Art und Weise des Einverständnisses zwischen der Basisstation und der Mobileinheit über den Kommunikationskanal ist für die vorliegende Erfindung unwesentlich und wird daher hier nicht ausführlich beschrieben. Ein Ansatz kann zum Beispiel darin bestehen, daß die Mobileinheit alle Kanäle scannt und einen leeren wählt. Sie würde dann ihre Kennzeichnungen MIN2 und MIN1 (entweder in Klartextform oder mit einem öffentlichen Schlüssel verschlüsselt) zu der Basisstation senden, wodurch die Basisstation einen Authentifizierungsprozeß einleiten kann. Sobald die authentifizierte Kommunikation hergestellt ist, kann die Basisstation gegebenenfalls die Mobilstation anleiten, auf einen anderen Kanal umzuschalten.
Wie nachfolgend ausführlicher beschrieben wird, kann im Verlauf der Herstellung und Führung einer Verbindung auf einem Mobiltelefonsystem der vorliegenden Erfindung ein Authentifizierungsprozeß mehrmals während des Gesprächs ausgeführt werden. Der verwendete Authentifizierungsprozeß sollte deshalb relativ sicher und einfach zu implementieren sein. Zur Vereinfachung des Entwurfs und zur Verringerung der Implementierungskosten sollten sowohl die Mobileinheit als auch die Basisstation denselben Prozeß verwenden.
Viele Authentifizierungsprozesse verwenden eine Hash-Funktion oder eine einseitige Funktion zur Implementierung der Prozesse. Eine Hash-Funktion führt eine eindeutige, nicht umkehrbare Abbildung durch, die ein "Geheimnis" in eine Signatur umsetzt. Nachfolgend wird eine einfache, schnelle, effektive und flexible Hash-Funktion beschrieben. Sie eignet sich relativ gut für die Authentifizierungsprozesse der vorliegenden Erfindung, es können aber selbstverständlich auch andere Hash-Funktionen verwendet werden.

Der Jumble-Prozeß

Der Jumble-Prozeß kann mit Hilfe eines k-Wort- Schlüssels x(j), wobei d, i, j und k ganze Zahlen sind, eine "Signatur" eines Blocks von d "Geheimnis"- Datenwörtern b(i) erzeugen. Der "Signatur"- Erzeugungsprozeß wird datenwortweise ausgeführt. Für die vorliegende Beschreibung sind die Wörter, an denen der Jumble-Prozeß arbeitet, 8 Bit lang (wodurch ein Bereich von 0 bis einschließlich 255 bereitgestellt wird), es kann aber auch jede andere Wortgröße verwendet werden. Die Länge des "Geheimnis"-Datenblocks ist in die folgende Sägezahnfunktion integriert:
scy(t)= t für 0 ≤ t ≤ d - 1
sd(t) = 2d - 2 - t für d ≤ t ≤ 2d -3 und
sd(t) = sd(t + 2d -2) für alle t.
Diese Funktion wird in dem folgenden Prozeß verwendet, wobei beginnend mit z = 0 und i = 0 für sukzessive zunehmende ganzzahlige Werte von i im Bereich von 0 ≤ 6d - 5 folgendes gilt:
a) b(sd(i)) wird aktualisiert durch:
b(sd(i)) = b(sd(i)) + x(ik) + SBOX(z) mod 256, wobei
* ik gleich i modulo k, SBOX(z) = y + [y/2048] mod 256,
* y = (z 16) (z + 111) (z) und
* [y/2048] der ganzzahlige Teil von y geteilt durch 2048 ist und ® die bitweise Exclusive- OR-Funktion darstellt; und
b) z wird aktualisiert mit: z = z + b(sd(i)) mod 256.
Es ist zu erkennen, daß in dem gerade beschriebenen Prozeß keine echte Unterscheidung zwischen den Daten und dem Schlüssel vorliegt. Deshalb kann jede Zeichenkette, die für die Authentifizierung verwendet wird, einen Teil aufweisen, der als ein Schlüssel für den obigen Prozeß verwendet wird.
Umgekehrt können die mit dem Schlüssel verketteten Datenwörter als die "Authentifizierungszeichenkette" angesehen werden. Außerdem ist zu beachten, daß jedes Wort b(i), wobei 0 ≤ i < d ist, jeweils einzeln im Hash-Verfahren bearbeitet wird, wodurch das Hash- Verfahren "an Ort und Stelle" erfolgt. Für den Hash- Prozeß an sich sind keine zusätzlichen Puffer erforderlich.
Der gerade beschriebene Prozeß kann leicht mit einem sehr einfachen herkömmlichen Prozessor ausgeführt werden, da die einzigen erforderlichen Operationen die folgenden sind: Verschieben (zur Durchführung der Division durch 2048), Abschneiden (zur Durchführung der -Funktion und der Funktion mod 256), Addition, Multiplikation und bitweise Exclusive-OR-Funktionen.
Wieder mit Bezug auf den SSD- Feldinitialisierungsprozeß von Fig. 2 wird, wenn eine RANDSSD-Folge und die Direktive zur Erzeugung eines neuen SSD-Felds (Pfeil 100 in Fig. 2) durch die Mobilstation empfangen werden, gemäß Fig. 4 ein neues SSD-Feld erzeugt. Die Mobileinheit verkettet die ESN-Kennzeichnung, den A-Schlüssel und die RANDSSD- Folge zur Bildung einer Authentifizierungszeichenkette. Die Authentifizierungszeichenkette wird an den (oben beschriebenen) Jumble-Block 101 angelegt, der das SSD-Feld ausgibt. Das SSD-Feld umfaßt zwei Teilfelder: das SSD-A-Teilfeld, mit dem Authentifizierungsprozeduren unterstützt werden, und das SSD-B-Teilfeld, mit dem Sprach-Abhörsicherheitsprozeduren und die Verschlüsselung bestimmter Zeichengabenachrichten (siehe unten) unterstützt werden. Es ist zu bemerken, daß eine größere Zahl von SSD-Teilfeldern erzeugt werden kann; entweder durch Unterteilen des oben gebildeten SSD-Felds, oder indem zuerst das SSD-Feld vergrößert wird. Zur Erhöhung der Anzahl von Bit in dem SSD-Feld muß man lediglich mit einer größeren Anzahl von Datenbit beginnen. Aus der nachfolgenden Beschreibung wird ersichtlich, daß dies keine besonderes schwierige Anforderung ist.
Der Heimat-CGSA-Prozessor kennt die ESN und den A-Schlüssel der Mobileinheit, der die empfangenen Kennzeichnungen MIN2 und MIN1 zugewiesen wurden. Er kennt außerdem die RANDSSD-Folge, die er gesendet hat. Deshalb ist der Heimat-CGSA-Prozessor in der Lage, den SSD-Felderzeugungsprozeß der Mobileinheit zu duplizieren. Durch Verketten des RANDSSD-Signals mit der ESN-Kennzeichnung und dem A-Schlüssel, und mit dem oben beschriebenen Jumble-Prozeß, erzeugt der CGSA- Prozessor ein neues SSD-Feld und teilt dieses in die Teilfelder SSD-A und SSD-B auf. Das in dem Heimat-CGSA- Prozessor erzeugte SSD-Feld muß jedoch verifiziert werden.
Gemäß Fig. 2 wird die Verifizierung des erzeugten SSD-Felds durch die Mobileinheit eingeleitet. Die Mobileinheit erzeugt eine Abfrage-Zufallsfolge (RANDBS-Folge) im Block 102 und sendet sie durch die versorgende Basisstation (die Basisstation, die das Gebiet versorgt, in dem sich die Mobileinheit befindet) zu dem Heimat-CGSA-Prozessor. Gemäß Fig. 5 verkettet der Heimat-CGSA-Prozessor die Abfrage-RANDBS-Folge, die ESN der Mobileinheit, die MIN1-Kennzeichnung der Mobileinheit und das neu erzeugte SSD-A zur Bildung einer Authentifizierungszeichenkette, die an den Jumble-Prozeß angelegt wird. In diesem Fall erzeugt der Jumble-Prozeß ein im Hash-Verfahren bearbeitetes Authentifizierungssignal AUTHBS, das zu der Mobilstation gesendet wird. Die Mobilstation kombiniert außerdem die RANDBS-Folge, ihre ESN-Kennzeichnung, ihre MIN1-Kennzeichnung und das neu erzeugte SSD-A zur Bildung einer Authentifizierungszeichenkette, die an den Jumble-Prozeß angelegt wird. Die Mobilstation vergleicht das Ergebnis ihres Jumble-Prozesses mit dem im Hash-Verfahren bearbeiteten Authentifizierungssignal (AUTHBS), das aus dem Heimat-CGSA-Prozessor empfangen wird. Wenn der Vergleichsschritt (Block 104) eine Übereinstimmung anzeigt, sendet die Mobilstation eine Bestätigungsnachricht zu dem Heimat-CGSA-Prozessor, die den Erfolg der Aktualisierung in dem SSD-Feld anzeigt. Andernfalls meldet die Mobilstation das Versagen des Übereinstimmungsvergleichs.
Nach der Initialisierung der Mobilstation bleibt das SSD-Feld aktiviert, bis der Heimat-CGSA- Prozessor die Erzeugung eines neuen SSD-Felds anleitet. Dies kann zum Beispiel geschehen, wenn Grund zur Annahme besteht, daß das SSD-Feld kompromittiert wurde. Zu einem solchen Zeitpunkt sendet der Heimat-CGSA- Prozessor eine weitere RANDSSD-Folge zu der Mobileinheit und eine Direktive zur Erzeugung eines neuen SSD-Felds.
Wie bereits erwähnt, werden bei der zellularen Telefonie durch jede Basisstation verschiedene Informationssignale zugunsten aller Mobileinheiten in ihrer Zelle rundgesendet. Gemäß dem Management von Fig. 1 ist eines der durch die Basisstation rundgesendeten Signale eine Zufalls- oder Pseudozufallsfolge (RAND- Folge). Die RAND-Folge wird von verschiedenen Authentifizierungsprozessen zur Randomisierung der Signale verwendet, die durch die Mobileinheiten erzeugt und gesendet werden. Die RAND-Folge muß natürlich periodisch geändert werden, um Aufzeichnungs-/Wiedergabe- Angriffe zu verhindern. Ein Ansatz zum Wählen der Latenzperiode eines RAND-Signals besteht darin, sie kleiner als die erwartete Dauer einer durchschnittlichen Verbindung auszuführen. Dementsprechend wird im allgemeinen bewirkt, daß eine Mobileinheit bei aufeinanderfolgenden Verbindungen verschiedene RAND-Signale verwendet.
Sobald die Mobileinheit in eine Zelle eintritt, registriert sie sich bei der Basiseinheit, so daß sie authentifiziert werden kann. Nur wenn eine Mobileinheit authentifiziert ist, kann sie Verbindungen einleiten oder die Basisstation Verbindungen zu ihr richten lassen.
Wenn die Mobileinheit den Registrierungsprozeß beginnt, nimmt sie die durch die Basisstation rundgesendete RAND-Folge an und sendet wiederum der versorgenden Basisstation ihre Kennzeichnungen MIN1 und MIN2 und ihre ESN-Folge (im Klartext), sowie eine im Hash-Verfahren verarbeitete Authentifizierungszeichenkette. Gemäß Fig. 6 wird die im Hash-Verfahren verarbeitete Authentifizierungszeichenkette durch Verkettung der RAND-Folge, der ESN-Folge, der MIN1-Kennzeichnung und des SSD-A-Teilfelds zur Bildung einer Authentifizierungszeichenkette; und Anlegen der Authentifizierungszeichenkette an den Jumble-Prozeß abgeleitet. Die im Hash-Verfahren verarbeitete Authentifizierungszeichenkette am Ausgang des Jumble- Prozesses wird zusammen mit der ESN-Folge zu der versorgenden Basisstation gesendet.
Bei einigen Ausführungsformen wird außerdem die gesamte oder ein Teil der RAND-Folge, die durch die Mobileinheit verwendet wird (zusammen mit der ESN-Folge und den Kennzeichnungen MIN1 und MIN2) zu der versorgenden Basisstation gesendet, weil die Möglichkeit besteht, daß sich der RAND-Wert geändert hat, wenn die im Hash-Verfahren verarbeitete Authentifizierungszeichenkette die Basisstation erreicht.
Auf der Seite der Basisstation kennt die versorgende Basisstation die RAND-Folge (weil die Basisstation sie erzeugt hat) und kennt außerdem die Kennzeichnungen ESN und MIN2 und MIN1, mit denen sich die Mobileinheit identifiziert hat. Die versorgende Basisstation kennt jedoch nicht das SSD-Feld der Mobileinheit. Sie kennt jedoch die Identität des Heimat-CGSA-Prozessors der Mobileinheit (aus den Kennzeichnungen MIN1 und MIN2). Demzufolge führt sie den Authentifizierungsprozeß fort, indem sie die MIN1- Kennzeichnung, die ESN-Folge, die im Hash-Verfahren verarbeitete Authentifizierungszeichenkette, die die Mobileinheit erzeugt und gesendet hat, und die RAND- Folge, die die versorgende Basisstation rundgesendet hat (und die die Mobileinheit in die erzeugte im Hash- Verfahren verarbeitete Authentifizierungszeichenkette integriert hat) zu dem Heimat-CGSA-Prozessor der Mobileinheit sendet. Aus der MIN1-Kennzeichnung und der ESN-Folge der Mobileinheit ist dem Heimat-CGSA- Prozessor die Identität der Mobileinheit und daher das SSD-A-Teilfeld der Mobileinheit bekannt. Er kann deshalb genau wie es durch die Mobileinheit durchgeführt wurde, weiter eine Authentifizierungszeichenkette erzeugen und sie an den Jumble-Prozeß (Fig. 6) anlegen. Wenn die durch den Heimat-CGSA-Prozessor der Mobileinheit erzeugte, im Hash-Verfahren verarbeitete Authentifizierungszeichenkette mit der im Hash- Verfahren verarbeiteten Authentifizierungszeichenkette übereinstimmt, die in der Mobileinheit erzeugt und durch die versorgende Basisstation zugeführt wurde, dann wird die Verifizierung als erfolgreich angesehen. In einem solchen Fall liefert der Heimat-CGSA-Prozessor der versorgenden Basisstation das SSD-Feld der Einheit. Nebenbei bemerkt, wird die Übermittlung zwischen dem Basisstationen und dem CGSA-Prozessor verschlüsselt geführt, damit die ESN-Kennzeichnung und das SSD-Feld sicher bleiben.
In dem oben beschriebenen Protokoll versucht der CGSA-Prozessor der Mobileinheit, die Validität der im Hash-Verfahren verarbeiteten Authentifizierungszeichenkette zu verifizieren. Wenn die Verifizierung erfolglos bleibt, informiert der CGSA-Prozessor die versorgende Basisstation, daß die Mobileinheit nicht authentifiziert wurde, und kann vorschlagen, daß entweder der Kontakt mit der Mobileinheit abgebrochen wird oder daß die Mobileinheit angewiesen wird, den Registrierungsprozeß erneut zu versuchen. Für einen erneuten Versuch des Registrierungsprozesses kann der Heimat-CGSA-Prozessor entweder die Teilnahme an dem Authentifizierungsprozeß fortführen oder sie zu der versorgenden Basisstation delegieren. Bei der letzteren Alternative informiert die versorgende Basisstation den Heimat-CGSA-Prozessor über die ESN-Folge und die MIN1-Kennzeichnung der Mobileinheit, und der CGSA-Prozessor antwortet mit dem SSD-Feld der Mobileinheit und der RANDSSD, mit der das SSD-Feld erzeugt wurde. Die Authentifizierung im Sinne des Erzeugens einer im Hash-Verfahren verarbeiteten Authentifizierungszeichenkette und deren Vergleich mit der im Hash-Verfahren verarbeiteten Authentifizierungszeichenkette, die durch die Mobileinheit gesendet wird, wird dann durch die versorgende Basisstation ausgeführt. Eine Direktive für einen neuen Versuch kann dann ohne den Heimat-CGSA- Prozeß ausgeführt werden, indem die versorgende Station die RANDSSD zu der Mobileinheit sendet. Dieses "Registrierungs"-Protokoll ist in Fig. 3 abgebildet.
Wenn die Mobileinheit in der versorgenden Basisstation (über den oben beschriebenen Prozeß) "registriert" wurde, besitzt die versorgende Basisstation die ESN und das SSD-Feld der Mobileinheit, und nachfolgende Authentifizierungsprozesse in dieser Zelle können in der versorgenden Basisstation ohne Bezug auf den Heimat-CGSA-Prozessor - mit einer Ausnahme - weiterlaufen. Immer wenn es aus irgendeinem Grund wünschenswert ist, das SSD-Feld zu verändern, findet die Kommunikation effektiv zwischen dem Heimat- CGSA-Prozessor und der Mobileinheit statt; und die versorgende Basisstation wirkt nur als ein Durchgang für diese Kommunikation, weil die Erzeugung eines neuen SSD-Felds einen Zugang zu dem geheimen A-Schlüssel erfordert, und der Zugang zu dem A-Schlüssel durch den CGSA-Prozessor niemandem gewährt wird.
Wenn ein neues SSD-Feld erzeugt werden soll und sich die Mobileinheit nicht in dem Gebiet des Heimat- CGSA befindet, findet dementsprechend folgendes statt:
- der Heimat-CGSA-Prozessor erzeugt eine RANDSSD-Folge und verändert das SSD-Feld auf der Grundlage dieser RANDSSD-Folge,
- der Heimat-CGSA-Prozessor liefert der versorgenden Basisstation die RANDSSD-Folge und das neu erzeugte SSD-Feld,
- die versorgende Basisstation leitet die Mobileinheit an, ihr SSD-Feld zu verändern und stellt der Mobileinheit die RANDSSD-Folge zur Verfügung,
- die Mobileinheit verändert das SSD-Feld und sendet eine Abfrage zu der versorgenden Basisstation,
- die versorgende Basisstation erzeugt die (oben beschriebene) AUTHBS-Zeichenkette und sendet sie zu der Mobileinheit, und
- die Mobileinheit verifiziert die AUTHBS-Zeichenkette und informiert die versorgende Basisstation, daß sowohl die Mobileinheit als auch die versorgende Basisstation über dieselben SSD-Felder verfügen.
Nachdem sie durch die versorgende Basisstation registriert wurde, kann die Mobilstation, wie in Fig. 7 gezeigt, mit einem Authentifizierungsprozeß Verbindungen einleiten. Die Verbindungseinleitungsfolge verkettet die Signale RAND, ESN, SSD-A und mindestens einen Teil der Identifizierungsnummer (Rufnummer) des angerufenen Teilnehmers (MIN3 in Fig. 7). Die verketteten Signale werden an den Jumble-Prozeß angelegt, um eine im Hash-Verfahren verarbeitete Authentifizierungsfolge zu entwickeln, die durch die versorgende Basisstation verifiziert werden kann. Zur Ermöglichung der Verifizierung in der versorgenden Basisstation muß natürlich auch die Identifizierungsnummer des angerufenen Teilnehmers auf eine solche Weise gesendet werden, daß sie durch die Basisstation empfangen werden kann (sowie, wie zuvor, möglicherweise ein Teil des RAND-Signals), d. h. im Klartext. Wenn die Authentifizierungsfolge verifiziert wurde, kann die Basisstation die Verbindung verarbeiten und die Verbindung mit dem angerufenen Teilnehmer herstellen.
Das Protokoll für die Verbindung mit einer Mobileinheit, wenn es sich um einen "angerufenen Teilnehmer" handelt, folgt dem Registrierungsprotokoll von Fig. 6. Das heißt, die versorgende Basisstation fordert an, daß die angerufene Mobilstation eine aus der RAND-Folge, der ESN-Kennzeichnung, der MIN1-Kennzeichnung und dem SSD-A-Teilfeld erzeugte Authentifizierungsfolge sendet. Wenn die Authentifizierung eintritt, wird zwischen der Basisstation und der Mobileinheit des angerufenen Teilnehmers ein Weg eingerichtet, damit die letztere Daten empfangen kann, die aus der Mobileinheit (oder der stationären Einheit) stammen, die die Verbindung eingeleitet hat, und Daten zu dieser senden kann.
Es sollte beachtet werden, daß alle oben beschriebenen Authentifizierungen (im Sinne ihrer Verifizierungen) nur in bezug auf die authentifizierten Pakete oder Zeichenketten selbst effektiv sind. Zur Verbesserung der Sicherheit zu anderen Zeitpunkten können drei verschiedene zusätzliche Sicherheitsmaßnahmen verwendet werden. Diese sind Sprachverschlüsselung, gelegentliche Neuauthentifizierung und Steuernachrichtenverschlüsselung.

Sprachverschlüsselung

Das Sprachsignal wird verschlüsselt, indem es zunächst in digitale Form umgesetzt wird. Dies kann auf beliebig viele herkömmliche Weisen mit oder ohne Komprimierung und mit oder ohne Fehlerkorrekturcodes erzielt werden. Die Bit der digitalen Signale werden in sukzessive Gruppen von K Bit aufgeteilt, und jede der Gruppen wird verschlüsselt. Genauer gesagt, werden sowohl in der Mobileinheit als auch der Basisstation die RAND-Folge, die ESN und die MIN1-Kennzeichnungen und das SSD-B-Teilfeld verkettet und an den Jumble- Prozeß angelegt. Der Jumble-Prozeß erzeugt zwei 2K Bit, und diese Bit werden in Gruppen A und B von jeweils K Bit aufgeteilt. In der Mobileinheit wird die Gruppe A zur Verschlüsselung von abgehender Sprache und die Gruppe B zur Entschlüsselung von ankommender Sprache verwendet. Umgekehrt wird in der Basisstation die Gruppe A zur Entschlüsselung von ankommender Sprache und die Gruppe B zur Verschlüsselung von abgehender Sprache verwendet. Fig. 8 zeigt den Sprachverschlüsselungs- und Entschlüsselungsprozeß.

Neuauthentifizierung

Nach Belieben der Basisstation wird ein Neuauthentifizierungsprozeß eingeleitet, um zu bestätigen, daß die Mobileinheit, die die Basisstation als aktiv ansieht, tatsächlich die Mobileinheit ist, die authorisiert wurde, aktiv zu sein. Dies wird erzielt, indem die Basisstation von der Mobileinheit anfordert, eine im Hash-Verfahren verarbeitete Authentifizierungsfolge gemäß Fig. 9 zu senden. Mit jeder solchen Anforderung sendet die Basisstation eine spezielle (RANDU-)Folge. Die Mobileinheit erzeugt die im Hash-Verfahren verarbeitete Authentifizierungsfolge durch Verketten der RANDU-Folge, der Bereichscode-MIN2- Kennzeichnung der Mobileinheit, der ESN-Kennzeichnung, der MIN1-Kennzeichnung und der SSD-A-Kennzeichnung. Die verkettete Zeichenkette wird an den Jumble-Prozeß angelegt, und die resultierende im Hash-Verfahren verarbeitete Authentifizierungszeichenkette wird zu der Basisstation gesendet. Die Basisstation ist an diesem Punkt in der Lage, zu verifizieren, daß die im Hash- Verfahren verarbeitete Authentifizierungszeichenkette gültig ist.

Kryptosystem für Steuernachrichten

Die dritte Sicherheitsmaßnahme behandelt die Sicherstellung der Abhörsicherheit von Steuernachrichten. Im Verlauf einer hergestellten Verbindung können verschiedene Umstände auftreten, bei denen Steuernachrichten übertragen werden müssen. In bestimmten Situationen können die Steuernachrichten entweder die Mobilstation, die die Verbindung eingeleitet hat, oder die Basisstation wesentlich und nachteilig beeinflussen. Aus diesem Grund ist es wünschenswert, bestimmte Arten von Steuernachrichten, die gesendet werden, während das Gespräch abläuft, (relativ gut) zu verschlüsseln. Als Alternative können ausgewählte Felder gewählter Nachrichtentypen verschlüsselt werden. Dazu gehören "Daten"- Steuernachrichten, wie zum Beispiel Kreditkartennummern, und Verbindungs-Umdefinierungssteuernachrichten. Dies wird mit dem Kryptosystem für Steuernachrichten erzielt.
Das Kryptosystem für Steuernachrichten (CMC) ist ein symmetrisches Schlüssel-Kryptosystem mit den folgenden Eigenschaften:
1) es ist relativ sicher,
2) es läuft auf einem Acht-Bit-Computer effizient ab, und
3) es ist selbstinvertierend.
Der kryptographische Schlüssel für CMC ist eine Matrix TBOX[z] von 256 Byte, die aus einem "Geheimnis" (z. B. dem SSD-B-Teilfeld) folgendermaßen abgeleitet wird:
1. für jedes z im Bereich 0 ≤ z < 256, TBOX[z] = z setzen, und
2. die Matrix TBOX[z] und das Geheimnis (SSD-B) an den Jumble-Prozeß anlegen.
Dies ist im wesentlichen das in den Elementen 301, 302 und 303 in Fig. 8 abgebildete (mit der Ausnahme, daß die Anzahl von Bit in Fig. 8 statt 256 Byte 2 K beträgt).
Wenn der Schlüssel abgeleitet wurde, kann zur Verschlüsselung und Entschlüsselung von Steuernachrichten das CMC verwendet werden. Als Alternative kann der Schlüssel "im Betrieb" bei jeder Verwendung des Schlüssels abgeleitet werden. CMC ist in der Lage, Nachrichten variabler Länge von zwei oder mehr Byte zu verschlüsseln. Die Operation von CMC ist selbstinvertierend oder reziprok. Das heißt, es werden genau dieselben Operationen zur Gewinnung von Klartext auf den Chiffretext angewandt, wie zur Gewinnung von Chiffretext auf Klartext angewandt werden. Eine Involutions-Funktion ist eine Funktion, die ihre eigene Umkehrung ist (z. B. 1/x', x = T(T(x'))). Somit würde eine zweifache Anwendung der CMC-Operationen den Inhalt des Puffers unverändert lassen.
In der folgenden Beschreibung wird angenommen, daß für den Verschlüsselungsprozeß (und den Entschlüsselungsprozeß) der Klartext (oder der Chiffretext) in einem Datenpuffer verankert ist und daß CMC an dem Inhalt dieses Datenpuffers so arbeitet, daß endgültige Inhalt des Datenpuffers den Chiffretext (oder den Klartext) bildet. Dies bedeutet, daß die Elemente 502 und 504 in Fig. 10 ein und dasselbe Register sein können.
CMC besteht aus drei aufeinanderfolgenden Stufen, die jeweils jede Byte-Zeichenkette in dem Datenpuffer verändern. Man beachte, daß sowohl CMC als Ganzes als auch die zweite Teilstufe des CMC eine Involution sind. Wenn der Datenpuffer d Byte lang ist und jedes Byte mit b(i) bezeichnet wird, dann ist für i im Bereich von 0 ≤ i < d:
1. Die erste Stufe von CMS ist folgendermaßen:
1. Initialisierung einer Variablen z auf null, 2. Für sukzessive ganzzahlige Werte von i im Bereich 0 ≤ i < d
a. Bilden einer Variablen q durch: q = z niedrigwertiges Byte von i, wobei der bitweise Boolesche Exclusive-OR-Operator ist,
b. Bilden der Variablen k durch:
k = TBOX [q],
c. Aktualisierung von b(i) mit:
b(i) = b(i) + k mod 256, und
d. Aktualisierung von z mit:
z = b(i) + z mod 256.
II. Die zweite Stufe von CMC ist involutorisch und umfaßt:
1. für alle Werte von i im Bereich
0 ≤ i < (d-1)/2:
b(i) = b(i) (b(d-1-i) OR 1), wobei OR der bitweise Boolesche OR-Operator ist.
III. Die letzte Stufe von CMC ist die Umkehrung der ersten Stufe handelt:
1. Initialisierung einer Variablen z auf null, 2. Für sukzessive ganzzahlige Werte von i im Bereich 0 ≤ i < d
a. Bilden einer Variablen q durch:
q = z niedrigwertiges Byte von i,
b. Bilden der Variablen k durch:
k = TBOX [q],
c. Aktualisieren von z mit:
z = b(i) + z mod 256,
d. Aktualisieren von b(i) mit:
b(i) = b(i) - k mod 256.
Der dreistufige Prozeß, der zur Verschlüsselung und Entschlüsselung ausgewählter Steuer- und Datennachrichten verwendet wird, ist in Fig. 10 dargestellt. Bei einer bevorzugten Ausführungsform sind die erste Stufe und die dritte Stufe eine Auto-Schlüssel- Verschlüsselung bzw. -Entschlüsselung. Ein Auto- Schlüsselsystem ist ein zeitveränderliches System, bei dem die Ausgabe des Systems zur Beeinflussung der nachfolgenden Ausgabe des Systems verwendet wird. Weitere Einzelheiten bezüglich der Kryptographie und Auto-Schlüsselsystemen findet man in W. Diffie und M. E. Hellman, Privacy and Authentication: An Introduction to Cryptography, Proc. of the I. E. E. E., Band 67, Nr. 3, März 1979.

Mobileinheitsgerät

Fig. 11 zeigt ein Blockdiagramm der Hardware einer Mobileinheit. Sie umfaßt einen Steuerblock 200, der (obwohl dies nicht gezeigt ist) das Tastenfeld eines Zellularfernsprechers, den Hörer und den Stromversorgungssteuerschalter der Einheit enthält. Der Steuerblock 200 ist mit dem Prozessor 210 verbunden, der die Funktionsweise der Mobileinheit, wie zum Beispiel das Umsetzen von Sprachsignalen in digitale Darstellungen, das Integrieren von Fehlerkorrekturcodes, die Verschlüsselung der abgehenden digitalen Sprachsignale, die Entschlüsselung der ankommenden Sprachsignale, die Bildung und Verschlüsselung (sowie Entschlüsselung) verschiedener Steuernachrichten usw. steuert. Der Block 210 ist an den Block 220 angekoppelt, der den Hauptteil der Schaltkreise umfaßt, die dem Senden und Empfangen von Signalen zugeordnet sind. Die Blöcke 200-220 sind im Prinzip herkömmliche Blöcke, die die zur Zeit durch kommerzielle Mobilfernsprecheinheiten durchgeführten Funktionen durchführen (obwohl die kommerziellen Einheiten keine Verschlüsselung und Entschlüsselung ausführen). Zur Integration der hier beschriebenen Authentifizierungs- und Verschlüsselungsprozesse enthält die Vorrichtung von Fig. 11 außerdem einen Block 240 mit einer Anzahl von Registern, die an den Prozessor 210 angekoppelt sind, und ein "Persönlichkeits"-Modul 230, das ebenfalls an den Prozessor 210 angekoppelt ist. Das Modul 230 kann Teil der physischen Struktur einer Mobilfernsprecheinheit sein, oder es kann ein abnehmbares (und steckbares) Modul sein, das durch eine Buchsenschnittstelle an die Mobilfernsprecheinheit angekoppelt wird. Es kann außerdem durch einen elektromagnetischen Weg oder eine Verbindung an den Prozessor 210 angekoppelt sein. Kurz gefaßt kann es sich bei dem Modul 230 zum Beispiel um eine "Chipkarte" handeln.
Das Modul 230 umfaßt einen Jumble-Prozessor 231 und eine Anzahl von dem Prozessor 231 zugeordneten Registern. Als Alternative befinden sich bei einer anderen bevorzugten Ausführungsform nur der A-Schlüssel in dem Modul 230. Eine Anzahl von Vorteilen ergibt sich aus der Installierung (und dem Halten) des A-Schlüssels und der Kennzeichnungen MIN1 und MIN2 in den Registern des Moduls 230 anstelle der Register des Blocks 240. Außerdem ist es vorteilhaft, das entwickelte SSD-Feld in den Registern des Moduls 230 zu speichern. Weiterhin ist es vorteilhaft, den Registern des Moduls 230 gegebenenfalls benötigte Arbeitsregister zur Ausführung der Prozesse des Prozessors 231 hinzuzufügen. Durch Hinzufügen dieser Elemente in dem Modul 230 kann der Benutzer das Modul mitsichführen, um es mit verschiedenen Mobileinheiten zu verwenden (z. B. "Verlängerungs"-Mobileinheiten), so daß keine sensitiven Informationen außerhalb des Moduls gespeichert werden müssen. Mobileinheiten können natürlich so hergestellt werden, daß das Modul 230 ein integraler und permanenter Teil der Einheit ist. Bei solchen Ausführungsformen kann der Jumble-Prozessor 231 mit dem Prozessor 210 zusammengeführt werden. Der Block 240 speichert die ESN-Kennzeichnung der Einheit und die verschiedenen RAND-Folgen, die empfangen werden.
Obwohl die obige Beschreibung im Hinblick auf die Teilnehmerauthentifizierung in einer Umgebung der zellularen Telefonie formuliert ist, wobei persönliche Kommunikationsnetze miteingeschlossen sind, die tragbare Hörer mit Brieftaschengröße versorgen, ist es klar, daß die Prinzipien der vorliegenden Erfindung auch auf andere Mobil-Umgebungen anwendbar sind, bei denen die Kommunikation nicht als ausreichend sicher angesehen wird und Nachahmung ein potentielles Problem ist, wie zum Beispiel bei einem Computernetz.

Claims

1. Verfahren zum Verschlüsseln einer Menge von Nachrichtensignalen, die in einem Kommunikationssystem übertragen werden sollen, gekennzeichnet durch:

Erzeugen einer Menge von Schlüsselsignalen durch Hash-Verarbeitung einer Menge erster Signale und einer Menge zweiter Signale;

Verschlüsseln (505) der Menge von Nachrichtensignalen auf der Grundlage einer Teilmenge der Menge von Schlüsselsignalen zur Bildung einer Menge erster Zwischensignale;

Verändern der Menge erster Zwischensignale gemäß einer schlüssellosen Involutionstransformation (507), die eine erste Teilmenge der Menge erster Zwischensignale auf der Grundlage einer zweiten Teilmenge der ersten Zwischensignale modifiziert, um eine Menge zweiter Zwischensignale zu bilden; und

Entschlüsseln (511) der Menge zweiter Zwischensignale gemäß einer Transformation, die die Umkehrung des Schritts des Verschlüsselns ist, wodurch eine Menge verschlüsselter Nachrichtensignale (504) gebildet wird, die in dem Kommunikationssystem übertragen werden sollen.

2. Verfahren zum Entschlüsseln einer Menge von Nachrichtensignalen, die in einem Kommunikationssystem empfangen werden, gekennzeichnet durch:

Verändern der Menge erster Zwischensignale mit einer schlüssellosen Involutionstransformation (507), die eine erste Teilmenge der Menge erster Zwischensignale auf der Grundlage einer zweiten Teilmenge der ersten Zwischensignale modifiziert, um eine Menge zweiter Zwischensignale zu bilden; und

Entschlüsseln (511) der Menge zweiter Zwischensignale mit einer Transformation, die die Umkehrung des Schritts des Verschlüsselns ist, wodurch eine Menge entschlüsselter Nachrichtensignale (504) gebildet wird.

3. Verfahren nach Anspruch 1, mit dem Schritt des Empfangens der Menge erster Signale.

4. Verfahren nach Anspruch 2, mit dem Schritt des Erzeugens der Menge erster Signale.

5. Verfahren nach Anspruch 1, mit dem Schritt des Erzeugens der Menge von Nachrichtensignalen.

6. Verfahren nach Anspruch 2, mit dem Schritt des Bearbeitens der Menge entschlüsselter Nachrichtensignale.

7. Verfahren nach Anspruch 1, mit dem Schritt des Sendens der Menge verschlüsselter Nachrichtensignale.

8. Verfahren nach Anspruch 2, mit dem Schritt des Empfangens der Menge von Nachrichtensignalen.

9. Vorrichtung zum Verschlüsseln einer Menge von Nachrichtensignalen, die in einem Kommunikationssystem übertragen werden sollen, gekennzeichnet durch:

ein Mittel zum Erzeugen einer Menge von Schlüsselsignalen durch Hash-Verarbeitung einer Menge erster Signale und einer Menge zweiter Signale;

ein Mittel (501) zum Verschlüsseln der Menge von Nachrichtensignalen auf der Grundlage einer Teilmenge der Menge von Schlüsselsignalen zur Bildung einer Menge erster Zwischensignale;

ein Mittel (509) zum Verändern der Menge erster Zwischensignale gemäß einer schlüssellosen Involutionstransformation, die eine erste Teilmenge der Menge erster Zwischensignale auf der Grundlage einer zweiten Teilmenge der ersten Zwischensignale modifiziert, um eine Menge zweiter Zwischensignale zu bilden; und

ein Mittel (513) zum Entschlüsseln der Menge zweiter Zwischensignale gemäß einer Transformation, die die Umkehrung des Schritts des Verschlüsselns ist, wodurch eine Menge verschlüsselter Nachrichtensignale gebildet wird, die in dem Kommunikationssystem übertragen werden sollen.

10. Vorrichtung zum Entschlüsseln einer Menge von Nachrichtensignalen, die in einem Kommunikationssystem empfangen werden, gekennzeichnet durch:

ein Mittel (509) zum Verändern der Menge erster Zwischensignale mit einer schlüssellosen Involutionstransformation, die eine erste Teilmenge der Menge erster Zwischensignale auf der Grundlage einer zweiten Teilmenge der ersten Zwischensignale modifiziert, um eine Menge zweiter Zwischensignale zu bilden; und

ein Mittel (513) zum Entschlüsseln der Menge zweiter Zwischensignale mit einer Transformation, die die Umkehrung des Schritts des Verschlüsselns ist, wodurch eine Menge entschlüsselter Nachrichtensignale gebildet wird.

11. Vorrichtung nach Anspruch 9, mit einem Mittel zum Empfangen der Menge erster Signale.

12. Vorrichtung nach Anspruch 10, mit einem Mittel zum Erzeugen der Menge erster Signale.

13. Vorrichtung nach Anspruch 9, mit einem Mittel zum Erzeugen der Menge von Nachrichtensignalen.

14. Vorrichtung nach Anspruch 10, mit einem Mittel zum Bearbeiten der Menge entschlüsselter Nachrichtensignale.

15. Vorrichtung nach Anspruch 9, mit einem Mittel zum Senden der Menge verschlüsselter Nachrichtensignale.

16. Vorrichtung nach Anspruch 10, mit einem Mittel zum Empfangen der Menge von Nachrichtensignalen.