-
VERWANDTE ANMELDUNGEN
-
Folgende
gleichzeitig mit der vorliegenden Anmeldung eingereichten Anmeldungen
sind mit der vorliegenden Anmeldung verwandt: Anmeldungs-Nr. unbekannt,
Titel METHOD FOR TWO PARTY AUTHENTICATION AND KEY AGREEMENT (Verfahren
zur Authentifizierung von zwei Teilnehmern und Schlüsselvereinbarung)
von der Erfinderin der vorliegenden Anmeldung; Anmeldungs-Nr. unbekannt,
Titel METHOD FOR TRANSFERRING SENSITIVE INFORMATION USING INITIALLY
UNSECURED COMMUNICATION (Verfahren zur Übertragung sensibler Informationen
mittels anfangs ungesicherter Kommunikation) von der Erfinderin
der vorliegenden Anmeldung; Anmeldungs-Nr. unbekannt, Titel METHOD
FOR SECURING OVER-THE-AIR COMMUNICATION IN A WIRELESS SYSTEM (Verfahren
zur Sicherung von Kommunikation über
den Luftweg in einem drahtlosen System) von der Erfinderin der vorliegenden
Anmeldung; und Anmeldungs-Nr. unbekannt, Titel METHOD FOR ESTABLISHING
A KEY USING OVER-THE-AIR COMMUNICATION AND PASSWORD PROTOCOL AND
PASSWORD PROTOCOL (Verfahren zur Herstellung eines Schlüssels mittels
Kommunikation über
den Luftweg und Paßwortprotokoll
und Paßwortprotokoll)
von der Erfinderin der vorliegenden Anmeldung und Adam Berenzweig.
-
Hintergrund der Erfindung
-
Erfindungsgebiet
-
Die
vorliegende Erfindung betrifft ein Verfahren zum Aktualisieren von
geheimen gemeinsam genutzten Daten in einem drahtlosen Kommunikationssystem.
-
Stand der Technik
-
In
den USA werden gegenwärtig
drei bedeutende drahtlose Systeme mit unterschiedlichen Standards
benutzt. Das erste System ist ein TDMA-System (Time Division Multiple
Access – Vielfachzugriff im
Zeitmultiplex) und wird von IS-136 geregelt, das zweite System ist
ein von IS-95 geregeltes CDMA-System (Code Division Multiple Access – Vielfachzugriff
im Codemultiplex), und das dritte ist das AMPS-System (Advanced
Mobile Phone System). Alle drei Kommunikationssysteme benutzen den Standard
IS-41 zur Nachrichtenübermittlung
zwischen Systemen, der das Authentifizierungsverfahren bei der Aktualisierung
der geheimen gemeinsam genutzten Daten definiert.
-
1 zeigt
ein drahtloses System mit einer Authentifizierungszentrale (AC – Authentication
Center) und einem Heimatregister (HLR – Home Location Register) 10,
einem Besuchsregister (VLR – Visitor Location
Register) 15 und einem Mobilgerät 20. Während einer
AC mehr als ein HLR zugeordnet sein können, besteht gegenwärtig eine
Entsprechung eins-zu-eins. Infolgedessen zeigt die 1 das
HLR und die AC als eine einzige Instanz, obwohl sie getrennt sind.
Weiterhin wird der Einfachheit halber im Rest der Beschreibung auf
das HLR und die AC gemeinsam als AC/HRL bezug genommen. Auch sendet
das VLR Informationen zu einer einer Mehrzahl von Mobilvermittlungsstellen
(MSC – Mobile
Switching Center), die ihm zugeordnet ist, und jede MSC sendet die
Informationen zu einer einer Mehrzahl von Basisstationen (ES) zur Übertragung
zum Mobilgerät.
Der Einfachheit halber werden das VLR, die MSC und BS als ein VLR
bezeichnet und dargestellt. Insgesamt werden die von einem Netzanbieter
betriebenen AC, HLR, VLR, MSC und ES als ein Netz bezeichnet.
-
Ein
als der A-Schlüssel
bekannter Wurzelschlüssel
ist nur im AC/HLR 10 und dem Mobilgerät 20 gespeichert.
Es gibt einen als SSD (Shared Secret Data – gemeinsam genutzte geheime
Daten) bekannten sekundären
Schlüssel,
der zum VLR 15 gesendet wird, wenn das Mobilgerät roamt (d.
h. wenn das Mobilgerät
sich außerhalb
seines Heimat-Versorgungsbereichs
befindet). SSD wird unter Verwendung eines kryptographischen Algorithmus
oder einer kryptographischen Funktion aus dem A-Schlüssel und
einem Zufalls-Anfangswert RANDSSD erzeugt. Eine kryptographische
Funktion ist eine Funktion, die eine Ausgabe mit einer vorbestimmten
Anzahl von Bit auf Grundlage eines Bereichs möglicher Eingaben erzeugt. Eine
chiffrierte kryptographische Funktion (KCF – Key Cryptographic Funktion)
ist eine Art kryptographischer Funktion, die auf Grundlage eines
Schlüssels
funktioniert; beispielsweise eine kryptographische Funktion, die
an zwei oder mehr Argumenten (d. h. Eingaben) arbeitet, wobei eines
der Argumente der Schlüssel
ist. Aus der Ausgabe und Kenntnis der benutzten KCF können die
Eingaben nicht bestimmt werden, wenn der Schlüssel nicht bekannt ist.
-
Verschlüsselungs-/Entschlüsselungsalgorithmen
sind Arten von kryptographischen Funktionen. Einwegfunktionen wie
Pseudozufallsfunktionen (PRF – Pseudo
Random Functions) und Nachrichtenauthentifizierungscodes (MAC – Message
Authentication Codes) sind es ebenfalls. Der Ausdruck KCFSK (RN') stellt die KCF
der Zufallszahl RN' bei Verwendung des Sitzungsschlüssels SK
(Session Key) als Schlüssel
dar. Ein Sitzungsschlüssel
ist ein Schlüssel,
der eine Sitzung lang dauert, und eine Sitzung ist eine Zeitperiode
wie beispielsweise die Länge
eines Gesprächs.
-
Im
Protokoll IS-41 ist die verwendete kryptographische Funktion CAVE
(Cellular Authentication and Voice Encryption – Zellularauthentifizierung
und Sprachverschlüsselung).
Bei Roamen des Mobilgeräts 20 sendet
das VLR in diesem Gebiet eine Authentifizierungsanforderung zum
AC/HLR 10, das durch Senden der SSD dieses Mobilgeräts antwortet. Sobald
das VLR 15 die SSD hat, kann es das Mobilgerät 20 unabhängig von
dem AC/HLR 10 authentifizieren. Die SSD werden aus Sicherheitsgründen periodisch
aktualisiert.
-
2 zeigt
die Kommunikation zwischen dem AC/HLR 10, dem VLR 15 und
dem Mobilgerät 20 zur
Aktualisierung der SSD. Wie oben besprochen erzeugt das AC/HLR 10 einen
Zufallszahl-Anfangswert RANDSSD und erzeugt unter Verwendung des CAVE-Algorithmus
eine neue SSD unter Verwendung des Zufallszahl-Anfangswerts RANDSSD.
Die SSD sind 128 Bit lang. Die ersten 64 Bit dienen als als SSDA
bezeichnete erste SSD und die zweiten 64 Bit dienen als als SSDB
bezeichnete zweite SSD. Wie in 2 gezeigt
stellt das AC/HLR 10 die neue SSD und die RANDSSD für das VLR 15 bereit.
Das VLR 15 sendet dann die RANDSSD zum Mobilgerät 20 zusammen
mit einer Sitzungsanforderung SR (Session Request). Mit der Sitzungsanforderung
SR wird das Mobilgerät 20 angewiesen,
das unten ausführlich
beschriebene SSD-Aktualisierungsprotokoll durchzuführen. Als
Antwort auf den Empfang der RANDSSD und der Sitzungsanforderung
SR benutzt das Mobilgerät 20 den
CAVE-Algorithmus zum Erzeugen der neuen SSD unter Verwendung der RANDSSD
und erzeugt eine Zufallszahl RM mit einem
Zufallszahlengenerator. Das Mobilgerät 20 sendet die Zufallszahl
RM zum VLR 15. Vom Mobilgerät 20 wird
auch der CAVE-Algorithmus an der Zufallszahl RM unter
Verwendung der neuen SSDA als Schlüssel durchgeführt. Diese
Berechnung ist durch CAVESSDA(RM)
dargestellt.
-
In
einem des VLR 15 und des AC/HLR 10 wird auch CAVESSDA(RN) berechnet
und das Ergebnis zum Mobilgerät 20 gesendet.
Vom Mobilgerät 20 wird das
Netz authentifiziert, wenn das von ihm berechnete CAVESSDA(RM) dem von Netz empfangenen entspricht.
-
Als
nächstes,
und gewöhnlich
nach Empfang eines Bestätigung
anzeigenden Signals vom Mobilgerät 20,
wird vom VLR 15 eine Zufallszahl RN erzeugt
und die Zufallszahl RN zum Mobilgerät 20 gesendet.
In der Zwischenzeit berechnet das VLR CAVESSDA(RN). Bei Empfang von RN wird
vom Mobilgerät 20 CAVESSDA(RN) berechnet
und das Ergebnis zum VLR 15 gesendet. Vom VLR 15 wird
das Mobilgerät authentifiziert,
wenn das von ihm berechnete CAVESSDA(RN) dem vom Mobilgerät 20 empfangenen entspricht.
Die Zufallszahlen RM und RN werden
als Abfragen bezeichnet, während
CAVESSDA(RM) und CAVESSDA(RN) als Abfrageantworten
bezeichnet werden. Sobald die Authentifizierung abgeschlossen ist, werden
vom Mobilgerät 20 und
dem Netz Sitzungsschlüssel
unter Verwendung von SSDB erzeugt.
-
In
diesem Protokoll werden die SSD selbst zur Beantwortung der Abfragen
vom Mobilgerät 20 und
dem Netz benutzt. Dadurch wird ein Eingriff erlaubt, wenn ein altes
Paar RANDSSD und SSD aufgedeckt werden. Kenntnis dieses Paars ist
genug zum Abfragen des Mobilgeräts 20 und
Beantworten seiner Abfrage. So kann ein Angreifer eine SSD-Aktualisierung
an das Mobilgerät 20 ausgeben
und die Abfrage vom Mobilgerät
beantworten. Sobald die aufgedeckte SSD angenommen ist, und trotz
eines sicheren Sitzungsschlüsselvereinbarungsprotokolls (d.
h. eines Protokolls über
Kommunikation zwischen einem Mobilgerät mit einem Netz zur Herstellung
eines Sitzungsschlüssels)
kann der Angreifer das Netz nachahmen und eine Verbindung mit dem
Mobilgerät 20 unter
betrügerischen
Identitäten
herstellen. Beispielsweise kann der Imitator seine eigene Anrufer-Kennung oder seinen
eigenen Namen einfügen und
vorgeben, jemand anders zu sein. Der Angreifer kann vorgeben, eine
Kreditkartengesellschaft zu sein und Anfragen, Kartennummer und
Pin-Nummer zu bestätigen.
Oder er kann sogar den Namen der Fernsprechgesellschaft im Anrufernamenfeld
benutzen und anfragen, Rufkartennummern, usw. zu bestätigen.
-
Ein
herkömmliches
Verfahren und Vorrichtung für
automatisierte A-Schlüssel-Aktualisierungen in
einem Mobiltelefonsystem ist in der internationalen Veröffentlichung
Nr.
WO 98/31161 beschrieben.
Die internationale Veröffentlichung
Nr.
WO 98/31161 beschreibt
ein Verfahren und eine Vorrichtung zum Erlauben, daß eine Authentifizierungszentrale
(AC – Authentication
Center) konfiguriert, ob eine automatisierte A-Schlüssel-Aktualisierung
für einen
Handapparat durchzuführen
ist, wenn während
einer durch den Handapparat versuchten Operation ein Authentifizierungsversagen
eintritt. Diese Konfiguration kann durchgeführt werden. Die AC besitzt
Zugang zu einer Teilnehmerdatenbank, die unter anderem einen „alternativen
A-Schlüssel" für mindestens
einige der Teilnehmer beschreibt. Auch besitzt die AC Zugang zur
Datenbank, die Konfigurationsinformationen über verschiedene MSC im System
enthält.
-
Kurze Beschreibung der Erfindung
-
In
dem Verfahren zum Aktualisieren geheimer gemeinsam genutzter Daten
(SSD – Secret Shared
Data) in einem drahtlosen Kommunikationssystem gemäß der vorliegenden
Erfindung wird von einem ersten Teilnehmer eine Zufallszahl als
erste Abfrage ausgegeben und ein zweiter Teilnehmer antwortet mit
einer ersten Abfrageantwort. Der erste Teilnehmer ist entweder das
Netz oder ein Mobilgerät. Der
zweite Teilnehmer ist das Mobilgerät, wenn der erste Teilnehmer
das Netz ist, und der zweite Teilnehmer ist das Netz, wenn der erste
Teilnehmer das Mobilgerät
ist. Vom zweiten Teilnehmer wird eine zweite Zufallszahl erzeugt.
Dann wird die erste Abfrageantwort durch Durchführen einer chiffrierten kryptographischen
Funktion (KCF – Key
Cryptographic Function) an der ersten Abfrage und der zweiten Zufallszahl
unter Verwendung eines sekundären
Schlüssels erzeugt.
Der sekundäre
Schlüssel
wird sowohl vom ersten als auch dem zweiten Teilnehmer aus einem Wurzelschlüssel abgeleitet
und ist nicht die geheimen gemeinsam genutzten Daten. Vom zweiten
Teilnehmer wird die zweite Zufallszahl bei Empfang der ersten Abfrage erzeugt
und die zweite Zufallszahl als zweite Abfrage benutzt. Vom ersten
Teilnehmer wird der zweite Teilnehmer auf Grundlage der ersten Abfrage
und des Empfangs der zweiten Abfrage und der ersten Abfrageantwort überprüft. Nach Überprüfung wird
vom ersten Teilnehmer die KCF an der zweiten Abfrage unter Verwendung
des sekundären
Schlüssels
zum Erzeugen einer zweiten Abfrageantwort durchgeführt. Auf
Grundlage der zweiten Abfrage und des Empfangs der zweiten Abfrageantwort
wird vom zweiten Teilnehmer der erste Teilnehmer überprüft. Unter
Verwendung der ersten und zweiten Abfragen werden die geheimen gemeinsam
genutzten Daten von beiden Teilnehmern erzeugt. Auf diese Weise
wird bei der Beantwortung von Abfragen ein unterschiedlicher Schlüssel, der
sekundäre
Schlüssel,
von dem geheimen gemeinsam genutzten Datenschlüssel benutzt.
-
Kurze Beschreibung der Zeichnungen
-
Die
vorliegende Erfindung wird besser verständlich aus der unten angeführten ausführlichen Beschreibung
und den beiliegenden Zeichnungen, die nur beispielhafterweise gegeben
sind, wobei gleiche Bezugsziffern entsprechende Teile in den verschiedenen
Zeichnungen bezeichnen und wobei:
-
1 ein
Blockschaltbild der Grundbestandteile eines drahtlosen Systems ist
-
2 die
Kommunikation zwischen der Authentifizierungszentrale/dem Heimatregister,
Besuchsregister und dem Mobilgerät
zur Aktualisierung der geheimen gemeinsam genutzten Daten gemäß dem Standard
IS-41 darstellt;
-
3 die
Kommunikation zwischen der Authentifizierungszentrale/dem Heimatregister,
dem Besuchsregister und dem Mobilgerät zur Aktualisierung der geheimen
gemeinsam genutzten Daten gemäß einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
4 die
Kommunikation zwischen der Authentifizierungszentrale/dem Heimatregister,
dem Besuchsregister und dem Mobilgerät zur Aktualisierung der geheimen
gemeinsam genutzten Daten gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung darstellt; und
-
5 die
Kommunikation zwischen der Authentifizierungszentrale/dem Heimatregister,
dem Besuchsregister und dem Mobilgerät zur Aktualisierung der geheimen
gemeinsam genutzten Daten gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung darstellt.
-
Ausführliche Beschreibung der bevorzugten
Ausführungsformen
-
Das
Verfahren oder Protokoll zum Aktualisieren der geheimen gemeinsam
genutzten Daten gemäß der vorliegenden
Erfindung wird durch das gleiche, in 1 gezeigte
drahtlose System eingesetzt. In dem Verfahren gemäß der vorliegenden
Erfindung erzeugen jedoch das AC/HLR 10 und das Mobilgerät 20 auch
einen weiteren als M-Schlüssel
bezeichneten Schlüssel
auf Grundlage des Wurzel- oder A-Schlüssels. Beispielsweise wird
der M-Schlüssel durch
Anwenden einer durch den A-Schlüssel indexierten
Pseudozufallsfunktion (PRF – Pseudo
Random Function) an einen bekannten Wert erzeugt. Eine praktische
PRF ist die wohlbekannte DES-CBC (Data
Encryption Standard-Cipher Block Chaining – Datenverschlüsselungsstandard-Schlüsselblockverkettung)
vom NIST (National Institute of Standards). In einer bevorzugten
Ausführungsform
erzeugt durch einen 64-Bit-A-Schlüssel indexierte
DES-CBC an einem, sowohl dem Netz als auch dem Mobilgerät 20 bekannten
Wert einen 64-Bit-M-Schlüssel.
-
3 zeigt
die Kommunikation zwischen AC/HLR 10, dem VLR 15 und
dem Mobilgerät 20 zum Aktualisieren
der geheimen gemeinsam genutzten Daten gemäß einer Ausführungsform
der vorliegenden Erfindung. Nach der Darstellung handelt das VLR 15 nur
als Wegführung
zur Kommunikation zwischen dem AC/HLR 10 und dem Mobilgerät 20.
Insbesondere wird das Authentifizierungsprotokoll gemäß der vorliegenden
Erfindung zwischen der AC und dem Mobilgerät 20 durchgeführt.
-
Zum
Aktualisieren der SSD wird vom AC/HLR 10 eine Zufallszahl
RN unter Verwendung eines Zufallszahlengenerators
erzeugt und die Zufallszahl RN zusammen
mit einer Sitzungsanforderung SR zum Mobilgerät 20 gesendet. Mit
der Sitzungsanforderung SR wird das Mobilgerät 20 angewiesen, das
Protokoll SSD aktualisieren durchzuführen. In Beantwortung der Sitzungsanforderung
SR wird vom Mobilgerät 20 eine
Zufallszahl RN unter Verwendung eines Zufallszahlengenerators
erzeugt und ein chiffrierter kryptographischer Algorithmus bzw.
eine chiffrierte kryptographische Funktion (KCF) an den Zufallszahlen
RN und RM, Typdaten
und ID-Daten 0 unter Verwendung des M-Schlüssels
als Schlüssel durchgeführt. Diese
Berechnung wird als KCFM-Schlüssel (Typ, 0, RM, RN) dargestellt.
Die KCF ist vorzugsweise ein chiffrierter Nachrichtenauthentifizierungscode
wie beispielsweise HMAC, könnte
aber auch eine PRF wie beispielsweise DES-CBC sein. Die Typdaten stellen den durchgeführten Protokolltyp dar;
nämlich
das SSD-Aktualisierungsprotokoll. Sonstige
Protokolltypen umfassen Verbindungsursprung, Verbindungsabschluß und Mobilgeräteregistrierung.
Die ID-Daten 0 zeigen an, daß die
Kommunikation vom Mobilgerät
abging. ID-Daten 1 zeigen demgegenüber an, daß die Kommunikation aus dem Netz
kommt.
-
Da
das SSD-Aktualisierungsprotokoll vom AC/HLR 10 mit der
Sitzungsanforderung SR eingeleitet wurde, kennt das AC/HLR 10 die
Typdaten und da Kommunikation von Mobilgeräten die gleichen ID-Daten von
0 enthalten ist dieser Wert dem AC/HLR 10 ebenfalls bekannt.
Dementsprechend wird bei Empfang von RM vom
AC/HLR 10 KCFM-Schlüssel (Typ, 0, RM, RN) berechnet.
Vom AC/HLR 10 wird dann überprüft, ob die berechnete Version
vom KCFM-Schlüssel (Typ,
0, RM, RN) der vom
Mobilgerät 20 empfangenen
Version entspricht. Wenn eine Entsprechung festgestellt wird, wird
das Mobilgerät 20 vom
AC/HLR 10 authentifiziert. Als nächstes wird vom AC/HLR 10 KCFM-Schlüssel (Typ,
1, RM) berechnet, wobei 1 die ID-Daten des
Netzes sind, und das berechnete Ergebnis zum Mobilgerät 20 gesendet.
-
Das
Mobilgerät 20 kennt
die Typdaten aus der Sitzungsanforderung SR (Session Request) und weiß, daß Kommunikation
vom Netz ID-Daten 1 enthält.
Dementsprechend wird vom Mobilgerät 20 KCFM-Schlüssel (Typ,
1, RM) berechnet. Vom Mobilgerät 20 wird
dann überprüft, ob die
berechnete Version von KCFM-Schlüssel (Typ,
1, RM) der vom AC/HLR 10 empfangenen
Version entspricht. Wenn eine Entsprechung festgestellt wird, wird
das Netz vom Mobilgerät 20 authentifiziert.
-
Nach
Authentifizieren des Netzes weisen das Mobilgerät 20 und das AC/HLR 10 beide
Zufallszahlen RN und RM auf.
Sowohl das Mobilgerät 20 als auch
AC/HLR 10 erzeugen die SSD als PRFA-Schlüssel (RM, RN); wobei die
PRF vorzugsweise DES-CBC ist.
-
Als
Alternative wird, anstatt eine einmalige Zufallszahl RN zu
erzeugen und mit der Sitzungsanforderung SR (Session Request) zu
jedem Mobilgerät
zu senden, vom AC/HLR 10 eine globale Zufallszahl RN erzeugt; nämlich die gleiche Zufallszahl
für alle
Mobilgeräte.
Diese alternative Ausführungsform gilt
jedoch wenn die erwartete Antwortzeit für das Mobilgerät, so wie
sie vom Netz überwacht
wird, die gleiche bleibt wie wenn eine einmalige Zufallszahl RN gesendet wird. Wenn bei Verwendung der
globalen Zufallszahl RN längere Antwortzeiten
gewünscht
sind, dann sollte vorzugsweise die unten bezüglich der 5 besprochene
Ausführungsform
benutzt werden.
-
Das
Protokoll IS41 ermöglicht
SSD-Aktualisierung über
gemeinsame Benutzung mit dem VLR 15. Vom AC/HLR 10 werden
die SSD zum VLR 15 gesendet und vom VLR 15 wird
das Mobilgerät 20 abgefragt
und die Abfragen vom Mobilgerät 20 beantwortet.
In dem Protokoll gemäß der vorliegenden
Erfindung werden die SSD nicht zur Beantwortung von Abfragen benutzt
und so ist das bezüglich
IS41 besprochene Netz-Imitationsproblem nicht möglich. Selbst wenn der M-Schlüssel einem
Angreifer aufgedeckt wird, gibt es weiterhin keine direkte Weise
zum Erhalten des A-Schlüssels
daraus, da zum Erzeugen des M-Schlüssels eine Einwegfunktion benutzt
wurde. Selbst wenn der Angreifer eine alte RM,
RN und SSD kennt, gibt es keine Weise der
Benutzung dieser Informationen und der M-Schlüssel-Informationen, um entweder
das Netz oder das Mobilgerät 20 zur Annahme
der enthüllten
SSD zu bringen, da eine der Seiten in der Kommunikation ihre eigene
Abfrage benutzen wird, die höchstwahrscheinlich
anders als die alten sein wird. Weiterhin werden die neuen SSD durch
die PRF der neuen Abfrage unter Verwendung des A-Schlüssels erzeugt
und der Angreifer kennt den A-Schlüssel nicht.
-
Das
oben bezüglich
der 3 besprochene SSD-Aktualisierungsprotokoll erlaubt jedoch
einem Kryptoanalytiker, eine gewählte
Attacke im Klartext gegen den M-Schlüssel zu unternehmen. Ein Kryptoanalytiker
kann nämlich
das Netz imitieren und das Mobilgerät 20 durch Senden
verschiedener Abfragen RN abfragen. Durch
Sammeln der Antworten könnte der
Kryptoanalytiker in der Lage sein, den M-Schlüssel wiederzugewinnen. 4 zeigt
die Kommunikation zwischen dem AC/HLR 10, dem VLR 15 und
dem Mobilgerät 20 zum
Aktualisieren der geheimen gemeinsam genutzten Daten gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung, die das oben bezüglich der 3 angemerkte
Problem überwindet.
Nach der Darstellung wirkt das VLR 15 in dieser Ausführungsform
auch als Wegeführung
zur Kommunikation zwischen dem AC/HLR 10 und dem Mobilgerät 20.
Insbesondere wird das Authentifizierungsprotokoll gemäß der vorliegenden
Erfindung zwischen der AC und dem Mobilgerät 20 durchgeführt.
-
Zum
Aktualisieren der SSD erzeugt das AC/HLR 10 eine Sitzungsanforderung
SR zum Einleiten der SSD-Aktualisierung.
Als Antwort erzeugt das Mobilgerät 20 eine
Zufallszahl RM und sendet die Zufallszahl
RM zum AC/HLR 10. Vom AC/HLR 10 wird die
Zufallszahl RN erzeugt und die KCFM-Schlüssel (Typ, 1,
RM, RN) berechnet,
wobei N die Netz-ID-Daten sind. Vom AC/HLR 10 werden sowohl
die Zufallszahl RN als auch die KCFM-Schlüssel (Typ,
1, RM, RN) zum Mobilgerät 20 gesendet.
-
Bei
Empfang der Zufallszahl RN wird vom Mobilgerät 20 KCFM-Schlüssel (Typ,
1, RM, RN) berechnet.
Vom Mobilgerät 20 wird
dann überprüft, ob die berechnete
Version von KCFM-Schlüssel (Typ, 1, RM, RN) der vom AC/HLR 10 empfangenen
Version entspricht. Wenn eine Entsprechung festgestellt wird, wird
das Netz vom Mobilgerät 20 authentifiziert.
-
Als
nächstes
wird vom Mobilgerät 20 KCFM-Schlüssel (Typ,
0, RN) berechnet, wobei 0 die ID-Daten des
Mobilgeräts 20 sind,
und das berechnete Ergebnis zum AC/HLR 10 gesendet. Vom
AC/HLR 10 wird mittlerweile auch KCFM-Schlüssel (Typ,
0, RN) berechnet. Vom AC/HLR 10 wird
dann überprüft, ob die berechnete
Version von KCFM-Schlüssel (Typ, 0, RN) der vom Mobilgerät 20 empfangenen Version
entspricht. Wenn eine Entsprechung festgestellt wird, wird das Mobilgerät 20 vom
AC/HLR 10 authentifiziert.
-
Nach
Authentifizieren des Netzes besitzen sowohl das Mobilgerät 20 als
auch das AC/HLR 10 die Zufallszahlen RN und
RM. Sowohl vom Mobilgerät 20 als auch dem
AC/HLR 10 werden die SSD als PRFA-Schlüssel (RM, RN) erzeugt, wobei
die PRF vorzugsweise DES-CBC ist.
-
In
der Ausführungsform
der 4 kann ein Angreifer Mobilgeräte nicht mit einem gewählten Text abfragen
und eine Antwort erwarten. Der Angreifer kann nur bekannte Texte
aus vorhergehenden Sitzungen sammeln, da der Einleiter der Aktualisierung, das
Netz, die Erstabfrage nicht im Klartext sendet.
-
5 zeigt
die Kommunikation zwischen dem AC/HLR 10, dem VLR 15 und
dem Mobilgerät 20 zum
Aktualisieren der geheimen gemeinsam genutzten Daten gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung. Nach der Darstellung wirkt das VLR 15 als
Wegführung
zur Kommunikation zwischen dem AC/HLR 10 und dem Mobilgerät 20.
Insbesondere wird das Authentifizierungsprotokoll gemäß der vorliegenden
Erfindung zwischen der AC und dem Mobilgerät 20 durchgeführt.
-
Zum
Aktualisieren der SSD wird vom AC/HLR 10 eine globale Zufallszahl
RN zusammen mit einer Sitzungsanforderung
SR erzeugt und zum Mobilgerät 20 ausgegeben.
Mit der Sitzungsanforderung SR wird das Mobilgerät 20 angewiesen, das Protokoll
SSD aktualisieren durchzuführen.
In der Ausführungsform
der 3 war die vom Netz anfänglich zum Mobilgerät 20 gesendete
Zufallszahl RN einmalig für das Mobilgerät 20.
Anderen Mobilgeräten
werden bei der Aktualisierung ihrer SSD unterschiedliche Zufallszahlen
erzeugt und zugesendet. In der Ausführungsform der 5 wird
jedoch von der AC/HLR 20 die gleiche Zufallszahl RN zu allen Mobilgerät 20 gesendet. Wie
oben besprochen wird die Ausführungsform
der 5 gegenüber
der Verwendung einer globalen Zufallszahl RN in
der Ausführungsform
der
-
3 bevorzugt,
wenn Bereitstellung einer längeren
Antwortdauer vom Mobilgerät 20 gewünscht wird.
-
Nach
der Darstellung in der 5 wird als Antwort auf die Sitzungsanforderung
SR und die vom AC/HLR 10 gesendete Zufallszahl RN vom Mobilgerät 20 eine Zufallszahl
RM erzeugt, ein Zählwert CT erzeugt und KCFM-Schlüssel (Typ,
0, RM, RN, CT) berechnet,
wobei 0 die ID-Daten für
das Mobilgerät 20 sind. Das
Mobilgerät 20 enthält einen
Zähler,
der den Zählwert
CT erzeugt. Vom Mobilgerät 20 wird
der Zählwert
vor Erzeugung der Abfrageantwort (d. h. KCFM-Schlüssel (Typ,
0, RM, RN, CT))
auf jede SSD-Aktualisierungsanforderung erhöht. Vom Mobilgerät 20 wird
der Zählwert
CT, die Zufallszahl RM und KCFM-Schlüssel (Typ,
0, RM, RN, CT) zum
Netz gesendet.
-
Bei
Empfang der Zufallszahl RM und des Zählwerts
CT wird vom AC/HLR 10 der Zählwert CT gespeichert und bestimmt,
ob der empfangene Zählwert
CT den vorher gespeicherten Zählwert überschreitet.
Wenn der empfangene Zählwert
CT den vorher gespeicherten Zählwert überschreitet,
dann schreitet das AC/HLR 10 mit der Überprüfung des Mobilgeräts 20 fort.
Es wird nämlich
auf Grundlage der empfangenen Zufallszahl RM und
des Zählwerts CT
vom AC/HLR 10 KCFM-Schlüssel (Typ,
0, RM, RN, CT) berechnet
und bestimmt, ob diese berechnete Version der vom Mobilgerät 20 empfangenen
Version entspricht. Wenn eine Entsprechung festgestellt wird, wird
das Mobilgerät 20 vom
AC/HLR 10 authentifiziert. Wenn der empfangene Zählwert CT
den vorher gespeicherten Zählwert
nicht überschreitet,
wird das Mobilgerät 20 nicht
bestätigt.
-
Nach
Bestätigung
des Mobilgeräts 20 wird vom
AC/HLR 10 KCFM-Schlüssel (Typ, 1, RM) berechnet, wobei 1 die ID-Daten für das Netz
sind, und das berechnete Ergebnis zum Mobilgerät 20 gesendet. Vom Mobilgerät 20 wird
inzwischen auch KCFM-Schlüssel (Typ, 1, RM) berechnet. Vom Mobilgerät 20 wird
dann überprüft, ob die
berechnete Version von KCFM-Schlüssel (Typ,
1, RM) der vom AC/HLR 10 empfangenen
Version entspricht. Wenn eine Entsprechung festgestellt wird, wird
das Netz vom Mobilgerät 20 authentifiziert.
-
Nach
Authentifizieren des Netzes besitzen sowohl das Mobilgerät 20 als
auch das AC/HLR 10 Zufallszahlen RN und
RM und den Zählwert CT. Von dem Mobilgerät 20 sowie
AC/HLR 10 werden die SSD als PRFA-Schlüssel (RM, RN, CT) erzeugt,
wobei die PRF vorzugsweise DES-CBC ist.
-
Da
wie oben bezüglich
der 3 besprochen ein Angreifer bei Unternehmen des
Angriffs vorhergehende Abfragen und Abfrageantworten benutzt, wird
ein solcher Angriff fehlschlagen, wenn er auf das Protokoll der 5 unternommen
wird. Der Grund dafür
ist, daß der
Angreifer eine auf einem alten Zählwert
beruhende Abfrageantwort benutzen wird. Infolgedessen wird der Angreifer
vom Netz nicht bestätigt
und der Angreifer kann die SSD nicht erzeugen.
-
Nach
dieser Beschreibung der Erfindung wird es klar sein, daß das gleiche
auf viele Weisen abgeändert
werden kann. Alle derartigen Abänderungen
sollen dem Rahmen der nachfolgenden Ansprüche eingeschlossen sein.