FR2809897A1 - Procede de communication securisee entre un reseau et une carte a puce d'un terminal - Google Patents

Procede de communication securisee entre un reseau et une carte a puce d'un terminal Download PDF

Info

Publication number
FR2809897A1
FR2809897A1 FR0007180A FR0007180A FR2809897A1 FR 2809897 A1 FR2809897 A1 FR 2809897A1 FR 0007180 A FR0007180 A FR 0007180A FR 0007180 A FR0007180 A FR 0007180A FR 2809897 A1 FR2809897 A1 FR 2809897A1
Authority
FR
France
Prior art keywords
data
entity
random number
key
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0007180A
Other languages
English (en)
Other versions
FR2809897B1 (fr
Inventor
Pierre Girard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus Card International SA
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus Card International SA, Gemplus SA filed Critical Gemplus Card International SA
Priority to FR0007180A priority Critical patent/FR2809897B1/fr
Priority to PCT/FR2001/001623 priority patent/WO2001093528A2/fr
Priority to AU2001264027A priority patent/AU2001264027A1/en
Publication of FR2809897A1 publication Critical patent/FR2809897A1/fr
Application granted granted Critical
Publication of FR2809897B1 publication Critical patent/FR2809897B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Le procédé établit un canal de transmission sécurisé entre deux entités dans un réseau de télécommunication, et particulièrement entre un terminal mobile (MS) et le réseau fixe, notamment des enregistreurs de localisation des visiteurs et nominal (VLR, HLR) et un centre d'authentification (AUC), dans un réseau de radiotéléphonie cellulaire. Au cours de l'authentification (E9, E9', E10) du terminal, et plus précisément de la carte SIM dans celui-ci, les données DATA sont transmises par le réseau fixe avec un nombre aléatoire (NA) produit par le réseau fixe. Les données DATA, le nombre aléatoire NA et une clé (Ki) sont appliqués dans les première et deuxième entité à un algorithme (AA) pour procéder à l'authentification.

Description

Procédé de communication sécurisée entre un réseau et une carte à puce d'un terminal La présente invention concerne un procédé de communication sécurisée entre une carte à puce d'un terminal radiotéléphonique mobile MS et un sous- système d'acheminement, appelé souvent réseau fixe, dans un réseau de radiotéléphonie cellulaire numérique. Plus particulièrement, l'invention instaure un canal de communication sécurisé à travers l'interface radio entre une carte ou module à microprocesseur, dite carte à puce SIM (Subscriber Identify Module), amovible du terminal, et un centre d'authentification du réseau de radiotéléphonie.
Un réseau de radiotéléphonie cellulaire numérique RR de type GSM, auquel référence sera faite dans la suite à titre d'exemple, comprend principalement plusieurs terminaux radiotéléphoniques mobiles MS et un réseau fixe proprement dit où circule notamment des messages de signalisation, de contrôle, de données et de voix comme montré schématiquement à la figure 1.
Dans le réseau RR montré à la figure 1 sont représentées notamment des entités principales à travers lesquelles des données destinées à la carte SIM d'un terminal mobile MS situé dans une zone de localisation à un instant transitent. Ces entités sont un commutateur du service mobile MSC relié à au moins un commutateur téléphonique à autonomie d'acheminement CAA du réseau téléphonique commuté RTC et gérant des communications pour des terminaux mobiles visiteurs, parmi lesquels le terminal MS, qui se trouvent à un instant donné dans la zone de localisation respective desservie par le commutateur MSC. Un enregistreur de localisation des visiteurs VLR est relié au commutateur MSC et contient des caractéristiques, telles qu'identité et profil d'abonnement des terminaux mobiles, en fait des cartes SIM dans ceux-ci, situés dans la zone de localisation. Un contrôleur de station de base BSC relié au commutateur MSC gère notamment l'allocation de canaux à des terminaux mobiles, la puissance de station(s) de base et des transferts intercellulaires de terminaux mobiles. Une station de base BTS reliée au contrôleur BSC couvre la cellule radioélectrique où le terminal MS se trouve à l'instant donné.
Le réseau de radiotéléphonie RR comprend encore un enregistreur de localisation nominal HLR coopérant avec un centre d'authentification AUC et relié aux commutateurs du service mobile à travers le réseau de signalisation du réseau de radiotéléphonie RR. L'enregistreur HLR est essentiellement une base de données, comme un enregistreur VLR, qui contient pour chaque terminal MS l'identité internationale IMSI (International Mobile Subscriber Identity) de la carte SIM du terminal, c'est-à-dire de l'abonné possesseur de la carte SIM, le numéro d'annuaire et le profil d'abonnement de l'abonné, et le numéro de l'enregistreur VLR auquel est rattaché le terminal mobile et mis à jour lors de transferts entre zones de localisation.
Le centre d'authentification AUC assure l'authentification des abonnés et participe à la confidentialité des données transitant dans l'interface radio IR entre le terminal MS et la station de base BTS auquel il est rattaché à l'instant donné. I1 gère un algorithme d'authentification A3 et un algorithme A8 de détermination de clé du chiffrement, parfois fusionnés en un seul algorithme A38, selon la norme GSM, qui sont redondants dans la carte SIM du terminal mobile MS, préalablement à toute communication avec le terminal, ou bien lors de la mise en fonctionnement du terminal ou lors d'un transfert intercellulaire. En particulier, le centre d'authentification AUC mémorise une clé d'authentification Ki attribuée uniquement à l'abonné en correspondance avec l'identité IMSI de l'abonné mémorisée dans l'enregistreur de localisation nominal HLR lors de la souscription d'abonnement par l'abonné.
Dans un réseau de radiotéléphonie numérique de type GSM, représenté à la Figure 1, il est très important d'authentifier le terminal radiotéléphonique mobile MS pour, entre autre, pouvoir reconnaître l'abonné. Afin d'assurer une flexibilité maximale, le centre d'authentification n'authentifie pas le terminal mobile MS lui-même mais la carte à puce SIM qu'il contient. Cette carte contient la clé Ki attribuée à l'abonné et prouve au moyen de l'algorithme d'authentification A3 qu'elle connaît la clé sans la révéler. Le réseau fixe envoie un nombre aléatoire RAND (challenge) à la carte et demande à la carte d'entrer le nombre aléatoire et la clé dans l'algorithme d'authentification pour un calcul cryptographique et de lui retourner le résultat sous la forme d'une réponse signée SRES (Signed RESponse) pour la norme GSM. Il est très difficile à un "attaquant", une tierce personne malveillante souhaitant établir des communications radiotéléphoniques débitées sur le compte du propriétaire de la carte SIM, de prévoir la valeur du nombre aléatoire. Sans la connaissance de la clé, l'attaquant ne peut pas contrefaire une réponse. La taille du nombre aléatoire empêche l'attaquant de garder en mémoire toutes les valeurs du couple nombre aléatoire-réponse signée dans un dictionnaire. La procédure d'authentification dans le réseau de radiotéléphonie authentifie ainsi la carte SIM contenant une clé.
La procédure d'authentification, représentée à la figure 2, comprend brièvement les étapes suivantes: - préalablement, le centre d'authentification AUC choisit plusieurs nombres aléatoires RAND et détermine d'une part plusieurs réponses de signature RSRES respectivement en fonction des nombres choisis RAND et de la clé Ki attribuée à l'abonné appliqués à l'algorithme d'authentification A3, et d'autre part plusieurs clés de chiffrement respectivement en fonction des nombres choisis RAND et de la clé Ki appliqués à l'algorithme de détermination de clé A8, afin de fournir des triplets [nombre aléatoire RAND, réponse de signature SRES, clé de chiffrement Kc] à l'enregistreur de localisation HLR, dès la souscription d'abonnement au service de radiotéléphonie mobile, puis chaque fois que l'enregistreur HLR a épuisé sa réserve de triplets, en correspondance avec l'identité IMSI de la carte SIM de l'abonné ; - chaque fois que l'enregistreur de localisation des visiteurs VLR auquel est rattachée momentanément la carte SIM demande une authentification de la carte, l'enregistreur HLR choisit et fournit au moins un triplet à l'enregistreur VLR afin de transmettre le nombre aléatoire du triplet choisi à la carte SIM à travers le réseau fixe et le terminal mobile MS ; - la carte SIM effectue un calcul cryptographique en appliquant le nombre aléatoire transmis et la clé Ki à l'algorithme d'authentification A3 produisant la réponse signée SRES et la retourne à l'enregistreur VLR ; - l'enregistreur VLR compare la réponse signée SRES à celle contenue dans le triplet choisi, et en cas d'égalité des réponses, la carte est authentifiée.
Les réseaux de téléphonie cellulaire numérique existants de type GSM ne disposent pas d'un canal de transmission de données sécurisé assurant la confidentialité et l'intégrité des données transmises tout en assurant simultanément l'impossibilité de dénis de service.
En effet, des services d'envoi de message SMS (Short Message Services) ont été définis, mais ils ne procurent aucune certitude quant à la réception des données, et ne garantissent donc pas l'impossibilité d'un dénis de service.
Or dans de nombreux cas, il est nécessaire de pouvoir transmettre des données DATA en assurant leur intégrité, leur confidentialité et l'impossibilité d'un dénis de service, la plupart du temps pour des raisons de sécurité.
L'invention vise à remédier aux inconvénients exposés ci-dessus, sans modifier le matériel du réseau de radiotéléphonie et avec quelques modifications de logiciel en relation essentiellement avec l'authentification.
A cette fin, un procédé de transmission sécurisée de données (DATA) entre une première entité (MS) et une deuxième entité (VLR, HLR, AUC) dans un réseau de télécommunication (RR), comprenant une étape d'authentification de la première entité (MS) par la seconde entité (VLR, HLR, AUC), ladite étape d'authentification comprenant des étapes (E6, E6') d'appliquer une clé (Ki) mémorisée dans les première et deuxième entités et un nombre aléatoire (NA) produit par la deuxième entité et transmis par la deuxième entité à la première entité à des algorithmes identiques (AA) mémorisés dans les première et deuxième entités, et comparer (E7) dans la deuxième entité (VLR, HLR, AUC) une réponse (SRES) produite par l'algorithme (AA) mémorisé dans la première entité et transmise à la deuxième entité et un résultat de réponse (RSRES) produit par l'algorithme (AA) mémorisé dans la deuxième entité, est caractérisé par les étapes de transmettre de la deuxième entité à la première entité les données (DATA) avec le nombre aléatoire (NA), appliquer les données (DATA) avec le nombre aléatoire (NA) à l'algorithme (AA) dans la première entité et dans la seconde entité.
Lorsque l'authentification est terminée, le réseau RR est certain que les données DATA sont bien parvenues à la carte SIM du terminal MS. La validité de la réponse SRES fournie par la carte au réseau atteste que l'intégrité du nombre aléatoire NA et des données DATA a été préservée, et empêche tout dénis de service. La confidentialité est assurée par l'association des données DATA au nombre aléatoire NA, ce qui rend leur localisation difficile. L'invention permet donc de résoudre les problèmes soulevés précédemment en n'impliquant qu'une modification du logiciel des cartes SIM, les premières entités, et des enregistreurs nominaux et centres d'authentification, compris dans les deuxièmes entités, sans avoir aucun impact sur l'infrastructure du réseau. Ces modifications peuvent être effectuées de manière graduelle sans bouleversement du réseau fixe.
Dans le procédé, le nombre aléatoire (NA) et les données (DATA) peuvent respectivement avoir Q bits et P-Q bits de longueur, P étant un entier constant.
Le procédé peut comprendre une étape de chiffrement des données (DATA) ou du couple formé par le nombre aléatoire (NA) et les données (DATA) . Dans ce cas, la confidentialité des données DATA est accrue, ainsi que la résistance du système à des attaques de cryptanalyse.
Dans le procédé, un moyen d'authentification et d'enregistrement d'identité de terminal (VLR, HLR, AUC) peut déterminer plusieurs triplets comprenant chacun un nombre aléatoire (NA) les données (DATA) et un résultat de réponse (RSRES) correspondant au nombre aléatoire (NA) et aux données (DATA).
Le procédé peut comprendre une étape de déterminer (E8) une clé de chiffrement (Kc) en fonction du nombre aléatoire (NA), des données (DATA) et de la clé (Ki) dans la seconde entité (VLR, HLR, AUC). Le procédé peut également comprendre une étape de ne déterminer (E10) une clé de chiffrement (Kc) en fonction du nombre aléatoire (NA), des données (DATA) et de la clé (Ki) dans la première entité (MS) que lorsque la réponse (SRES) et le résultat de réponse (RSRES) comparés sont identiques.
Enfin, dans le procédé, les données (DATA) peuvent être utilisées dans la première entité (MS) par une application de gestion de compte prépayé, pour mettre à jour des droits d'accès à des fichiers (DF, EF) mémorisés dans la première entité ou par une application pour activer une clé additionnelle (Ki'), dans le cas où une ou plusieurs clés additionnelles Ki' ont été mémorisées dans les première et deuxièmes entités.
L'invention concerne également un module d'identité (SIM) dans une première entité (MS) qui est caractérisé en ce qu'il comprend des moyens (ROM, EEPROM) pour mémoriser un algorithme (AA) et une clé (Ki), des moyens pour recevoir un nombre aléatoire (NA) et des données (DATA) et des moyens (ROM, EEPROM, RAM) pour exécuter au moins l'étape (E6) d'appliquer la clé (Ki) le nombre aléatoire (NA) et les données (DATA) à l'algorithme (AA) conformément à l'invention.
Enfin l'invention concerne aussi un centre d'authentification (AUC) dans un réseau de télécommunication (RR) qui est caractérisé en ce qu'il comprend des moyens pour mémoriser un algorithme (AA) et une clé (Ki), des moyens pour sélectionner un nombre aléatoire (NA) et des données (DATA) et des moyens pour exécuter au moins l'étape (E6') d'appliquer la clé (Ki) le nombre aléatoire (NA) et les données (DATA) à l'algorithme (AA) conformément à l'invention.
D'autres caractéristiques et avantages de la présente invention apparaitront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention en référence aux dessins annexés correspondants dans lesquels - la figure 1 est un bloc-diagramme schématique d'un réseau de radiotéléphonie cellulaire numérique ; - la figure 2 montre schématiquement des étapes d'un procédé d'authentification d'un réseau de radiotéléphonie cellulaire numérique ; et - la figure 3 montre des étapes d'une transmission sécurisée de données selon l'invention ; Le procédé de l'invention est décrit ci-après dans le cadre du réseau de radiotéléphonie RR de type GSM, déjà présenté en référence à la figure 1, qui ne subit que des modifications et adjonctions de logiciel essentiellement dans le centre d'authentification AUC, ainsi que dans les cartes SIM des terminaux mobiles.
Dans la description ci-après, un réseau fixe est considéré comme la chaîne d'entités rattachées au terminal radiotéléphonique mobile considéré MS depuis l'interface radio IR, comprenant la station de base BTS, le contrôleur de station BSC, le commutateur MSC avec l'enregistreur de localisation des visiteurs VLR, et le couple HLR-AUC. Il est rappelé qu'un terminal radiotéléphonique mobile MS d'un abonné comprend un module à microprocesseur amovible, dite carte à puce SIM reliée à un bus du circuit numérique à microprocesseur dans le terminal, le bus desservant le clavier, l'écran et des prises de périphérique du terminal mobile. Comme montré à la figure 1, la carte à puce SIM contient principalement un microprocesseur, une mémoire ROM incluant le système d'exploitation de la carte et des algorithmes d'application spécifiques, une mémoire non volatile EEPROM qui contient toutes les caractéristiques liées à l'abonné telles que l'identité IMSI, le profil d'abonnement, la liste de numéros d'appelés avec leurs noms, des données de sécurité tels que clé et code confidentiel, etc., et une mémoire RAM servant au traitement des données à recevoir du et à transmettre vers le circuit numérique du terminal. En particulier, les algorithmes d'authentification et de détermination de clé de chiffrement et les clés et autres paramètres liés à ces algorithmes sont gérés et écrits dans les mémoires ROM et EEPROM.
En référence à la figure 3, le procédé de transmission d'information sécurisé selon l'invention succède à une mise en communication de la carte SIM du terminal radiotéléphonique MS avec le sous-réseau BTS, BSC, MSC et VLR inclus dans le réseau de radiotéléphonie RR et rattaché temporairement au terminal radiotéléphonique MS, et précède une détermination de clé de chiffrement.
Le procédé montré à la figure 3 comprend essentiellement des étapes de EO à E11. Dans la figure 2, les étapes E0, E2, E6', E60, E20, E8 et E81 sont effectuées essentiellement dans le réseau fixe, indépendamment de toute demande d'authentification, et au moins préalablement à la demande de l'authentification considérée à l'étape E3 selon la réalisation illustrée.
Initialement, à une étape E0, le terminal mobile est considéré avoir mémorisé dans les mémoires ROM et EEPROM de sa carte SIM, l'identité IMSI de celle-ci, c'est-à-dire l'identité de l'abonné possesseur de la carte SIM, le cas échéant l'identité temporaire TMSI de la carte attribuée par le commutateur de rattachement MSC, une clé d'authentification Ki avec un algorithme d'authentification AA pour authentifier le terminal MS par le réseau, un algorithme de détermination de clé de chiffrement AC, un algorithme de chiffrement/déchiffrement. Ces données initiales et algorithmes sont également mémorisés à l'étape initiale EO dans le réseau fixe. Les clés Ki pour chaque abonné sont mémorisées dans le centre d'authentification AUC en correspondance avec l'identité d'abonné IMSI, l'identité temporaire n'étant attribuée que par l'enregistreur de localisation des visiteurs VLR relié au commutateur du service mobile MSC auquel est rattaché le terminal mobile MS. L'algorithme d'authentification AA et l'algorithme de détermination de clé de chiffrement AC sont mémorisés dans le centre d'authentification AUC, et l'algorithme de chiffrement/déchiffrement est installé dans la station de base BTS. Comme on le verra dans la suite, le centre d'authentification AUC fournit des triplets [(NA, DATA), RSRES, Kc] à l'enregistreur de localisation nominal HLR.
Lors d'une demande d'accès au service mobile par le terminal, par exemple après la mise en fonctionnement du terminal mobile MS, ou pour une mise à jour de la localisation du terminal, ou préalablement à une communication téléphonique, ou périodiquement pour authentifier la carte SIM à la demande de l'enregistreur VLR, le terminal MS échange des signaux avec le sous-réseau de rattachement de manière à dédier au terminal MS un canal de communication et à déclarer par le terminal MS au sous-réseau l'identité de terminal en transmettant l'identité IMSI de la carte SIM du terminal à l'enregistreur de localisation des visiteurs VLR, ou le cas échéant l'identité temporaire TMSI avec l'identité de la zone de localisation LAI relatives à la dernière communication établie. Ces échanges pour dédier un canal au terminal MS sont illustrés d'une manière simplifiée par l'étape El dans la figure 2.
Préalablement, dans le centre AUC, un générateur pseudo-aléatoire fournit plusieurs nombres aléatoires NA à Q bits. Les données DATA à transmettre de façon sécurisée selon le procédé de l'invention sont combinées avec chaque nombre aléatoire NA à Q bits et les couples (NA, DATA) résultats de cette combinaison sont écrits dans l'enregistreur HLR en association avec l'identité IMSI de la carte SIM, et au moins un couple (NA, DATA) choisi par l'enregistreur HLR est transmis à l'enregistreur VLR auquel est rattaché le terminal à l'étape E20.
Les données DATA sont transmises à la carte SIM selon le procédé de l'invention lorsque l'enregistreur de localisation des visiteurs VLR décide de procéder à l'authentification de la carte SIM par le réseau fixe: le couple choisi (NA, DATA) est introduit successivement dans des messages de demande d'authentification à l'étape E3 transmis respectivement par le commutateur MSC, le contrôleur BSC et enfin la station de base BTS vers le terminal mobile MS à travers l'interface radio IR.
Si les couples (NA, DATA) font P bits de longueur, l'entier P, avec P>Q, pourra être choisi de manière à ne pas modifier la longueur des messages d'authentification selon la norme en vigueur dans le réseau de radiotéléphonie RR, en l'occurrence la longueur des messages contenant un nombre RAND. Dans ce cas les modifications apportées au réseau RR et aux cartes SIM seront encore réduites. L'entier P est typiquement égal à 128, soit une taille du couple (NA, DATA) égale à 16 octets. L'entier Q dénotant le nombre de bits dans le nombre aléatoire NA peut être supérieur ou inférieur à P/2 ; toutefois les entiers P et Q peuvent satisfaire l'égalité P/2 = Q.
Dans la carte SIM du terminal mobile MS, le nombre aléatoire NA et les données DATA sont écrits en mémoire RAM de la carte SIM à l'étape E4 en réponse aux messages de demande d'authentification transmis par la station de base de rattachement BTS.
A cet instant la carte SIM a reçu les données DATA et peut les utiliser dans une application particulière dont plusieurs exemples seront fournis par la suite.
Le nombre aléatoire NA et les données DATA reçus et la clé d'authentification Ki sont lus à l'étape E5 afin de les appliquer à l'algorithme d'authentification connu AA à l'étape E6. A ce stade, l'authentification se poursuit sensiblement comme dans une carte SIM connue. L'algorithme AA fournit une réponse signée SRES (Signed RESponse) qui est incluse dans un message transmis à la station de base de rattachement BTS, laquelle la retransmet à l'enregistreur VLR à travers la station de base BTS, le contrôleur BCS et le commutateur MSC.
Au préalable, avant la demande d'authentification E3 et donc avant la réalisation des étapes E4 à E6 dans la carte SIM, les enregistreurs VLR et HLR ont mémorisé pour l'abonné le nombre NA et les données DATA, et le centre d'authentification AUC a appliqué, après l'étape E20, et pour chacun desdits nombres aléatoires NA, le couple (NA, DATA) et la clé Ki à l'algorithme AA à une étape E6'. L'algorithme AA produit un résultat de réponse signée RSRES pour chaque couple (NA, DATA). Concomitamment avec l'étape E20, les résultats RSRES sont écrits dans l'enregistreur HLR à une étape E60 et le couple (NA, DATA) choisi par l'enregistreur est transmis avec le résultat correspondant RSRES à l'enregistreur VLR qui les a mémorisés.
A réception de la réponse signée SRES transmise par le terminal mobile MS après l'étape E6, l'enregistreur VLR lit le résultat de réponse signée RSRES à l'étape E61 et le compare à la réponse reçue SRES à l'étape E7. Si ces deux variables ne sont pas identiques, l'enregistreur VLR commande au commutateur de rattachement MSC de déconnecter le terminal et le réseau fixe à l'étape E71, empêchant le terminal de poursuivre sa demande d'accès au service mobile.
Dans le cas contraire, le centre d'authentification AUC valide l'authentification de la carte SIM à l'étape E7, pour autoriser le chiffrement et le déchiffrement des messages échangés ultérieurement entre le terminal mobile MS et le sous-réseau BTS-BSC-MSC.
A cet instant, le centre d'authentification AUC a non seulement authentifié la carte SIM, mais il a également la preuve que celle-ci a bien reçu les données DATA.
L'association des données DATA au nombre aléatoire NA peut avoir comme conséquence une relative diminution de la résistance du couple (NA, DATA) aux attaques de cryptanalyse par rapport à un nombre aléatoire de même dimension. Dans le but d'atténuer cet effet, un chiffrement des données DATA ou du couple (NA, DATA) peut être effectué par le centre d'authentification AUC avant leur transmission vers la carte SIM. Une telle étape de chiffrement aura également comme conséquence d'améliorer notablement la confidentialité des données DATA transmises.
La réponse signée SRES que la carte SIM envoie au réseau pour s'authentifier est généralement beaucoup plus courte que le nombre aléatoire RAND ou le couple (NA, DATA) transmis par le réseau à la carte SIM. Néanmoins, des données peuvent également être associées à la réponse signée SRES ou insérées dans celle-ci, de façon à permettre à la carte SIM de communiquer des informations au réseau RR. Même si la quantité d'informations transmises est très limitée, elle suffit à signaler au réseau un comportement révélateur de fraudes.
Une fois les données DATA reçues par la carte SIM et l'authentification de la carte SIM vérifiée par le centre d'authentification AUC, une clé de chiffrement Kc peut alors être déterminée : au préalable, le centre d'authentification AUC a appliqué les couples (NA, DATA) correspondant auxdits plusieurs nombres aléatoires NC et la clé Ki à l'algorithme de détermination de clé de chiffrement AC à une étape E8 afin de produire des clés de chiffrement Kc, qui sont mémorisées dans l'enregistreur VLR à une étape E81 concomitante aux étapes E20 et E60. Ainsi, plusieurs triplets [(NA, DATA), RSRES, Kc] sont mémorisés préalablement dans l'enregistreur de localisation nominal HRL, et au moins l'un d'eux choisi est écrit dans l'enregistreur VLR en association avec l'identité IMSI/TMSI de la carte SIM.
A la suite de l'étape E7, le commutateur MSC décide de passer en mode chiffré en transmettant un message d'autorisation de chiffrement avec la clé Kc, relayé par les entités BSC et BTS, vers le terminal mobile MS, la clé Kc étant prélevée par la station de base BTS.
Par ailleurs, à la suite de l'exécution de l'étape d'authentification E6, la carte SIM lit à l'étape E9 le couple nombre aléatoire NA et donnée DATA et également la clé d'authentification Ki afin de les appliquer à l'algorithme de chiffrement AC pour déterminer une clé de chiffrement Kc à l'étape E10.
Finalement à des étapes E11 et E11', le terminal MS et le sous-réseau de rattachement, particulièrement la station de base de rattachement BTS qui contient un algorithme de chiffrement et déchiffrement identique à celui contenu dans la carte SIM et qui a mémorisé la clé déterminée Kc, peuvent échanger des messages chiffrés et déchiffrés avec la clé Kc.
Premier exemple de mise en oeuvre du procédé selon l'invention: sécurisation de réseaux de radio- télécommunication fonctionnant en mode prépayé Certains réseaux de télécommunication utilisent le mode de fonctionnement prépayé suivant : chaque fois que l'utilisateur du terminal mobile MS désire approvisionner son compte il se rend à un terminal de paiement effectue une transaction pour une certaine valeur. Une fois la transaction validée par un service bancaire, le réseau RR envoie à la carte SIM des informations dans le but de mettre à jour dans la carte un compteur ACM (Accumulated Card Meter) et la valeur maximale ACMmax que ce compteur peut atteindre, au moyen d'un message SMS. Ensuite lors de chaque communication, le réseau RR envoie au terminal mobile MS une information de tarification CAI (Charge Advice Information), que le terminal MS utilise pour envoyer à la carte SIM des commande d'incrémentation du compteur ACM. Grâce à des échanges avec la carte SIM, le terminal MS vérifie régulièrement que le compteur ACM ne dépasse pas sa valeur maximale permise ACMmax.
Malheureusement, comme les échanges entre le terminal mobile MS et la carte SIM ne sont pas sécurisés, un tel système est assez facile à pirater.
Grâce au procédé de transmission sécurisée de données selon l'invention, il devient possible de transmettre à la carte SIM, de façon sécurisée, des informations de début et de fin de communication et/ou des données d'estimation de la fréquence des augmentations du compteur ACM. La carte SIM est alors capable de détecter les tentatives de fraudes de façon autonome et de prendre des mesures appropriées.
Second exemple de mise en oeuvre du procédé selon l'invention : modification de la carte SIM.
Une modification de la carte SIM peut être nécessaire dans de nombreux cas. Par exemple en cas de détection par le réseau de tentatives de fraude, le réseau peut envoyer à la carte une commande de blocage temporaire ou permanent. Lors d'ajout ou de suppression de services, le procédé de transmission sécurisée de données selon l'invention permet de modifier les droits d'accès à des fichiers élémentaires EF (Elementary Files) ou à des fichiers dédiés DF (Dedicated Files) contenant par exemple des scripts de commande SIMToolkit ou gcombo.
Troisième exemple de mise en oeuvre du procédé selon l'invention : modification urgente d'une clé.
Les cartes SIM contiennent de nombreuses clés qui peuvent servir pour différentes applications. Ces clés sont généralement mémorisées dans la carte SIM lors de sa phase de personnalisation. En utilisant le procédé de transmission selon l'invention, et en mémorisant dans la carte SIM une ou des clés de rechange, il suffit d'envoyer une commande de commutation de clé pour passer de l'utilisation d'une clé compromise, c'est à dire rendue publique, à l'utilisation d'une clé de rechange toujours secrète.
Bien que l'invention ait été décrite selon des réalisations préférées en référence à un réseau de radiotéléphonie entre un terminal radiotéléphonique mobile et le réseau fixe du réseau de radiotéléphonie, le procédé d'authentification de l'invention peut être mis en oeuvre dans un réseau de télécommunication relativement à deux entités quelconques qui dans laquelle la première entité authentifie la seconde au moyen d'un mécanisme de challenge aléatoire / réponse signée.

Claims (1)

  1. REVENDICATIONS 1 - Procédé de transmission sécurisée de données (DATA) entre une première entité (MS) et une deuxième entité (VLR, HLR, AUC) dans un réseau de télécommunication (RR), comprenant une étape d'authentification de la première entité (MS) par la seconde entité (VLR, HLR, AUC), ladite étape d'authentification comprenant des étapes (E6, E6') d'appliquer une clé (Ki) mémorisée dans les première et deuxième entités et un nombre aléatoire (NA) produit par la deuxième entité et transmis par la deuxième entité à la première entité à des algorithmes identiques (AA) mémorisés dans les première et deuxième entités, et comparer (E7) dans la deuxième entité (VLR, HLR, AUC) une réponse (SRES) produite par l'algorithme (AA) mémorisé dans la première entité et transmise à la deuxième entité et un résultat de réponse (RSRES) produit par l'algorithme (AA) mémorisé dans la deuxième entité, caractérisé par les étapes de transmettre de la deuxième entité à la première entité les données (DATA) avec le nombre aléatoire (NA), appliquer les données (DATA) avec le nombre aléatoire (NA) à l'algorithme (AA) dans la première entité et dans la seconde entité. 2 - Procédé conforme à la revendication 1 selon lequel le nombre aléatoire (NA) et les données (DATA) ont respectivement Q bits et P-Q bits de longueur, P étant un entier constant. 3 - Procédé conforme à la revendication 1 ou 2 caractérisé par une étape de chiffrement des données (DATA) ou du couple formé par le nombre aléatoire (NA) et les données (DATA). 4 - Procédé conforme à l'une des revendications précédentes, caractérisé en ce qu'un moyen d'authentification et d'enregistrement d'identité de terminal (VLR, HLR, AUC) détermine plusieurs triplets comprenant chacun un nombre aléatoire (NA) les données (DATA) et un résultat de réponse (RSRES) correspondant au nombre aléatoire (NA) et aux données (DATA). 5 - Procédé conforme à la revendication 4, comprenant une étape de déterminer (E8) une clé de chiffrement (Kc) en fonction du nombre aléatoire (NA), des données (DATA) et de la clé (Ki) dans la seconde entité (VLR, HLR, AUC). 6 - Procédé conforme à l'une des revendications 4 ou 5, comprenant une étape de ne déterminer (E10) une clé de chiffrement (Kc) en fonction du nombre aléatoire (NA), des données (DATA) et de la clé (Ki) dans la première entité (MS) que lorsque la réponse (SRES) et le résultat de réponse (RSRES) comparés sont identiques. 7 - Procédé selon l'une des revendications précédentes, caractérisé en ce que les données (DATA) sont utilisées dans la première entité (MS) par une application de gestion de compte prépayé. 8 - Procédé selon l'une des revendications précédentes, caractérisé en ce que les données (DATA) sont utilisées dans la première entité (MS) pour mettre à jour des droits d'accès à des fichiers (DF, EF) mémorisés dans la première entité. 9 - Procédé selon l'une des revendications précédentes, caractérisé en ce que une ou plusieurs clés additionnelles Ki' sont mémorisées dans les première et deuxièmes entités, et en ce que les données (DATA) sont utilisées dans la première entité (MS) par une application pour activer une clé additionnelle (Ki'). 10 - Module d'identité (SIM) dans une première entité (MS) caractérisé en ce qu'il comprend des moyens (ROM, EEPROM) pour mémoriser un algorithme (AA) et une clé (Ki), des moyens pour recevoir un nombre aléatoire (NA) et des données (DATA) et des moyens (ROM, EEPROM, RAM) pour exécuter au moins l'étape (E6) d'appliquer la clé (Ki) le nombre aléatoire (NA) et les données (DATA) à l'algorithme (AA). 11 - Centre d'authentification (AUC) dans un réseau de télécommunication (RR) caractérisé en ce qu'il comprend des moyens pour mémoriser un algorithme (AA) et une clé (Ki), des moyens pour sélectionner un nombre aléatoire (NA) et des données (DATA) et des moyens pour exécuter au moins l'étape (E6') d'appliquer la clé (Ki) le nombre aléatoire (NA) et les données (DATA) à l'algorithme (AA).
FR0007180A 2000-05-31 2000-05-31 Procede de communication securisee entre un reseau et une carte a puce d'un terminal Expired - Fee Related FR2809897B1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR0007180A FR2809897B1 (fr) 2000-05-31 2000-05-31 Procede de communication securisee entre un reseau et une carte a puce d'un terminal
PCT/FR2001/001623 WO2001093528A2 (fr) 2000-05-31 2001-05-25 Procede de communication securisee entre un reseau et une carte a puce d'un terminal
AU2001264027A AU2001264027A1 (en) 2000-05-31 2001-05-25 Method for secure communication between a network and a terminal smart card

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0007180A FR2809897B1 (fr) 2000-05-31 2000-05-31 Procede de communication securisee entre un reseau et une carte a puce d'un terminal

Publications (2)

Publication Number Publication Date
FR2809897A1 true FR2809897A1 (fr) 2001-12-07
FR2809897B1 FR2809897B1 (fr) 2005-04-29

Family

ID=8850979

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0007180A Expired - Fee Related FR2809897B1 (fr) 2000-05-31 2000-05-31 Procede de communication securisee entre un reseau et une carte a puce d'un terminal

Country Status (3)

Country Link
AU (1) AU2001264027A1 (fr)
FR (1) FR2809897B1 (fr)
WO (1) WO2001093528A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1326466A1 (fr) * 2002-01-08 2003-07-09 Canon Kabushiki Kaisha Procédé de communication dans un réseau

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2031825B1 (fr) 2004-04-30 2013-02-13 Research In Motion Limited Dispositif de communication sans fil à caractère aléatoire ajouté en toute sécurité et procédé correspondant
US8520851B2 (en) 2004-04-30 2013-08-27 Blackberry Limited Wireless communication device with securely added randomness and related method
KR20100016579A (ko) 2007-04-05 2010-02-12 인터내셔널 비지네스 머신즈 코포레이션 크리덴셜 배포를 위한 시스템 및 방법
CN102014381B (zh) 2009-09-08 2012-12-12 华为技术有限公司 加密算法协商方法、网元及移动台
CN102970678B (zh) * 2009-09-08 2016-12-07 华为技术有限公司 加密算法协商方法、网元及移动台
CN113596841B (zh) * 2021-09-13 2023-04-07 中国联合网络通信集团有限公司 用户身份识别卡的鉴权控制方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
AL-TAWIL, K; AKRAMI, A.: "A new authentication protocol for roaming users in GSM", COMPUTERS AND COMMUNICATIONS, 1999. PROCEEDINGS. IEEE INTERNATIONAL SYMPOSIUM, 6 July 1999 (1999-07-06) - 8 July 1999 (1999-07-08), Dhahran, saudi Arabia, pages 93 - 99, XP002168055, ISBN: 0-7695-0250-4, Retrieved from the Internet <URL:http:/ieeexplore.ieee.org/> [retrieved on 20010522] *
MIN-SHIANG HWANG; YUAN-LIANG TANG; CHENG-CHI LEE: "An efficient authentication protocol for GSM networks", EUROCOMM 2000. INFORMATION SYSTEMS FOR ENHANCED PUBLIC SAFETY AND SECURITY. IEEE/AFCEA, - 17 May 2000 (2000-05-17), Wufeng, Taiwan, pages 326 - 329, XP002168054, ISBN: 0-7803-6323-X, Retrieved from the Internet <URL:http://ieeexplore.ieee.org/> [retrieved on 20010522] *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1326466A1 (fr) * 2002-01-08 2003-07-09 Canon Kabushiki Kaisha Procédé de communication dans un réseau
FR2834595A1 (fr) * 2002-01-08 2003-07-11 Canon Kk Procede de communication dans un reseau
US7684785B2 (en) 2002-01-08 2010-03-23 Canon Kabushiki Kaisha Method of communication in a network

Also Published As

Publication number Publication date
WO2001093528A3 (fr) 2002-03-07
AU2001264027A1 (en) 2001-12-11
FR2809897B1 (fr) 2005-04-29
WO2001093528A2 (fr) 2001-12-06

Similar Documents

Publication Publication Date Title
EP1547426B1 (fr) Identification d un terminal aupres d un serveur
EP1157575B1 (fr) Authentification dans un reseau de radiotelephonie
EP1427231B1 (fr) Procédé d&#39;établissement et de gestion d&#39;un modèle de confiance entre une carte à puce et un terminal radio
EP2357858B1 (fr) Modèle de sécurité amélioré pour la cryptographie dans des systèmes de communications mobiles
EP1022922B1 (fr) Procédé d&#39;authentification, avec établissement d&#39;un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications
EP0459065B1 (fr) Installation téléphonique pour le chargement à distance de données d&#39;abonnement téléphonique d&#39;une station autonome
EP1603361B1 (fr) Protocole auto-synchronisant pour l&#39;authentification et l&#39;accord de clé
EP3523998B1 (fr) Procédé d&#39;authentification mutuelle entre un équipement utilisateur et un réseau de communication
EP0675615A1 (fr) Procédé d&#39;authentification combinée d&#39;un terminal de télécommunication et d&#39;un module d&#39;utilisateur dans un réseau de communication
EP1190399A1 (fr) Procede de pre-controle d&#39;un programme contenu dans une carte a puce additionnelle d&#39;un terminal
JPH05508274A (ja) 電気通信システムにおける加入者の真正証明及び保護のための方法
FR2809897A1 (fr) Procede de communication securisee entre un reseau et une carte a puce d&#39;un terminal
CN111107598B (zh) 一种通讯模组网络运营商自动切换的方法
WO2005051018A1 (fr) Verrou de carte à puce pour la communication mobile
Hwang et al. A Key management for wireless communications
FR3111038A1 (fr) Traitements cryptographiques pour chiffrer ou déchiffrer des données
EP1321005B1 (fr) Procede d&#39;implantation d&#39;informations sur un identifiant
EP1883199B1 (fr) Procédé de contrôle de l&#39;accès d&#39;une station mobile à une station de base
CN114257437A (zh) 远程访问方法、装置、计算设备及存储介质
FR2844409A1 (fr) Protection d&#39;une cle secrete pour algorithme d&#39;authentification dans un radiotelephone mobile
FR2860672A1 (fr) Procede d&#39;authentification dans un reseau de radiotelephone
Hecker et al. Security in 4G
FR2899047A1 (fr) Autorisation de deconnexion entre un terminal d&#39;usager et un point d&#39;acces dans un reseau local sans fil

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20080131