JP4847951B2 - シグナリングメッセージのプロトコル拡張 - Google Patents
シグナリングメッセージのプロトコル拡張 Download PDFInfo
- Publication number
- JP4847951B2 JP4847951B2 JP2007503339A JP2007503339A JP4847951B2 JP 4847951 B2 JP4847951 B2 JP 4847951B2 JP 2007503339 A JP2007503339 A JP 2007503339A JP 2007503339 A JP2007503339 A JP 2007503339A JP 4847951 B2 JP4847951 B2 JP 4847951B2
- Authority
- JP
- Japan
- Prior art keywords
- communication terminal
- signaling message
- sgsn
- msc
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明はネットワークユニットから通信端末へ送信されたシグナリングメッセージにおける変更を識別するための方法及び装置に関する。
通信ネットワーク、とりわけGSMネットワーク及びUMTSネットワークのような第2及び第3世代の移動無線システムでは、ネットワークユニット(交換ユニット=モバイルサービススイッチングセンタMobile Service Switching Center[MSC]又はサービングGPRSサポートノード=Serving GPRS Support Node[SGSN])が通信端末とシグナリングメッセージを交換する。
Ala-Laurila, J., u.a.: Wireless LAN access network architecture for mobile operators; IEEE Communications Magazine, Volume 39, Issue 11, Nov. 2001, S.82-89 からはWLANアクセスネットワークテクノロジ、SIMベースのユーザマネージメントファンクション及びネットワークオペレータのローミングインフラストラクチャの結合のための新しいワイヤレスレスLANアーキテクチャが公知である。記述されたシステムではWLANアクセスがGSM−SIMカードを介して認証され、課金される。
Postel, J.: User Datagram Protocol: Internet Engineering Task Force (IETF). 28.August 1980(In Internet: URL: http://www.ietf.org/rfc/rfc768.txt) はコンピュータネットワーク内のパケット交換コンピュータ通信のためのユーザデータグラムプロトコル(UDP=User Datagram Protocol)を記述している。UDPプロトコルにとってインターネットプロトコルは基礎であり、最小のプロトコルメカニズムを有する別のプログラムにメッセージの送信のためのアプリケーションに対するプロシージャが設けられている。
文書D3(2004/0037320 A1)から伝送ユニットからワイヤレス通信システムを介して受信器ユニットへパケットを伝送するための技術が公知である。この場合、パケットに含まれているデータフレームが受信される。1つ以上のヘッダがパケットに対して1つ以上のプロトコルのためにプロトコルフィールド内で生成される。プロトコルとしてはこの場合RTP、UDP、IP、PPP、RLP及びこれらのバリエーションが有効である。
文書D4(WO 03/036908 A1)からはマルチキャストサービス(Multicast Service)の使用によってネットワーク内で多数の端末にメッセージを伝送するための方法が公知である。この場合、マルチキャストメッセージは暗号化され、同時に複数の端末に送信される。
基地局と通信端末乃至は移動無線機器との間の無線インターフェースは基本的に攻撃者に対する多くの可能性を提供するので、攻撃者はいわゆる「偽の基地局」によって通信端末と真の基地局との間に位置を占める。偽の基地局はこの場合通信端末に対しては基地局のように振る舞い、真の基地局に対しては通信端末のように振る舞う。通信端末とネットワークユニットとの間で交換されるメッセージの改ざんによって偽の基地局は例えば移動無線会話が暗号的に比較的弱い方法で暗号化されこれにより比較的容易に盗聴されうるように操作することができる。
メッセージの改ざんに対する保護のための方法はUMTSネットワークでは3GPP TS 33.102,Universal Mobile Telecommunications System (UMTS); 3G security; Security architecture, Release 5.3.0 (2003-10-03), chapter 6.3に従って実現される。
移動無線機器が初めて通信ネットワークにログインする場合、認証プロシージャが実施され、この認証プロシージャでは移動無線機器が通信ネットワークに対して認証され、移動無線機器と通信ネットワークとの間では秘密の一時的な鍵IKが取り決められる。
このために、通信ネットワーク乃至は移動無線ネットワークにおいて特別なネットワークユニット、認証センタ=Authentication Center (AuC)の中で加入者の秘密鍵Ki及び乱数RANDからファンクションf2K(RAND,Ki)によって署名されたレスポンス(signed response)(SRES)が及び更に別のファンクションf4K(RAND,Ki)によって一時的な秘密鍵IKが計算される。RAND、SRES及びIKは次いで移動無線機器がちょうど接続されているモバイルサービススイッチングセンタMSC又はサービングGPRSサポートノードSGSNに送信される。MSC乃至はSGSNは最終的にメッセージ「認証リクエスト」(Authentication Request)によって乱数RANDを移動無線機器に送信する。移動無線機器ではRAND及び秘密鍵Kiからファンクションf2K(RAND,Ki)及びファンクションf4K(RAND,Ki)によって署名されたレスポンス(signed response)(SRES)及び一時的な秘密鍵IKが計算される。
続いて、移動無線機器は値SRESを認証応答メッセージ(認証レスポンス)によって通信ネットワークに返送する。MSC乃至はSGSNはこの値を認証センタAuCにより計算された値と比較する。これら2つが一致する場合、移動無線機器は正常に認証されたと見なされる。同時に移動無線機器及び通信ネットワークはこのプロシージャによって一時的な秘密鍵IKを生成する。
移動無線機器と通信ネットワークとの間で認証プロシージャの後で交換される全てのシグナリングメッセージに対して、メッセージの送信側はその都度秘密鍵IKによって検査値ハッシュ(メッセージ,IK)を計算する。検査値ハッシュ(メッセージ,IK)は一時的な鍵IKによって計算される。というのも、秘密鍵Kiは認証センタから一般的には決して離れてはならないからである。この後で、検査値はメッセージによって伝送され、移動無線機器によって検査される。メッセージが偽の基地局によって変更されていた場合、移動無線機器はこれを通常は検査値がもはや一致していないことにおいて識別する。なぜなら、偽の基地局は秘密鍵IKを知っておらず、従って変更されたメッセージに対して検査値を計算できないからである。
UMTSネットワークにおいては、この方法は、もちろん最初から、すなわち最初のプロトコルバージョンから導入された。移動無線機器は従ってメッセージが検査値を含まなければならないことを知っている。従って、移動無線機器が「古いネットワーク」(メッセージが検査値を含まない)の中にいるのか又は「新しいネットワーク」(メッセージが検査値を含まなくてはならない)の中にいるのかを区別することは必要ない。
GSMシステムにおいては類似の提案がなされた:この場合新しいメッセージエレメントとして検査値が認証リクエストメッセージ(認証リクエスト)に付加された。偽の(詐欺の)基地局はメッセージを当然(例えば盗聴目的のために)改ざんし、この偽の基地局は検査値を除去し、メッセージを古いフォーマットで移動無線機器に転送する。いかにして移動無線機器が新しいネットワークの中にいることを識別しうるかという問題はこの提案によっては解決されなかった。GSMシステムに対する更に別の提案(3GPP TSG SA WG3 Security, Cipher key separation for A/Gb security enhancements, file S3-030463, 15-18 JULY 2003, San Francisco, USA, Agenda point 7.5, Source: Vodafone)は、偽の基地局がRANDパラメータの値を認証リクエストメッセージ(認証リクエスト)の中で変更してはならないということに基づいている。というのも、さもなければ移動無線機器が間違ったSRES値を計算し認証プロシージャが成立しないからである。
この提案によれば、RANDパラメータの最初の32ビットの中に特別に決められたビット列が挿入され、このビット列が移動無線機器にRANDパラメータの後続のnビットにおいて所定の情報が伝送されることを指示する。(標準化寄稿S3−030463では具体的に次の8ビットにおいてどのGSM暗号アルゴリズムがこのネットワークで許可されており、どのGSM暗号アルゴリズムこのネットワークで許可されていないかを符号化することが提案される。こうして偽の基地局が移動無線機器への無線インターフェースでメッセージを不正操作し、暗号的に比較的弱い暗号アルゴリズムが選択されてしまうことが阻止される。)
特別なビット列が必要とされる。というのも、このプロトコル拡張は最初から全てのネットワークによってサポートされてはいないからである。特別なビット列が長くなればなるほど、ますますこのプロトコル拡張をまだサポートしていない通信ネットワークがRANDパラメータの選択の際にランダムに特別なビット列を選択し移動無線機器がこの場合誤ってRANDパラメータの中の他のビットを情報として解釈してしまう確率が小さくなる。32ビットの場合この確率は例えば1:232≒1:4x109である。
一般的に以下の要求が問題解決のために満たされる必要がある:
i)プロトコル拡張をサポートしている新しいネットワーク(UMTSネットワーク等々)では同様にプロトコル拡張をサポートしている通信端末乃至は移動無線機器が認証リクエストメッセージ(認証リクエスト)の改ざんに気づくべきである。
i)プロトコル拡張をサポートしている新しいネットワーク(UMTSネットワーク等々)では同様にプロトコル拡張をサポートしている通信端末乃至は移動無線機器が認証リクエストメッセージ(認証リクエスト)の改ざんに気づくべきである。
ii)通信端末乃至は移動無線機器はプロトコル拡張をまだサポートしていない古いネットワーク(GSMネットワーク等々)の中でも機能するべきである。必然的にこの通信端末乃至は移動無線機器はこの場合はメッセージ改ざんを識別できない。
iii)通信端末乃至は移動無線機器は、とりわけ偽の基地局がこの通信端末乃至は移動無線機器に対して「古いネットワーク」を偽装しようとする場合でも古いネットワークの中にいるのか又は新しいネットワークの中にいるのかを識別できなくてはならない。
概念「追加的プロトコル拡張」とは、シグナリングプロトコルのバージョン「n」ではメッセージがまだ改ざんに対して保護されていないが、プロトコルのバージョン「n+1」以後は保護されていることだと理解してほしい。新しいバージョン「n+1」はこの場合先行バージョン「n」に対して下位互換性を有するべきである。偽の基地局による可能な改ざんは、例えば、新しいメッセージエレメントが簡単に省略されることである。移動無線機器はこの場合プロトコルバージョン「n」を有するネットワークの中にいると推量する。
S3−030463(3GPP TSG SA WG3 Security, Cipher key separation for A/Gb security enhancements, 15-18 JULY 2003, San Francisco, USA, Agenda point 7.5, Source: Vodafone)で提案された方法における問題は、保護すべき情報がRANDパラメータの中に埋め込まれており、すなわちこのような情報が時間経過の中でますます付加されるにつれて、いよいよ少ないビットが通信ネットワークによって事実上ランダムに選択されうることである。これによって、認証ファンクションf2K(RAND,Ki)が弱まる傾向がある。さらにRANDパラメータの長さ(GSM及びUMTSネットワークでは16バイト)によってこうして保護されうる情報量の上限が予め設定されてしまう。
本発明の課題は、シグナリングメッセージの変更の効率的かつ簡単な識別に対する可能性を提案することである。
上記課題は本発明によれば独立請求項の対象によって解決される。本発明の改善実施形態は従属請求項に記載されている。
本発明の核心は、ネットワークユニットから通信端末へ送信されたシグナリングメッセージにおける変更を識別するために、送信されたシグナリングメッセージ(認証リクエスト)の中のネットワークユニット及びこの通信端末に既知のビット列が、シグナリングメッセージ(認証リクエスト;更に別のメッセージ)の中に検査値が含まれていることを指示することである。検査値を含むシグナリングメッセージはこの場合認証リクエストメッセージ又はこれに続く更に別のメッセージ乃至はシグナリングメッセージである。このメッセージの受信後に通信端末により受信された検査値がこの通信端末により計算された検査値と比較される。例えば移動無線端末、モバイルコンピュータ、モバイルオーガナイザ等々である通信端末は、続いて、このビット列がシグナリングメッセージ(認証リクエスト)において受信されかつこれら2つの検査値の比較がポジティブな結果を与える場合に、シグナリングメッセージ(認証リクエスト;更に別のメッセージ)を変更なしと定義する。特別なビット列自体は伝送の際に適当なやり方で保護され、この結果、偽の基地局による変更はこの通信端末又はネットワークユニットによって気づかれる。理想的には、特別なビット列はRANDパラメータの中に含まれている。RANDパラメータ内の特別なビット列によってこの通信端末は大きな確実性でもって通信ネットワークがシグナリングメッセージのプロトコル拡張をサポートしているかどうかを識別できる。偽の基地局が通信端末に対して「古い」ネットワークを偽装するためにRANDパラメータを変更した場合には、これはネットワークユニット、とりわけモバイルサービススイッチングセンタ(MSC)乃至はサービングGPRSサポートノード(SGSN)によって気づかれる。というのも、認証プロシージャが失敗するからである。更なる利点は、固有の検査値を使用することによって保護されるうる情報量がもはや前もって限定されないことである。新しいメッセージエレメントがシグナリングメッセージに付加される場合、これは自動的に検査値の計算によって考慮に入れられうる。新しいメッセージエレメントは比較的後のプロトコルバージョンにおいても付加されうる。さらに認証ファンクションf2K(RAND,Ki)は大して弱められることがない。というのも、ビット列だけがシグナリングメッセージにおいてRANDパラメータの中に埋め込まれ、他の保護すべきメッセージエレメントはRANDパラメータの中に埋め込まれないからである。RANDパラメータにおける変動可能性はこれによって比較的大きいままである。選択的に全ての後続のシグナリングメッセージも検査値によって保護されうる。これは「偽の基地局」による万一の場合の攻撃者に対する比較的効率的な保護をもたらす。
本発明を図面に図示された実施例に基づいて詳しく説明する。ここで
図1は「偽の基地局」を有するネットワークアーキテクチャを示し、
図2は本発明の方法の実施のための簡略化されたネットワークアーキテクチャを示し、
図3はネットワークユニットからシグナリングメッセージを受信するための通信端末の概略図を示し、
図4は本発明のネットワークユニットの簡略化された概略図を示す。
図1は「偽の基地局」を有するネットワークアーキテクチャを示し、
図2は本発明の方法の実施のための簡略化されたネットワークアーキテクチャを示し、
図3はネットワークユニットからシグナリングメッセージを受信するための通信端末の概略図を示し、
図4は本発明のネットワークユニットの簡略化された概略図を示す。
図1は「偽の基地局」f−BSSを有する移動無線ネットワークのネットワークアーキテクチャを示し、この「偽の基地局」f−BSSは通信端末乃至は移動無線機器MSと基地局BSSとの間に位置を占めている。偽の基地局はこの場合移動無線機器MSに対しては基地局BSSのように振る舞い、真の基地局BSSに対しては移動無線機器MSのように振る舞う。移動無線機器MSとネットワークユニットMSC/SGSNとの間で交換されるメッセージを改ざんすることによって、この偽の基地局f−BSSは例えば暗号的に比較的弱い方法によって移動無線会話を暗号化し、これによって比較的容易に盗聴できるように操作することができる。ネットワークユニットMSC/SGSNはここではモバイルサービススイッチングセンタMSC又はサービングGPRSサポートノードSGSNである。
図2は本発明の方法を実施するための簡略化された概略図を示す。既に記述したように、通信ネットワーク、ここでは移動無線ネットワークの中では特別なネットワークユニット、認証センタAuCにおいて加入者の秘密鍵Ki及び乱数RANDからファンクションf2K(RAND,Ki)によって「署名されたレスポンス」(SRES)及び更に別のファンクションf4K(RAND,Ki)によって一時的な秘密鍵IKが計算される。RAND、SRES及びIKはこの場合使用される移動無線ネットワーク(GSMネットワーク、UMTSネットワーク等々)に依存してネットワークユニットMSC/SGSN(モバイルサービススイッチングセンタMSC又はサービングGPRSサポートノードSGSN)に送信され、このネットワークユニットMSC/SGSNに移動無線機器MSはまさに接続されている。モバイルサービススイッチングセンタMSC乃至はサービングGPRSサポートノードSGSNは最終的にシグナリングメッセージ「認証リクエスト」(Authentication Request)によって乱数パラメータRAND、ネットワークユニットMSC/SGSNによって作成された検査値及び更に別のパラメータを移動無線機器MSに送信する。RANDパラメータは特別なビット列を含み、この特別なビット列は移動無線機器にもネットワークユニットMSC/SGSNにも既知であり、例えば「偽の基地局」による変更に対して保護されている。この保護は、通信端末MSが「偽の基地局」を有する攻撃者によるビット列の変更の際にネットワークユニットMSC/SGSNにおいて計算された値(検査値、SRES等々)に対して異なる値を計算し、これが例えば認証レスポンスにおいてネットワークユニットトMSC/SGSNによって検出されうる限りにおいて成立する。認証センタAuCは、ネットワークユニットMSC/SGSNにも通信端末MSにも既知である少なくとも2つのビット列から1つのビット列をネットワークユニットMSC/SGSNと通信端末MSとの間の発送のために選択し使用することもできる。特別なビット列を有するRANDパラメータは、通信端末乃至は移動無線機器MSがまさにその中に存在する通信ネットワークがプロトコル拡張をサポートしていることが既知である場合にのみ、すなわちネットワークユニットMSC/SGSNが検査値を計算し認証リクエストメッセージによって送信することができる場合にのみ、一般に認証センタAuCによって発生される。S3−030463(3GPP TSG SA WG3 Security, Cipher key separation for A/Gb security enhancements, 15-18 JULY 2003, San Francisco, USA, Agenda point 7.5, Source: Vodafone)において提案されたように、これは、ローミングの場合には、すなわち加入者が自分のホーム通信ネットワーク内にいない場合には、認証センタAuCがパラメータRAND、SRES及びIKを送信しなければならない移動無線ネットワーク(乃至はモバイルサービススイッチングセンタMSC又はサービングGPRSサポートノードSGSN)のアイデンティティをリストと比較し、このリストの中にどの通信ネットワークがプロトコル拡張をサポートしているかがリストアップされていることによって解決される。検査値「ハッシュ」f(メッセージ,IK)はネットワークユニットMSC/SGSNによってシグナリングメッセージの内容及び鍵IKから決定される。
移動無線機器MSにおいてRANDパラメータ及び秘密鍵Kiからファンクションf2K(RAND,Ki)及びf4K(RAND,Ki)によって「署名されたレスポンス」(SRES)及び一時的な秘密鍵IKが計算される。シグナリングメッセージ「認証リクエスト」(Authentication Request)のRANDパラメータの中の特別なビット列によって、この移動無線機器MSに対してこのシグナリングメッセージの中には検査値「ハッシュ」f(メッセージ,IK)が含まれていなければならないことが指示される。当然、特別なビット列は、移動無線機器MS又はネットワークユニットMSC/SGSNが偽の基地局によるこのパラメータの変更を識別できることが保証されている場合には、別のパラメータの中に含まれてもよい。次いで、通信端末MS乃至は移動無線機器MSは固有の検査値「ハッシュ」f(メッセージ,IK)を計算し、この検査値「ハッシュ」f(メッセージ,IK)はメッセージの内容及び一時的な秘密鍵IKから計算され、この計算された検査値をシグナリングメッセージ内に含まれていた検査値と比較する。RANDパラメータが特別なビット列を含むにもかかわらず検査値が欠如している場合、又は、送信された検査値が移動無線機器MS自体の計算した検査値と一致しない場合(2つの検査値の同一性)、メッセージはネットワークユニットMSC/SGSNから移動無線機器MSへの途中で改ざんされたと推定される。ネットワークユニットMSC/SGSNから通信端末MSへのシグナリングメッセージの発送に、例えば通信ネットワーク間ハンドオーバの場合のように複数の通信ネットワークが関与することもありうる。
この後で、移動無線機器MSは認証の終了のために移動無線機器MSにより計算されたSRESパラメータを有するシグナリングメッセージ「認証レスポンス」をネットワークユニットMSC/SGSNに送信する。
図3はネットワークユニットMSC/SGSNからシグナリングメッセージを受信するための通信端末MSの概略図を示す。通信端末MSは移動通信のために、とりわけ移動無線ネットワークによる移動通信のために、受信ユニットE及び送信ユニットSを有する。処理ユニットVはシグナリングメッセージ、とりわけRANDパラメータの中の特別なビット列に基づいて、このシグナリングメッセージの中に検査値「ハッシュ」f(メッセージ,IK)が含まれていなければならないことを識別することができる。次いで、通信端末MS乃至は移動無線機器MSは固有の検査値「ハッシュ」f(メッセージ,IK)を計算し、この検査値「ハッシュ」f(メッセージ,IK)はメッセージの内容及び一時的な秘密鍵IKから計算され、この計算された検査値をシグナリングメッセージの中に含まれていた検査値と比較する。通信端末MSはこれら2つの検査値の比較がポジティブな結果を与える場合にのみこのシグナリングメッセージを変更なしと定義する。この場合、ポジティブな結果と見なされるのはこれら2つの検査値が一致していることである。本発明の変形実施形態では、特別なビット列によって、この通信端末がその中にまさにいる通信ネットワーク内において通信ネットワーク乃至はネットワークユニットMSC/SGSNから通信端末MSへと送信される全ての後続のメッセージも検査値を含まなくてはならないことがシグナリングされる。
図4は本発明のネットワークユニットMSC/SGSNの簡略化された概略図を示す。このネットワークユニットMSC/SGSNは移動通信のために、とりわけ移動無線ネットワークによる移動通信のために、受信ユニットEE及び送信ユニットSEを有する。処理ユニットVEは図2に従ってパラメータを認証センタAuCから受け取り、検査値「ハッシュ」f(メッセージ,IK)を決定する。この検査値「ハッシュ」f(メッセージ,IK)をこの処理ユニットVEは更に別のパラメータとともに接続された通信端末MSへとシグナリングメッセージにおいて送信する。
有利には、ビット列及び検査値は同一のシグナリングメッセージにおいてネットワークユニットMSC/SGSNから通信端末MSへ送信される。
有利には、ビット列及び検査値は少なくとも2つの異なるシグナリングメッセージにおいてネットワークユニットMSC/SGSNから通信端末MSへ送信される。
有利には、ネットワークユニットMSC/SGSNは少なくとも1つの通信ネットワークを介して通信端末MSにシグナリングメッセージを送信する。
MS 通信端末、移動無線機器
BSS 基地局
f−BSS 偽の基地局
MSC 交換ユニット=モバイルサービススイッチングセンタ
SGSN サービングGPRSサポートノード
MSC/SGSN ネットワークユニット
AuC 認証センタ
Ki 秘密鍵
RAND 乱数
SRES 署名されたレスポンス
IK 一時的な秘密鍵
E 受信ユニット
V 処理ユニット
S 送信ユニット
EE 受信ユニット
VE 処理ユニット
SE 送信ユニット
BSS 基地局
f−BSS 偽の基地局
MSC 交換ユニット=モバイルサービススイッチングセンタ
SGSN サービングGPRSサポートノード
MSC/SGSN ネットワークユニット
AuC 認証センタ
Ki 秘密鍵
RAND 乱数
SRES 署名されたレスポンス
IK 一時的な秘密鍵
E 受信ユニット
V 処理ユニット
S 送信ユニット
EE 受信ユニット
VE 処理ユニット
SE 送信ユニット
Claims (11)
- ネットワークユニット(MSC/SGSN)から通信端末(MS)へ送信されたシグナリングメッセージにおける変更を識別するための方法において、
送信されたシグナリングメッセージ(認証リクエスト)の中のネットワークユニット(MSC/SGSN)及び通信端末(MS)に既知のビット列が、シグナリングメッセージ(認証リクエスト;更に別のメッセージ)の中に検査値が含まれていることを前記通信端末(MS)に指示し、該通信端末(MS)によって受信された検査値が前記通信端末(MS)によって計算された検査値と比較され、及び、前記ビット列がシグナリングメッセージ(認証リクエスト)において受信された場合に及びこれら2つの検査値の比較がポジティブな結果を与える場合にのみ前記通信端末(MS)がシグナリングメッセージ(認証リクエスト;更に別のメッセージ)を変更なしと定義し、
ビット列が認証リクエストメッセージ(認証リクエスト)において通信端末(MS)に送信され、
RANDパラメータの中のビット列がシグナリングメッセージによって通信端末(MS)に送信され、さらに
検査値がシグナリングメッセージ内容及び鍵値から決定されることを特徴とする、
ネットワークユニット(MSC/SGSN)から通信端末(MS)へ送信されたシグナリングメッセージにおける変更を識別するための方法。 - ビット列は伝送の際の変更に対して保護されていることを特徴とする、請求項1記載の方法。
- ビット列及び検査値は同一のシグナリングメッセージにおいてネットワークユニット(MSC/SGSN)から通信端末(MS)へ送信されることを特徴とする、請求項1または2記載の方法。
- ビット列及び検査値は少なくとも2つの異なるシグナリングメッセージにおいてネットワークユニット(MSC/SGSN)から通信端末(MS)へ送信されることを特徴とする、請求項1〜3いずれか1項記載の方法。
- 2つの検査値の一致がポジティブな結果と見なされることを特徴とする、請求項1〜4いずれか1項記載の方法。
- 少なくとも2つの異なるビット列から1つのビット列がネットワークユニット(MSC/SGSN)と通信端末(MS)との間のシグナリングメッセージにおける発送のために選択され使用されることを特徴とする、請求項1〜5いずれか1項記載の方法。
- ネットワークユニット(MSC/SGSN)は少なくとも1つの通信ネットワークを介して通信端末(MS)にシグナリングメッセージを送信することを特徴とする、請求項1〜6いずれか1項記載の方法。
- 通信ネットワークは移動無線ネットワークであることを特徴とする、請求項7記載の方法。
- ネットワークユニット(MSC/SGSN)はモバイルサービススイッチングセンタ(MSC)及び/又はサービングGPRSサポートノード(SGSN)であることを特徴とする、請求項1〜8いずれか1項記載の方法。
- 通信端末(MS)は移動無線端末、モバイルコンピュータ及び/又はモバイルオーガナイザであることを特徴とする、請求項1〜9いずれか1項記載の方法。
- ネットワークユニット(MSC/SGSN)から送信されたシグナリングメッセージにおける変更を識別するための通信端末において、
通信ネットワークを介する通信のために通信端末(MS)の送信ユニット(S)及び受信ユニット(E)を有し、
ネットワークユニット(MSC/SGSN)及び前記通信端末(MS)に既知のビット列が送信されたシグナリングメッセージ(認証リクエスト)の中に含まれているかどうかを検査するための処理ユニット(V)を有し、前記既知のビット列はシグナリングメッセージ(認証リクエスト;更に別のメッセージ)の中に検査値が含まれていることを指示し、
受信された検査値を前記通信端末(MS)によって計算された検査値と比較するための処理ユニット(V)を有し、
前記ビット列がシグナリングメッセージ(認証リクエスト)において受信されかつこれら2つの検査値の比較がポジティブな結果を与える場合にシグナリングメッセージ(認証リクエスト;更に別のメッセージ)を変更なしと定義し、ビット列が認証リクエストメッセージ(認証リクエスト)において通信端末(MS)に送信され、RANDパラメータの中のビット列がシグナリングメッセージによって通信端末(MS)に送信され、さらに
検査値をシグナリングメッセージ内容及び鍵値から決定するための処理ユニット(V)を有する、ネットワークユニット(MSC/SGSN)から送信されたシグナリングメッセージにおける変更を識別するための通信端末。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004013658.0 | 2004-03-19 | ||
| DE102004013658A DE102004013658B3 (de) | 2004-03-19 | 2004-03-19 | Protokollerweiterung einer Signalisierungsnachricht |
| PCT/EP2005/051152 WO2005091662A1 (de) | 2004-03-19 | 2005-03-15 | Protokollerweiterung einer signalisierungsnachricht |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007529933A JP2007529933A (ja) | 2007-10-25 |
| JP4847951B2 true JP4847951B2 (ja) | 2011-12-28 |
Family
ID=34961404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007503339A Expired - Fee Related JP4847951B2 (ja) | 2004-03-19 | 2005-03-15 | シグナリングメッセージのプロトコル拡張 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8457313B2 (ja) |
| EP (1) | EP1726181A1 (ja) |
| JP (1) | JP4847951B2 (ja) |
| KR (1) | KR101178272B1 (ja) |
| DE (1) | DE102004013658B3 (ja) |
| MX (1) | MXPA06010652A (ja) |
| RU (1) | RU2384018C2 (ja) |
| WO (1) | WO2005091662A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102004013658B3 (de) * | 2004-03-19 | 2005-12-08 | Siemens Ag | Protokollerweiterung einer Signalisierungsnachricht |
| CN100512300C (zh) * | 2006-01-13 | 2009-07-08 | 华为技术有限公司 | 一种在传输实时流时业务切换的方法 |
| US20070258384A1 (en) * | 2006-03-03 | 2007-11-08 | Interdigital Technology Corporation | Method and system for enhanced basic service set transition for a high throughput wireless local area network |
| TWI406537B (zh) * | 2009-08-24 | 2013-08-21 | Univ Nat Central | Action Group Location System and Its Method |
| CN107800539B (zh) * | 2016-09-05 | 2020-07-24 | 华为技术有限公司 | 认证方法、认证装置和认证系统 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2649842B1 (fr) | 1989-07-17 | 1994-04-08 | Alcatel Cit | Reseau d'acces pour service de telephonie sans fil |
| US5537474A (en) * | 1994-07-29 | 1996-07-16 | Motorola, Inc. | Method and apparatus for authentication in a communication system |
| US5513245A (en) * | 1994-08-29 | 1996-04-30 | Sony Corporation | Automatic generation of private authentication key for wireless communication systems |
| DE19823532C2 (de) * | 1998-05-26 | 2003-08-21 | T Mobile Deutschland Gmbh | Verfahren zur Steuerung eines Teilnehmeridentitätsmoduls (SIM) in Mobilfunksystemen |
| GB2340344A (en) * | 1998-07-29 | 2000-02-16 | Nokia Mobile Phones Ltd | Bilateral Data Transfer Verification for Programming a Cellular Phone |
| FI107486B (fi) * | 1999-06-04 | 2001-08-15 | Nokia Networks Oy | Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä |
| GB0004178D0 (en) * | 2000-02-22 | 2000-04-12 | Nokia Networks Oy | Integrity check in a communication system |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| DE60023155T2 (de) | 2000-11-24 | 2006-07-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Betrugsfeststellungsverfahren für Mobiltelekommunikationsnetze |
| EP1378091A4 (en) | 2001-02-23 | 2004-03-24 | Nokia Inc | SYSTEM AND METHOD FOR STRONG AUTHENTICATION PERFORMED IN A SINGLE RETURN |
| US6985519B1 (en) * | 2001-07-09 | 2006-01-10 | Advanced Micro Devices, Inc. | Software modem for communicating data using separate channels for data and control codes |
| WO2003036857A1 (en) * | 2001-10-24 | 2003-05-01 | Nokia Corporation | Ciphering as a part of the multicast cencept |
| PT1488653E (pt) * | 2002-03-26 | 2010-12-31 | Nokia Corp | Aparelho, método e sistema de autenticação |
| WO2003090433A1 (en) | 2002-04-15 | 2003-10-30 | Spatial Wireless, Inc. | Method and system for providing authentication of a mobile terminal in a hybrid network for data and voice services |
| US6985459B2 (en) * | 2002-08-21 | 2006-01-10 | Qualcomm Incorporated | Early transmission and playout of packets in wireless communication systems |
| US7363500B2 (en) * | 2002-12-03 | 2008-04-22 | Juniper Networks, Inc. | Tunneled authentication protocol for preventing man-in-the-middle attacks |
| PL2357858T6 (pl) * | 2003-09-26 | 2018-11-30 | Telefonaktiebolaget L M Ericsson (Publ) | Udoskonalony model zabezpieczeń dla kryptografii w systemach komunikacji ruchomej |
| DE102004013658B3 (de) * | 2004-03-19 | 2005-12-08 | Siemens Ag | Protokollerweiterung einer Signalisierungsnachricht |
| KR100636318B1 (ko) * | 2004-09-07 | 2006-10-18 | 삼성전자주식회사 | CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템 |
-
2004
- 2004-03-19 DE DE102004013658A patent/DE102004013658B3/de not_active Expired - Fee Related
-
2005
- 2005-03-15 RU RU2006136911/09A patent/RU2384018C2/ru not_active IP Right Cessation
- 2005-03-15 JP JP2007503339A patent/JP4847951B2/ja not_active Expired - Fee Related
- 2005-03-15 WO PCT/EP2005/051152 patent/WO2005091662A1/de active Application Filing
- 2005-03-15 KR KR1020067020127A patent/KR101178272B1/ko not_active IP Right Cessation
- 2005-03-15 MX MXPA06010652A patent/MXPA06010652A/es active IP Right Grant
- 2005-03-15 US US10/593,406 patent/US8457313B2/en not_active Expired - Fee Related
- 2005-03-15 EP EP05717032A patent/EP1726181A1/de not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| US8457313B2 (en) | 2013-06-04 |
| RU2384018C2 (ru) | 2010-03-10 |
| WO2005091662A1 (de) | 2005-09-29 |
| KR101178272B1 (ko) | 2012-08-30 |
| MXPA06010652A (es) | 2007-03-30 |
| EP1726181A1 (de) | 2006-11-29 |
| RU2006136911A (ru) | 2008-04-27 |
| JP2007529933A (ja) | 2007-10-25 |
| DE102004013658B3 (de) | 2005-12-08 |
| KR20060129071A (ko) | 2006-12-14 |
| US20070207776A1 (en) | 2007-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101395204B1 (ko) | Lte 모바일 유닛에서의 비접속 계층(nas) 보안을 가능하게 하는 방법 및 장치 | |
| US8046583B2 (en) | Wireless terminal | |
| JP4688808B2 (ja) | 移動体通信システムにおける暗号化の強化セキュリティ構成 | |
| KR101231483B1 (ko) | 보안 패킷 송신을 위한 암호화 방법과 네트워크에서의 패킷처리 방법 | |
| EP1502380B1 (en) | Method and communication system for controlling security association lifetime | |
| CN101395887B (zh) | 用于绑定多个认证的方法和设备 | |
| US20060274695A1 (en) | System and method for effectuating a connection to a network | |
| US9031535B2 (en) | Un-ciphered network operation solution | |
| CN108923927A (zh) | 用于对摄像机供给动态qr码和ble连接的系统和方法 | |
| CN101160924A (zh) | 在通信系统中分发证书的方法 | |
| US7246242B1 (en) | Integrity protection method for radio network signaling | |
| JP4847951B2 (ja) | シグナリングメッセージのプロトコル拡張 | |
| EP2377288A1 (en) | Method and apparatus for transmitting and receiving secure and non-secure data | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| Armknecht et al. | Who said that? privacy at link layer | |
| CN106465117B (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| KR101094057B1 (ko) | 이동 통신시스템의 초기 시그널링 메시지 처리 방법 및장치 | |
| Morioka et al. | MIS protocol for secure connection and fast handover on wireless LAN | |
| CN117320004A (zh) | 基于IPv6扩展头的移动网络零信任系统及方法 | |
| MXPA06005074A (es) | Autenticacion y actualizacion de la generacion de claves de sesion entre un nodo de una red de servicio y cuando menos una terminal de comunicaciones con la ayuda de una tarjeta de identificacion |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090220 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090515 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090522 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090622 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100422 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20101227 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20101228 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111014 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141021 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |