EP1754358A1 - Method for authenticating a communications unit while using a lasting programmed secret code word - Google Patents

Method for authenticating a communications unit while using a lasting programmed secret code word

Info

Publication number
EP1754358A1
EP1754358A1 EP05717100A EP05717100A EP1754358A1 EP 1754358 A1 EP1754358 A1 EP 1754358A1 EP 05717100 A EP05717100 A EP 05717100A EP 05717100 A EP05717100 A EP 05717100A EP 1754358 A1 EP1754358 A1 EP 1754358A1
Authority
EP
European Patent Office
Prior art keywords
communication unit
code word
message
cwd
communications unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP05717100A
Other languages
German (de)
French (fr)
Inventor
Hermann Granzer
Ralf Holynski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Siemens AG
Nokia Siemens Networks GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Nokia Siemens Networks GmbH and Co KG filed Critical Siemens AG
Publication of EP1754358A1 publication Critical patent/EP1754358A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Definitions

  • the invention relates to a method for authenticating a communication unit.
  • a communication unit is a terminal device that is connected to a communication
  • a communication unit is also a user interface, via which the user can exchange messages of a certain type over distances by using services of the communication network.
  • the communications network 15 enables the user to access the services that are provided by the operator of the communications network and that are referred to as the ability of the communications network to transmit certain types of information, such as voice, images or data.
  • a communication network such as: voice or video transmission, packet-oriented or connection-
  • Such communication units that can be connected to any, locally different access points can be, for example, mobile telephones, portable computers - so-called laptops, mobile devices without a keyboard - so-called PDAs or mobile devices without full desktop functionality, but with a defined range of functions - all of these types of communication units for access to a communication network must be specially equipped with a network card or a cell phone module.
  • SIM cards are modules that are inserted into a communication unit and are used to authenticate the user of the communication unit by entering a PIN code.
  • Communication network is connected and whether this communication unit is authorized to use certain services.
  • the invention is therefore based on the object of specifying a method with which a communication unit can be reliably identified.
  • this object is achieved with a method for authenticating a communication unit, in which a secret code word is programmed into a permanent memory in order to reliably check the communication unit.
  • the secret code word is used to generate a message which is transmitted to the service provider. This message can be used to check whether the communication unit authenticated with it is authorized to purchase the service. This ensures that the services of a communication network are only purchased with appropriate, suitable communication units that are approved by the communication network operator.
  • the code word can advantageously be written in during the manufacture, delivery or configuration of the communication unit.
  • the code word is device-specific, manufacturer-specific and is only made known to the manufacturer of the communication unit and the service provider. This reduces the risk of spying and manipulation by unauthorized third parties.
  • the code word known only to the manufacturer and the service provider it can also be checked whether the communication unit is allowed to perform the respective service.
  • An embodiment of the method is advantageous in that a variable component is used in addition to the code word when generating the message. This ensures that a message is generated for each authentication process of the communication unit that differs from the previously differentiated messages. If, for example, the time is used as a variable component, the period of validity of the message can also be restricted.
  • Fig.l the schematic sequence of authentication of a communication unit in an exemplary communication network
  • the exemplary communication network KN comprises access points ZPx, via which a communication unit KE can be connected to the communication network KN by logging on.
  • Various services DNx are also provided by the communication network KN, which are understood to mean the ability of the communication network KN to transmit information of a certain type. These DNx services can be, for example: voice transmission, access to the Internet or company-internal data networks and packet-oriented data transmission, downloading of music and video data for a fee, which service providers make available on data storage devices, etc.
  • a code word CWD is programmed into the permanent memory SP of the communication unit KE when the communication unit KE is manufactured. This code word CWD is preferably device-specific and known only to the manufacturer and the service provider, in order to reduce the risk of spying and manipulation by unauthorized third parties.
  • a service DN1 of a communication network KN is now to be obtained, in a first step 1 the user registers with the communication unit KE at an access point ZPl at the communication network KN. With this registration, the communication unit KE is also identified. For this purpose, the communication unit KE creates a message NA by means of scattered storage according to the so-called MD5 hashing method MD5, which is used exclusively for the authentication of the communication unit KE and is also sent in step 1.
  • MD5 hashing method MD5 which is used exclusively for the authentication of the communication unit KE and is also sent in step 1.
  • the user ID BK which is used to log the user on to the access point ZPl of the communication network KN, a version CWDh of the code word CWD generated by the MD5 hashing method MD5 and a random value ZW as for FIG Example uses the time to prevent the message NA from being repeated and to limit the period of validity of the message NA.
  • the code word CWDh generated according to the MD5 hashing method MD5 and the random value ZW are ideally defined as so-called hexadecimal strings. These are alphanumeric strings that only consist of the symbols 0 to 9 and A to F.
  • the user ID BK which is based on the MD5 hashing method
  • MD5 generated code word CWDh and the random value ZW are added up and the result is the MD5 hashing again.
  • MD5 procedure applied This results in an MD5 hash value HW, which is again stored as a hexadecimal string and forms the middle part of the message NA transmitted from the communication unit KE to the access point ZPl in step 1, which in its final version consists of the user ID BK, the MD5 hash value HW and the random value ZW is composed.
  • This message NA is sent from the communication unit E in step 1 to the access point ZPl of the communication network KN.
  • the access point ZPl reads out the information transmitted in the message NA and interprets it.
  • the first part of the message is identified as user identifier BK.
  • the last part of the message is interpreted as a random value ZW.
  • the transmitted user ID BK and the transmitted random value ZW are used by the access point ZPl in order to use the code word CWD of the communication unit KE, which is also stored in the communication network KN for the access points ZPx, for example in a central data memory DS, using the MD5 hashing method MD5 to compute an MD5 hash value.
  • the code word CWD is fetched from the central data memory DS by the access point ZPl in a step 2.
  • the MD5 hash value determined by the access point ZPl is compared with the MD5 hash value HW sent by the communication unit KE. If the value calculated by the access point ZPl matches the MD5 hash value HW sent by the communication unit KF and the random value ZW that is also sent is within a defined tolerance limit, the communication unit KE is authorized to obtain the service DN1. In a step 3, the service DN1 is triggered by the access point 7P1, so that in a step 4 a corresponding response message A is sent to the communication unit KE.
  • step 4 a response message A is sent to the communication unit KE that use with this communication unit KE is not permitted since the communication unit KE is classified as untrustworthy.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a method for authenticating a communications unit (KE) in which a secret code word (CWD) is programmed in a permanent memory (SP) in order to reliably verify the communications unit (KE), and during a logging-in process of the communications unit (KE) to a service provider in a communications network (KN), the secret code word (CWD) is used for generating a message (NA) that is sent (1) to the service provider. This message (NA) is used for verifying whether the communications unit (KE) authenticated therewith is authorized to obtain a service (DN1). The inventive method is advantageous in that a communications unit (KE), which is connected to a communications network (KN) via an access point (ZP1), is clearly identified. As a result, it is ensured that services (DNx) of a communications network (KN) are obtained only with corresponding appropriate communications units (KE) that are authorized by the communications network operator.

Description

Beschreibung description
VERFAHREN ZUR AUTHENTIFIZIERUNG EINER KOMMUNIKATIONSEINHEIT UNTER VERWENDUNG EINES DAUERHAFT EINPROGRAMMIERTEN GEHEIMEN CODEWORTSMETHOD FOR AUTHENTICATING A COMMUNICATION UNIT USING A PERMANENTLY PROGRAMMED SECRET CODE WORD
5 Die Erfindung betrifft ein Verfahren zur Authentifizierung einer Kommunikationseinheit.5 The invention relates to a method for authenticating a communication unit.
Eine Koπununikationseinheit ist definitionsgemälϊ eine Endeinrichtung, die über einen Zugangspunkt an ein Kommunikations-By definition, a communication unit is a terminal device that is connected to a communication
10 netz angeschlossen wird. Eine Kommunikationseinheit ist andererseits auch eine Benutzerschnittstelle, über welche der Benutzer Nachrichten bestimmter Art über Entfernungen durch Nutzung von Diensten des Kommunikationsnetzes austauschen kann. Die Kommunikationsein-10 network is connected. On the other hand, a communication unit is also a user interface, via which the user can exchange messages of a certain type over distances by using services of the communication network. The communication
15 heit ermöglicht dem Benutzer dabei den Zugang zu den Diensten, die vom Betreiber des Kommunikations-netzes zur Verfügung gestellt werden und die als die Fähigkeit des Kommunikationsnetzes, Informationen bestimmter Art wie zum Beispiel Sprache, Bilder oder Daten zu übertragen, bezeichnet werden.15 enables the user to access the services that are provided by the operator of the communications network and that are referred to as the ability of the communications network to transmit certain types of information, such as voice, images or data.
20 Je nach der Art der Information gibt es unterschiedliche Dienste, die von einem Kommunikationsnetz zur Verfügung gestellt werden können - wie zum Beispiel: Sprach— oder Videoübertragung, paketorientierte oder auch verbindungs—20 Depending on the type of information, there are different services that can be provided by a communication network - such as: voice or video transmission, packet-oriented or connection-
25 orientierte Übertragung von Daten wie beim Zugriff auf das Internet und der Nutzung seiner Dienste WWW, FTP oder E-Mail, dem Zugriff auf firmeninterne Netze oder dem Herunterladen von Musik- und Videodateien gegen Entgelt, die von Dienstanbietern auf Datenspeichern zur Verfügung gestellt werden. 30 Bei klassischen Kommunikationsnetzen wie zum Beispiel dem klassischen Telefonfestnetz werden die Kommunikations- einheiten fest verdrahtet an einen Zugangspunkt zum Kommunikationsnetz angeschlossen. Anders ist dies bei den modernen 35 Kommunikationsnetzen wie Mobilf nknetzen oder paket— und ver- bindungsorientierten Datennetzen. Bei diesen Kommunikationsnetzen besteht die Möglichkeit, eine Kommunikationseinheit an beliebigen, örtlich verschiedenen Zugangspunkten an das Kommunikationsnetz anzuschließen.25 oriented transmission of data such as access to the Internet and the use of its services WWW, FTP or e-mail, access to company networks or downloading music and video files for a fee, which are made available by service providers on data storage devices. 30 In classic communication networks such as the classic fixed telephone network, the communication units are hard-wired to an access point to the communication network. This is different with the modern 35 communication networks such as mobile radio networks or packet and connection-oriented data networks. With these communication networks it is possible to connect a communication unit connect any, locally different access points to the communication network.
Solche an beliebigen, örtlich verschiedenen Zugangspunkten anschließbare Kommunikationseinheiten können beispielsweise Mobiltelefone, tragbare Rechner - sogenannte Laptops, mobile Geräte ohne Tastatur - sogenannte PDAs oder mobile Geräte ohne volle Desktop-Funktionalität, aber mit definiertem Funktionsumfang - sogenannte Organizer sein, wobei alle diese Arten von Kommunikationseinheiten für den Zugang zu einem Kommunikationsnetz speziell mit einer Netzwerkkarte oder einem Mobilfunk-Module ausgestattet sein müssen.Such communication units that can be connected to any, locally different access points can be, for example, mobile telephones, portable computers - so-called laptops, mobile devices without a keyboard - so-called PDAs or mobile devices without full desktop functionality, but with a defined range of functions - all of these types of communication units for access to a communication network must be specially equipped with a network card or a cell phone module.
Bei diesen modernen Kommunikationsnetzen, die den Zugang über beliebige Zugangspunkte erlauben, spielt die eindeutige und zuverlässige Identifikation eines Benutzers eine große Rolle. Dies insbesondere deswegen, weil nur dem rechtmäßigen Benutzer Zugang zu bestimmten Daten oder Diensten gewährt werden darf. Ein Beispiel dafür sind Firmennetzwerke, zu denen nur die Angehörigen des jeweiligen Unternehmens Zugang haben dürfen.With these modern communication networks, which allow access via any access point, the clear and reliable identification of a user plays a major role. This is particularly because only the rightful user may be granted access to certain data or services. An example of this are company networks to which only the relatives of the respective company may have access.
Ein weiteres Beispiel sind Mobilfunknetze, bei denen sich nur bestimmte vom Betreiber vorgegebene SIM-Karten verwendet wer- den dürfen. SIM-Karten sind Module, die in eine Kommunikationseinheit eingeschoben werden, und zur Authentifizierung des Benutzers der Kommunikationseinheit durch Eingabe eines PIN- Codes dienen.Another example are mobile phone networks, in which only certain SIM cards specified by the operator may be used. SIM cards are modules that are inserted into a communication unit and are used to authenticate the user of the communication unit by entering a PIN code.
Aus dem Stand der Technik sind zwar Verfahren bekannt, die den Benutzer einer Kommunikationseinheit authentifizieren, wenn er sich am Kommunikationsnetz anmeldet. Dabei gibt der Benutzer beispielsweise eine Benutzerkennung und ein Passwort ein, wodurch mit gewisser Sicherheit der Benutzer authentifi- ziert werden kann. Bei diesem Verfahren bleibt aber die verwendete Kommunikationseinheit dem Kommunikationsnetz unbekannt. Das heißt, es wird nicht festgestellt, ob auch die vom Benutzer verwendete Kommunikationseinheit - die sogenannte "Hardware" - für den Bezug von den angebotenen Diensten berechtigt ist.Methods are known from the prior art which authenticate the user of a communication unit when he logs on to the communication network. The user enters, for example, a user ID and a password, which means that the user can be authenticated with a certain degree of security. With this method, however, the communication unit used remains unknown to the communication network. That is, it is not determined whether that of Communication unit used by the user - the so-called "hardware" - is authorized to purchase the services offered.
Weiterhin gibt es aus dem Stand der Technik bekannte Verfahren, die bestimmte Kommunikationseinheiten über eindeutige, weltweite Kennungen identifizieren, wie zum Beispiel die Zuordnung von sogenannten weltweit eindeutigen MAC-Adressen zu Netzwerkkarten im sogenannten Ethernet-Verkehr . Diese Verfah- ren haben allerdings den Nachteil, dass diese Kennungen offen zugeordnet werden und dadurch Missbrauch leicht möglich ist. So kann zum Beispiel eine gesendete Kennung gefälscht oder die Kennung einer anderen Kommunikationseinheit verwendet werden. Manche dieser Kennungen wie zum Beispiel die oben ge- nannten MAC-Adressen können vergleichsweise einfach mittels entsprechender Software ver ndert werden, wodurch eine sichere und vertrauenswürdige Authenti izierung von Kommunikations-einheiten nicht mehr durchführbar ist. Das bedeutet, es ist nicht mehr feststellbar, ob wirklich eine dafür vorgese- hene Kommunikationseinheit über einen Zugangspunkt an einFurthermore, there are methods known from the prior art which identify specific communication units using unique, worldwide identifiers, such as, for example, the assignment of so-called globally unique MAC addresses to network cards in so-called Ethernet traffic. However, these methods have the disadvantage that these identifiers are openly assigned and misuse is therefore easily possible. For example, a sent identifier can be forged or the identifier of another communication unit can be used. Some of these identifiers, such as, for example, the MAC addresses mentioned above, can be changed comparatively easily using appropriate software, as a result of which secure and trustworthy authentication of communication units can no longer be carried out. This means that it is no longer possible to determine whether a communication unit provided for this purpose really is available via an access point
Kommunikationsnetz angeschlossen wird und ob diese Kommunikationseinheit berechtigt ist, bestimmte Dienste zu nutzen.Communication network is connected and whether this communication unit is authorized to use certain services.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren anzugeben, mit dem eine Kommunikationseinheit zuverlässig i- dentifiziert werden kann.The invention is therefore based on the object of specifying a method with which a communication unit can be reliably identified.
Erfmdungsgemaß wird diese Aufgabe mit einem Verfahren zur Authenti fi 71 erung einer Kommun kat onseinheit gelost, bei dem zur sicheren Überprüfung der Kommunikationseinheit ein geheimes Codewort in einen dauerhaften Speicher einprogrammiert wird. Bei einem Anmeldevorgang der Kommunikationseinheit bei einem Diensteanbieter in einem Kommunikationsnetz wird das geheime Codewort zum Erzeugen einer Nachricht verwendet, die an den Diensteanbieter ubersandt wird. Anhand dieser Nachricht kann überprüft werden, ob die damit authentifizierte Kommunikationseinheit zum Bezug des Dienstes berechtigt st. Damit wird sicher gestellt, dass Dienste eines Kommunikationsnetzes nur mit entsprechenden, geeigneten und vom Kommuni- kations-netzbetreiber zugelassenen Kommunikationseinheiten bezogen werden. Das Einschreiben des Codewortes kann vorteil- hafterweise bei der Herstellung, der Auslieferung oder der Konfiguration der Kommunikationseinheit geschehen.According to the invention, this object is achieved with a method for authenticating a communication unit, in which a secret code word is programmed into a permanent memory in order to reliably check the communication unit. When the communication unit registers with a service provider in a communication network, the secret code word is used to generate a message which is transmitted to the service provider. This message can be used to check whether the communication unit authenticated with it is authorized to purchase the service. This ensures that the services of a communication network are only purchased with appropriate, suitable communication units that are approved by the communication network operator. The code word can advantageously be written in during the manufacture, delivery or configuration of the communication unit.
Günstig ist dabei, wenn das Codewort gerätespezi isch, herstellerspezifisch ausgeführt wird und nur dem Hersteller der Kommunikationseinheit und dem Diensteanbieter bekannt gegeben wird. Damit wird das Risiko einer Ausspähung sowie einer Manipulation durch unbefugte Dritte verringert. Durch das nur dem Hersteller und dem Dienstanbieter bekannte Codewort, kann auch geprüft werden, ob die Kommunikations-einheit den jewei- ligen Dienst ausführen darf.It is advantageous if the code word is device-specific, manufacturer-specific and is only made known to the manufacturer of the communication unit and the service provider. This reduces the risk of spying and manipulation by unauthorized third parties. By means of the code word known only to the manufacturer and the service provider, it can also be checked whether the communication unit is allowed to perform the respective service.
Vorteilhaft ist es, dass als Codewort ein elektronischer He- xadezimal-Ausdruck verwendet wird. Das bietet den Vorteil, dass das Codewort mittels gängiger Programmiersprachen wie zum Beispiel JAVA oder C++ vergleichsweise einfach weiterverarbeitet werden kann. Außerdem bietet die Abspeicherung als Hexadezimal-Ausdruck den Vorteil, vergleichsweise große Ausdrücke platzsparend darzustellen.It is advantageous that an electronic hexadecimal expression is used as the code word. This offers the advantage that the code word can be processed relatively easily using common programming languages such as JAVA or C ++. In addition, saving as a hexadecimal expression has the advantage of displaying comparatively large expressions in a space-saving manner.
Günstig ist es, wenn zum Erzeugen der Nachricht aus dem Codewort idealerweiser eine gestreute Speicherung gemäß dem sogenannten MD5-Hashing-Verfahren oder One-Way-Hashing-Verfahren verwendet wird. Das ist ein Verschlüsselungs-verfahren, bei dem aus dem Ergebnis des Verfahrens nicht auf das ursprüngli- ehe Codewort geschlossen werden kann. Das Codewort selbst wird dabei nicht übertragen.It is favorable if, to generate the message from the code word, ideally a scattered storage according to the so-called MD5 hashing method or one-way hashing method is used. This is an encryption procedure in which the original code word cannot be inferred from the result of the procedure. The code word itself is not transmitted.
Vorteilhaft ist eine Ausgestaltung des Verfahren insoweit, als beim Erzeugen der Nachricht neben dem Codewort eine vari- able Komponente verwendet wird. Dadurch wird sichergestellt, dass für jeden Authentifizierungsvorgang der Kommunikationseinheit eine Nachricht erzeugt wird, die sich von den vorher- gegangenen Nachrichten unterscheidet. Wird beispielsweise als variable Komponente die Uhrzeit verwendet, so kann zusatzlich noch die Gültigkeitsdauer der Nachricht eingeschränkt werden.An embodiment of the method is advantageous in that a variable component is used in addition to the code word when generating the message. This ensures that a message is generated for each authentication process of the communication unit that differs from the previously differentiated messages. If, for example, the time is used as a variable component, the period of validity of the message can also be restricted.
Die Erfindung wird anhand von Figuren naher erläutert. Es zeigen beispielhaft:The invention is explained in more detail with reference to figures. The following are examples:
Fig.l den schematischen Ablauf der Authentifizierung einer Kommunikationseinheit in einem beispielhaften KommunikationsnetzFig.l the schematic sequence of authentication of a communication unit in an exemplary communication network
Fig.2 den schematischen Ablauf, wie die Nachricht zur Au- thentifizierung der Kommunikationseinheit generiert wird2 shows the schematic sequence of how the message for authentication of the communication unit is generated
Das beispielhafte Kommunikationsnetz KN gemäß Fig. 1 umfasst Zugangspunkte ZPx, über die eine Kommunikationseinheit KE durch Anmeldung an das Kommumkationsnetz KN angeschlossen werden kann. Weiters werden vom Kommunikationsnetz KN ver- sch edene Dienste DNx zur Verfugung gestellt, unter denen die Fähigkeit des Kommunikationsnetzes KN, Informationen bestimmter Art zu übertragen, verstanden wird. Diese Dienste DNx können zum Beispiel sein: Sprachubertragung, Zugriff auf das Internet bzw. firmeninterne Datennetze und paketorientierte Datenübertragung, das Herunterladen von Musik- und Videodaten gegen Entgelt, die von Dienstanbietern auf Datenspeichern zur Verfugung gestellt werden, etc.The exemplary communication network KN according to FIG. 1 comprises access points ZPx, via which a communication unit KE can be connected to the communication network KN by logging on. Various services DNx are also provided by the communication network KN, which are understood to mean the ability of the communication network KN to transmit information of a certain type. These DNx services can be, for example: voice transmission, access to the Internet or company-internal data networks and packet-oriented data transmission, downloading of music and video data for a fee, which service providers make available on data storage devices, etc.
Damit diese Dienste DNx mit einer Kommunikationseinheit KF bezogen werden können, müssen von dieser Kommumkationseinheit KE spezifische technische und/oder vom Diensteanbieter vorgegebene Voraussetzungen erfüllt werden. Sind diese Voraussetzungen erfüllt, wird die Kommunikations-einheit KE vom Diensteanbieter als vertrauenswürdig eingestuft. Dadurch erst wird der Benutzer berechtigt, mit der Kommunikationseinheit KE Dienste DNx ZU benutzen. Um eine eindeutige Identifizierung der Kommunikationseinheit KE zu ermöglichen, wird bei der Herstellung der Kommunikationseinheit KE in einem dauerhaften Speicher SP der Kommunikationseinheit KE ein Codewort CWD einprogrammiert. Dieses Co- dewort CWD ist vorzugsweise gerätespezifisch und nur dem Hersteller sowie dem Diensteanbieter bekannt, umso die Gefahr der Ausspähung und der Manipulation durch unberechtigte Dritte zu verringern.So that these services DNx can be obtained with a communication unit KF, specific technical and / or requirements specified by the service provider must be met by this communication unit KE. If these requirements are met, the communication unit KE is classified as trustworthy by the service provider. Only then is the user authorized to use services DNx with the KE communication unit. In order to enable clear identification of the communication unit KE, a code word CWD is programmed into the permanent memory SP of the communication unit KE when the communication unit KE is manufactured. This code word CWD is preferably device-specific and known only to the manufacturer and the service provider, in order to reduce the risk of spying and manipulation by unauthorized third parties.
Soll nun ein Dienst DNl eines Kommunikationsnetzes KN bezogen werden, so meldet sich in einem erste Schritt 1 der Benutzer mit der Kommunikationseinheit KE bei einem Zugangspunkt ZPl beim Kommunikationsnetz KN an. Bei dieser Anmeldung wird auch die Kommunikationseinheit KE identifiziert. Dazu wird von der Kommunikationseinheit KE eine Nachricht NA mittels gestreuter Speicherung gemäß dem sogenannten MD5-Hashing-Ver ahren MD5 erstellt, die ausschließlich der Authentifizierung der Kommunikationseinheit KE dient und beim Schritt 1 mitgesendet wird.If a service DN1 of a communication network KN is now to be obtained, in a first step 1 the user registers with the communication unit KE at an access point ZPl at the communication network KN. With this registration, the communication unit KE is also identified. For this purpose, the communication unit KE creates a message NA by means of scattered storage according to the so-called MD5 hashing method MD5, which is used exclusively for the authentication of the communication unit KE and is also sent in step 1.
Zum Erstellen dieser Nachricht NA werden gemäß Fig.2 die Benutzerkennung BK, die zur Anmeldung des Benutzers beim Zugangspunkt ZPl des Kommunikationsnetzes KN dient, eine durch das MD5-Hashing-Verfahren MD5 erzeugte Version CWDh des Code- worts CWD und ein Zufallwert ZW wie zum Beispiel die Uhrzeit, um eine Wiederholung der Nachricht NA zu verhindern und die Gültigkeitsdauer der Nachricht NA einzuschränken, verwendet.To create this message NA, the user ID BK, which is used to log the user on to the access point ZPl of the communication network KN, a version CWDh of the code word CWD generated by the MD5 hashing method MD5 and a random value ZW as for FIG Example uses the time to prevent the message NA from being repeated and to limit the period of validity of the message NA.
Dabei sind das nach dem MD5—Hashing-Ver ahren MD5 erzeugte Codewort CWDh und der zufallswert ZW idealerweise als sogenannte Hexadezimal-Strings definiert. Das sind alphanumerische Zeichenfolgen, die nur aus den Symbolen 0 bis 9 sowie A bis F bestehen.The code word CWDh generated according to the MD5 hashing method MD5 and the random value ZW are ideally defined as so-called hexadecimal strings. These are alphanumeric strings that only consist of the symbols 0 to 9 and A to F.
Die Benutzerkennung BK, das nach dem MD5-Hashing-VerfahrenThe user ID BK, which is based on the MD5 hashing method
MD5 erzeugte Codewort CWDh und der Zufallswert ZW werden aufsummiert und auf das Ergebnis noch einmal das MD5-Hashing- Verfahren MD5 angewandt. Es entsteht dadurch ein MD5 Hash- Wert HW, der wieder als Hexadezimal-Stπng gespeichert wird und den Mittelteil der von der Kommunikationseinheit KE zum Zugangspunkt ZPl m Schritt 1 übertragenen Nachricht NA bil- det, die in ihrer endgültigen Version aus der Benutzerkennung BK, dem MD5 Hash-Wert HW und dem Zufallswert ZW zusammengesetzt wird.MD5 generated code word CWDh and the random value ZW are added up and the result is the MD5 hashing again. MD5 procedure applied. This results in an MD5 hash value HW, which is again stored as a hexadecimal string and forms the middle part of the message NA transmitted from the communication unit KE to the access point ZPl in step 1, which in its final version consists of the user ID BK, the MD5 hash value HW and the random value ZW is composed.
Diese Nachricht NA w rd von der Kommunikationseinheit E in Schritt 1 zum Zugangspunkt ZPl des Kommunikationsnetzes KN gesendet. Der Zugangspunkt ZPl liest die in der Nachricht NA übermittelte Information aus und interpretiert sie. Der erste Teil der Nachricht wird als Benutzerkennung BK identifiziert Der letzte Teil der Nachricht wird als Zufallwert ZW mter- pretiert.This message NA is sent from the communication unit E in step 1 to the access point ZPl of the communication network KN. The access point ZPl reads out the information transmitted in the message NA and interprets it. The first part of the message is identified as user identifier BK. The last part of the message is interpreted as a random value ZW.
Die übermittelte Benutzerkennung BK und der übermittelte Zufallswert ZW werden vom Zugangspunkt ZPl herangezogen, um mit dem Codewort CWD der Kommunikationseinheit KE, das auch im Kommunikationsnetz KN für die Zugangspunkte ZPx zugänglich beispielsweise in einem zentralen Datenspeicher DS hinterlegt wird, mittels MD5-Hashmg-Verfahren MD5 einen MD5 Hash-Wert zu berechnen. Dazu wird das Codewort CWD vom Zugangspunkt ZPl in einem Schritt 2 aus dem zentralen Datenspeicher DS geholt.The transmitted user ID BK and the transmitted random value ZW are used by the access point ZPl in order to use the code word CWD of the communication unit KE, which is also stored in the communication network KN for the access points ZPx, for example in a central data memory DS, using the MD5 hashing method MD5 to compute an MD5 hash value. For this purpose, the code word CWD is fetched from the central data memory DS by the access point ZPl in a step 2.
Der vom Zugangspunkt ZPl ermittelte MD5 Hash-Wert wird mit dem von der Kommunikationseinheit KE gesendeten MD5 Hash-Wert HW verglichen. Stimmen der vom Zugangspunkt ZPl errechnete Wert mit dem von der Kommunikationseinheit KF gesendeten MD5 Hash-Wert HW uberein und liegt der mitgesendete Zufallswert ZW innerhalb einer festgelegten Toleranzgrenze, so ist die Kommunikationseinheit KE berechtigt, den Dienst DNl zu beziehen. Es wird m einem Schritt 3 der Dienst DNl vom Zugangspunkt 7P1 angestoßen, damit in e nem Schritt 4 eine entspre- chende Antwortnachricht A an die Kommumkationseinheit KE gesendet wird. The MD5 hash value determined by the access point ZPl is compared with the MD5 hash value HW sent by the communication unit KE. If the value calculated by the access point ZPl matches the MD5 hash value HW sent by the communication unit KF and the random value ZW that is also sent is within a defined tolerance limit, the communication unit KE is authorized to obtain the service DN1. In a step 3, the service DN1 is triggered by the access point 7P1, so that in a step 4 a corresponding response message A is sent to the communication unit KE.
Stimmen die beiden Werte nicht überein, so wird in Schritt 4 eine Antwortnachricht A an die Kommunikationseinheit KE übermittelt, dass die Nutzung mit dieser Kommumkations-emheit KE nicht zulässig ist, da die Kommunikationseinheit KE als nicht vertrauenswürdig eingestuft wird. If the two values do not match, in step 4 a response message A is sent to the communication unit KE that use with this communication unit KE is not permitted since the communication unit KE is classified as untrustworthy.

Claims

Patentansprüche claims
1. Verfahren zur Authentifizierung einer Kommumkationseinheit (KE) , dadurch gekennzeichnet, dass zur sicheren Überprüfung der Kommunikationseinheit (KE) - ein geheimes Codewort (CWD) in einen dauerhaften Speicher (SP) einprogrammiert wird, und - dass bei einem Anmeldevorgang der Kommunikationseinheit (KE) bei einem Diensteanbieter in einem Kommunikations- netz (KN) das geheime Codewort (CWD) zum Erzeugen einer Nachricht (NA) verwendet wird, die an den Diensteanbieter ubersandt wird (1), - dass anhand dieser Nachricht (NA) überprüft wird, ob die damit authentifizierte Kommunikationseinheit (KE) zum Bezug eines Dienstes (DNl) berechtigt ist.1. A method for authenticating a communication unit (KE), characterized in that for the secure checking of the communication unit (KE) - a secret code word (CWD) is programmed into a permanent memory (SP), and - that when the communication unit (KE ) for a service provider in a communication network (KN) the secret code word (CWD) is used to generate a message (NA) that is sent to the service provider (1), - that this message (NA) is used to check whether the communication unit (KE) authenticated in this way is authorized to obtain a service (DN1).
2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass das Codewort be der Herstellung der Kommunikationseinheit (KE) in den dauerhaften Speicher (SP) einpro- gra miert wird.2. The method according to claim 1, characterized in that the code word in the manufacture of the communication unit (KE) is programmed into the permanent memory (SP).
3. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass das Codewort bei der Auslieferung der Kommunikationseinheit (KE) in den dauerhaften Speicher (SP) einpro- grammiert wird.3. The method according to claim 1, characterized in that the code word is programmed into the permanent memory (SP) when the communication unit (KE) is delivered.
4. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass das Codewort bei Konfiguration der Kommunikationseinheit (KF) in den dauerhaften Speicher (SP) einpro- grammiert wird.4. The method according to claim 1, characterized in that the code word is programmed into the permanent memory (SP) when the communication unit (KF) is configured.
5. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass das Codewort (CWD) geratespezifisch und hersteller- spezifisch ausgeführt wird und nur dem Hersteller der Kommunikationseinheit (KE) und dem Diensteanbieter bekannt gegeben wird. 5. The method according to claim 1, characterized in that the code word (CWD) is device-specific and manufacturer-specific and only the manufacturer of the communication unit (KE) and the service provider is announced.
6. Verfahren nach Anspruch 1 oder 2 dadurch gekennzeichnet, dass als Codewort (CWD) und für die Nachricht (NA) ein elektronischer Hexadezimal-Ausdruck verwendet wird.6. The method according to claim 1 or 2, characterized in that an electronic hexadecimal expression is used as the code word (CWD) and for the message (NA).
7. Verfahren nach einem der Ansprüche 1 bis 3 dadurch gekennzeichnet, dass zum Erzeugen der Nachricht (NA) aus dem Codewort (CWD) eine gestreute Speicherung gemäß dem sogenannten MD5-Hashιng-Verfahren (MD5) verwendet wird.7. The method according to any one of claims 1 to 3, characterized in that a scattered storage according to the so-called MD5 hashing method (MD5) is used to generate the message (NA) from the code word (CWD).
8. Verfahren nach einem der Ansprüche 1 bis 4 dadurch gekennzeichnet, dass beim Erzeugen der Nachricht (NA) neben dem Codewort (CWD) eine variable Komponente (ZW) verwendet wird. 8. The method according to any one of claims 1 to 4, characterized in that a variable component (ZW) is used in addition to the code word (CWD) when generating the message (NA).
EP05717100A 2004-05-18 2005-03-18 Method for authenticating a communications unit while using a lasting programmed secret code word Withdrawn EP1754358A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004024648A DE102004024648A1 (en) 2004-05-18 2004-05-18 Method for authenticating a communication unit
PCT/EP2005/051261 WO2005114945A1 (en) 2004-05-18 2005-03-18 Method for authenticating a communications unit while using a lasting programmed secret code word

Publications (1)

Publication Number Publication Date
EP1754358A1 true EP1754358A1 (en) 2007-02-21

Family

ID=34961966

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05717100A Withdrawn EP1754358A1 (en) 2004-05-18 2005-03-18 Method for authenticating a communications unit while using a lasting programmed secret code word

Country Status (5)

Country Link
US (1) US20070234407A1 (en)
EP (1) EP1754358A1 (en)
CN (1) CN1954581A (en)
DE (1) DE102004024648A1 (en)
WO (1) WO2005114945A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7853150B2 (en) 2007-01-05 2010-12-14 Emcore Corporation Identification and authorization of optoelectronic modules by host system
EP1936906A1 (en) 2006-12-22 2008-06-25 Koninklijke KPN N.V. Method to allow a network subscriber to gain access to a communication network
JP4535163B2 (en) * 2008-04-08 2010-09-01 ソニー株式会社 Information processing system, communication terminal, information processing apparatus, and program
CN101729578B (en) * 2008-10-27 2013-01-23 华为技术有限公司 Application service access authentication method and application service access authentication agent

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3053527B2 (en) * 1993-07-30 2000-06-19 インターナショナル・ビジネス・マシーンズ・コーポレイション Method and apparatus for validating a password, method and apparatus for generating and preliminary validating a password, method and apparatus for controlling access to resources using an authentication code
US6606491B1 (en) * 1998-06-26 2003-08-12 Telefonaktiebolaget Lm Ericsson (Publ) Subscriber validation method in cellular communication system
GB2344977A (en) * 1998-12-17 2000-06-21 3Com Technologies Ltd Password generation by hashing site and time data
US6826690B1 (en) * 1999-11-08 2004-11-30 International Business Machines Corporation Using device certificates for automated authentication of communicating devices
FI112418B (en) * 2000-02-01 2003-11-28 Nokia Corp Method for checking data integrity, system and mobile
DE10026326B4 (en) * 2000-05-26 2016-02-04 Ipcom Gmbh & Co. Kg A method of cryptographically verifying a physical entity in an open wireless telecommunications network
US20030037237A1 (en) * 2001-04-09 2003-02-20 Jean-Paul Abgrall Systems and methods for computer device authentication
US20020168962A1 (en) * 2001-05-09 2002-11-14 Docomo Communications Laboratories Usa Customized service providing scheme

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2005114945A1 *

Also Published As

Publication number Publication date
WO2005114945A1 (en) 2005-12-01
DE102004024648A1 (en) 2005-12-22
US20070234407A1 (en) 2007-10-04
CN1954581A (en) 2007-04-25

Similar Documents

Publication Publication Date Title
DE69729356T2 (en) METHOD AND DEVICE FOR SECURING THE ACCESS OF A STATION TO AT LEAST ONE SERVER
DE102015220228B4 (en) Method and system for securing a first contact of a mobile device with a device
WO2003049365A1 (en) Use of a public key key pair in the terminal for authentication and authorisation of the telecommunication user with the network operator and business partners
WO2010145979A1 (en) Method for registering a mobile radio in a mobile radio network
DE102010055375B4 (en) Automated login procedure on a vehicle website through a mobile communication terminal
DE10026326B4 (en) A method of cryptographically verifying a physical entity in an open wireless telecommunications network
EP1964042B1 (en) Method for the preparation of a chip card for electronic signature services
EP1754358A1 (en) Method for authenticating a communications unit while using a lasting programmed secret code word
DE102011115154B3 (en) Method for initializing and / or activating at least one user account
DE102009009310A1 (en) Method for performing communication between e.g. head unit of automobile and server, for use in e.g. navigation field, involves storing specific certificate as identifier on remote device such that head units are identified
EP3271855B1 (en) Method for generating a certificate for a security token
DE102008063864A1 (en) A method for authenticating a person to an electronic data processing system by means of an electronic key
WO2000014895A2 (en) Method for improving the security of authentication procedures in digital mobile radio telephone systems
DE102005011166A1 (en) Computer system and method for signing, signature verification and / or archiving
EP3376419A1 (en) System and method for electronically signing a document
DE102013202426A1 (en) Method for enabling data communication between communication device of motor vehicle on one hand and Internet server on other hand, involves establishing network connection to Internet server by computing device separated from motor vehicle
WO2013075799A1 (en) Method for authenticating a person at a server instance
EP2561460A1 (en) Method for configuring an application for a terminal
EP2482573A2 (en) Method for configuring a communication device and communication device
DE10204436B4 (en) Continuous speaker verification using voice input
EP1414260A1 (en) Method, system and devices for subscriber authentication in a telecommunication network
DE102010028217A1 (en) Electronic device, telecommunication system and method for reading data from an electronic device
EP2723111B1 (en) Multiple factor authentification for mobile end devices
DE10215747B4 (en) Method, computer program with program code means and computer program product for the protected downloading of an electronic object into a Personal Area Network (PAN) and Personal Area Network (PAN)
WO2021175371A1 (en) Secured and documented key access by an application

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20060821

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): DE FR GB

17Q First examination report despatched

Effective date: 20070402

DAX Request for extension of the european patent (deleted)
RBV Designated contracting states (corrected)

Designated state(s): DE FR GB

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO. KG

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS S.P.A.

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO. KG

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN WITHDRAWN

18W Application withdrawn

Effective date: 20080214