MXPA06005074A - Autenticacion y actualizacion de la generacion de claves de sesion entre un nodo de una red de servicio y cuando menos una terminal de comunicaciones con la ayuda de una tarjeta de identificacion - Google Patents

Autenticacion y actualizacion de la generacion de claves de sesion entre un nodo de una red de servicio y cuando menos una terminal de comunicaciones con la ayuda de una tarjeta de identificacion

Info

Publication number
MXPA06005074A
MXPA06005074A MXPA/A/2006/005074A MXPA06005074A MXPA06005074A MX PA06005074 A MXPA06005074 A MX PA06005074A MX PA06005074 A MXPA06005074 A MX PA06005074A MX PA06005074 A MXPA06005074 A MX PA06005074A
Authority
MX
Mexico
Prior art keywords
value
mac
service
nseq
identification card
Prior art date
Application number
MXPA/A/2006/005074A
Other languages
English (en)
Inventor
Blommaert Marc
Original Assignee
Blommaert Marc
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Blommaert Marc, Siemens Aktiengesellschaft filed Critical Blommaert Marc
Publication of MXPA06005074A publication Critical patent/MXPA06005074A/es

Links

Abstract

Se describe una posibilidad sencilla y eficiente para verificar que los datos de un servicio provienen de una fuente confiable, por medio de un procedimiento y un dispositivo para generar una clave de sesión para descifrar los datos de un servicio transmitidos por un nodo de red de servicio (DN) a través de una red de comunicación a cuando menos una terminal de comunicaciones (MS). De acuerdo con la invención se almacenan en una tarjeta de identificación (UICC) de una terminal de comunicaciones (MS) cuando menos una clave de acceso (BAK-I) transmitida por el nodo de red de servicio (DN) y cuando menos un valor de secuencia transmitido (SEQ), se calcula un valor de validez (MAC-I) en (MAC-I) en el nodo de red de servicio (DN) y junto con los datos de un servicio y otro valor de secuencia (nSEQ) se transmite a la terminal de comunicaciones (MS). Al recibir los datos se compara el valor de validez (MAC-I) con un valor de validez (SD-MAC-I) calculados en la tarjeta de identificación (UICC), además se compara el valor de secuencia adicional (nSEQ) transmitido con los datos en la tarjeta de identificación (UICC) con el valor de secuencia (SEQ) almacenado en la tarjeta de identificación (UICC) y solo al existir un resultado positivo de ambos valores de valides (MAC-I/SD_MAC-I) y ambos valores de secuencia (SEQ/nSEQ( se transmite una cave de sesión generada por la tarjeta de identificación (UICC) para descifrar los datos de un servicio a la terminal (T) de la terminal de comunicaciones (MS).<

Description

AUTENTICACIÓN Y ACTUALIZACIÓN DE LA GENERACIÓN DE CLAVES DE SESIÓN ENTRE UN NODO DE UNA RED DE SERVICIO Y CUANDO MENOS UNA TERMINAL DE COMUNICACIONES CON LA AYUDA DE UNA TARJETA DE IDENTIFICACIÓN CAMPO DE LA INVENCIÓN La invención se refiere a un procedimiento y a un dispositivo para verificar si provienen de una fuente confiable los datos de un servicio de datos transmitidos por un nodo de red de servicio a través de una red de comunicación a una terminal de comunicaciones. ANTECEDENTES DE LA INVENCIÓN El documento DI (MBMS Security Rapporteur: "latest Versión of MBMS TS (33.246v0.2.1) " 3GPP TSG SA WG3 Security - S3, 30, [Online] 10 de octubre de 2003 (2003-10-10), XP002315613 Povoa De Varzim, Portugal describe procedimientos de seguridad de transmisión de multimedia/servicio a múltiples receptores (MBMS) para sistemas 3GPP (UTRAN y GERAN) . MBMS es un servicio el cual se produce a través de la red GPRS y puede ser transferido para las aplicaciones más diversas. Los métodos de protección utilizados pueden depender aquí de la aplicación que se transmite con la ayuda de MBMS . El documento D2 (Arkko J. et A1.:" IKEY: Multimedia Internet KEYing" IETF, borrador del junio 2003 (2003-06), XP105002814) describe protocolos de seguridad para aplicaciones multimedia en tiempo real. Para que pueda realizarse un soporte para esos protocolos, existe una necesidad de una solución de administración de claves. Se propone un esquema de administración de claves para aplicaciones en tiempo real (tanto para una comunicación par a par como también para una comunicación grupal) , el cual funciona conjuntamente con protocolos como SIP y RSTP. También se utiliza parcialmente SRTP. En algunos servicios en especial en el caso de los llamados servicios a múltiples receptores (multicast) en una red de comunicación, como por ejemplo el servicio MBMS multimedia (MBMS = transmisión multimedia/servicio de múltiples llamadas) , la descarga de datos de video, audio, imágenes y juegos, etc. no puede garantizarse que solo tienen acceso a esos servicios aquellos usuarios que han pagado por ellos . En los servicios a múltiples receptores (multicast) los datos del servicio son enviados a varios receptores de un grupo de usuario. El acceso a esos servicios o datos, por ejemplo datos de video, puede regularse de tal forma que solo puedan usar los datos aquellos usuarios que puedan generar una clave de sesión (session key) para descifrar los datos. Una de esas claves consiste en que la clave de acceso (key BAK = Broadcast access key - Clave de acceso de transmisión) se transmite de forma segura a una tarjeta de identificación (smartcard- - tarjeta inteligente) de un usuario. Una tarjeta de identificación puede ser por ejemplo una tarjeta SIM (Subscriber Identity Module - Módulo de identidad de subscriptor) , una tarjeta USIM (Universal Subscriber Identity Module - Módulo Universal de identidad de Subscriptor) o similares. Si el usuario quiere utilizar los datos de un servicio, entonces el generará una clave de sesión utilizando la clave de acceso en la tarjeta de identificación y un número aleatorio. Las claves de sesión se utilizan en la terminal de comunicaciones del usuario. La terminal de comunicaciones puede ser aquí un aparato de radio móvil, un aparato manual, una computadora móvil o similares. La clave de acceso se almacena de manera segura en una tarjeta de identificación y permanece exclusivamente en esa tarjeta. El número aleatorio está contenido en los datos transmitidos y hace posible la generación rápida de una clave de sesión. El método presentado para la generación de claves de sesión sin embargo no ofrece la posibilidad de verificar si por un lado los datos recibidos y por otro lado el número aleatorio para generar la clave de sesión, provienen de una fuente o de un nodo de red de servicios confiable. Ya que la misma clave de sesión puede ser generada por muchos usuarios potenciales no confiables con terminales, para el uso de datos de un servicio, solo puede asegurarse que una protección a la integridad no completamente definida por esas claves de sesión solo puede garantizar que los datos de un servicio provienen del miembro de un grupo, de hecho de uno que puede obtener una clave de acceso. Ese método requiere que todos los usuarios en un grupo sean confiables . Cuando sin embargo la clave de sesión es compartida con un usuario malintencionado externo al grupo, puede falsificarse la fuente de autentificación y el inicio (setup) del servicio para distribuir contenido fraudulento o modificado. Así por ejemplo podría ser gue un usuario malintencionado con una terminal de comunicaciones obtuviera la clave de sesión y el número aleatorio de los datos de un servicio, está información la transmitiera a una fuente no confiable, que finalmente utilizaría la información conjuntamente con el contenido fraudulento. La fuente no confiable podría ofrecer un servicio, en el cual indicaría que es una estación base (BTS) o un control de red de radio (RCN) . La fuente no confiable utiliza aquí un punto débil de la red de comunicación o las características típicas de los servicios con bajo soporte. Así por ejemplo el usuario de un radio móvil MTS tendría la posibilidad de recibir un servicio en el modo RRC-IDLE, lo que significa que la terminal de comunicaciones no debe estar conectada con la red a través de un enlace punto a punto autentificado. Otro ejemplo podría ser que un usuario malintencionado de una terminal de comunicaciones empiece a calcular muchas claves de sesión a base de sus propios números aleatorios, precisamente antes de gue empiece el servicio actual. El cálculo de la clave de sesión puede iniciarse a partir de la obtención de la clave de acceso en la tarjeta de identificación. Con esto la fuente no confiable puede empezar con la transmisión de datos antes del inicio de la emisión de los datos a través del servicio. Los riesgos de que se presente tal ataque aumentan con el número de usuarios potenciales de un servicio. Así durante un juego de fútbol los espectadores que quisieran informarse acerca de los resultados de otros partidos podrían recibir información con contenidos falsos. En la especificación 3GPP IS 33.246 (3G Security; Security of multimedia Broadcast/Multicast Service (MBMS) Reléase 6) se discuten los requisitos para una protección de integridad (integrity protection) para los datos de un servicio. Sin embargo la especificación concluye que lo usuarios no confiables hacen imposible la garantía de la protección de integridad, que se basa en claves de sesión que se encuentran almacenada sen una terminal de comunicaciones, ya que como se ha mostrado, los usuarios pueden actuar como fuentes de datos . Las medidas para la protección de integridad de datos de un servicio en una red de comunicación tienen efectos negativos adicionales en la calidad del servicio (QoS = calidad del servicio) , ya que cada error de bit residual en los datos recibidos del lado de la aplicación conduciría a una reducción de los paquetes de datos debido a la falta de una comprobación de integridad. El uso de una protección de la integridad en una red de comunicación debe manejarse cuidadosamente. Hasta ahora tampoco se ha pensado en una protección selectiva para la clave de sesión-número aleatorio (RAND) . Una razón de esto podría ser que aquí no se ha determinado una supuesta amenaza. Una propuesta para la autentificación de fuentes en el caso de servicios a múltiples receptores, sin embargo sin utilizar una tarjeta de identificación, se presentó en el borrador IETF http://www.ietf.og/internet-drafts-/draft-ietf-msec-tesla-intro-01-txt . SUMARIO DE LA INVENCIÓN La tarea de la presente invención es la de proponer una protección sencilla y eficiente de la integridad y actualidad de las claves de sesión para datos de servicio recibidos. La tarea se resuelve de acuerdo con la invención por medio de los objetos de las reivindicaciones independientes . Las otras modalidades de la invención se indican en las reivindicaciones dependientes.
Las claves de acceso para descifrar o generar claves de sesión pueden almacenarse de manera segura en una tarjeta de identi icación por medio de la seguridad física de esa tarjeta. Primero un nodo de red de servicio a través de una red de comunicación transmite una clave de acceso y un valor de secuencia a una terminal de comunicaciones. Esto puede realizarse a través de un enlace seguro. El valor de la secuencia es aquí un valor número o un contador, que puede incrementarse con cada transmisión. Las claves de acceso y el valor de secuencia se almacenan en la tarjeta de identificación. Al inicio de un servicio, el nodo de red de servicio calcula un valor de validez. Un nodo de red de servicio puede ser aquí un servidor de servicio o nodos de red similares en una red de comunicación. Este valor de validez se calcula a partir de un número aleatorio. Un valor adicional de la secuencia (preferentemente mayor al valor de secuencia almacenado en la tarjeta de identificación) , la clave de acceso, y preferentemente utilizando una función de desmembrado encriptada (keyed hash function) . Los datos que van a ser transmitidos se encriptan con una clave de sesión generada con los nodos de red de servicio. Junto con los datos de encriptado pueden transmitirse a cuando menos una terminal de comunicaciones, tanto el valor de validez, el número aleatorio, el valor adicional de secuencia y una identificación de clave de acceso para el direccionamiento correcto de las claves de acceso que van a ser utilizadas. Al recibir los datos con los valores se retransmiten los valores obtenidos por la terminal de comunicaciones a la tarjeta de identificación. La tarjeta de identificación utilizando valor adicional de secuencia, la clave de acceso así como el número aleatorio transmitido por los nodos de red de servicio, se calcula en propio valor de validez utilizando la misma función que fue utilizada por los nodos de red de servicio para el cálculo de su valor de validez. Después del cálculo se comparan ambos valores de validez de la tarjeta de identificación. Si ese valor es idéntico, entonces se produce un resultado positivo de la comparación. Igualmente se comparan entre sí los valores de secuencia almacenados en la tarjeta de identificación y los valores recibidos por los nodos de red de servicio. Si el valor de secuencia recibido es mayor que el valor almacenado en la tarjeta de identificación, entonces se produce un resultado de comparación positivo. Una clave de sesión generada por la tarjeta de identificación se conduce ahora a la terminal de comunicaciones, cuando ambos resultados de comparación son positivos. Una ventaja de esta invención consiste en que puede verificarse de forma sencilla y efectiva, si el número aleatorio y el valor de secuencia son actuales y "frescos". Además la invención no tiene ningún tipo de efecto sobre la calidad del servicio (Quality of Service) , ya que solo está protegida la generación de claves de sesión. Finalmente también con este esquema puede asegurarse que los datos de un servicio solo pueden provenir de una fuente confiable. Esta solución propuesta puede implementarse en diferentes ambientes con diferentes servicios. BREVE DESCRIPCIÓN DE LAS FIGURAS La invención se describirá más detalladamente por medio de un ejemplo de realización representado en las figuras . La figura 1 muestra un diagrama de flujo para la recepción de acuerdo con la invención, de datos de un servicio, La figura 2 muestra el cálculo y la comparación valores de validez, La figura 3 muestra un diagrama de flujo para la comparación de valores de secuencia, La figura 4 muestra una representación simplificada de una tarjeta de identi icación con un elemento de memoria, La figura 5 muestra una representación simplificada de un nodo de red de servicio. DESCRIPCIÓN DETALLADA DE LA INVENCIÓN La figura 1 muestra, como en una primera etapa se transmite cuando menos una clave de acceso (BAK) y un valor se secuencia SEQ desde un nodo de red de servicio DN a una tarjeta de identificación UICC para su almacenamiento. La clave de acceso tiene una identificación de la clase de acceso, que posteriormente se utiliza para detectar en la tarjeta de identificación, la clave de acceso correcta para el servicio. Una terminal de comunicaciones MS puede ser un aparato de radio móvil, un aparato portátil, una computadora móvil o un aparato de comunicación similar. La transmisión de los valores puede realizarse a través de un enlace seguro, por ejemplo por medio de un túnel especial. Las claves de acceso (BAK-E, BAK-I) son generadas en un nodo de red de servicio DN. La clave de acceso BAK-I se utiliza para proteger la integridad y tiene el mismo tiempo de vida que la clave de acceso BAK-E, que se utiliza para la encriptado. Alternativamente podría transmitirse solo una clave de acceso BAK a la tarjeta de identificación. Entonces podrían derivarse las claves de acceso BAK-I y BAK-E desde la clave de acceso BAK con la ayuda de una función criptográfica adecuada. La clave de acceso BAK-E se utiliza para generar la clave de sesión, con la cual se encriptan los datos de un servicio. Y la clave de acceso BAK-I se utiliza para verificar si el o los números aleatorios RAND y los otros valores de secuencia nSEQ, provienen de una fuente válida (confiable) y no fueron modificados en la corriente de datos . Para un servicio pueden existir varias claves de acceso BAK en la tarjeta de identificación UICC. Cuando los datos de un servicio deben ser enviados desde un nodo de red de servicio DN a través de una red de comunicación a cuando menos una terminal de comunicaciones MS, los nodos de red de servicio generan primero un número aleatorio RAND y con este una clave desde sesión (session key) para encriptar los datos. En vez del uso de un número aleatorio RAND podría también transmitirse a la terminal de comunicaciones receptora MS, una clave de sesión SK encriptada con la clave de acceso BEK-E .
Una red de comunicación podría ser una red de telefonía móvil celular. El nodo de servicio DN produce valor adicional de secuencia nSEQ, nSEQ=x, y conjuntamente con el número aleatorio utilizado RAND y la clave de acceso BAK-I transmitida a la tarjeta de identificación calcula un valor de validez MAC-I . Para el cálculo del valor de validez MAC-I preferentemente se utiliza una función de desmembrado encriptada (keyed hash function) KHF. Junto con los datos encriptados de un servicio desde el nodo de red de servicio DN se transmiten el número aleatorio ' RAND, la identificación de clave de acceso BAK-ID, el valor adicional de secuencia nSEQ y el valor de validez calculado MAC-I a la terminal de comunicaciones MS . Con estos valores no puede hacerse una predicción sobre la clave de sesión utilizada para descifrar los datos de un servicio. La terminal de comunicaciones MS transmite el nuevo valor de secuencia nSEQ, el número aleatorio RAND, la identificación de la clave de acceso BAK-ID y el valor de validez MAC-I calculado por el nodo de red de servicio DN, .a la tarjeta de identificación UICC. La tarjeta de identificación UICC gracias a la identificación de clave de acceso BAK-ID asigna la clave de acceso correcta y calcula un propio valor de validez SD-MAC-I utilizando el valor adicional de secuencia nSEQ, la clave de acceso almacenada BAK-I, el número aleatorio obtenido RAND y -la misma función con la cual se calculo el valor de validez MAC-I en los nodos de red de servicio. A continuación se comparan entre sí ambos valores de validez SD-MAC-I y MAC-I . Si son idénticos se produce un resultado de comparación positiva. Después de compara si el nuevo valor de secuencia nSEQ es mayor que el valor de secuencia SEQ almacenado en la tarjeta de identificación UICC. Si el valor es mayor, entonces se produce un resultado de comparación positivo. El valor de secuencia almacenado SEQ después se substituye por el valor adicional de secuencia nSEQ. Para garantizar la seguridad, el valor de secuencia o el contador SEQ del nodo de red de servicio DN siempre debe incrementarse y nunca debe retrocederse a un estado previo del contador. Si se alcanza el valor máximo del valor de secuencia nSEQ, ya no puede utilizarse la clave de acceso BAK. Para continuar con el servicio debe producirse y utilizarse una nueva clave de acceso BAK. La clave de sesión SK generada por la tarjeta de identificación UICC se retransmite solo a la terminal T de la terminal de comunicaciones, cuando ambos resultados de comparación son positivos . Al volver a transmitir los datos de un servicio desde un nodo de red de servicio DN se repite ese proceso. La figura 2 muestra como se calcula en la tarjeta de identificación UICC el valor de validez SD-MAC-I utilizando el valor de secuencia adicional nSEQ, la clave de acceso almacenada BAK-I, el número aleatorio obtenido RAND y la misma función con la cual se calculó el valor de validez MAC-I en el nodo de red de servicio y ese valor se compara con el valor de validez MAC-I calculado con el nodo de red de servicio DN. Después se obtiene un resultado de la comparación . La figura 3 muestra como un valor de secuencia adicional SEQ recibido por el nodo de servicio DN se compara con el valor de secuencia SEQ almacenado en la tarjeta de identificación UICC. Si el valor de secuencia adicional nSEQ es mayor que el valor de secuencia SEQ almacenado en la tarjeta de identificación UICC, entonces se obtiene un resultado de comparación positivo. Además el valor de secuencia SEQ se substituye por el valor de secuencia adicional nSEQ en la tarjeta de identificación UICC. La clave de sesión SK se envía a la terminal T de la terminal de comunicaciones MS, cuando son positivos los resultados de la comparación de las figuras 2 y 3.
La figura 4 muestra una tarjeta de identificación UICC con una unidad receptora E para recibir cuando menos un valor de secuencia SEQ y cuando menos una clave de acceso BAK-I para ser almacenada en un elemento de memoria SE y para recibir un valor de secuencia adicional nSEQ, un número aleatorio RAND y un valor de validez MAC-I de un nodo de red de servicio DN. La unidad receptora E conduce los valores a una" unidad de procesamiento V. La unidad de procesamiento V se utiliza para producir los resultados de comparación de acuerdo con las figuras 1, 2 y 3 y para generar una clave de sesión SK para descifrar los datos de servicio recibidos por la terminal de comunicaciones MS . La unidad transmisora S transmite las claves de sesión generadas SK a la terminal T de la terminal de comunicaciones . La figura 5 muestra un nodo de red de servicio, el cual de acuerdo con la figura 1 calcula el valor de validez MAC-I en una unidad de procesamiento V, determina los valores de secuencia SEQ y nSEQ y con una unidad de transmisión S transmite a una terminal de comunicaciones MS, los valores de acuerdo con la figura 1 conjuntamente con los datos encriptados de un servicio .

Claims (12)

  1. NOVEDAD DE A INVENCIÓN Habiéndose descrito la invención como antecede, se reclama como propiedad lo contenido en las siguientes : REIVINDICACIONES 1. Un procedimiento para generar una clave de sesión para descifrar los datos de un servicio transmitidos desde un nodo de red de servicio (DN) a través de una red de comunicación a cuando menos una terminal de comunicaciones (MS), caracterizado porque cuando menos una de las claves de acceso (BAK-I) transmitida por el nodo de red de servicio (DN) y cuando menos un valor de secuencia (SEQ) transmitido se almacenan en una tarjeta de identificación (UICC) de una terminal de comunicaciones (MS) , se calcula un valor de validez (MAC-I) en los nodos de red de servicio (DN) y junto con los datos de un servicio y un valor de secuencia adicional (nSEQ) se transmiten a la terminal de comunicaciones (MS) , después de la recepción de los datos el valor de validez (MAC-I) se compara con un valor de valides (SD-MAC-I) calculado en la tarjeta de identificación (UICC) , el valor de secuencia adicional (nSEQ) recibido en la tarjeta de identificación (UICC) se compara con el valor de secuencia (SEQ) almacenado en la tarjeta de identificación (UICC) y solamente cuando se obtiene un resultado positivo de la comparación de ambos valores de validez (MAC-I/SD-MAC-I ) y de ambos valores de secuencia (SEQ/nSEQ) se transmite una clave de sesión generada por la tarjeta de identificación (UICC) para descifrar los datos de un servicio en la terminal (T) de la terminal de comunicaciones (MS) .
  2. 2. El procedimiento de acuerdo con la reivindicación 1 , caracterizado porque después de la comparación positiva de ambos valores de secuencia (SEQ/nSEQ) se substituye el valor de secuencia (SEQ) en la tarjeta de identificación (UICC) por el valor de secuencia adicional (nSEQ) que ha sido recibido.
  3. 3. El procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado porque el valor adicional de secuencia (nSEQ) transmitido con los datos encriptados es mayor que el valor de secuencia (SEQ) almacenado en la tarjeta de identificación (UICC) .
  4. 4. El procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado porque se obtiene un resultado positivo de la comparación solo cuando el valor de secuencia adicional (nSEQ) es mayor al valor de secuencia almacenado (SEQ) en la tarjeta de identificación (UICC) .
  5. 5. El procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado porque se calcula el valor de validez (MAC-I) en los nodos de red de servicio utilizando el valor de secuencia adicional (nSEQ) , un número aleatorio (RAND) , la clave de acceso (BAK-I) y preferentemente utilizando una función de desmembrado (KHF) .
  6. 6. El procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado porque el cálculo del valor de validez (SD-MAC-I) en la tarjeta de identificación (UICC) se realiza utilizando los mismos valores (nSEQ, RAND, BAK-I) y la misma función, que para el cálculo del valor de validez (MAC-I) en los nodos de red de servicio (DN) .
  7. 7. El procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado porque con los datos encriptados se transmite una identificación de clave de acceso (BAK-ID) para asignar la clave de acceso (BAK-I) necesaria para los datos del servicio.
  8. 8. El procedimiento de acuerdo con una de las reivindicaciones anteriores, caracterizado porque la red de comunicación es una red de radio móvil celular .
  9. 9. Una tarjeta de identificación (UICC) para generar una clave de sesión para descifrar los datos transmitidos desde un nodo de red de servicio (DN) a través de una red de comunicaciones a cuando menos una terminal de comunicaciones, caracterizado porque presenta - un elemento de memoria (SE) para almacenar cuando menos una clave de acceso (BAK-I) transmitida por cuando menos un nodo de red de servicio (DN) y cuando menos un valor de secuencia transmitido (SEQ) , - una unidad receptora (E) para recibir cuando menos un valor de validez (MAC-I) calculado por el nodo de red de servicio (DN) y el valor de secuencia adiciona (nSEQ) transmitido, - una unidad de procesamiento (V) para calcular un valor de validez (SD-MAC-I) y para comparar el valor de validez calculado (D-MAC-I) con el valor de validez (MAC-I) calculado y transmitido por los nodos de red de servicio (DN) , - una unidad de procesamiento (V) para comparar el valor de secuencia adicional (nSEQ) con el valor de secuencia (SEQ) almacenado en el elemento de almacenamiento (SE), - con una unidad de transmisión (S) para transmitir una clave de sesión generada por la unidad de procesamiento (V) para descifrar los datos del servicio en el caso de que exista una comparación positiva de ambos valores de validez (MAC-I/SD-MAC-i) y una comparación positiva de ambos valores de secuencia (SEQ/nSEQ) a una terminal de comunicaciones (MS) .
  10. 10. La tarjeta de identificación de acuerdo con la reivindicación 9, caracterizada porque se obtiene un resultado positivo de la comparación solo cuando el valor de secuencia adicional (nSEQ) es mayor al valor de secuencia almacenado (SEQ) en el elemento de memoria (SE) .
  11. 11. Un dispositivo en un nodo de red de servicio (DN) para transmitir datos a través de una red de comunicación a cuando menos una terminal de comunicaciones (MS), caracterizado porque presenta - una unidad de procesamiento (V) para calcular un valor de validez (MAC-I) y para producir un valor de secuencia adicional (nSEQ) , - una unidad de transmisión (S) para transmitir cuando menos una clave de acceso (BAK-I) y cuando menos un valor de secuencia (SEQ) y el valor de validez calculado (MAC-I) y el valor de secuencia adicional (nSEQ) , a la terminal de comunicaciones (MS) .
  12. 12. Un dispositivo de acuerdo con la reivindicación 11, caracterizado porque la red de comunicación es una red de radio móvil celular. RESUMEN DE LA INVENCIÓN Se describe una posibilidad sencilla y eficiente para verificar que los datos de un servicio provienen de una fuente confiable, por medio de un procedimiento y un dispositivo para generar una clave de sesión para descifrar los datos de un servicio transmitidos por un nodo de red de servicio (DN) a través de una red de comunicación a cuando menos una terminal de comunicaciones (MS) . De acuerdo con la invención se almacenan en una tarjeta de identificación (UICC) de una terminal de comunicaciones (MS) cuando menos una clave de acceso (BAK-I) transmitida por el nodo de red de servicio (DN) y cuando menos un valor de secuencia transmitido (SEQ) , se calcula un valor de validez (MAC—I) en (MAC-I) en el nodo de red de servicio (DN) y junto con los datos de un servicio y otro valor de secuencia (nSEQ) se transmite a la terminal de comunicaciones (MS) . Al recibir los datos se compara el valor de validez (MAC-I) con un valor de validez (SD-MAC-I) calculados en la tarjeta de identificación (UICC) , además se compara el valor de secuencia adicional (nSEQ) transmitido con los datos en la tarjeta de identificación (UICC) con el valor de secuencia (SEQ) almacenado en la tarjeta de identificación (UICC) y solo al existir un resultado positivo de ambos valores de valides (MAC-I/SD MAC-I) y ambos valores de secuencia (SEQ/nSEQ ( se transmite una cave de sesión generada por la tarjeta de identificación (UICC) para descifrar los datos de un servicio a la terminal (T) de la terminal de comunicaciones (MS) .
MXPA/A/2006/005074A 2003-11-06 2006-05-04 Autenticacion y actualizacion de la generacion de claves de sesion entre un nodo de una red de servicio y cuando menos una terminal de comunicaciones con la ayuda de una tarjeta de identificacion MXPA06005074A (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10352350.2 2003-11-06

Publications (1)

Publication Number Publication Date
MXPA06005074A true MXPA06005074A (es) 2006-10-17

Family

ID=

Similar Documents

Publication Publication Date Title
US8214649B2 (en) System and method for secure communications between at least one user device and a network entity
US10691788B2 (en) Systems and methods for provisioning a camera with a dynamic QR code and a BLE connection
US8412157B2 (en) Method and apparatus for security protection of an original user identity in an initial signaling message
US8122240B2 (en) Method and apparatus for establishing a security association
EP2347613B1 (en) Authentication in a communication network
EP2377288B1 (en) Method and apparatus for transmitting and receiving secure and non-secure data
KR101675332B1 (ko) 차량용 데이터 통신 방법 및 그를 이용하는 차량용 전자 제어 장치 및 시스템
EP1680940B1 (en) Method of user authentication
US20050086481A1 (en) Naming of 802.11 group keys to allow support of multiple broadcast and multicast domains
JP4847951B2 (ja) シグナリングメッセージのプロトコル拡張
RU2358406C2 (ru) Аутентификация и актуализация генераций ключей сеанса между предоставляющим услуги сетевым узлом и, по меньшей мере, одним коммуникационным оконечным устройством с идентификационной картой
MXPA06005074A (es) Autenticacion y actualizacion de la generacion de claves de sesion entre un nodo de una red de servicio y cuando menos una terminal de comunicaciones con la ayuda de una tarjeta de identificacion
KR100381710B1 (ko) 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템
KR100463751B1 (ko) 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치
TW201010333A (en) Method and apparatus for transmitting and receiving secure and non-secure data
Shao State of the Art on Security Procedures for UMTS
Hassan et al. Comprehensive Analysis of UMTS Authentication and Key Agreement
CN116192403A (zh) 用于对摄像机供给动态qr码和ble连接的系统和方法
Keung Design and analysis of security protocols against off-line guessing attacks