FR2860672A1 - Procede d'authentification dans un reseau de radiotelephone - Google Patents

Procede d'authentification dans un reseau de radiotelephone Download PDF

Info

Publication number
FR2860672A1
FR2860672A1 FR0350638A FR0350638A FR2860672A1 FR 2860672 A1 FR2860672 A1 FR 2860672A1 FR 0350638 A FR0350638 A FR 0350638A FR 0350638 A FR0350638 A FR 0350638A FR 2860672 A1 FR2860672 A1 FR 2860672A1
Authority
FR
France
Prior art keywords
authentication
algorithm
entity
random number
auc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0350638A
Other languages
English (en)
Other versions
FR2860672B1 (fr
Inventor
Pierre Girard
Carinne Boursier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus Card International SA
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus Card International SA, Gemplus SA filed Critical Gemplus Card International SA
Priority to FR0350638A priority Critical patent/FR2860672B1/fr
Priority to PCT/EP2004/052394 priority patent/WO2005032195A2/fr
Priority to EP04766873A priority patent/EP1668944A2/fr
Priority to CNA2004800359339A priority patent/CN1890919A/zh
Publication of FR2860672A1 publication Critical patent/FR2860672A1/fr
Application granted granted Critical
Publication of FR2860672B1 publication Critical patent/FR2860672B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Le procédé améliore la sécurité de l'authentification entre deux entités dans un réseau de télécommunication, et particulièrement entre un terminal mobile (MS) et le réseau fixe, notamment des enregistreurs de localisation (VLR, HLR) et un centre d'authentification (AUC), dans un réseau de radiotéléphonie cellulaire. Préalablement à la génération d'une réponse signée (SRESn) la carte SIM applique une étape préalable de transformation du nombre aléatoire transmis par le réseau au moyen d'un algorithme de transformation (AT) et applique (E24, E27) ainsi indirectement le nombre un nombre aléatoire (RAND) après sa transformation à l'algorithme d'authentification (AA) pour obtenir ladite réponse signée. La carte SIM mémorise la réponse produite (SRESn) en vue de la prochaine demande d'authentification.

Description

Procédé d'authentification dans un réseau de
radiotéléphonie L'invention concerne un procédé d'authentification entre un terminal radiotéléphonique mobile et un sous-système d'acheminement, appelé généralement réseau fixe, dans un réseau de radiotéléphonie cellulaire numérique. Plus particulièrement l'invention améliore l'authentification à travers l'interface radio entre une carte ou module à microprocesseur, dite carte à puce SIM (Subscriber Identity Module), amovible du terminal, et un centre d'authentification du réseau de radiotéléphonie.
Un réseau de radiotéléphonie cellulaire numérique de type GSM comprend principalement plusieurs terminaux radiotéléphoniques mobile MS et un réseau fixe où circulent des messages de signalisation, de contrôle, de données et de voix comme le décrit la figure 1.
Ainsi, dans le réseau RR sont représentées des entités principales à travers lesquelles transitent des données destinées à la carte SIM d'un terminal radiotéléphonique mobile MS situé dans une zone de localisation. Un commutateur de service mobile MSC relié à au moins un commutateur téléphonique à autonomie d'acheminement CAA du réseau commuté RTC gère des communications pour des terminaux mobiles visiteurs, parmi lesquels le terminal MS, qui se trouvent à un instant donné dans la zone de localisation desservie par le commutateur MSC. Un enregistreur de localisation des visiteurs VLR est relié au commutateur MSC et contient des caractéristiques, telles qu'identité et profil d'abonnement des terminaux mobiles situés dans la zone de localisation. Un contrôleur de station de base BSC relié au commutateur MSC gère notamment l'allocation de canaux à des terminaux mobiles. Une station de base BTS reliée au contrôleur BSC couvre la cellule radioélectrique où le terminal MS se trouve à l'instant donné.
Le réseau de radiotéléphonie RR comprend encore un enregistreur de localisation nominal HLR coopérant avec un centre d'authentification AUC et relié aux commutateurs du service mobile à travers le réseau de signalisation du réseau de radiotéléphonie RR.
L'enregistreur HLR, comme l'enregistreur VLR, est essentiellement une base de données, qui contient pour chaque terminal MS l'identité internationale IMSI (International Mobile Subscriber Identity) de la carte SIM insérée dans le terminal, c'est à dire de l'abonné possesseur de la carte SIM, le numéro d'annuaire, le profil d'abonnement de l'abonné, et le numéro de l'enregistreur VLR auquel est rattaché le terminal mobile à un instant donné. Ce numéro est mis à jour lors des transferts entre zones de localisation.
Le centre d'authentification AUC assure l'authentification des abonnés préalablement à toute communication avec le terminal ou bien lors de la mise en fonctionnement du terminal ou lors d'un transfert intercellulaire. Il participe également à la confidentialité des données transitant dans l'interface radio IR entre le terminal MS et la station de base BTS auquel il est rattaché à un instant donné. Pour cela, le centre d'authentification AUC gère un algorithme d'authentification A3 et un algorithme A8 de détermination de clé du chiffrement, parfois fusionnés en un seul algorithme A3A8, selon la norme GSM. Ces algorithmes sont également présents dans la carte SIM du terminal mobile MS. Le centre d'authentification AUC mémorise en outre une clé d'authentification Ki attribuée uniquement à l'abonné. Cette clé correspond avec l'identité IMSI de l'abonné mémorisée dans l'enregistreur de localisation nominal HLR lors
de la souscription d'abonnement par l'abonné.
Pour pouvoir reconnaître l'abonné, il est nécessaire d'authentifier le terminal radiotéléphonique mobile MS. Le centre d'authentification n'authentifie pas le terminal mobile MS lui-même mais la carte SIM qu'il contient. Cette carte contient la clé Ki attribuée à l'abonné et prouve au moyen de l'algorithme d'authentification A3 qu'elle connaît la clé sans la révéler. Comme le décrit la figure 2, le réseau fixe envoie un nombre aléatoire RAND à la carte et demande à celle-ci de calculer au moyen de l'algorithme d'authentification un résultat fonction de la clé et du nombre aléatoire. Ce résultat est retourné au réseau sous la forme d'une réponse signée SRES (Signed RESponse).
Il est très difficile pour une personne malveillante souhaitant établir des communications radiotéléphoniques débitées sur le compte du propriétaire de la carte SIM, de prévoir la valeur du nombre aléatoire. Sans la connaissance de la clé, la personne malveillante ne peut pas forger une réponse. La taille du nombre aléatoire empêche un attaquant de garder en mémoire toutes les valeurs du couple nombre aléatoireréponse signée dans un dictionnaire.
Toutefois les nouvelles technologies utilisées dans les générations récentes de radiotéléphones mobiles permettent de charger à travers le réseau de radiotéléphonie des programmes et de les exécuter. De la même manière que via Internet sur un ordinateur personnel, il est malheureusement possible de charger à son insu des virus ou autres chevaux de Troie. Comme le montre la figure 3, un cheval de Troie chargé dans le radiotéléphone mobile d'un abonné pourrait par exemple permettre au radiotéléphone MS de l'abonné de retourner une réponse signée SRES2 non pas au réseau de radiotéléphonie, mais à un second radiotéléphone mobile MS2 (d'une personne malveillante) en réponse à une demande d'authentification émise par ce second radiotéléphone. Le second radiotéléphone retourne la réponse signée SRES2 (ainsi récupérée) au réseau de radiotéléphonie lors d'une demande d'authentification, et la personne malveillante peut utiliser le second radiotéléphone mobile pour passer des communications pour le compte de l'abonné.
En outre, un abonné malveillant bénéficiant d'un abonnement lui permettant de communiquer gratuitement le week-end par exemple, pourrait être tenté suivant le même procédé de revendre des communications à une tierce personne complice.
On peut ainsi considérer que la carte SIM d'un abonné est virtuellement clonée .
L'invention vise à remédier aux inconvénients de la procédure d'authentification commentée ci-dessus et particulièrement à rendre l'attaque décrite inopérante sans modifier le matériel du réseau de radiotéléphonie.
A cette fin, un procédé d'authentification entre une première entité et une deuxième entité dans un réseau de communication, comprenant des étapes d'appliquer des clés d'authentification mémorisées respectivement dans les première et deuxième entités et un nombre aléatoire produit par la deuxième entité et transmis par la deuxième entité à la première entité respectivement à des premiers algorithmes identiques mémorisés dans les première et deuxième entités, et comparer dans la deuxième entité une réponse produite par le premier algorithme mémorisé dans la première entité et transmise à la deuxième entité avec un résultat de réponse produit par le premier algorithme mémorisé dans la deuxième entité, ledit procédé est caractérisé en ce que l'étape d'appliquer au premier algorithme le nombre aléatoire est réalisée au moyen d'une étape préalable de transformation dudit nombre aléatoire pour obtenir un nombre aléatoire transformé appliqué audit premier algorithme, ladite étape préalable de transformation consistant à appliquer le nombre aléatoire et le résultat de réponse de la précédente authentification à des deuxièmes algorithmes identiques mémorisés respectivement dans les première et deuxième entités, et en ce que ledit procédé comporte en outre l'étape de mémoriser respectivement dans les première et deuxième entités la réponse produite par le premier algorithme.
Selon une réalisation préférée, les première et deuxième entités sont respectivement un terminal radiotéléphonique et un réseau fixe dans un réseau de radiotéléphonie. L'étape d'appliquer aux deuxièmes algorithmes le nombre aléatoire et le résultat de réponse de la précédente authentification permet d'annuler tout risque d'attaque de type clonage virtuel de la carte SIM comme décrit précédemment. Le résultat de réponse délivré par le radiotéléphone de l'abonné au radiotéléphone de la personne malveillante ne permettra pas à ce dernier d'être authentifié auprès du réseau comme étant un radiotéléphone de l'abonné. Le résultat de réponse délivré par le radiotéléphone de la personne malveillante dépend de la réponse signée correspondant à la précédente demande d'authentification soumise au radiotéléphone mobile alors que le résultat de réponse calculé par le centre d'authentification dépend du dernier résultat de réponse correspondant la dernière authentification de l'abonné par le réseau fixe. La demande d'authentification du radiotéléphone de la personne malveillante est rejetée par le réseau.
L'invention concerne également un module d'identité, tel qu'une carte d'identité d'abonné, dans une première entité, telle qu'un terminal radiotéléphonique mobile qui est caractérisé en ce qu'il comprend des moyens pour mémoriser au moins un deuxième algorithme, des moyens pour mémoriser le résultat de réponse à la précédente authentification et des moyens pour exécuter au moins les étapes d'appliquer au deuxième algorithme et au premier algorithme conformément à l'invention.
D'autres caractéristiques et avantages apparaîtront plus 5 clairement à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent parmi lesquelles: - la figure 1 est un bloc-diagramme schématique d'un réseau de radiotéléphonie cellulaire numérique; - la figure 2 montre les étapes d'authentification d'un 10 radiotéléphone selon l'art antérieur; - la figure 3 montre les étapes permettant à un attaquant de cloner virtuellement la carte d'identité d'un abonné ; - la figure 4 montre des étapes d'un procédé 15 d'authentification conforme à l'invention et, - la figure 5 montre l'échec d'une attaque de type clonage virtuel par la mise en oeuvre du procédé d'authentification selon l'invention.
Le procédé de l'invention est décrit ci-après dans le cadre du réseau de radiotéléphonie RR de type GSM, déjà présenté en référence à la figure 1 qui ne subit que des modifications et adjonctions de logiciel essentiellement dans le centre d'authentification AUC ainsi que dans les cartes SIM des terminaux radiotéléphoniques mobiles.
Dans la description ci-après, un réseau fixe VLR/HRL-AUC est considéré comme la chaîne d'entités rattachées au terminal radiophonique mobile MS depuis l'interface radio IR, comprenant la station de base BTS, le contrôleur de station BTS, le commutateur MSC avec l'enregistreur de la localisation des visiteurs VLR et le couple HLR-AUC. La figure 1 rappelle également qu'un terminal radiotéléphonique mobile MS comprend un module à microprocesseur, telle qu'une carte à puce SIM. La carte à puce SIM comprend essentiellement une mémoire morte ROM, dite de programmes incluant généralement un système d'exploitation et des algorithmes d'applications, une mémoire non volatile EEPROM qui contient notamment toutes les données caractérisant l'abonnement du porteur de la carte, un répertoire de numéros de téléphone, des codes secrets ou clés d'authentification voire des programmes et algorithmes également, une mémoire RAM de traitement des données utilisées par le système d'exploitation notamment durant les échanges entre la carte et le terminal radiotéléphonique mobile qui l'accueille.
La figure 2 illustre les principales étapes du procédé d'authentification entre un terminal radiotéléphonique mobile MS et un réseau fixe tel qu'il fonctionne à ce jour. Lors de la mise en service du terminal radiotéléphonique mobile ou bien préalablement à toute communication téléphonique ou encore lors d'un transfert intercellulaire, le réseau de radiotéléphonie VLR/HLR-AUC, transmet une demande d'authentification E12 au terminal radiotéléphonique mobile en réponse à l'émission E11 par le radiotéléphone mobile MS de l'identité de l'abonné IMSI.
La demande d'authentification s'accompagne d'une transmission d'un nombre aléatoire RAND du réseau fixe au terminal radiotéléphonique mobile MS. A l'étape E13, ce dernier commande à la carte SIM de générer une réponse signée SRES à la demande d'authentification du réseau fixe. A l'étape E14, cette réponse est élaborée à l'aide de l'algorithme d'authentification AA auquel sont appliqués la clé d'authentification Ki et le nombre aléatoire RAND, transmis par le réseau fixe. La clé Ki est préalablement mémorisée dans la carte à puce et attribuée lors de la souscription de l'abonnement. Le terminal recueille la réponse SRES générée par la carte et 1a transmet en E15 à son tour au réseau fixe. A l'étape E16, le réseau fixe VLR/HLR-AUC élabore un résultat de réponse RSRES à l'aide d'un algorithme AA, de la clé Ki, mémorisée dans le centre d'authentification AUC en correspondance avec l'IMSI de l'abonné. A l'étape E17, le résultat de réponse RSRES est comparé par le centre d'authentification AUC à la réponse signée SRES retournée par le terminal radiotéléphonique mobile MS. Si le résultat de réponse RSRES correspond à la réponse signée SRES, la demande d'authentification de l'abonné est satisfaite et l'abonné peut utiliser son terminal pour communiquer. Dans le cas contraire la demande d'authentification échoue et l'abonné ne peut utiliser son radiotéléphone mobile.
La figure 3 met en scène une attaque de type clonage virtuel de la carte SIM d'un abonné. Comme expliqué précédemment les nouvelles technologies employées dans les radiotéléphones mobiles permettent de télécharger via le réseau de radiotéléphonie des programmes dans les radiotéléphones. Une personne malveillante ou attaquant veut parvenir à communiquer à l'aide d'un second radiotéléphone mobile MS2 sur le compte d'un abonné à son insu.
Par l'intermédiaire d'un cheval de Troie téléchargé dans le radiotéléphone MS d'un abonné, La personne malveillante rend le radiotéléphone de l'abonné capable de répondre à une demande d'authentification issue non pas du réseau mais d'un second radiotéléphone mobile. Le radiotéléphone mobile MS d'un abonné est authentifié licitement, conformément aux étapes E111 à E117. Le second radiotéléphone mobile MS2 sollicite une authentification E121 auprès du réseau fixe VLR2/HLR-AUC pour le compte de l'abonné. Le second radiotéléphone mobile MS2 communique l'IMSI de l'abonné audit réseau fixe VLR2/HLR-AUC qui lui demande en retour de s'authentifier en lui transmettant un nombre aléatoire RAND2 à l'étape E122. Le radiotéléphone MS2 de la personne malveillante soumet une demande d'authentification E123 au premier radiotéléphone mobile MS, en lui communiquant le nombre aléatoire RAND2, transmis préalablement par le réseau fixe. Le radiotéléphone mobile MS de l'abonné demande à la carte SIM de générer à l'étape E124 une réponse signée SRES2 en utilisant l'algorithme d'authentification AA de la carte SIM, avec en entrées la clé Ki mémorisée dans la carte SIM et le nombre aléatoire RAND2. Le radiotéléphone recueille à l'étape E125 la réponse SRES2 et la transmet à l'étape E126 à son tour au radiotéléphone mobile MS2 de la personne malveillante. Ce dernier retourne au réseau fixe VLR2/HLR-AUC la réponse signée SRES2 à l'étape E127.
Parallèlement le réseau fixe VLR2/HLR-AUC génère à l'étape E131 le résultat de réponse RSRES2 en appliquant au sein du centre d'authentification AUC à l'algorithme AA d'authentification le nombre aléatoire RAND2 et la clé d'authentification Ki de l'abonné. Le résultat de réponse RSRES2 est équivalent à la réponse signée SRES2. Le réseau fixe authentifie donc le second radiotéléphone mobile MS2 comme étant propriété de l'abonné à l'étape E132. La personne malveillante peut utiliser ainsi son radiotéléphone et communiquer sur le compte de l'abonné.
Pour remédier au problème posé par l'attaque décrite en référence à la figure 3, la présente invention adapte le procédé d'authentification décrit en référence à la figure 2, en ajoutant comme le montre la figure 4, une étape E24 préalable au calcul E25 de la réponse signée SRESn par la carte SIM d'un radiotéléphone mobile MS et une étape E27 préalable au calcul E28 du résultat de réponse RSRESn par le centre d'authentification AUC. La figure 4 décrit un procédé d'authentification selon l'invention dans lequel après réception E21 de l'IMSI d'un abonné par le réseau fixe VLR/HLR-AUC, ce dernier soumet une demande d'authentification E22 au radiotéléphone mobile MS. Ledit radiotéléphone demande, à l'étape E23, à la carte SIM de calculer une réponse signée sur la base de la clé d'authentification Ki mémorisée dans la carte SIM et du nombre aléatoire RANDn. Préalablement au calcul de la réponse signée SRESn, la carte SIM applique, à l'étape E24, à un second algorithme de transformation AT, algorithme mémorisé dans la carte SIM, le nombre aléatoire RANDn et la réponse signée SRESn-1 correspondant à la précédente demande d'authentification du radiotéléphone mobile MS. Le résultat TRANDn issu de la transformation du nombre aléatoire RANDn est appliqué, à l'étape E25, à l'algorithme d'authentification AA mémorisé dans la carte SIM. La réponse ainsi calculée SRESn est mémorisée (étape non représentée dans la figure 4) dans la carte SIM pour être utilisée lors la prochaine authentification. Ladite réponse SRESn est retournée au réseau fixe VLR/HLR-AUC par le radiotéléphone mobile MS à l'étape E26. De son côté, le réseau fixe VLR/HLR-AUC calcule, à l'étape E28, un résultat de réponse RSRESn à l'aide de l'algorithme AA d'authentification mémorisé dans le centre d'authentification AUC auquel sont appliqués la clé Ki de l'abonné et le nombre aléatoire TRANDn résultant d'un algorithme de transformation AT, mémorisé également dans le centre d'authentification AUC, auquel sont appliqués le nombre RANDn transmis au radiotéléphone mobile à l'étape E22, et le résultat de réponse RSRESn-1 correspondant à la précédente demande d'authentification. Le nouveau résultat de réponse ainsi calculé est mémorisé (étape non représentée dans la figure 4) dans le centre d'authentification AUC pour être utilisé lors la prochaine authentification. Le centre d'authentification AUC compare à l'étape E29, ledit résultat de réponse RSRESn à la réponse signée SRESn transmise par le radiotéléphone mobile MS à l'étape E26. Si le résultat RSRESn correspond à la réponse signée SRESn, l'authentification de l'abonné est satisfaite et l'abonné peut utiliser le radiotéléphone mobile MS pour communiquer. Dans le cas contraire l'authentification échoue et l'abonné ne peut communiquer avec son radiotéléphone mobile.
Dans le cas d'une première authentification, il n'est pas possible d'utiliser respectivement la réponse et le résultat de réponse de l'authentification précédente. Un nombre dont la valeur est établie par convention, est alors appliqué à l'algorithme de transformation conjointement au nombre aléatoire. Dans une variante préférée la valeur de ce nombre est nulle.
Pour détecter qu'il s'agit d'une première authentification, la carte SIM peut à titre d'exemple exploiter la valeur du nombre aléatoire qui lui est transmis via le terminal de radiotéléphonie MS par le réseau fixe VLR/HLR-AUC. Par exemple, la valeur nulle du bit de poids fort du nombre aléatoire peut indiquer qu'il s'agit d'une première authentification. Une valeur non nulle dudit bit de poids fort indique à la carte SIM qu'il s'agit au moins d'une deuxième authentification. D'autres configurations ou solutions techniques peuvent également être utilisées pour traiter le cas particulier d'une première authentification.
La nature de l'algorithme de transformation AT peut avoir une influence sur la robustesse du procédé d'authentification selon l'invention. Ainsi l'algorithme de transformation sera de préférence réalisé au moyen d'une fonction dite à sens unique. Une telle fonction permet de calculer très facilement TRANDn=AT(RANDn,SRESn-1) mais rend particulièrement difficile le calcul des nombres RANDn et SRESn-1 si l'on connaît TRANDn et l'algorithme AT.
En outre, l'utilisation d'une fonction dite sans collision pour réaliser l'algorithme de transformation AT sera à envisager de préférence. Une telle fonction ne permet pas de trouver facilement des couples (RAND1, SRES1) et (RAND2, SRES2) tels que AT(RAND1, SRES1) est égal à AT(RAND2, SRES2).
Dans une variante préférée, l'algorithme de transformation AT est réalisé à l'aide d'une fonction de hachage qui satisfait à la fois les propriétés d'une fonction à sens unique et d'une fonction sans collision. A titre d'exemple, la fonction de hachage correspond à l'algorithme SHA-1 (Secure Hash Algorithm - version 1) défini par la norme FIPS (Federal Information Processing Standard) 180-1 du 17 avril 1995. Une étape de troncature du nombre alétoire transmformé sera alors envisagée. A titre d'exemple les 128 bits de poids fort pourront être conservés pour être conforme aux spécifications de l'algorithme AA utilisé dans le GSM.
L'adaptation du procédé d'authentification présenté en référence à la figure 4 rend totalement inopérante une attaque par clonage virtuel de la carte SIM, attaque précédemment illustrée au moyen de la figure 2.
La situation à présent décrite en référence à la figure 5, met en scène un abonné s'étant authentifié licitement à l'aide des étapes E211 à E216 conformément au procédé d'authentification selon l'invention et une personne malveillante munie d'un second radiotéléphone MS2 apte à émettre à l'étape E221 l'IMSI de l'abonné, à l'insu dudit abonné, au réseau fixe VLR2/HLR-AUC. Par le biais d'un cheval de Troie préalablement chargé dans le radiotéléphone mobile MS d'un 13 abonné, ledit radiotéléphone MSaccepte une demande d'authentification E223 de l'abonné issue du second radiotéléphone mobile MS2 avec comme données un nombre aléatoire RANDm transmis par le réseau fixe à l'étape E222 au radiotéléphone mobile MS2. Le radiotéléphone de l'abonné demande, à l'étape E224, à la carte SIM de l'abonné de générer une réponse signée SRESm. La carte SIM applique, à l'étape E225, le nombre aléatoire RANDm et la réponse signée SRESn correspondant à la précédente authentification à l'algorithme de transformation AT. Le nombre TRANDm ainsi obtenu et la clé Ki d'authentification sont appliqués, à l'étape E226, à l'algorithme d'authentification AA de la carte SIM pour élaborer la réponse signée SRESm. Le radiotéléphone mobile MS de l'abonné retourne, à l'étape E227, ladite réponse signée au second radiotéléphone mobile, laquelle est transmise, à l'étape E228, au réseau fixe VLR2/HLR-AUC. De son côté, le réseau fixe élabore par le centre d'authentification AUC, à l'étape E231, le résultat de réponse RSRESm pour être comparé, à l'étape E233 avec la réponse signée SRESm. Le résultat de réponse RSRESm est obtenu à la suite de l'étape E232 consistant à appliquer à l'algorithme de transformation AT mémorisé dans le centre d'authentification AUC, le nombre aléatoire RANDm et le résultat de réponse RSRESm-1 mémorisé dans ledit centre d'authentification à la suite de la précédente demande d'authentification licite de l'abonné. Le nombre TRANDm ainsi obtenu est appliqué, à l'étape E231, avec la clé d'authentification Ki de l'abonné à l'algorithme d'authentification AA mémorisé dans le centre d'authentification AUC. Le résultat de réponse obtenu est comparé, à l'étape E233, à la réponse signée SRESm transmise par le second radiotéléphone mobile MS2. La comparaison échoue bien évidemment et la personne malveillante ne peut communiquer sur le compte de l'abonné.
Le procédé d'authentification selon l'invention met ainsi parfaitement en échec l'attaque dite de clonage virtuel de la carte SIM de l'abonné.
Bien que l'invention ait été décrite selon des réalisations préférées en référence à un réseau de radiotéléphonie entre un terminal radiotéléphonique mobile et le réseau fixe du réseau de radiotéléphonie, le procédé d'authentification selon l'invention peut être mis en oeuvre dans un réseau de télécommunication relativement à deux entités dont l'une a besoin d'authentifier l'autre, chaque entité pouvant être un ensemble d'entités prédéterminées et reliées.

Claims (8)

REVENDICATIONS
1. Procédé d'authentification entre une première entité (MS) et une deuxième entité (VLR, HLR, AUC) dans un réseau de communication (RR), comprenant des étapes d'appliquer des clés d'authentification (Ki) mémorisées respectivement dans les première et deuxième entité et un nombre aléatoire (RANDn) produit par la deuxième entité (VLR, HLR, AUC) et transmis (E22) par la deuxième entité à la première entité (MS) respectivement à des premiers algorithmes (AA) identiques mémorisés dans les première et deuxième entités, et comparer (E29) dans la deuxième entité (VLR, HLR, AUC) une réponse (SRESn) produite (E25) par le premier algorithme (AA) mémorisé dans la première entité (MS) et transmise (E26) à la deuxième entité (VLR, HLR, AUC) avec un résultat de réponse (RSRESn) produit (E28) par le premier algorithme mémorisé dans la deuxième entité, ledit procédé étant caractérisé en ce que l'étape d'appliquer (E14, E15) au premier algorithme (AA) le nombre aléatoire (RANDn) est réalisée au moyen d'une étape préalable de transformation dudit nombre aléatoire pour obtenir un nombre aléatoire transformé (TRANDn) appliqué audit premier algorithme (AA), ladite étape préalable de transformation consistant à appliquer (E24, E27) le nombre aléatoire (RANDn) et le résultat de réponse (SRESn-1, RSRESn-1) de la précédente authentification à des deuxièmes algorithmes (AT) mémorisés respectivement dans les première et deuxième entités, et en ce que ledit procédé comporte en outre une étape de mémoriser respectivement dans les première et deuxième entités la réponse (SRESn, RSRESn) produite par le premier algorithme (AA).
2. Procédé selon la revendication 1 caractérisé en ce que l'étape (E24, E27) préalable de transformation du nombre aléatoire (RANDn) réalisée au moyen du deuxième algorithme (AT) met en oeuvre une fonction dite à sens unique et sans collision.
3. Procédé selon la revendication 2, caractérisé en ce que la 5 fonction dite à sens unique et sans collision est une fonction de hachage.
4. Procédé selon l'une quelconque des revendications précédentes caractérisé en ce l'authentification entre la première entité (MS) et la deuxième entité (VLR, HLR, AUC) est considérée comme une première authentification par ladite première entité (MS) si au moins un bit, dont 1a position et la valeur, préalablement établis par convention, est caractéristique d'une première authentification.
5. Procédé selon la revendication 4 caractérisé en ce que lors d'une première authentification, l'étape préalable de transformation consiste à appliquer (E24, E27) au deuxième algorithme (AT) le nombre aléatoire (RANDn) et un nombre dont la valeur est fixée par convention en lieu et place du résultat de réponse de la précédente authentification (SRESn-1, RSRESn-1).
6. Procédé selon la revendication 5 caractérisé en ce que la valeur du nombre appliqué (E24, E27) à l'algorithme de transformation (AT) conjointement au nombre aléatoire (RANDn), lors d'une première authentification, est nulle.
7. Procédé selon l'une quelconque des revendications précédentes caractérisé en ce que les première et deuxième entités sont respectivement un terminal radiotéléphonique mobile (MS) et un réseau fixe (VLR, HLR, AUC) dans un réseau de radiotéléphonie cellulaire.
8. Module d'identité (SIM) dans une première entité (MS) caractérisé en ce qu'il comprend des moyens (ROM, EEPROM, RAM) pour mémoriser au moins le deuxième algorithme (AT) et au moins la réponse signée (SRESn-1) élaborée par le premier algorithme (AA) pour exécuter au moins les étapes d'appliquer (E25, E26) aux premier et deuxième algorithmes (AA, AT) conformément aux revendications 1 à 7.
FR0350638A 2003-10-02 2003-10-02 Procede d'authentification dans un reseau de radiotelephone Expired - Fee Related FR2860672B1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FR0350638A FR2860672B1 (fr) 2003-10-02 2003-10-02 Procede d'authentification dans un reseau de radiotelephone
PCT/EP2004/052394 WO2005032195A2 (fr) 2003-10-02 2004-10-01 Procede d'authentification dans un reseau de radiotelephonie
EP04766873A EP1668944A2 (fr) 2003-10-02 2004-10-01 Procede d authentification dans un reseau de radiotelephonie
CNA2004800359339A CN1890919A (zh) 2003-10-02 2004-10-01 提供无线电话网络中的鉴别的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0350638A FR2860672B1 (fr) 2003-10-02 2003-10-02 Procede d'authentification dans un reseau de radiotelephone

Publications (2)

Publication Number Publication Date
FR2860672A1 true FR2860672A1 (fr) 2005-04-08
FR2860672B1 FR2860672B1 (fr) 2006-05-19

Family

ID=34307559

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0350638A Expired - Fee Related FR2860672B1 (fr) 2003-10-02 2003-10-02 Procede d'authentification dans un reseau de radiotelephone

Country Status (4)

Country Link
EP (1) EP1668944A2 (fr)
CN (1) CN1890919A (fr)
FR (1) FR2860672B1 (fr)
WO (1) WO2005032195A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111107597A (zh) * 2019-12-28 2020-05-05 深圳市嘉创信息技术服务有限公司 一种通讯模组网络的可靠切换方法和装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11483709B2 (en) 2019-03-14 2022-10-25 At&T Intellectual Property I, L.P. Authentication technique to counter subscriber identity module swapping fraud attack

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020012433A1 (en) * 2000-03-31 2002-01-31 Nokia Corporation Authentication in a packet data network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020012433A1 (en) * 2000-03-31 2002-01-31 Nokia Corporation Authentication in a packet data network

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
AURA T: "Strategies against replay attacks", COMPUTER SECURITY FOUNDATIONS WORKSHOP, 1997. PROCEEDINGS., 10TH ROCKPORT, MA, USA 10-12 JUNE 1997, LOS ALAMITOS, CA, USA,IEEE COMPUT. SOC, US, 10 June 1997 (1997-06-10), pages 59 - 68, XP010229295, ISBN: 0-8186-7990-5 *
MENEZES, OORSCHOT, VANSTONE: "Handbook of Applied Cryptography, PASSAGE", HANDBOOK OF APPLIED CRYPTOGRAPHY, CRC PRESS SERIES ON DISCRETE MATHEMATICS AND ITS APPLICATIONS, BOCA RATON, FL, CRC PRESS, US, 1997, pages 417 - 418, XP002295499, ISBN: 0-8493-8523-7 *
ROTH, V: "On the Robustness of some Cryptographic Protocols for Mobile Agent Protection", PROCEEDINGS OF 5TH INTERNATIONAL CONFERENCE ON MOBILE AGENTS. SPRINGER VERLAG, LECTURE NOTES IN COMPUTER SCIENCE, vol. 2240, 4 December 2001 (2001-12-04), ATLANTA, GA, USA, pages 1 - 16, XP002295498, ISBN: 3-540-42952-2 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111107597A (zh) * 2019-12-28 2020-05-05 深圳市嘉创信息技术服务有限公司 一种通讯模组网络的可靠切换方法和装置
CN111107597B (zh) * 2019-12-28 2022-06-14 深圳市新国都通信技术有限公司 一种通讯模组网络的可靠切换方法和装置

Also Published As

Publication number Publication date
EP1668944A2 (fr) 2006-06-14
WO2005032195A3 (fr) 2006-04-20
CN1890919A (zh) 2007-01-03
WO2005032195A2 (fr) 2005-04-07
FR2860672B1 (fr) 2006-05-19

Similar Documents

Publication Publication Date Title
EP1547426B1 (fr) Identification d un terminal aupres d un serveur
EP1601225B1 (fr) Procédé et systéme de duplication sécurisée des informations d'une carte SIM
EP1157575B1 (fr) Authentification dans un reseau de radiotelephonie
EP0459065A1 (fr) Installation téléphonique pour le chargement à distance de données d'abonnement téléphonique d'une station autonome
EP3523998B1 (fr) Procédé d'authentification mutuelle entre un équipement utilisateur et un réseau de communication
JP2002537739A (ja) 安全なハンドオーバーの方法
JPH11513853A (ja) 移動通信システムにおける加入者確証
JP2003535559A (ja) 電子メールの生物測定暗号化方法
WO2009115755A2 (fr) Procédé d'authentification, système d'authentification, terminal serveur, terminal client et programmes d'ordinateur correspondants
JP2003530046A (ja) 加入者の認証
FR2860672A1 (fr) Procede d'authentification dans un reseau de radiotelephone
FR2809897A1 (fr) Procede de communication securisee entre un reseau et une carte a puce d'un terminal
WO2003041022A1 (fr) Procede de transaction securisee entre un telephone mobile equipe d'un module d'identification d'abonne (carte sim) et un serveur d'application
WO2003079714A1 (fr) Procede d'echange d'informations d'authentification entre une entite de communciation et un serveur-operateur
EP1321005B1 (fr) Procede d'implantation d'informations sur un identifiant
WO2003085886A2 (fr) Procede pour securiser une liaison entre un terminal de donnees et un reseau local informatique, et terminal de donnees pour la mise en oeuvre de ce procede
EP2735196B1 (fr) Procédé d'inhibition d'une communication d'un équipement avec un réseau
EP2001195B1 (fr) Procédé d'établissement d'une communication point à point entre un terminal appelant et un terminal appelé d'un réseau sans fils de communication par paquets de type ad-hoc
EP1883199B1 (fr) Procédé de contrôle de l'accès d'une station mobile à une station de base
FR3111038A1 (fr) Traitements cryptographiques pour chiffrer ou déchiffrer des données
FR2869176A1 (fr) Procede de verification dans un terminal radio de l'authenticite de certificats numeriques et systeme d'authentification
FR3135585A1 (fr) Routeur
FR3127859A1 (fr) Procédé, dispositif et système d'enregistrement d’un terminal à un réseau de communication
FR2844409A1 (fr) Protection d'une cle secrete pour algorithme d'authentification dans un radiotelephone mobile
EP2146534A1 (fr) Procédé, système, serveur et terminal d'authentification hybride

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20100630