PT2357858E - Desenho de segurança melhorado para criptografia em sistemas de comunicações móveis - Google Patents

Desenho de segurança melhorado para criptografia em sistemas de comunicações móveis Download PDF

Info

Publication number
PT2357858E
PT2357858E PT11161433T PT11161433T PT2357858E PT 2357858 E PT2357858 E PT 2357858E PT 11161433 T PT11161433 T PT 11161433T PT 11161433 T PT11161433 T PT 11161433T PT 2357858 E PT2357858 E PT 2357858E
Authority
PT
Portugal
Prior art keywords
algorithm
security
key
basic
network
Prior art date
Application number
PT11161433T
Other languages
English (en)
Inventor
Mats Naeslund
Rolf Blom
Jari Arkko
Original Assignee
Ericsson Telefon Ab L M
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34393061&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=PT2357858(E) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Ericsson Telefon Ab L M filed Critical Ericsson Telefon Ab L M
Publication of PT2357858E publication Critical patent/PT2357858E/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

ΡΕ2357858 - 1 -
DESCRIÇÃO "DESENHO DE SEGURANÇA MELHORADO PARA CRIPTOGRAFIA EM SISTEMAS DE COMUNICAÇÕES MÓVEIS"
CAMPO TÉCNICO A presente invenção refere-se geralmente a questões de criptografia em sistemas de comunicações e mais particularmente a melhoramentos de segurança para GSM (Sistema Global para Comunicações Móveis - Global System for Mobile communication), UMTS (Sistema Universal de Telecomunicações Móveis - Universal Mobile
Telecommunications System) e sistemas de comunicações semelhantes.
ANTECEDENTES
Em comunicações móveis, ou seja, de acordo com os padrões GSM ou UMTS, a segurança é de extrema importância. Isto está muito relacionado com o aumento da utilização de comunicações móveis em relações de negócios e para comunicações privadas. Sabe-se agora que, por exemplo, o GSM sofre de problemas de segurança. Tal como recentemente descrito na referência [1], é possível recuperar a chave de encriptação quebrando o algoritmo criptográfico A5/2. Existem três opções de algoritmos básicos para dados em - 2 - ΡΕ2357858 circuitos comutados, A5/1, A5/2, A5/3 e três algoritmos básicos para dados em pacotes, GEA1, GEA2 e GEA3. Porém, importa assinalar que existem também algoritmos de 128 bits mais fortes denotados A5/4 e GEA4. 0 terminal sinaliza as suas capacidades, em particular o conjunto de algoritmos de criptografia que suporta, para a rede. A rede, em seguida, seleciona qual algoritmo de criptografia a utilizar. De observar que esta sinalização é desprotegida. Assim, 0 terminal não tem hipótese de detetar se e quando um atacante está a sinalizar que deve utilizar A5/2 e que esta informação provém de um operador legitimo.
Em geral, há pelo menos três tipos de ataques. 0 primeiro tipo envolve um atacante que interceta e desencripta o tráfego quando o sistema utiliza o algoritmo A5/2 quebrado. 0 segundo tipo de ataque compreende a interceção de tráfego associado ao procedimento AKA para registar dados de tráfego e o valor de RAND que é utilizado. Mais tarde, uma estação base falsa pode fazer com que o terminal móvel execute um procedimento AKA utilizando o RAND registado previamente e, em seguida, encripte o tráfego utilizando o algoritmo A5/2, o que permite ao atacante recuperar a chave de encriptação Kc. Devido à dependência simples de RAND esta chave, Kc, será a mesma chave que foi utilizada para proteger o tráfego registado. 0 terceiro tipo de ataque envolve um man-in-the- -3- ΡΕ2357858 middle ativo forçando o terminal a utilizar o algoritmo A5/2, permitindo assim o cálculo da chave de encriptação. 0 padrão UMTS aconselha métodos que superam a maioria destes problemas. No entanto, prevê-se um cenário no qual serão utilizados terminais GSM durante um período de tempo considerável até os terminais UMTS se terem tornado propriedade da grande maioria das utilizações. Na verdade, muitos serviços avançados tornar-se-ão disponíveis nos telefones GSM e os utilizadores podem estar relutantes em trocar os seus telefones até uma altura posterior.
Adicionalmente, enquanto o UMTS possui contramedidas que o torna resistente a estes ataques, existe naturalmente uma preocupação de que futuros avanços na criptoanálise descubram que também lá existem problemas semelhantes e/ou noutros sistemas de comunicações. Além disso, podem existir problemas de segurança envolvidos durante o roaming entre diferentes tipos de redes, tais como a rede GSM e UMTS.
SUMÁRIO DA INVENÇÃO A presente invenção supera estes e outros inconvenientes do disposto na técnica anterior. É um objetivo geral da presente invenção fornecer um design de segurança melhorado para sistemas de comunicações. -4- ΡΕ2357858
Em particular, é um objetivo da invenção fornecer melhorias de segurança para comunicação encriptada com base em acordos de chaves em sistemas de comunicações móveis tais como GSM e UMTS. É um objetivo especial melhorar a gestão de chaves para o GSM e o UMTS limitarem o impacto da quebra de A5/2 e futuros ataques em outros algoritmos.
Foi reconhecido que uma falha principal em designs de segurança da técnica anterior é que embora a chave de segurança criptográfica dependa de algum desafio aleatório, a mesma chave é utilizada independentemente do algoritmo de segurança em causa. Uma ideia básica de acordo com a invenção é melhorar ou atualizar os algoritmos básicos de segurança criptográfica por uma modificação especifica de um algoritmo da chave de segurança gerada no procedimento de acordo de chave normal do sistema de comunicações móveis.
Para a comunicação entre o terminal móvel e o lado da rede, normalmente é selecionada uma versão melhorada de um dos algoritmos de segurança criptográfica básicos suportados pelo móvel, ou pelo lado da rede ou com base num acordo mútuo entre o móvel e o lado da rede. A chave de segurança básica resultante do procedimento de acordo de chave entre o terminal móvel e a rede é então modificada na dependência de informação representativa do algoritmo selecionado para gerar uma chave de segurança -5- ΡΕ2357858 específica do algoritmo. 0 algoritmo de segurança básico é finalmente aplicado com a chave de segurança especifica do algoritmo como entrada para melhorar a segurança para comunicação protegida na rede de comunicações móveis.
Tal como mencionado, a seleção do algoritmo pode efetuar-se no lado da rede, caso em que o lado de rede transmite informação representativa do algoritmo selecionado para o terminal móvel. Esta solução é por exemplo consistente com o GSM de hoje, onde os algoritmos A5/1 a A5/3 são selecionados pela rede.
Como alternativa, no entanto, especialmente para outros sistemas de comunicações, a seleção do algoritmo de segurança melhorado de acordo com a invenção pode, se desejado, ser baseada num acordo entre o terminal móvel e o lado da rede, ou seja, realizada por meio de um procedimento de handshake, answer-offer ou um protocolo de negociação similar.
De preferência, os algoritmos implementados em hardware originais permanecem os mesmos (pelo menos no terminal móvel), e para cada algoritmo original que precisa de melhorias de segurança, um algoritmo de segurança atualizado (virtual), tal como um algoritmo avançado de cifragem/criptografia é definido com base nos algoritmos originais juntamente com a modificação de chave de especifica do algoritmo. A modificação de chave normalmente é realizada por uma função de modificação de chave, que -6- ΡΕ2357858 processa a chave de entrada com base num identificador de algoritmo ou informação similar representativa do algoritmo selecionado, e talvez alguns dados adicionais para gerar uma chave modificada, que é encaminhada para o algoritmo de segurança original.
Se for desejável suportar não só as versões melhoradas dos algoritmos de segurança, mas também manter o suporte para os algoritmos básicos, por exemplo para fins de interoperabilidade, o identificador de algoritmo tem que ser capaz de distinguir entre os algoritmos de segurança básicos originais e os algoritmos de segurança melhorados.
Na prática, a solução básica apenas requer atualizações de software nos terminais e/ou no sistema de rede. Numa forma de realização preferida da invenção, o problema é resolvido basicamente modificando os terminais e deixando que estes sinalizem que (apenas) suportam versões melhoradas atualizadas dos algoritmos básicos originais. Os esforços de padronização podem ser mantidos num mínimo, uma vez que apenas a função de modificação e os identificadores de algoritmo precisam de ser padronizados.
Do lado da rede, a seleção do algoritmo, a modificação de chave e o processamento de segurança criptográfica tal como cifragem podem ser implementados num único nó, ou distribuídos por vários nós. Muitas vezes, a seleção do algoritmo e a modificação de chave são implementados no mesmo nó. Como alternativa, no entanto, a -7- ΡΕ2357858 seleção do algoritmo e a chave de modificação podem ser distribuídos por mais do que um nó de rede, se desejado. Por exemplo, um nó pode calcular chaves especificas do algoritmo para todo um conjunto de algoritmos de segurança e transferir as chaves para outro nó, que em seguida seleciona uma versão melhorada de um algoritmo de segurança e extrai ou deriva a chave apropriada a partir do conjunto de chaves recebido. Dependendo da implementação do sistema, a cifragem em causa ou outro processamento de segurança podem ser executados no mesmo nó em que a chave foi derivada ou num nó separado. A invenção também fornece suporte para proteção de repetição, autenticação de rede básica e/ou seleção de algoritmo segura, de preferência com base na codificação ou incorporação da informação em informação de AKA existente, tal como o desafio aleatório utilizado no procedimento de AKA com o terminal móvel. A autenticação de rede é preferencialmente realizada incorporando informação de autenticação dependente de chave tal como um MAC (Código de Autenticação de Mensagem - Message Authentication Code) que pode ser verificado pelo terminal móvel. Calculando o MAC sobre informação de proteção de repetição e/ou informação sobre os algoritmos permitidos pela rede doméstica, esta informação irá receber alguma proteção de integridade, resultando em proteção de repetição segura e/ou seleção de algoritmo segura.
Embora o problema atualmente mais urgente se -8- ΡΕ2357858 refira à quebra de algoritmos do GSM, é evidente que a modificação de chave é útil não apenas em GSM, mas também em UMTS, CDMA ou sistemas de geração futura, para proativamente garantir que problemas semelhantes (talvez ainda por descobrir) não irão aparecer mais tarde, uma vez que a derivação de chave existente é atualmente também independente do algoritmo. Com efeito, a invenção é aplicável em vários sistemas de comunicações, por exemplo incluindo sistemas GSM/GPRS, WLAN (Rede Local Sem Fios -Wireless Local Area Network), UMTS e IMS (Subsistema Multimédia IP - IP Multimedia Subsystem). A invenção, portanto, fornece uma cura para uma falha básica de design de segurança, por exemplo nos procedimentos AKA GSM/UMTS. A solução proposta adapta-se perfeitamente à estrutura de protocolos existente e tem consequências de implementação limitadas o que torna possível uma implementação rápida. A invenção apresenta as seguintes vantagens: • Solução eficiente para uma falha básica de design de segurança; • É suficiente a modificação de chave, permitindo simultaneamente que os algoritmos originais implementados em hardware permaneçam os mesmos.
Esforço de padronizaçao mínimo; -9- ΡΕ2357858 • Encaixa perfeitamente na estrutura de protocolos existente; e • Consequências de implementação limitadas, o que torna possível uma implementação rápida.
Outras vantagens oferecidas pela presente invenção serão apreciadas após a leitura da descrição abaixo de formas de realização da invenção.
BREVE DESCRIÇÃO DOS DESENHOS A invenção, juntamente com objetivos e vantagens adicionais, será melhor compreendida por referência à descrição seguinte em conjunto com os desenhos acompanhantes, em que: A Fig. 1 é um diagrama de blocos esquemático ilustrando uma solução básica de acordo com uma forma de realização exemplar preferida da invenção, com um algoritmo global definido por uma modificação de chave específica do algoritmo em combinação com um algoritmo de criptografia básico original; A Fig. 2 é um diagrama de fluxos esquemático de um método para melhorar a segurança para comunicação protegida num sistema de comunicações móveis de acordo com uma forma de realização preferida da invenção; - 10 - ΡΕ2357858 A Fig. 3 é um diagrama de sinalização básica esquemático de acordo com uma forma de realização exemplar, preferida da invenção; A Fig. 4 é um diagrama de blocos esquemático ilustrando partes relevantes de um terminal móvel de acordo com uma forma de realização exemplar da invenção, implementando uma modificação de chave especifica do algoritmo; A Fig. 5 ilustra uma arquitetura de rede exemplar, ilustrando os nós envolvidos para diferentes tipos de sistemas de comunicações; A Fig. 6 é um diagrama esquemático que ilustra uma visão geral da configuração do modo de cifragem avançado e do procedimento de modificação de chave de acordo com uma forma de realização especifica, exemplar da invenção; e A Fig. 7 é um diagrama de sinalização básica esquemático de acordo com uma forma de realização exemplar adicional, preferida da invenção, incluindo melhoramentos do algoritmo de segurança com proteção de repetição e autenticação de rede integrados.
DESCRIÇÃO DETALHADA DAS FORMAS DE REALIZAÇÃO DA INVENÇÃO
Poderá ser útil começar com uma breve análise das - 11 - ΡΕ2357858 falhas de segurança básicas em GSM. Uma falha no design atual é que a chave utilizada para todos os algoritmos é derivada da mesma maneira independentemente do algoritmo de cifragem a ser utilizado. Se não tivesse sido este o caso, a quebra do A5/2 teria significado apenas isso, e os ataques do tipo 2 e 3 mencionados na seção dos antecedentes poderiam não ter sido utilizados para intercetar tráfego protegido com outros algoritmos.
Além disso, a gravidade do erro de design é aumentada pelo facto da sinalização não ser protegida (não existe nenhuma autenticação de rede e, consequentemente, nenhuma proteção de integridade ou de repetição). Tal como mencionado, isto é corrigido em UMTS. Pode parecer que melhorar a segurança do GSM para a do UMTS irá corrigir os problemas. No entanto, isto requer modificações no AuC (Centro de Autenticação - Authentication Center) , estações base, terminais e cartões SIM (Módulo de Identificação do Assinante - Subscriber Identity Module), e esta seria uma maneira muito cara de resolver os problemas. A invenção por outro lado fornece uma cura para este tipo de falhas de segurança, baseada principalmente na modificação especifica do algoritmo do material de chave de AKA. Com referência à Fig. 1, pode ser visto que o material de chave fornecido pelo procedimento padrão AKA 10 é utilizado como entrada para um algoritmo de segurança melhorado 20, que é formado por uma modificação de chave 22 em combinação com um algoritmo de segurança original 24. - 12 - ΡΕ2357858
Para garantir material de chave dependente do algoritmo como saida da unidade de modificação, a informação que representa ou que de alguma forma identifica um algoritmo selecionado é aplicada como entrada na unidade de modificação. Embora a invenção não aumente a segurança de algoritmos básicos subjacentes como tal, o material de chave não é tão útil para ataques em qualquer dos outros algoritmos. As modificações de chave são normalmente realizadas por uma função de modificação criptográfica, que deve ser pelo menos uma função unidirecional, de preferência uma função pseudoaleatória. Por exemplo, a função de modificação criptográfica pode ser implementada como uma função de hash criptográfica. Outras informações relacionadas com AKA, tais como RAND e RES do procedimento AKA, podem opcionalmente ser introduzidas para tornar os ataques de cálculo prévio inviáveis, e informações de contexto opcionais podem também ser introduzidas se outros tipos de ataques bidding-down puderem ser identificados. 0 processamento de segurança dos algoritmos de segurança é tipicamente relacionado com a confidencialidade e a cifragem dos dados, mas pode alternativamente ser concertada com a integridade e/ou autenticação dos dados. A modificação de chave pode ser considerada como um pré-processamento do algoritmo, mas também pode ser vista como um pós-processamento de AKA, no qual a chave de saida do procedimento padrão de AKA é pós-processada para produzir uma chave dependente do algoritmo. Esta é -13- ΡΕ2357858 meramente uma questão de definição. A Fig. 2 é um diagrama de fluxo esquemático de um método para melhorar a segurança para comunicações protegidas num sistema de comunicações móveis de acordo com uma forma de realização preferida da invenção. Na etapa Sl, um procedimento de acordo de chave, geralmente fazendo parte de um procedimento completo de AKA também envolvendo a autenticação do terminal móvel, é executado. Na etapa S2, uma versão melhorada ou uma atualização de um dos algoritmos básicos de segurança é selecionada, no lado da rede ou com base num acordo mútuo entre o terminal móvel e o lado da rede. Tal como anteriormente indicado, os algoritmos de segurança melhorados são frequentemente algoritmos de criptografia/cifragem de segurança melhorados, embora outros tipos de processamento de segurança possam ser de interesse. Se o algoritmo for selecionado no lado da rede, é transmitida informação representativa do algoritmo selecionado do lado de rede para o terminal móvel. Neste caso, se o móvel estiver na rede doméstica, a seleção de algoritmo geralmente é feita pela rede doméstica. Se o móvel fizer roaming numa rede visitada, a rede visitada normalmente faz a seleção do algoritmo de acordo com alguma política predeterminada. A seleção feita pela rede visitada finalmente pode ser verificada contra uma política de segurança da rede doméstica, tal que o algoritmo selecionado é aceite pela rede doméstica. Como alternativa, uma negociação entre o terminal móvel e o lado da rede é realizada para decidir - 14- ΡΕ2357858 qual o algoritmo de segurança a utilizar, por exemplo por meio de um procedimento de handshake.
Enfim, finalmente existe algum acordo sobre qual o algoritmo de segurança a ser utilizado para comunicação protegida com o terminal móvel. A ordem especifica pela qual o algoritmo e o acordo de chave são executados geralmente não é critica, embora possa ser vantajoso executar o acordo de algoritmo após autenticação bem-sucedida do terminal móvel. Na etapa S3, a informação de chave, tipicamente uma chave de segurança básica do procedimento de acordo de chave da etapa SI é modificada para gerar informação de chave especifica do algoritmo. Na etapa S4, o algoritmo de segurança básico correspondente é então aplicado com a informação de chave modificada e especifica do algoritmo como entrada. Ao tornar a informação de chave de segurança especifica do algoritmo ou dependente do algoritmo, a segurança para a comunicação protegida entre a rede e o terminal móvel é melhorada. A modificação de chave especifica do algoritmo e a utilização da informação de chave modificada são preferencialmente implementadas no terminal móvel, bem como no lado da rede, mas pelo menos no lado do terminal. Considerando o grande número de terminais móveis que podem ser afetados por um algoritmo de segurança quebrado, pode ser muito vantajoso implementar a modificação de chave em software e simplesmente executar uma atualização de software dos terminais. Isto significa que os algoritmos -15- ΡΕ2357858 implementados em hardware originais podem permanecer os mesmos, limitando significativamente as consequências de implementação. A modificação de chave é tipicamente realizada por uma função de modificação de chave implementada em software tal como uma função de hash criptográfica unidirecional, que processa a chave de entrada com base num identificador de algoritmo e talvez alguns outros dados adicionais para gerar uma chave modificada, que posteriormente é encaminhada para 0 algoritmo de segurança original. Da mesma forma, o nó ou nós de rede relevantes pode ser atualizado por meio de atualizações de software.
Basicamente, a invenção sugere uma modificação do material de chave produzido em procedimentos AKA padrão, tais como AKA GSM e AKA UMTS, para gerar chaves dependentes do algoritmo. Embora a invenção seja geralmente aplicável em vários sistemas de comunicações, incluindo GSM, GPRS, W-LAN, CDMA, UMTS, IMS ou sistemas de geração futura, a invenção irá agora ser descrita principalmente no contexto dos procedimentos de AKA GSM/GPRS e AKA UMTS.
Um exemplo especifico para AKA GSM:
Kc' = GSM_Modify (Kc, Algorithm_Id, [RAND, RES, Other_context_info]) e para UMTS:
Ck', lk'= UMTS_Modify (Ck, lk, Algorithm_Id, [RAND, RES, Other_context_info]) - 16 - ΡΕ2357858 onde as funções GSM_Modify () e UMTS_Modify () são funções criptográficas, por exemplo baseadas em MD5, SHA1 ou alguma sua variante, truncando ao bit mais à esquerda 64/128 bits, respetivamente. No caso do UMTS, também é possível utilizar alguma função que utiliza tanto Ck e lk como entrada para produzir uma saída de 256 bits. 0 RAND pode ser introduzido para tornar os ataques de cálculo prévio inviáveis. Para handovers inter-MSC e handovers semelhantes noutros sistemas, RAND é então tipicamente transferido juntamente com a informação de handover padrão do antiga MSC para o nova MSC.
Em seguida, a invenção irá ser descrita principalmente com referência ao cenário no qual a seleção do algoritmo é executada no lado da rede. No entanto deverá ser entendido que é igualmente viável a implementação de um procedimento básico de handshake ou um mecanismo de negociação similar em que o terminal móvel e o lado da rede concordam sobre qual o algoritmo de segurança a ser utilizado para a comunicação protegida.
Poderá ser útil descrever a sinalização geral entre o terminal e o lado da rede de acordo com uma forma de realização exemplar, preferida da invenção, com referência à Fig. 3. 1. 0 terminal sinaliza quais os algoritmos atualizados que suporta, bem como um ID (identificador) do utilizador ou assinante. - 17 - ΡΕ2357858 0 lado da rede (envolvendo a rede doméstica e/ou a rede visitada como e quando necessário por um procedimento convencional de AKA) inicia a autenticação e o acordo de chave, criando um RAND, calculando uma resposta esperada e uma ou mais chaves. Com base no ID do assinante, a chave partilhada secreta relevante do assinante pode ser recuperada no lado de rede para permitir os cálculos de AKA. 2. A rede envia RAND para o terminal. 3. O terminal insere o RAND no SIM GSM, SIM UMTS, ISIM ou numa funcionalidade semelhante e obtém, com base numa chave partilhada do assinante, uma resposta RES e uma ou mais chaves. 4. 0 terminal envia RES para o lado da rede. 5. 0 lado de rede verifica RES para autenticar o terminal. Quando o móvel está na rede doméstica, a rede doméstica verifica a RES contra uma resposta esperada XRES. Quando o terminal móvel está numa rede visitada, a rede visitada normalmente verifica a RES em comparação com a XRES recebida da rede doméstica. Na terminologia do GSM, RES e XRES são ambas normalmente referidas como SIRES. 6. Neste exemplo, o lado da rede (rede doméstica ou rede visitada dependendo de onde se encontra o móvel) preferencialmente seleciona um dos algoritmos atualizados -18- ΡΕ2357858 suportados pelo terminal e inicia a cifragem. Naturalmente, o lado da rede também tem que suportar o algoritmo de segurança melhorado selecionado. 7. 0 lado da rede envia o ID do algoritmo para o terminal. 8. 0 terminal inicia a cifragem com base nos algoritmos atualizados selecionados incluindo a modificação de chave dependente do algoritmo.
Se for desejável suportar não só as versões melhoradas dos algoritmos de segurança, mas também manter o suporte para os algoritmos básicos, por exemplo para fins de interoperabilidade, o identificador de algoritmo tem de ser capaz de distinguir entre os algoritmos de segurança básicos originais e os algoritmos de segurança melhorados. A Tabela I abaixo ilustra um exemplo possível de identificador de algoritmo para os algoritmos de criptografia básicos GSM/GPRS e um correspondente conjunto de algoritmos de criptografia melhorados:
Algoritmos de segurança básicos: ID do algoritmo A5/1 1 A5/2 2 • · · - 19 - ΡΕ2357858 A5/k k GEA1 k+1 GEA2 k+2 GEAm k+m Algoritmos de segurança melhorados: ID do algoritmo A5 /1' (k+m)+1 A5/2 ' (k+m)+2 A5 / k' (k+m)+k GEA1 ' (k+m+k)+1 GEA2 ' (k+m+k)+2 GEAm' (k+m+k)+m
Novos algoritmos de criptografia melhorados, aqui representados por A5/1', A5/2',..., A5/k',..., GEA1', GEA2', ..., GEAm' para o caso específico da cifragem em GSM e GPRS, foram assim definidos. Para a generalidade, é assumido que existe um número, k, de algoritmos A5 e um número, m, de algoritmos GEA, onde normalmente k = m = 4. Tal como descrito anteriormente, cada um dos algoritmos melhorados é formado pela modificação de chave específica do algoritmo em combinação com o algoritmo básico correspondente. Se a rede por alguma razão seleciona um algoritmo de segurança básico, a chave AKA será passada de forma transparente sem modificação para o algoritmo básico. -20- ΡΕ2357858
Naturalmente, outras maneiras de distinguir os identificadores de algoritmo podem ser utilizadas, por exemplo com base em representações binárias ou hexadecimais.
Por exemplo, uma vez que o GSM é atualmente especificado para suportar até oito algoritmos, uma maneira simples seria deixar A5/j, onde j = 5, 6, 7 e 8 denotar A5/1', A5/2', A5/3' e A5/4', respetivamente. No que respeita aos algoritmos de 128 bits A5/4 e também GEA4, poderá não ser necessário fornecer variantes melhoradas, uma vez que eles são considerados, pelo menos neste momento, como sendo muito fortes.
Se for desejado suportar apenas os algoritmos melhorados atualizados, um possível exemplo de identificadores de algoritmo para os algoritmos criptográficos GSM/GPRS melhorados propostos é dado na Tabela II abaixo.
Segurança melhorada algoritmos: ID do algoritmo A5 /1' 1 A5/2 ' 2 A5/k' k' GEA1' k+1 GEA2 ' k+2 GEAm' k+m -21 - ΡΕ2357858
Uma solução exemplar é atualizar os terminais e deixá-los sinalizar que eles apenas suportam a versão atualizada dos (atuais) algoritmos básicos. Isto pode ser feito através da definição de novos algoritmos criptográficos, por exemplo A5/1', A5/2',..., Ab/k', GEA1', GEA2', . . ., GEAm' para o caso especifico de GSM e GPRS, ou através de uma indicação na sinalização das capacidades gerais dos terminais.
Um exemplo de um procedimento completo pode ser descrito como: 1. 0 terminal sinaliza o suporte de A5/x', AS/y',..., e também envia o ID do utilizador ou assinante. 2. A rede envia RAND para o terminal. 3. 0 terminal insere o RAND no SIM e obtém REVS e
Kc. 4. 0 terminal envia RES para a rede. 5. A rede verifica RES. 6. Após autenticação bem-sucedida, a rede seleciona um algoritmo suportado, por exemplo A5/y', e inicia a cifragem com a utilização de A5/y'. 7. A rede envia o identificador de algoritmo de -22- ΡΕ2357858 A5/y' para o terminal. 8. 0 terminal inicia a cifragem com a utilização do algoritmo atualizado A5/y' = (modificação de chave e A5/y) . Na prática, isto normalmente significa que o terminal calcula a chave modificada a ser utilizada executando Kc' = Modify (Kc, A5/y'_identifier, [RES], [RAND]) e aplica a chave modificada Kc' ao algoritmo de hardware original A5/y.
Tal como mencionado acima, a função de modificação deve pelo menos ser uma função unidirecional, de preferência uma função pseudoaleatória. Pode ser utilizada uma função de hash criptográfica padrão com chave como o MD5, SHA-1 ou alguma sua variante, por exemplo HMAC. Se desejado, é até possível alterar a função de (aumentar/diminuir) a dimensão da chave AKA básica através da função de modificação. Por exemplo, o processamento de chave e/ou a concatenação de material de chave podem ser utilizados para aumentar a dimensão da chave final. Por hipótese, a unidade de modificação pode invocar o SIM uma segunda vez utilizando o RAND mais uma constante predeterminada tal como um novo desafio aleatório e concatenar a primeira chave AKA com a segunda chave AKA para gerar uma nova chave de dimensão dupla, que subsequentemente pode ser tornada específica do algoritmo por meio de uma função criptográfica unidirecional. Outro exemplo envolve o processamento da chave AKA, por exemplo deslocando bits para gerar uma chave AKA processada, que -23- ΡΕ2357858 pode então ser concatenada com a chave AKA original para aumentar a dimensão da chave. Naturalmente, a unidade de modificação pode incluir outras funções de melhoramento de segurança que podem ser combinadas com a modificação de chave especifica do algoritmo proposta pela invenção. A Fig. 4 é um diagrama de blocos esquemático das partes relevantes de um terminal móvel de acordo com uma forma de realização exemplar da invenção, implementando uma modificação de chave especifica do algoritmo. Normalmente, a funcionalidade AKA 10 é implementada num módulo de identidade padrão (Identity Module - IM) 15, como o cartão SIM GSM, mas pode alternativamente ser fornecida noutro local no terminal móvel 100. A(s) chave(s) de saida AKA, em seguida, é(são) encaminhada(s), opcionalmente em conjunto com RAND, RES e/ou outra informação de contexto, para o módulo de modificação de chave inventivo 22. O módulo de modificação de chave 22 processa a(s) chave(s) de saida em resposta a um identificador de algoritmo representativo do algoritmo de segurança selecionado para gerar uma chave de segurança especifica do algoritmo. Esta chave modificada é então transferida para o algoritmo de segurança básico 24, aqui exemplificado por um algoritmo criptográfico, tal como por exemplo qualquer um dos algoritmos A5/1, A5/2, A5/3, GEA1, GEA2 e GEA3 originais. Obviamente, o algoritmo de segurança básico 24 também recebe a informação a ser protegida pelo algoritmo de segurança. No caso de encriptação, os chamados dados em "linguagem clara" (clear text) são encriptados pelo algoritmo de segurança com base -24- ΡΕ2357858 na chave de segurança específica do algoritmo para gerar dados de saída encriptados. 0 módulo de modificação de chave 22 é normalmente implementado como software/hardware de terminal, preferencialmente utilizando as capacidades gerais de terminal do móvel 100. Tal como mencionado, é vantajoso implementar a modificação de chave como uma atualização de software com base numa função de modificação criptográfica adequada para execução pelo hardware de processamento do terminal. No entanto, se algum designer/fabricante de móveis quiser que todas as funções criptográficas estejam em hardware, não há nada que impeça uma implementação em hardware da modificação de chave. Por exemplo, podem ser fornecidos novos telefones GSM com um módulo de hardware de modificação de chave adicional que é arranjado para cooperação com o módulo AKA e com o algoritmo básico comum de cifragem criptográfica. 0 algoritmo criptográfico 24 tipicamente é realizado em
Module) e, hardware do terminal, preferencialmente próximo da cadeia RX/TX 30. O módulo de identidade 15 pode ser qualquer módulo de identidade inviolável conhecido na técnica, incluindo cartões SIM padrão utilizados em telefones móveis GSM (Sistema Global para Comunicações Móveis - Global System for Mobile Communications) , UMTS (Sistema Universal de Telecomunicações Móveis - Universal Mobile Telecommunications System) SIM (USIM), WAP (Protocolo de Aplicação Sem Fios - Wireless Application Protocol) SIM, também conhecido como WIM, ISIM (Módulo de Identidade do Subsistema Multimédia IP - IP Multimedia Subsistem Identity mais genericamente, módulo UICC (Circuito -25- ΡΕ2357858
Integrado de Integração Universal - Universal Integrated Circuit Card) . A funcionalidade AKA não tem necessariamente de ser implementada num módulo de identidade, ou pelo menos não num módulo de hardware, como o SIM comum. É até possível emular um módulo de identidade inteiro incluindo funcionalidade AKA no software.
Tal como mencionado, a invenção é aplicável tanto quando o terminal móvel está na sua rede doméstica como quando ele faz roaming numa rede visitada, enquanto a rede doméstica e a rede visitada, respetivamente, suportarem os algoritmos de segurança melhorados (é suficiente que a rede doméstica esteja ciente da existência dos algoritmos). Uma vez que o último caso, quando o móvel faz roaming numa rede visitada, é um pouco mais complexo, irá ser brevemente descrita uma arquitetura de rede exemplar incluindo uma rede doméstica e uma rede visitada com referência à Fig. 5. Para além de uma arquitetura de rede geral, a Fig. 5 ilustra também os nós envolvidos para cada um de um número de sistemas de comunicações exemplares. A arquitetura de rede geral inclui um terminal móvel 100, um ponto de acesso de rede 200, um ou mais dos chamados nós habilitadores de segurança 300 na rede visitada e um ou mais nós de rede de manipulação de assinantes 400 na rede doméstica. O ponto de acesso à rede pode por exemplo ser um nó BTS (Estação Base Emissora-Recetora - Base Transceiver Station), um nó B ou um ponto de acesso W-LAN, dependendo do sistema de comunicação considerado. Basicamente, os nós habilitadores de segurança 300 na rede visitada têm de fornecer suporte -26- ΡΕ2357858 para autenticação de utilizadores, na qual terminais móveis se autenticam no sentido de obterem acesso aos serviços de rede. Esta autenticação também pode servir como uma base para taxação dos utilizadores. Os protocolos de segurança básicos dos sistemas de comunicações modernos normalmente envolvem um procedimento de autenticação e acordo de chave (AKA) de desafio-resposta. 0 procedimento AKA é muitas vezes baseado em criptografia simétrica utilizando uma chave secreta partilhada entre o terminal móvel e a rede doméstica, conforme descrito anteriormente. No terminal móvel 100, a chave secreta partilhada normalmente é armazenada num módulo de identidade do assinante, tal como o SIM GSM, USIM, ISIM, WIM, ou mais genericamente num UICC. Na rede doméstica, um ou mais nós de rede 400 manipula os assinantes e as informações de segurança relacionadas. 0(s) nó(s) de manipulação de assinantes 400 da rede doméstica comunica com o(s) nó(s) habilitadore(s) de segurança 300 na rede visitada, geralmente transferindo informação relacionada com AKA e opcionalmente também informação de política de segurança da rede doméstica para a rede visitada. De acordo com uma forma de realização exemplar da invenção, o(s) nó(s) habilitadore(s) de segurança também inclui(em) a funcionalidade de seleção de um algoritmo de segurança adequado para comunicação protegida com o terminal móvel. De preferência, o(s) nó(s) habilitador(es) de segurança 300 é(são) implementado(s) com uma função de modificação de chave para modificar a(s) chave(s) de saída normal(ais) de AKA na dependência do algoritmo selecionado para fornecer suporte aos algoritmos de segurança -27- ΡΕ2357858 melhorados de acordo com a invenção. Estes nós habilitadores de segurança também podem incluir os motores criptográficos para processamento de segurança, tal como a cifragem. No entanto, em alguns sistemas, como o GSM, a cifragem é implementada na estação base emissora-recetora atuando como o ponto de acesso de rede. A seleção de algoritmo, modificação de chave e a cifragem podem ser implementadas num único nó ou ser distribuídas por vários nós. Muitas vezes, a seleção do algoritmo e a modificação de chave são implementadas no mesmo nó. Como alternativa, no entanto, a seleção do algoritmo e modificação de chave podem ser distribuídas por vários nós de rede se desejado. Dependendo da implementação do sistema, a cifragem ou outro processamento de segurança podem ou não ser co-localizados com a funcionalidade de geração de chave. Neste último caso, a chave modificada específica do algoritmo a ser utilizada no algoritmo de cifragem pode ter de ser transferida para um nó separado, no qual a cifragem é executada.
Para um sistema GSM, os nós habilitadores de segurança normalmente correspondem à BSC (Controladora de Estações Base - Base Station Controller) e MSC/VLR (Centro de Comutação Móvel/Registo de Localizações Visitadas Mobile Switching Center/Visited Location Register) . No lado da rede doméstica, o HLR/AuC (Registo de Localização Doméstica/Centro de Autenticação - Home Location Register/Authentication Center) da rede GSM irá normalmente -28- ΡΕ2357858 manipular assinantes e informações relacionadas com segurança. 0(s) nó(s) de rede de manipulação de assinantes 300 naturalmente poderá(ão) ser um HLR/AuC de um operador doméstica, possivelmente envolvendo um servidor AAA (Autorização, Autenticação e Contabilização
Authorization, Authentication and Accounting) que pode ou não ser co-localizado com o centro de autenticação. No entanto, também pode ser um corretor atuando como um centro de autenticação geral, ou um centro de identidade, para um número de operadores de rede diferentes. Basicamente, no lado da rede a solução proposta requer apenas a extensão dos identificadores de algoritmo e a implementação de uma modificação de chave especifica do algoritmo num local adequado na BSC ou na MSC/VLR. No GSM, a cifragem é executada na estação base BTS. Isto significa que a chave modificada tem de ser encaminhada a partir da BSC para a estação base para a cifragem acontecer. Assim, a BTS também pode ser considerada como parte do(s) nó(s) habilitador(es) de segurança. Os parâmetros padrão de autenticação e acordo de chave são normalmente obtidos a partir do HLR/AuC.
Para um sistema GPRS/GSM, tanto a modificação de chave como a cifragem são normalmente implementadas no nó SGSN (Nó de Suporte de Serviço GPRS - Serving GPRS Support Node) , que também manipula a autenticação dos assinantes na rede visitada. O BSS GSM (Sistema de Estações Base - Base Station System) com a sua estação base BTS portanto tem um papel mais passivo neste contexto, em comparação com o caso GSM puro. -29- ΡΕ2357858
Para um sistema de W-LAN do 3GPP, os nós habilitadores de segurança normalmente correspondem ao nó proxy AAA e ao WSN/FA (Nó de Serviço da W-LAN - W-LAN Serving Node) , que interage com o Ponto de Acesso (Access Point - AP) da W-LAN. Os parâmetros padrão de autenticação e acordo de chave são obtidos a partir do HLR/AuC e do servidor AAA.
Para um sistema UMTS, o ponto de acesso é o nó B e os nós habilitadores de segurança correspondem à RNC (Controladora de Rede de Rádio - Radio Network Controller) e aos nós MSC. Na rede doméstica, o HLR/AuC cuida da necessária interação com os nós MSC e RNC. Para um subsistema Multimédia IP - IP Multimedia Subsystem, o nó Proxy CSCF (Função de Controlo de Estados de Chamada - Call State Control Function) corresponde ao nó habilitador de segurança e pode incluir modificação de chave especifica do algoritmo para melhorar a segurança para a sinalização de controlo do nivel aplicação. Em gerações futuras do sistema IMS, os dados dos utilizadores também podem ser protegidos empregando uma modificação de chave de acordo com a invenção. Na rede doméstica, um HSS (Sistema Doméstica de Assinante - Home Subscriber System) fornece os parâmetros de autenticação e acordo de chave requeridos e o Serving CSCF normalmente autentica os assinantes IMS. A Fig. 6 é um diagrama esquemático que ilustra uma visão geral do modo de configuração da cifragem avançada e do procedimento de modificação de chave de -30- ΡΕ2357858 acordo com uma forma de realização exemplar da invenção, relacionada com o caso específico do GSM. Numa classe MS semelhante à padronizada em TS24.008, uma lista dos algoritmos suportados pelo móvel é transferida do terminal móvel 100 para o BSS (Sistema de Estações Base - Base Station System), preferencialmente para a BSC 310 através da estação base BTS 200, supondo que a decisão ou negociação do algoritmo tem lugar na BSC. A lista de algoritmos suportados preferencialmente inclui, pelo menos, os algoritmos de segurança melhorados A5/1', A5/2', A5/3', mas possivelmente também os algoritmos básicos A5/1, A5/2 e A5/3. A MSC 320 transfere uma lista de algoritmos permitidos pela política de segurança da rede visitada para o sistema BSS e mais particularmente para a BSC 310 num comando CMC (Comando de Modo Cifragem - Cipher Mode Command) semelhante ao padronizado em TS48.008. O sistema BSS, especialmente a BSC 310 normalmente seleciona um algoritmo para a comunicação protegida com o terminal móvel com base na lista de algoritmos compatíveis e na lista de algoritmos permitidos e, se um algoritmo de segurança melhorada for selecionado, preferencialmente deriva uma chave de segurança específica do algoritmo. O sistema BSS também transmite um identificador de algoritmo do algoritmo selecionado para o terminal móvel num comando CMC de interface de rádio semelhante ao padronizado no TS 44.018. Por exemplo, a derivação de chave pode ser realizada calculando a chave modificada na BSC 310 em dependência do algoritmo selecionado. Como alternativa, a MSC 320 calcula chaves modificadas especificas do algoritmo para todos os -31 - ΡΕ2357858 algoritmos permitidos pela rede visitada e transfere-os, de preferência em conexão com o comando CMC, para a BSC, que por sua vez seleciona o algoritmo e extrai a chave apropriada do conjunto calculado de chaves. No GSM, a cifragem é executada pela estação base BTS 200 do sistema BSS. O terminal móvel 100 é aqui fornecido com uma funcionalidade de modificação de chave de acordo com a invenção e aplica o identificador de algoritmo, possivelmente em conjunto com informações adicionais, na função de modificação de chave para gerar uma chave especifica do algoritmo correspondente para ser utilizado na cifragem.
Tal como mencionado anteriormente, a seleção de algoritmo feita pela rede visitada pode ser verificada contra uma política de segurança da rede doméstica tal que pssa ser assegurado que o algoritmo selecionado é aceite pela rede doméstica. Normalmente, isto significa que uma lista de algoritmos permitidos pela rede doméstica é transferida para o terminal móvel. A integridade desta informação é preferencialmente protegida para que o móvel possa ter a certeza de que a informação não foi adulterada, conforme será descrito mais tarde.
A invenção de preferência também fornece suporte para proteção de repetição, autenticação básica de rede e/ou seleção de algoritmo segura, de preferência com base em codificação ou incorporação de informações em informação de AKA existente, tal como o desafio aleatório RAND -32- ΡΕ2357858 utilizado no procedimento AKA com o terminal móvel. Se também for possivel aceitar alterações ao AuC ou nó correspondente no lado da rede doméstica, a proteção de repetição, autenticação de rede, assim como outras melhorias à segurança podem ser alcançadas, conforme será discutido abaixo. 0 valor de RAND é suposto ser aleatório, mas é possível utilizar alguns bits de RAND para sinalizar algumas informações adicionais a partir da rede doméstica (AuC) para o terminal para melhorar ainda mais a segurança. As formas de realização acima corrigem os problemas com exclusividade de chave por algoritmo, mas geralmente não removem problemas com repetição ou falta de autenticação de rede. A solução exemplar a seguir consegue isso com alterações adicionais mínimas (somente no AuC e no terminal) e nenhuma nova sinalização. A Fig. 7 é um diagrama esquemático básico de sinalização de acordo com uma forma de realização exemplar adicional, preferida da invenção, incluindo melhoramentos do algoritmo de segurança com autenticação de rede e proteção de repetição integrados. Para simplicidade, o exemplo abaixo está relacionado com o caso do GSM, mas os mecanismos descritos não estão limitados a este, tal como será facilmente compreendido pela pessoa especializada. 1. 0 terminal sinaliza quais os algoritmos atualizados que suporta, de preferência em conjunto com o -33- ΡΕ2357858 seu ID de assinante à rede visitada e ao nó MSC/VLR. 2. A rede visitada encaminha o ID do assinante à rede doméstica e mais particularmente ao HLR/AuC ou nó correspondente. 3. Nesta forma de realização particular, o AuC forma valores RAND como se segue. (Assumindo que RAND tem normalmente 128 bits de dimensão). A. 0 AuC mantém para cada móvel (SIM) um contador, c, do número de autenticações realizadas para o referido móvel. Este contador pode por exemplo ser t = 16 bits de dimensão e é-lhe permitido para envolver módulo 2Λ16. 0 contador c é um exemplo representativo de informação sobre proteção de repetição. B. Um valor aleatório R de (128-t-m)-bit é gerada no AuC, onde m é determinado abaixo. C. 0 valor r = R||c|I00...0 (tantos zeros conforme necessário para colocar r com 128 bits de dimensão, i.e. m bits) é executado através da função de geração de chave do GSM, obtendo-se uma chave k. Alternativamente, algum outro regime de preenchimento pode ser utilizado. Mais genericamente, r é uma função f de R e c e possivelmente também outra informação opcional. -34- ΡΕ2357858 D. 0 valor RAND = r||MAC(k,r) é formado e é utilizado para gerar a chave de cifragem Kc e a resposta esperada XRES. Aqui, o MAC (Código de Autenticação de Mensagem - Message Authentication Code) é uma função de autenticação de mensagem, por exemplo HMAC, truncada em m bits, por exemplo m = 32. 0 MAC é um exemplo representativo de informação de autenticação de rede. 4-5. RAND é enviado para o móvel como de costume (e Kc, XRES é enviado para a rede visitada). 6. 0 AuC incrementa c em um. No lado do terminal as seguintes ações são preferencialmente executadas: A. 0 móvel também mantém um contador c', do número de autenticações que fez. B. Quando o móvel recebe RAND extrai r e c dele. C. 0 móvel verifica que c está "à frente" (ver abaixo) do seu valor local c'. Caso contrário, ele aborta o protocolo. D. Caso contrário, o móvel então envia r para o SIM e deriva k (reutilizando o SIM). E. 0 móvel verifica se o MAC é correto ΡΕ2357858 -35- calculando XMAC (k, r) e comparando MAC e XMAC. Se o MAC não estiver correto, o móvel aborta o protocolo. F. Se por outro lado, o MAC estiver correto, foi verificada a autenticidade da rede. 0 móvel também atualiza o seu contador definindo c '= c. 7. 0 móvel invoca o SIM novamente, mas agora com o RAND completo como entrada para obter RES e Kc. 8. 0 terminal envia RES para o lado da rede. 9. A rede visitada normalmente verifica RES por comparação com XRES recebido a partir da rede doméstica, para autenticar o terminal. 10. A rede visitada seleciona um dos algoritmos melhorados atualizados suportados pelo terminal e inicia a cifragem. 11. A rede visitada envia o ID de algoritmo para o terminal. 12. O terminal inicia a cifragem com base no algoritmo selecionado atualizado incluindo a modificação de chave dependente do algoritmo. -36- ΡΕ2357858 0 móvel pode agora comunicar com a rede visitada. De observar que devido às propriedades pseudoaleatórias da função MAC, o decréscimo da entropia relativa de RAND é pequeno, basicamente só os bits correspondentes ao contador são perdidos.
Para verificar se c está "à frente" pode ser utilizada aritmética normal de números de sequência. Dois valores de t-bits, a e b são comparados como se segue. Se a > b e a-b < 2A(t-l), ou a < b mas b-a > 2Λ(Ρ-1), então podemos dizer que a está "à frente" de b, caso contrário não está. Uma solução alternativa poderia ser a utilização da informação de data/hora (timestamp) como informação de proteção de repetição em vez de um contador.
Uma vez que o MAC é calculado sobre r que inclui o valor c, haverá alguma proteção de integridade para esses dados também. Deverá ser notado que, se o atacante modificar a informação de proteção de repetição, o MAC não pode ser verificado e o protocolo será abortado. De qualquer forma, independentemente de se um MAC é utilizado ou não, o valor de RAND não será mais o mesmo, resultando numa RES incorreta que não coincide com a resposta esperada -37- ΡΕ2357858 XRES no lado da rede. Portanto, não existe nenhuma possibilidade de autenticação de utilizador bem-sucedida se alguém tiver falsificado o valor de RAND.
Como alternativa, os aspetos de autenticação de rede e proteção de repetição podem ser separados e executados independentemente uns dos outros. Para proteção de repetição, um valor de contador ou uma informação de data/hora pode ser codificado ou de alguma forma incorporado no valor de RAND. Para autenticação de rede básica, a informação dependente da chave de autenticação, tal como um código MAC ou similar é calculada no lado da rede e transmitida para o terminal móvel para verificação.
Outras melhorias são também possíveis, combinando os princípios acima com algumas ideias adicionais que já foram propostas, por exemplo, na contribuição [2]. Por exemplo, alguns bits extra de RAND podem ser alocados para sinalização de uma política de segurança a partir da rede doméstica para o móvel.
Na invenção, por exemplo, o bit número j de RAND pode ser definido como 1 se e somente se o algoritmo número j (de acordo com uma numeração acordada de algoritmos) for permitido para ser utilizado pelo móvel. Uma lista inteira de algoritmos permitidos pela rede doméstica pode portanto ser comunicada incorporada em RAND. 0 terminal móvel pode então verificar se o algoritmo selecionado pela rede visitada é aceite pela rede doméstica. Se não for, o -38- ΡΕ2357858 terminal móvel abortará o protocolo. Também é possível e desejável fornecer proteção de integridade calculando um MAC sobre a informação sobre algoritmos de segurança permitidos pela rede doméstica.
Se desejado, a proteção de repetição, a autenticação de rede e a seleção de algoritmo segura podem portanto todas ser integradas, por exemplo, deixando o valor r-R||c||algoritmos permitidos|I00...0 (tantos zeros conforme necessário para colocar r por exemplo com 128 bits de dimensão) . 0 valor RAND = r| | MAC (k, r) | | é formado e é utilizado para gerar a chave de cifragem Kc e a resposta esperada XRES. 0 valor r, o valor de contador c assim como a informação sobre algoritmos permitidos pela rede doméstica são extraídos pelo móvel, e o MAC é verificado.
Uma vantagem da invenção é que a solução pode coexistir com outras propostas, incluindo as que são destacadas nas referências [2,3]. Enquanto as propostas [2,3] melhoram de facto vários aspetos de segurança, nenhuma delas fornece uma desejada separação de chaves. Isto significa que se os algoritmos X e Y são em simutâneo permitidos e suportados, então o móvel pode potencialmente acabar executando tanto X como Y com a mesma chave, Kc.
Em comparação com as realizações de modificação de chave básicas, com proteção de repetição, autenticação de rede e/ou seleção de algoritmo segura, o único nó adicional que precisa de modificações é o HLR/AuC no lado -39- ΡΕ2357858 da rede. Nas redes de terceira geração, o nó CSCF (Função de Controlo de Estados de Chamada - Call State Control Function) no subsistema Multimédia IP - IP Multimedia Subsystem necessita de ser atualizado nas realizações de modificação de chave básicas, e com proteção de repetição, autenticação de rede e/ou seleção de algoritmo segura, o nó HSS (Sistema Doméstica de Assinante - Home Subscriber System) também requer modificação.
As formas de realização descritas acima são meramente fornecidas como exemplos, e deverá ser entendido que a presente invenção não está limitada a estes.
REFERENCIAS
[1] "Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication" por Barkan, Biham e Keller, Proceedings of Crypto 2003, Lecture Notes in Computer Science vol. 2729, Springer-Verlag.
[2] "Cipher key separation for A/Gb security enhancements", S3-030463, 3GPP S3#29, 15-18 de julho de 2003, São
Francisco, EUA.
[3] "Enhanced Security for A/Gb", S3-030361, 3GPP S3#29, 15-18 de julho de 2003, São Francisco, EUA.
Lisboa, 29 de Junho de 2012

Claims (14)

  1. ΡΕ2357858 - 1 - REIVINDICAÇÕES 1. Um método para melhorar a segurança de comunicação protegida com base num procedimento de acordo de chave (Sl) numa rede de comunicações móveis que serve um terminal móvel (100) tendo pelo menos um algoritmo de segurança criptográfica básico (24) , o referido método compreendendo as etapas de: seleção de uma versão melhorada de um algoritmo de segurança criptográfica básico para a comunicação entre o terminal móvel (100) e o lado da rede (S2); - modificação de uma chave de segurança básica decorrente do procedimento de acordo de chave na dependência de um identificador de algoritmo identificando a versão melhorada selecionada do algoritmo de segurança para gerar uma chave de segurança especifica do algoritmo; aplicação do algoritmo de segurança de criptografia básico com a chave de segurança especifica do algoritmo como entrada para melhorar a segurança para comunicação protegida na referida rede de comunicações móveis.
  2. 2. O método da reivindicação 1, em que a referida etapa de seleção de uma versão melhorada de um algoritmo de segurança criptográfica básico é executada no lado da rede, e o referido método ainda compreende a etapa - 2 - ΡΕ2357858 de transmissão de informação representativa da versão melhorada selecionada para o terminal móvel (100).
  3. 3. O método da reivindicação 1, em que o algoritmo de segurança criptográfica básico (24) juntamente com a modificação especifica do algoritmo da referida chave de segurança básica corresponde à versão melhorada.
  4. 4. O método da reivindicação 1, em que a referida etapa de seleção de uma versão melhorada do algoritmo de segurança é baseada numa lista de algoritmos suportados a partir do terminal móvel (100) e numa lista de algoritmos permitidos pela rede.
  5. 5. O método da reivindicação 1, em que os referidos algoritmos de segurança são configurados para pelo menos um de confidencialidade dos dados, integridade dos dados e autenticação.
  6. 6. O método da reivindicação 1, compreendendo adicionalmente as etapas de: o referido lado da rede incorporando informação de proteção de repetição num desafio aleatório utilizado para autenticação e acordo de chave com o terminal móvel (100); - o referido terminal móvel (100) extraindo a referida informação de proteção de repetição a partir do referido desafio aleatório; e - o referido terminal móvel realizando uma verificação de -3- ΡΕ2357858 proteção de repetição com base na informação de proteção de repetição extraída.
  7. 7. 0 método da reivindicação 6, em que a referida informação de proteção de repetição é baseada em contador ou baseada em tempo.
  8. 8. 0 método da reivindicação 1, em que a referida etapa de modificação da chave de sequrança básica é executada com base numa função de modificação criptográfica implementada em software.
  9. 9. 0 método de acordo com a reivindicação 1 em que a função de modificação criptográfica é uma função unidirecional e/ou uma função pseudoaleatória.
  10. 10. Um terminal móvel (100) para operação numa rede de comunicações móveis, o referido terminal móvel compreendendo: - funcionalidade de autenticação e acordo de chave, AKA (10) ; - um motor para um algoritmo de segurança criptográfica básico (24); - meios para modificar uma chave de segurança básica a partir da referida funcionalidade AKA (10) em resposta a um identificador de algoritmo que identifica uma versão melhorada selecionada do algoritmo de segurança -4- ΡΕ2357858 criptográfica básico para gerar uma chave de segurança específica do algoritmo para entrada no referido motor de algoritmo de segurança criptográfica básico para melhorar a segurança para comunicação protegida na referida rede de comunicações móveis.
  11. 11. 0 terminal móvel (100) da reivindicação 10, em que a versão melhorada do algoritmo de segurança básico é selecionado a partir do lado da rede, e o referido terminal móvel (100) é operável para receber o identificador de algoritmo a partir do lado da rede.
  12. 12. O terminal móvel (100) da reivindicação 10, em que o algoritmo de segurança criptográfica básico juntamente com a modificação da referida chave de segurança básica para uma chave de segurança específica do algoritmo correspondem ao algoritmo de segurança criptográfica melhorado;
  13. 13. Um nó de rede (300) para operação numa rede de comunicações móveis que suporta pelo menos um algoritmo de segurança criptográfica básico (24) e serve um terminal móvel (100), o referido nó de rede (300) compreendendo: - meios para selecionar uma versão melhorada do algoritmo de segurança criptográfica básico (24) para comunicação protegida com o terminal móvel (100), meios para derivar a partir de uma chave de segurança -5- ΡΕ2357858 básica resultando de um procedimento de acordo de chave, e em dependência de um identificador de algoritmo identificando a versão melhorada selecionada, uma chave de segurança específica do algoritmo correspondendo à versão melhorada selecionada para entrada no algoritmo de segurança criptográfica básico (24) para melhorar a segurança para comunicação protegida na referida rede de comunicações móveis.
  14. 14. 0 nó de rede (300) da reivindicação 13, compreendendo adicionalmente meios para comunicar informação especifica do algoritmo correspondente ao algoritmo selecionado ao terminal móvel. Lisboa, 29 de Junho de 2012
PT11161433T 2003-09-26 2004-09-10 Desenho de segurança melhorado para criptografia em sistemas de comunicações móveis PT2357858E (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US50574803P 2003-09-26 2003-09-26

Publications (1)

Publication Number Publication Date
PT2357858E true PT2357858E (pt) 2012-07-06

Family

ID=34393061

Family Applications (1)

Application Number Title Priority Date Filing Date
PT11161433T PT2357858E (pt) 2003-09-26 2004-09-10 Desenho de segurança melhorado para criptografia em sistemas de comunicações móveis

Country Status (11)

Country Link
US (1) US7660417B2 (pt)
EP (2) EP1671511B2 (pt)
JP (1) JP4688808B2 (pt)
CN (1) CN1857024B (pt)
AT (2) ATE514294T2 (pt)
DK (1) DK1671511T4 (pt)
ES (2) ES2384634T7 (pt)
HK (1) HK1095689A1 (pt)
PL (1) PL2357858T6 (pt)
PT (1) PT2357858E (pt)
WO (1) WO2005032201A1 (pt)

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2519534A1 (en) * 2003-03-18 2004-09-30 Nikhil Jain Internetworking between a first network and a second network
JP4771946B2 (ja) * 2003-10-16 2011-09-14 パナソニック株式会社 暗号通信システム、通信装置
US8229118B2 (en) * 2003-11-07 2012-07-24 Qualcomm Incorporated Method and apparatus for authentication in wireless communications
DE102004013658B3 (de) * 2004-03-19 2005-12-08 Siemens Ag Protokollerweiterung einer Signalisierungsnachricht
US8019344B2 (en) * 2004-08-11 2011-09-13 Nokia Corporation Apparatus, and associated methods, for facilitating secure, make-before-break hand-off in a radio communication system
KR100680177B1 (ko) * 2004-12-30 2007-02-08 삼성전자주식회사 홈 네트워크 외부에서 사용자를 인증하는 방법
GB2421874B (en) * 2004-12-31 2008-04-09 Motorola Inc Mobile station, system, network processor and method for use in mobile communications
CN100574185C (zh) * 2005-01-07 2009-12-23 华为技术有限公司 在ip多媒体业务子系统网络中保障媒体流安全性的方法
US7602911B2 (en) * 2005-03-14 2009-10-13 Microsoft Corporation Method and system for enhancing cryptography-based security
EP1717254A1 (de) 2005-04-29 2006-11-02 Sika Technology AG Feuchtigkeitshärtende Zusammensetzung mit erhöhter Dehnbarkeit
JP4936238B2 (ja) * 2005-06-13 2012-05-23 株式会社トプスシステムズ セキュリティ管理装置
CN100369430C (zh) * 2005-06-21 2008-02-13 中兴通讯股份有限公司 一种ip多媒体子系统接入安全的保护方法
US20070042754A1 (en) * 2005-07-29 2007-02-22 Bajikar Sundeep M Security parameter provisioning in an open platform using 3G security infrastructure
US7725709B2 (en) * 2005-09-09 2010-05-25 Telefonaktiebolaget L M Ericsson (Publ) Methods for secure and bandwidth efficient cryptographic synchronization
EP1784016A1 (fr) * 2005-11-03 2007-05-09 Nagravision S.A. Méthode de sécurisation de données échangées entre un dispositif de traitement multimédia et un module de sécurité
US8229398B2 (en) 2006-01-30 2012-07-24 Qualcomm Incorporated GSM authentication in a CDMA network
US7752441B2 (en) 2006-02-13 2010-07-06 Alcatel-Lucent Usa Inc. Method of cryptographic synchronization
US9106409B2 (en) 2006-03-28 2015-08-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity
ES2625133T3 (es) * 2006-03-28 2017-07-18 Telefonaktiebolaget Lm Ericsson (Publ) Un método y aparato para manejar claves utilizadas para cifrado e integridad
DE102006018645B4 (de) * 2006-04-21 2008-07-24 Nokia Siemens Networks Gmbh & Co.Kg Verfahren, Vorrichtungen und Computerprogrammprodukt zum Ver- und Entschlüsseln von Mediendaten
JP4983165B2 (ja) * 2006-09-05 2012-07-25 ソニー株式会社 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
US9554271B2 (en) * 2006-10-20 2017-01-24 Nokia Technologies Oy Generating keys for protection in next generation mobile networks
FI20070095A0 (fi) * 2007-02-02 2007-02-02 Nokia Corp Turva-avainten luominen langatonta viestintää varten
CN101309500B (zh) * 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
US20110004754A1 (en) * 2007-06-12 2011-01-06 John Michael Walker Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures
GB2454204A (en) * 2007-10-31 2009-05-06 Nec Corp Core network selecting security algorithms for use between a base station and a user device
ES2400020T5 (es) * 2008-06-06 2021-03-09 Ericsson Telefon Ab L M Generación de claves criptográficas
JP5590803B2 (ja) * 2009-01-13 2014-09-17 キヤノン株式会社 通信装置及び通信方法
GB2471455A (en) 2009-06-29 2011-01-05 Nec Corp Secure network connection
EP2464051B1 (en) * 2009-08-03 2015-05-27 Nippon Telegraph And Telephone Corporation Function cipher application system
CN102970678B (zh) * 2009-09-08 2016-12-07 华为技术有限公司 加密算法协商方法、网元及移动台
CN102014381B (zh) 2009-09-08 2012-12-12 华为技术有限公司 加密算法协商方法、网元及移动台
CN101742498A (zh) * 2009-12-18 2010-06-16 中兴通讯股份有限公司 空口密钥的管理方法和系统
CN101790155A (zh) * 2009-12-30 2010-07-28 中兴通讯股份有限公司 一种更新移动终端安全算法的方法、装置及系统
US8929543B2 (en) * 2010-03-17 2015-01-06 Telefonaktiebolaget L M Ericsson (Publ) Enhanced key management for SRNS relocation
CA2697687C (en) * 2010-03-24 2014-02-18 Diversinet Corp. Method and system for secure communication using hash-based message authentication codes
JP5740867B2 (ja) * 2010-08-18 2015-07-01 ソニー株式会社 通信装置、情報処理システムおよび暗号切替方法
WO2012065112A2 (en) 2010-11-12 2012-05-18 Apple Inc. Apparatus and methods for recordation of device history across multiple software emulations
CN103782615A (zh) * 2011-07-08 2014-05-07 诺基亚公司 用于订户向长期演进电信网络或通用移动电信系统进行验证的方法和设备
CN103067168B (zh) * 2011-10-21 2016-01-27 华为技术有限公司 一种gsm安全方法及系统、相关设备
CN107071768B (zh) * 2012-02-22 2020-03-20 华为技术有限公司 建立安全上下文的方法、装置及系统
US9537663B2 (en) * 2012-06-20 2017-01-03 Alcatel Lucent Manipulation and restoration of authentication challenge parameters in network authentication procedures
CN104782154B (zh) 2012-10-09 2019-04-16 诺基亚技术有限公司 一种用于禁用在装置中的算法的方法和设备
CN103973651B (zh) * 2013-02-01 2018-02-27 腾讯科技(深圳)有限公司 基于加盐密码库的账户密码标识设置、查询方法及装置
US9173095B2 (en) * 2013-03-11 2015-10-27 Intel Corporation Techniques for authenticating a device for wireless docking
EP3031225B1 (en) * 2013-08-08 2018-09-19 Nokia Technologies Oy A method and apparatus for proxy algorithm identity selection
US11381964B2 (en) 2014-05-20 2022-07-05 Nokia Technologies Oy Cellular network authentication control
US20170142162A1 (en) * 2014-05-20 2017-05-18 Nokia Technologies Oy Method, Network Element, Mobile Terminal, System and Computer Program Product for Cryptographic Algorithm Negotiation
CN105721153B (zh) * 2014-09-05 2020-03-27 三星Sds株式会社 基于认证信息的密钥交换系统及方法
US10231123B2 (en) * 2015-12-07 2019-03-12 GM Global Technology Operations LLC Bluetooth low energy (BLE) communication between a mobile device and a vehicle
US10716002B2 (en) * 2016-07-05 2020-07-14 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
WO2018049689A1 (zh) * 2016-09-19 2018-03-22 华为技术有限公司 密钥协商方法及装置
DE102017202002A1 (de) * 2017-02-08 2018-08-09 Siemens Aktiengesellschaft Verfahren und Computer zum kryptografischen Schützen von Steuerungskommunikation in und/oder Service-Zugang zu IT-Systemen, insbesondere im Zusammenhang mit der Diagnose und Konfiguration in einem Automatisierungs-, Steuerungs- oder Kontrollsystem
US11071050B2 (en) 2018-01-15 2021-07-20 Telefonaktiebolaget Lm Ericsson (Publ) Network function instance selection
CN111669730B (zh) * 2020-05-26 2022-02-22 西安交通大学 面向一对一邻近通信的物理层密钥生成方法和更新方法
JP2022114391A (ja) * 2021-01-26 2022-08-05 京セラドキュメントソリューションズ株式会社 電子機器

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5483596A (en) * 1994-01-24 1996-01-09 Paralon Technologies, Inc. Apparatus and method for controlling access to and interconnection of computer system resources
JPH0918469A (ja) * 1995-06-30 1997-01-17 Canon Inc 暗号通信装置、システム及び暗号装置
SE506619C2 (sv) * 1995-09-27 1998-01-19 Ericsson Telefon Ab L M Metod för kryptering av information
KR19990087103A (ko) * 1996-02-21 1999-12-15 오오노 도시오 암호키 공유방법
FI112419B (fi) * 1996-06-06 2003-11-28 Nokia Corp Menetelmä tiedonsiirron salaamiseksi
FR2763769B1 (fr) * 1997-05-21 1999-07-23 Alsthom Cge Alcatel Procede destine a permettre une communication cryptee directe entre deux terminaux de reseau radiomobile et agencements de station et de terminal correspondants
US6282294B1 (en) * 1998-01-07 2001-08-28 Microsoft Corporation System for broadcasting to, and programming, a motor device in a protocol, device, and network independent fashion
US6584310B1 (en) * 1998-05-07 2003-06-24 Lucent Technologies Inc. Method and apparatus for performing authentication in communication systems
SE9803569L (sv) * 1998-10-19 2000-04-20 Ericsson Telefon Ab L M Förfarande och system för autentisering
JP2000244547A (ja) * 1999-02-17 2000-09-08 Nippon Telegr & Teleph Corp <Ntt> 認証方法
FI107486B (fi) * 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
EP1075123A1 (en) * 1999-08-06 2001-02-07 Lucent Technologies Inc. Dynamic home agent system for wireless communication systems
JP2001057551A (ja) * 1999-08-18 2001-02-27 Nec Corp 暗号化通信システムおよび暗号化通信方法
FI113146B (fi) * 1999-10-19 2004-02-27 Setec Oy Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, autentikointikeskus, tilaajalaite ja SIM-kortti
US6950521B1 (en) * 2000-06-13 2005-09-27 Lucent Technologies Inc. Method for repeated authentication of a user subscription identity module
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
JP2002232962A (ja) * 2001-02-07 2002-08-16 Kddi Corp 移動通信認証インターワーキング方式
US20020146127A1 (en) * 2001-04-05 2002-10-10 Marcus Wong System and method for providing secure communications between wireless units using a common key
US20030159067A1 (en) * 2002-02-21 2003-08-21 Nokia Corporation Method and apparatus for granting access by a portable phone to multimedia services
AU2002255000A1 (en) * 2002-05-01 2003-11-17 Telefonaktiebolaget Lm Ericsson (Publ) System, apparatus and method for sim-based authentication and encryption in wireless local area network access

Also Published As

Publication number Publication date
DK1671511T3 (da) 2011-10-03
WO2005032201A1 (en) 2005-04-07
EP2357858B1 (en) 2012-04-04
EP1671511B2 (en) 2018-03-21
PL2357858T3 (pl) 2012-10-31
HK1095689A1 (en) 2007-05-11
ATE514294T2 (de) 2011-07-15
EP2357858B3 (en) 2018-06-06
US20050111666A1 (en) 2005-05-26
EP1671511A1 (en) 2006-06-21
CN1857024B (zh) 2011-09-28
DK1671511T4 (en) 2018-06-18
ES2367692T3 (es) 2011-11-07
ATE552709T1 (de) 2012-04-15
ES2384634T3 (es) 2012-07-10
EP1671511B1 (en) 2011-06-22
PL2357858T6 (pl) 2018-11-30
JP2007507157A (ja) 2007-03-22
EP2357858A1 (en) 2011-08-17
CN1857024A (zh) 2006-11-01
ES2384634T7 (es) 2018-10-11
US7660417B2 (en) 2010-02-09
ES2367692T5 (es) 2018-06-18
JP4688808B2 (ja) 2011-05-25

Similar Documents

Publication Publication Date Title
PT2357858E (pt) Desenho de segurança melhorado para criptografia em sistemas de comunicações móveis
US8094817B2 (en) Cryptographic key management in communication networks
US8503376B2 (en) Techniques for secure channelization between UICC and a terminal
DK2528268T3 (en) GENERATION OF CRYPING KEY
EP1757148B1 (en) Security in a mobile communications system
RU2444861C2 (ru) Защищенная беспроводная связь
Liu et al. Toward a secure access to 5G network
KR20140024479A (ko) 기지국 자가 구성을 위한 방법 및 장치
TW200527877A (en) Method and application for authentication of a wireless communication using an expiration marker
KR20230019934A (ko) 데이터 전송 방법 및 시스템, 전자 장치 및 컴퓨터 판독 가능 저장 매체
WO2020215958A1 (zh) 一种认证信息处理方法、终端和网络设备
Qachri et al. A formally verified protocol for secure vertical handovers in 4G heterogeneous networks
Zugenmaier et al. Security technology for SAE/LTE
Qiu et al. A secure pmipv6-based group mobility scheme for 6l0wpan networks
Køien A “Best Current Practice” for 3GPP-based cellular system security
EP4104383A1 (en) Processing module for authenticating a communication device in a 3g capable network
Latze Towards a secure and user friendly authentication method for public wireless networks
Niiranen Data link layer extension and location privacy for a secure handover system based on single sign-on