MXPA01007689A - - Google Patents

Description

AUTENTIFICACION EN UNA RED DE RADIOTELEFONÍA DESCRIPCIÓN DE LA INVENCIÓN La presente invención se refiere a un procedimiento de autentificación entre una terminal radiotelefónica móvil y un subsistema de encaminamiento, denominado a menudo red fija, en una red de radiotelefonía celular digital. Más particularmente, la invención mejora la autentificacíón a través de la interconexión de radio entre una tarjeta o módulo de microprocesador, denominada tarjeta de microcircuito SIM (Módulo de Identificación de Suscriptor), movible de la terminal, y un centro de autentificación de la red de telefonía. Una red de radiotelefonía celular digital RR del tipo GSM, al cual se hará referencia en lo subsecuente a manera de ejemplo, comprende principalmente varias terminales radiotelefónicas móviles MS y una red fija propiamente dicha donde circulan principalmente mensajes de señalización, de control, de datos y de voz como lo muestra esquemáticamente la figura 1. En la red RR mostrada en la figura 1, se representan principalmente las entidades principales a través de las cuales transitan los datos destinados a la tarjeta SIN de una terminal móvil MS situada en una zona de localización, en un instante. Estas entidades son un conmutador de servicio móvil MSC conectado al menos a un conmutador telefónico con autonomía de encaminamiento CAA de la red telefónica conmutada RTC y que administra las comunicaciones para las terminales móviles visitantes, entre las cuales la terminal MS , que se encuentra en un instante dado en la zona de localización respectiva, servida por el conmutador MSC. Un registrador de localización de visitantes VLR está conectado al conmutador MSC y contiene las características, tales como la identidad y el perfil de la suscripción de las terminales móviles, de hecho las tarjetas SIM en éstas, situadas en la zona de localización. Un controlador de estación de base BSC conectado al conmutador MSC administra principalmente la asignación de los canales a las terminales móviles, la potencia de la o las estaciones de base y las transferencias intercelulares de las terminales móviles. Una estación de base BTS conectada al controlador BSC cubre la célula radioeléctrica donde la terminal MS se encuentra en el instante dado. La red de radiotelefonía RR comprende incluso un registrador de localización nominal HLR que coopera con un centro de autentificación AUC y conectado a los conmutadores de servicio móvil a través de la red de señalización de la red de radiotelefonía RR. El registrador HLR es esencialmente una base de datos, como un registrador VLR, que contiene para cada terminal MS la identidad internacional IMSI (Identidad de Subscriptor Móvil Internacional) de la tarjeta SIM de la terminal, es decir del abonado poseedor de la tarjeta SIM, el número de anuario y el perfil de abono del abonado, y el número de registro de VLR al cual se conecta la terminal móvil y puesta al día luego de las transferencias entre zonas de localización . El . centro de autentificación AUC asegura la autentificación de los abonados y participa en la confidencialidad de los datos que transitan en la interconexión de radio IR entre la terminal MS y la estación de base BTS a la cual ésta se conecta en un instante dado. Éste administra un algoritmo de autentificación A3 y un algoritmo A8 de determinación de la clave de codificación o cifrado, siempre fusionados en un solo algoritmo A38, de acuerdo a la norma GSM, que son redundantes en la tarjeta SIM de la terminal movible MS , previamente a toda comunicación con la terminal, o bien luego de la puesta en funcionamiento de la terminal o luego de una transferencia intercelular. En particular, el centro de autentificación AUC memoriza una clave de autentificación Ki atribuida únicamente al abonado en correspondencia con la identidad IMSI del abonado, memorizada en el registrador de localización nominal HLR luego de la suscripción del abono por el abonado. Es muy importante autentificar la terminal radiotelefónica móvil MS para, entre otras cosas, poder reconocer al abonado. Con el fin de asegurar una flexibilidad máxima, el centro de autentificación no autentifica la terminal móvil MS misma sino la tarjeta de microcircuito SIM que ésta contiene. Esta tarjeta contiene la clave Ki atribuida al abonado y prueba por medio del algoritmo de identificación A3 que ésta conoce la clave sin revelarla. La red fija envía un número aleatorio RAND (reto) a la tarjeta y solicita a la tarjeta introducir el número aleatorio y la clave en el algoritmo de autentificación para un cálculo criptográfico y le devuelve el resultado bajo la forma de una respuesta firmada SRES (RESpuesta Firmada) para la norma GSM. Es muy difícil para un "atacante", una tercera persona mal intencionada que desee establecer comunicaciones radiotelefónicas de débito a la cuenta del propietario de la tarjeta SIM, prever el valor del número aleatorio. Sin el conocimiento de la clave, el atacante no puede forjar una respuesta. El tamaño del número aleatorio impide al atacante guardar en la memoria todos los valores del par número aleatorio-respuesta firmada en un diccionario. El procedimiento de autentificación en la red de radiotelefonía autentifica de este modo la tarjeta SIM que contiene una clave. El procedimiento de autentificación comprende brevemente las siguientes etapas : previamente, el centro de autentificación AUC elige varios números aleatorios RAND y determina por una parte varias respuestas de firma respectivamente en función de los números elegidos RA?D y de la clave Ki atribuida al abonado, aplicadas para el algoritmo de identificación A3 , y por otra parte varias claves de codificación respectivamente en función de los números elegidos RAND y de la clave Ki aplicados para el algoritmo de determinación de la clave A8 , con el fin de proporcionar los tripletes (número aleatorio, respuesta de la firma, clave de la codificación) en el registrador de localización HLR, desde la suscripción del abono al servicio de radiotelefonía móvil, y luego de que el registrador HLR ha agotado su reserva de tripletes, en correspondencia con la identidad del IMSI de la tarjeta SIM del abonado; cada vez que el registrador de localización de visitantes VLR al cual está conectada momentáneamente la tarjeta SIM demanda una autentificación de la tarjeta, el registrador HLR elige y proporciona al menos un triplete en el registrador VLR con el fin de transmitir el número aleatorio del triplete elegido a la tarjeta SIM a través de la red fija y la terminal móvil MS ; la tarjeta SIM efectúa un cálculo criptográfico aplicando el número aleatorio transmisivo y la clave Ki al algoritmo de autentificación A3 produciendo la respuesta firmada SRES y la devuelve al registrador VLR; El registrador VLR compara la respuesta firmada SRES a aquella contenida en el triplete elegido, y en este caso de igualdad de las respuestas, la tarjeta es autentificada. Sí este procedimiento de autentificación permite a la red fija autentificar la tarjeta, ésta no permite por el contrario a la tarjeta SIM autentificar la red fija. No es prevista ninguna autentificación mutua .

A este inconveniente se agrega otro que consiste en poder elegir los números cualesquiera para enviar a la tarjeta SIM en número ilimitado. Estos dos inconvenientes hacen a la tarjeta SIM vulnerable a los ataques por los canales auxiliares tales como los ataques en corriente o por los medios lógicos, por ejemplo, que dependen del criptoanalisis. En el dominio de la criptografía, son conocidos diversos tipos de ataques que recuperan el valor de una clave que sirve para un cálculo criptográfico . El primero y el más simple de los ataques consiste en recuperar un número aleatorio y el resultado del algoritmo de autentificación efectuado con este número, y en introducir todas las claves posibles y el número aleatorio en el algoritmo hasta obtener el resultado recuperado. En el caso de la autentificación en una red GSM, este ataque, denominado fuerza bruta, necesita 2127, es decir un número compuesto de un 1 seguido de 38 ceros, cifras en promedio para obtener la clave. Aunque este ataque no utiliza la tarjeta, los cálculos que pueden ser realizados en un micro-ordenador, el tiempo que le tomaría a éste es demasiado grande: con una máquina de cálculo que efectúa 10,000 cálculos por segundo, este ataque tomaría 5xl026 años. Los ataques de un segundo tipo utilizan fallas en la concepción de un algoritmo criptográfico. Para estos ataques, es muy frecuentemente necesario introducir los mensajes elegidos en el algoritmo y analizar la respuesta. Un ataque de este tipo ha sido relacionado por un algoritmo, denominado COMP128, utilizado en calidad de algoritmo de autentificación y de determinación de clave de codificación A3A8 de acuerdo a la norma GSM. Éste necesita en promedio elegir 160,000 números aleatorios y recuperar los resultados correspondientes. En el contexto GSM actual, este ataque es realizable puesto que es suficiente recuperar una tarjeta SIM que efectuará el cálculo criptográfico no importa sobre cuál número aleatorio, y esto tantas veces como el atacante lo intente . Finalmente, un tercer tipo de ataque utiliza los "canales auxiliares" (canales laterales) . Estos canales auxiliares son vehículo de la información sobre los datos secretos y son en general magnitudes físicas de la implementación de la función criptográfica. Un ejemplo típico de canal auxiliar es el consumo de energía de la tarjeta de microcircuito. Un ataque que utiliza este canal es el análisis DPA (Análisis de Energía Diferencial) y requiere actualmente algunos millares de ejecución del algoritmo criptográfico con los números aleatorios conocidos, pero que no tienen necesidad de ser elegidos. Este ataque es primeramente realizable desde que un atacante está en posesión de una tarjeta SIM. La invención está dirigida a remediar los inconvenientes del procedimiento de autentificación comentado anteriormente y particularmente a hacer los dos últimos tipos de ataque considerablemente más difíciles, sin modificar el material de la red de radiotelefonía y con algunas modificaciones del programa en relación esencialmente con la autentificación. Para este fin, un procedimiento de autentificación entre una primera entidad y una segunda entidad en una red de telecomunicación, que comprende las etapas de aplicar las primeras claves memorizadas respectivamente en la primera y segunda entidades y un número aleatorio producido por la segunda entidad, y transmitido por la segunda entidad a la primera entidad, respectivamente, a los primeros algoritmos idénticos memorizados en la primera y segunda entidades, y comparar en la segunda entidad una respuesta producida por el primer algoritmo memorizado en la primera entidad, y transmitido a la segunda entidad, y un resultado de respuesta producido por el primer algoritmo memorizado en la segunda entidad, está caracterizado por las etapas previas de aplicar las segundas claves memorizadas respectivamente, en la primera y segunda entidades, y el número aleatorio respectivamente producido por la segunda entidad y transmitido por la segunda entidad a la primera entidad, a los segundos algoritmos memorizados en la segunda entidad y la primera entidad, y comparar en la primera entidad una firma producida por el segundo algoritmo en la segunda entidad y transmitido con el número aleatorio a la primera entidad, y un resultado de firma producido por el segundo algoritmo en la primera entidad, la primera clave y el número aleatorio no son aplicados al primer algoritmo en la primera entidad más que cuando la firma transmitida y el resultado de la firma son idénticos . De acuerdo a una realización preferida, la primera y segunda entidades son respectivamente una terminal radiotelefónica y una red fija en una red de radiotelefonía. Las etapas de aplicar a los segundos algoritmos y de comparar la firma y el resultado de la firma, constituyen una autentificación de la red fija por la terminal previamente a la autentificación de la terminal por la red fija, que comprende las etapas de aplicar al primer algoritmo y de comparar la respuesta y el resultado de la respuesta. De este modo, el procedimiento de la invención agrega una autentificación y la combina a la autentificación de la terminal no autorizando la ejecución de éste más que cuando la red fija es autentificada por la terminal, lo que permite a la terminal ser mucho menos vulnerable a los dos últimos tipos de ataque anteriormente mencionados . El número aleatorio es utilizado para autentificar primeramente a la red, y no a la terminal, en la terminal. Luego el número aleatorio es utilizado para autentificar la terminal por la red. Para esta segunda autentificación, es preferible que la firma sea aplicada con el número aleatorio producido en el primer algoritmo en la segunda entidad, y la firma transmitida con el número aleatorio sea aplicada al primer algoritmo en la primera entidad. El número aleatorio y la firma pueden tener respectivamente Q bitios y (P-Q) bitios, siendo P un número entero constante. La invención hace muy difíciles los ataques anteriormente descritos, si no es que virtualmente imposibles. El atacante debe espiar la tarjeta SIM activada sobre la red para recuperar los números aleatorios válidos y recolectar un número suficiente de números aleatorios con el fin de poder lanzar un ataque . Esto está lejos de ser fácil: el atacante no puede ser maestro de la frecuencia de autentificaciones en la red de radiotelefonía. Deduciendo que el número de autentificaciones de la tarjeta SIM en la red GSM es variable y depende de las redes, esto puede tomar un tiempo no despreciable. Una primera ventaja de la invención consiste en la sucesión de dos autentificaciones que no permite validar un número aleatorio a recuperar para una tarjeta antes de que ésta no sea activada y reconocida por la red. Esto impide los ataques en los puntos de venta donde en el estado de la técnica actual, un vendedor puede atacar las tarjetas que están en su almacén y fabricar los clones antes de utilizarlas, cuando la tarjeta es activada, es decir vendida. La invención hace imposible la mayor parte de los ataques de criptoanalisis y en particular aquellos del número aleatorio elegido. En efecto, para que la tarjeta efectúe un cálculo criptográfico, no se pueden utilizar más que números aleatorios certificados, que probablemente no tienen el formato donde el atacante tiene necesidad. La invención hace a los ataques que utilizan los canales auxiliares particularmente difíciles de realizar, puesto que falta un material importante y mucho tiempo para recuperar los números aleatorios válidos. El costo del ataque, tanto en costo como en tiempo lo hace mucho menos rentable y es adecuado para disuadir a numerosos piratas . La invención mejora de este modo considerablemente la autentificación de las redes de radiotelefonía. Esto no implica más que una modificación del programa de las tarjetas SIM, las primeras entidades, y los registradores nominales y los centros de autentificación, comprendidos en las segundas entidades, sin tener ningún impacto sobre la infraestructura de la red. Estas modificaciones pueden ser efectuadas de manera gradual sin trastorno de la red fija. El procedimiento puede comprender las etapas de incrementar una variable y desconectar las entidades cada vez que la firma transmitida y el resultado de la firma sean diferentes en la primera entidad tal como la terminal, y tanto que la variable es inferior a número predeterminado de preferencia programable, y rehusar establecer todo acceso a la segunda entidad, tal como el medio fijo, para la primera entidad desde que la variable es al menos igual a un número predeterminado. La etapa de rehusar establecer todo acceso puede ser concomitante a autorizar una utilización de la primera entidad solamente internamente, o en prohibir cualquier utilización de la primera entidad. Particularmente en el marco de una red de radiotelefonía, un medio de autentificación y de registro de identidad de terminal en la red fija, determina varios tripletes que comprenden cada uno un número aleatorio y una firma y un resultado de respuesta, correspondiente a un número aleatorio, antes de la etapa de aplicar las segundas claves en la terminal. Antes de las autentificaciones , es decir previamente a las etapas de aplicación, una clave de codificación es determinada en función de un número aleatorio, de la firma y al menos de una de la primera y segunda claves en la red fija, la cual incluye el centro de autentificación. Subsecuente a las autentificaciones se prevé una etapa de no determinar una clave de codificación en función del número aleatorio, de la firma y al menos de una de la primera y segunda claves en la terminal, más que cuando la respuesta y el resultado de respuesta comparados son idénticos . De acuerdo a otras variantes que aumentan todavía más la seguridad de los datos intercambiados entre la primera y la segunda entidades, la segunda clave en la segunda entidad es una segunda clave secreta, y la segunda clave en la primera entidad es una clave pública diferente de la segunda clave secreta. De una manera análoga, la primera clave en la primera entidad es una primera clave secreta, y la primera clave en la segunda entidad es una clave pública diferente de la primera clave secreta. La invención se refiere igualmente a un módulo de identidad, tal como una tarjeta de identidad de abonado, en una primera entidad, tal como una terminal radiotelefónica móvil, que está caracterizada porque comprende los medios para memorizar al menos el segundo algoritmo y al menos la segunda clave, y los medios para ejecutar al menos las etapas de aplicar al segundo algoritmo y de comparar la firma y el resultado de la firma de acuerdo a la invención. Otras características y ventajas de la presente invención aparecerán más claramente a la lectura de la descripción siguiente de varias realizaciones preferidas de la invención, con referencia a los distintos anexos correspondientes en los cuales : la figura 1 es un diagrama de bloques esquemáticos de una red de radiotelefonía celular digital; y la figura 2 muestra las etapas de un procedimiento de autentificación de acuerdo a la invención . El procedimiento de la invención es descrito más adelante en el marco de la red de radiotelefonía RR de tipo GSM, ya presente con referencia a la figura 1, que no sufre más que modificaciones y adiciones de programa esencialmente en el centro de autentificación AUC, así como las tarjetas SIM de las terminales móviles. En la descripción siguiente, una red fija es considerada como la cadena de entidades conectadas a la terminal radiotelefónica móvil considerada MS desde la interconexión de radio IR, que comprende la estación de base BTS, el controlador de estación BTS, el conmutador MSC con el registrador de localizacíón de los visitadores VLR, y el par HLR-AUC. Se recuerda que una terminal radiotelefónica móvil MS de un abonado comprende un módulo de microprocesador movible, denominado tarjeta de microcircuito SIM conectada a una barra colectiva o bus del circuito digital para el microprocesador en la terminal, la barra colectiva da servicio al teclado, a la pantalla y a los enchufes de los periféricos de la terminal móvil. Como lo muestra la figura 1, la tarjeta de microcircuito SIM contiene principalmente un microprocesador, una memoria ROM que incluye el sistema de explotación de la tarjeta y los algoritmos de aplicación específicos, una memoria no volátil EEPROM que contiene todas las características ligadas al abonado, tales como la identidad IMSI, el perfil de la suscripción o abono, la lista de números de apellidos con sus nombres, los datos de seguridad tales como la clave y el código confidencial, etc., y una memoria RAM que sirve al tratamiento de los datos para recibir de y transmitir hacia el circuito numérico de la terminal. En particular, los algoritmos de autentificación y de determinación de clave de codificación y las claves y otros parámetros ligados a estos algoritmos son administrados y escritos en las memorias ROM y EEPROM. Con referencia a la figura 2, el procedimiento de autentificación de acuerdo a la invención sucede a una puesta en comunicación de la tarjeta SIM de la terminal radiotelefónica MS , con la sub-red BTS, BSC, MSC y VLR incluidas en la red de radiotelefonía RR y conectada temporalmente a la terminal de radiotelefonía MS , y precede una determinación de clave de codificación. El procedimiento mostrado en la figura 2 comprende esencialmente las etapas EO a E14. En la figura 2, los bloques en trazos punteados están relacionados a las etapas EO, E2 , E9 ' , E90, E20, Eli y E110, que son efectuadas esencialmente en la red fija, independientemente de cualquier demanda de autentificación, y al menos previamente a la demanda de la autentificación considerada en la etapa E3 , de acuerdo a la modalidad ilustrada. Inicialmente, en una etapa EO, la terminal móvil es considerada como que ha sido memorizada en las memorias ROM y EEPROM de su tarjeta SIM, la identidad IMSI de ésta, es decir la identidad del abonado poseedor de la tarjeta SIM, según el caso de identidad temporal TMSI de la tarjeta atribuida por el conmutador de conexión MSC, una primera clave de autentificación Ki con un primer algoritmo de autentificación AA para autentificar la terminal por la red, un algoritmo de determinación de la clave de codificación AC, un algoritmo de codificación/descodificación, y de acuerdo a la invención, una segunda clave Kj con un segundo algoritmo de autentificación AJ para autentificar la red por la tarjeta SIM, así como una variable completa m inicialmente igual a 0, y un borne completo superior M de ésta. Estos datos iniciales, con la excepción de los números enteros m y M, y algoritmos son igualmente memorizados en la etapa inicial EO en la red fija. Las claves Ki y Kj para cada abonado son memorizadas en el centro de autentificación AUC en correspondencia con la identidad de abonado IMSI, la identidad temporal que no es atribuida más que por el registrador de localización de los visitadores VLR, conectado al conmutador de servicio móvil MSC al cual se empalma la terminal móvil MS . Los dos algoritmos de autentificación AA y AJ, y el algoritmo de determinación de la clave de codificación AC, son memorizados en el centro de autentificación AUC, y el algoritmo de codificación/descodificación es instalado en la estación de base BTS. Como se verá en lo subsecuente, el centro de autentificación AUC proporciona los tripletes [(NA, SG) , RSRES, Kc] para el registrador de localización nominal HLR. Aumento de una demanda de acceso de servicio móvil por la terminal, por ejemplo después de la puesta en funcionamiento de la terminal móvil MS , o para una puesta al día de la localización de la terminal, o previamente a una comunicación telefónica, o periódicamente para autentificar la tarjeta SIM a la demanda del registrador VLR, la terminal MS , intercambia las señales con la sub-red de conexión de manera para decidir en la terminal MS un canal de comunicación y en declarar por la terminal MS a la subred la identidad de la terminal transmitiéndole la identidad IMSI de la tarjeta SIM de la terminal al registrador de localización de los visitadores VLR, o según el caso la identidad temporal TMSI con la identidad de la zona de localización LAI relativas a la última comunicación establecida. Estos intercambios para consagrar un canal a la terminal MS, son ilustrados de una manera simplificada por la etapa El en la figura 2. Las etapas siguientes E2 y E8 conciernen a la autentificación de la red por la tarjeta SIM que es agregada por la invención, y que es implantada esencialmente en parte en el centro de autentificación AUC y los registradores HLR y VLR y en parte en las memorias ROM y EEPROM de la tarjeta SIM. Previamente, en el centro AUC, un generador seudo-aleatorio proporciona varios números aleatorios NA de Q bitios. La clave Kj diferente de la clave Ki y memorizada en el centro AUC, y cada número aleatorio NA de Q bitios son aplicados en la entrada del algoritmo de autentificación de la red AJ en el centro AUC en la etapa E2. En una variante, las claves Kj y Ki pueden ser idénticas. El algoritmo AJ es por ejemplo del tipo DES (Estándar de Codificación de Datos) y produce las firmas de número aleatorio SG a (P-Q) bitios. Los números aleatorios NA y las firmas correspondientes SG son escritos en el registrador HLR en asociación con la identidad IMSI de la tarjeta SIM, y al menos un par [NA, SG] elegido por el registrador HLR es transmitido al registrador VLR al cual se conecta la terminal en la etapa E20. Cuando el registrador de localización de los visitadores VLR decide proceder a la autentificación de la red fija por la tarjeta SIM de acuerdo a la invención, el par elegido [NA, SG] es introducido sucesivamente en los mensajes de demanda de autehtificación en la etapa E3 transmitidos respectivamente por el conmutador MSC, el controlador BSC y finalmente la estación de base BTS hacia la terminal móvil MS a través de la interconexión de radio IR. El número entero P, con P>Q, es elegido de manera para no modificar la longitud de los mensajes de autentificación de acuerdo a la norma en vigor en la red de telefonía RR, en la ocurrencia la longitud de los mensajes que contienen un número RAND. El número entero P es típicamente igual a 128, o bien un tamaño del par [NA, SG] igual a 16 octetos. El número entero Q que denota el número de bitios en el número aleatorio NA puede ser superior o inferior a P/2; no obstante, los números enteros P y Q pueden satisfacer la igualdad P/2 = Q. En la tarjeta SIM de la terminal móvil MS , el número aleatorio NA y la firma SG son escritos en la memoria RAM de la tarjeta SIM en la etapa E4 en respuesta a los mensajes de demanda de autentificación transmitidos por la estación de base de conexión BTS. Inmediatamente, en la etapa siguiente E5, el número aleatorio NA y la clave Kj son aplicados al algoritmo AJ contenido en la memoria ROM y EEPROM de la tarjeta SIM, de una manera análoga al desarrollo del algoritmo AJ en la etapa E2 en el centro de autentificación AUC. El resultado RSG producido por el algoritmo AJ es comparado a la firma SG transmitida por el centro de autentificación AUC y leído en la etapa E6. Si en la etapa E6, RSG es diferente de SG, la variable m es comparada al número entero predeterminado M, típicamente igual a 10 aproximadamente, en la etapa E7. En tanto m<M, la variable m es incrementada por una unidad en un contador y la tarjeta SIM no efectúa la etapa siguiente E9 de producción de respuesta de la firma SRES cada vez que SG es diferente de RSG seguido de un mensaje de demanda de autentificación, y por consecuencia el canal de señalización dedicado es liberado con el fin de que el acceso demandado al servicio móvil por la terminal no sea establecido liberando los recursos radio, como es indicado en las etapas E71 y E72. El contador está contenido en la tarjeta SIM, y el número entero M es programable con el fin de que el operador que proporciona la tarjeta SIM pueda seleccionar el número entero M. Cuando la variable m alcanza el borne superior M en la etapa E7, el acceso al servicio móvil no es naturalmente establecido como se define anteriormente, sino que igualmente cualquier nueva autentificación es sistemáticamente rehusada, como es indicado en la etapa E73. Esto significa que la tarjeta SIM está probablemente en curso "de ataque" por una tercera persona malintencionada por una utilización fraudulenta de la cuenta del abonado, atribuida por la red a la tarjeta SIM. En este caso, son anticipadas dos variantes por la invención. De acuerdo a una primera variante, la tarjeta SIM autoriza al abonado a utilizar la terminal radiotelefónica MS únicamente para los comandos locales internos en la terminal. Por ejemplo, los comandos locales sirven para consultar el directorio de números de llamada vía el teclado o el medio de reconocimiento vocal de la terminal, sin autorizar el establecimiento de cualquier comunicación telefónica. De acuerdo a una segunda variante, la tarjeta SIM bloques cualquier acción del abonado por intermediación del teclado, y/o por medio del reconocimiento vocal, y pone fuera de servicio la terminal, es decir la tarjeta SIM se vuelve "muerta"; la tarjeta SIM ya no acepta más ninguna orden y la terminal MS es inutilizable. Regresando a la etapa E6, cuando el resultado RSG es igual a la firma SG, el número aleatorio NA y la firma SG recibidos y la clave de autentificación Ki son leídos en la etapa E8 con el fin de aplicarlos al algoritmo de autentificación conocido , AA en la etapa E9. En esta etapa, la autentificación es procedida sensiblemente como en una tarjeta SIM conocida. El algoritmo AA proporciona una respuesta firmada SRES (RESpuesta Firmada) que está incluida en el mensaje transmitido a la estación de base de conexión BTS, la cual lo retransmite al registrador VLR a través de la estación de base BTS, el controlador BCS y el conmutador MSC.

Previamente, antes de la demanda de autentificación E3 y entonces antes de la realización de las etapas E3 a E9 en la tarjeta SIM, los registradores VLR y HLR han memorizado para el abonado el número NA y la firma SG, y el centro de autentificación AUC ha aplicado, después de la etapa E20, y para cada uno de dichos números aleatorios NA, el número aleatorio NA, la firma correspondiente SG y la primera clave Ki para el algoritmo AA a una etapa E9 ' . El algoritmo AA produce un resultado de respuesta firmada RSRES para cada par (NA, SG) . Concomitantemente con la etapa E20, los resultados RSRES son escritos en el registrador HLR en una etapa E90 y el par (NA, SG) elegido por el registrador es transmitido con el resultado correspondiente RSRES al registrador VLR que,, los ha memorizado. A la recepción de la respuesta firmada SRES transmitida por la terminal móvil MS después de la etapa E9, el registrador VLR lee el resultado de respuesta firmada RSRES en la etapa E91 y lo compara con la respuesta recibida en la etapa SRES en la etapa E10. Si estas dos variables no son idénticas, el registrador VLR le ordena al conmutador de conexión MSC desconectar la terminal y la red fija en la etapa E101, impidiendo a la terminal proseguir su demanda de acceso al servicio móvil. En el caso contrario, el centro de autentificación AUC valida la autentificación de la tarjeta SIM en la etapa ElO, que ha sucedido a la autentificación (etapa E5) de la red RR por la tarjeta SIM de acuerdo a la invención, para autorizar la codificación y descodificación de * mensajes intercambiados ulteriormente entre la terminal móvil MS y la sub-red BTS-BSC-MSC. Previamente, el centro de autentificación AUC ha aplicado los pares (NA, SG) correspondientes a los diversos números aleatorios NC y la clave con el algoritmo de determinación de clave de codificación AC en una etapa Eli con el fin de producir las claves de codificación Kc, que son memorizadas en el registro VLR en una etapa E110 concomitante a las etapas E20 y E90. De este modo, varios tripletes [(NA, SG) , RSRES, Kc] son memorizados previamente en el registrador de localización nominal HLR, y al menos uno de ellos elegido es escrito en el registrador VLR en asociación con la identidad IMSI/TMSI de la tarjeta SIM. Después de la etapa ElO, el conmutador MSC decide pasar en modo codificado transmitiendo un mensaje de autorización de codificación con la clave Kc, sustituida por las entidades BSC y BTS, hacia la terminal móvil MS , siendo extraída la clave Kc por la estación de base BTS. Por otra parte, después de la ejecución de la etapa de autentificación E9, la tarjeta SIM lee en la etapa E12 el número aleatorio NA y SG e igualmente la clave de autentificación Ki con el fin de aplicarlas al algoritmo de codificación AC para determinar una clave de codificación Kc en la etapa E13. Finalmente en las etapas E14 y E14 ' , la terminal MS y la sub-red de conexión, particularmente la estación de base de conexión BTS, que contiene un algoritmo de codificación y descodificación idéntico a aquél contenido en la tarjeta SIM y que ha memorizado la clave determinada Kc, pueden intercambiar los mensajes codificados y descodificados con la clave Kc . En algunas variantes, las segundas claves Kj , o bien las primeras y las segundas claves Ki y Kj , son leídas y aplicadas respectivamente a los algoritmos AC, en lugar de las primeras claves Ki en las etapas E13 y Eli. De acuerdo a otras variantes, la clave Kj atribuida a la tarjeta SIM en el centro de autentificación AUC es una clave privada secreta Kj s , y la clave Kj contenida en la tarjeta SIM es una clave pública diferente de la clave Kj , y que tiene un vínculo complejo con la clave secreta Kj s . El algoritmo de autentificación de la red AJ, es asimétrico y permite verificar la firma SG por comparación con el resultado RSG en la etapa E6, aunque la tarjeta SIM, y por lo tanto cualquier persona malintencionada, desconozcan la clave secreta Kj s . De una manera análoga, la clave Ki en la tarjeta SIM es remplazada por una clave secreta Kis, y la clave Ki en el centro de autentificación AUC es una clave pública, el algoritmo de autentificación de la tarjeta AA es entonces asimétrico. Aunque la invención ha sido descrita de acuerdo a las realizaciones preferidas con referencia a una red de telefonía entre una terminal radiotelefónica móvil y la red fija de la red de radiotelefonía, el procedimiento de autentificación de la invención puede ser puesto en operación en una red de telecomunicación relativamente con dos entidades cualesquiera que tenga necesidad cada una de autentificar la otra, pudiendo ser cada entidad un conjunto de entidades predeterminadas, unidas.

Claims (13)

REIVINDICACIONES

1. Procedimiento de autentificación entre una primera entidad (MS) y una segunda entidad (VLR, HLR, AUC) en una red de telecomunicación (RR) , que comprende dos etapas (E9, E9 ' ) , de aplicar las primeras claves (Ki) memorizadas respectivamente en la primera y segunda entidades y un número aleatorio (NA) producido por la segunda entidad y transmitido por la segunda entidad a la primera entidad, respectivamente a los primeros algoritmos idénticos (AA) memorizados en la primera y segunda entidades, y comparar (ElO) en la segunda entidad (VLR, HLR, AUC) , una respuesta (SRES) producida por el primer algoritmo memorizado en la primera entidad y transmitido a la segunda entidad, y un resultado de respuesta (RSRES) producido por el primer algoritmo memorizado en la segunda entidad, caracterizado por las etapas previas de: aplicar (E2, E5) las segundas claves (Kj ) memorizadas respectivamente en la primera y segunda entidades y el número aleatorio (NA) respectivamente producido por la segunda entidad y transmitido por la segunda entidad a la primera entidad, y los segundos algoritmos (AJ) memorizados en la segunda entidad (VLR, HLR, AUC) , y la primera entidad (MS) , y comparar en la primera entidad (MS) una firma (SG) producida por el segundo algoritmo en la segunda entidad, y transmitido con el número aleatorio (NA) a la primera entidad y un resultado de firma (RSG) producido por el segundo algoritmo de la primera entidad, la primera clave (Ki) y el número aleatorio (NA) no son aplicados al primer algoritmo (AA) en la primera entidad (MS) más que cuando la firma transmitida (SG) y el resultado de la firma (RSG) son idénticos .

2. Procedimiento de conformidad con la reivindicación 1, según el cual la firma (SG) es igualmente aplicada (E9 ' ) con el número aleatorio producido (NA) en el primer algoritmo (AA) en la segunda entidad (VLR, HLR, AUC) , y la firma transmitida con el número aleatorio es igualmente aplicada (E9) al primer algoritmo (AA) en la primera entidad (MS) .

3. Procedimiento de conformidad con la reivindicación 1 ó 2 , según el cual el número aleatorio (NA) y la firma (SG) tienen respectivamente Q bitios y (P-Q) bitios, siendo P un número entero constante.

4. Procedimiento de conformidad con cualquiera de las reivindicaciones 1 a 3, que comprende las etapas de incrementar (E71) una variable (m) y desconectar (E72) las entidades, cada vez que la firma transmitida (SG) y el resultado de firma (RSG) son diferentes en la primera entidad . (MS) y en tanto que la variable es inferior al número predeterminado (M) de preferencia programable, y de rehusar (E73) establecer todo acceso a la segunda entidad (VLR, HLR, AUC) , por la primera entidad desde que la variable (m) es al menos igual a un número predeterminado (M) .

5. Procedimiento de conformidad con la reivindicación 4, según el cual la etapa de rehusar establecer todo acceso (E73) es concomitante a autorizar una utilización de la primera entidad (MS) solamente de maneta interna .

6. Procedimiento de conformidad con la reivindicación 5, según el cual la etapa de rehusar de establecer todo acceso (E73) es concomitante a prohibir toda utilización de la primera entidad (MS) .

7. Procedimiento de conformidad con cualquiera de las reivindicaciones 1 a 6, según el cual la primera y segunda entidades son respectivamente una terminal radiotelefónica (MS) y una red fija (VLR, HLR, AUC) en una red de radiotelefonía (RR) .

8. Procedimiento de conformidad con la reivindicación 7, según el cual un medio de autentificación y de registro de identidad de terminal (VLR, HLR, AUC) en la red fija, determina varios tripletes que comprenden cada uno un número aleatorio (NA) y una firma (SG) y un resultado de respuesta (RSRES) correspondiente a un número aleatorio, antes de la etapa de aplicar (E5) las segundas claves (Kj ) en la terminal (MS) .

9. Procedimiento de conformidad con la reivindicación 7 u 8 , que comprende una etapa de determinar (Eli) una clave de codificación (Kc) en función del número aleatorio (NA) , de la firma (SG) , y al menos una de la primera y segundas claves (ki, kj ) en la red fija (VLR, HLR, AUC) previamente en las etapas de aplicar (E2, E5 , E9, E9' ) .

10. Procedimiento de conformidad con cualquiera de las reivindicaciones 7 a 9, que comprende una etapa de no determinar (E13) una clave de codificación (Kc) en función del número aleatorio (NA) , de la firma (SG) y de al menos una de las primeras y segundas claves (Ki, Kj ) en la terminal (MS) más que cuando la respuesta (SRES) y el resultado de respuesta (RSRES) comparados, son idénticos.

11. Procedimiento de conformidad con cualquiera de las reivindicaciones 1 a 10, según el cual la segunda clave en la segunda entidad (VLR, HLR, AUC) es una segunda clave secreta (Kjs), y la segunda clave en la primera entidad -(MS) es una clave pública (Kj ) diferente de la segunda clave secreta.

12. Procedimiento de conformidad con cualquiera de las reivindicaciones 1 a 11, según el cual la primera clave en la primera entidad (MS) es una primera clave secreta (Kis) , y la primera clave en la segunda entidad (VLR, MCR, AUC) es una clave pública (Ki) diferente de la primera clave secreta.

13. Módulo de identidad (SIM) en una primera entidad (MS) caracterizado porque comprende los medios (ROM, EEPROM) para memorizar al menos el segundo algoritmo (AJ) y al menos la segunda clave (Kj ) , y los medios (ROM, EEPROM, RAM) para ejecutar al menos las etapas de aplicar (E5) al segundo algoritmo (AA) y de comparar (E6) la firma (SG) y el resultado de la firma (RSG) de acuerdo a cualquiera de las reivindicaciones 1 a 11.