Procédé de communication sécurisée entre un réseau et une carte à puce d'un terminal Method of secure communication between a network and a smart card of a terminal
La présente invention concerne un procédé de communication sécurisée entre une carte à puce d'un terminal radiotéléphonique mobile MS et un sous- système d'acheminement, appelé souvent réseau fixe, dans un réseau de radiotéléphonie cellulaire numérique. Plus particulièrement, l'invention instaure un canal de communication sécurisé à travers 1 ' interface radio entre une carte ou module à microprocesseur, dite carte à puce SIM (Subscriber Identify Module), amovible du terminal, et un centre d' authentification du réseau de radiotéléphonie.The present invention relates to a secure communication method between a smart card of a mobile radiotelephone terminal MS and a routing subsystem, often called a fixed network, in a digital cellular radiotelephone network. More particularly, the invention establishes a secure communication channel through the radio interface between a microprocessor card or module, known as a SIM (Subscriber Identify Module) chip card, removable from the terminal, and a network authentication center. radio.
Un réseau de radiotéléphonie cellulaire numérique RR de type GSM, auquel référence sera faite dans la suite à titre d'exemple, comprend principalement plusieurs terminaux radiotéléphoniques mobiles MS et un réseau fixe proprement dit où circule notamment des messages de signalisation, de contrôle, de données et de voix comme montré schématiquement à la figure 1.A digital cellular radiotelephony network RR of GSM type, to which reference will be made hereinafter by way of example, mainly comprises several mobile radiotelephone terminals MS and a fixed network proper in which circulates signaling, control and data messages and voice as shown schematically in Figure 1.
Dans le réseau RR montré à la figure 1 sont représentées notamment des entités principales à travers lesquelles des données destinées à la carte SIM d'un terminal mobile MS situé dans une zone de localisation à un instant transitent. Ces entités sont un commutateur du service mobile MSC relié à au moins un commutateur téléphonique à autonomie d'acheminement CAA du réseau téléphonique commuté RTC et gérant des communications pour des terminaux mobiles visiteurs, parmi lesquels le terminal MS, qui se trouvent à un instant donné dans la zone de localisation respective desservie par le commutateur
MSC. Un enregistreur de localisation des visiteursIn the RR network shown in FIG. 1 are represented in particular the main entities through which data intended for the SIM card of a mobile terminal MS located in a location area at an instant pass. These entities are a switch of the mobile service MSC connected to at least one telephone switch with autonomy of routing CAA of the switched telephone network PSTN and managing communications for visiting mobile terminals, among which the terminal MS, which are located at a given time. in the respective location area served by the switch MSC. A visitor location recorder
VLR est relié au commutateur MSC et contient des ι caractéristiques, telles qu'identité et profil d'abonnement des terminaux mobiles, en fait des cartes SIM dans ceux-ci, situés dans la zone de localisation. Un contrôleur de station de base BSC relié au commutateur MSC gère notamment l'allocation de canaux à des terminaux mobiles,- la puissance de station (s) de base et des transferts intercellulaires de terminaux mobiles. Une station de base BTS reliée au contrôleur BSC couvre la cellule radioélectrique où le terminal MS se trouve à l'instant donné.VLR is connected to the MSC switch and contains ι characteristics, such as identity and subscription profile of mobile terminals, in fact SIM cards in these, located in the location area. A base station controller BSC connected to the switch MSC manages in particular the allocation of channels to mobile terminals, the power of base station (s) and the handovers of mobile terminals. A base station BTS connected to the controller BSC covers the radio cell where the terminal MS is located at the given time.
Le réseau de radiotéléphonie RR comprend encore • un enregistreur de localisation nominal HLR coopérant avec un centre d'authentification AUC et relié aux commutateurs du service mobile à travers le réseau deThe RR radiotelephony network also includes • a nominal location register HLR cooperating with an authentication center AUC and connected to the switches of the mobile service through the network of
. signalisation du réseau de radiotéléphonie RR.. RR radiotelephony network signaling.
L'enregistreur HLR est essentiellement une base de données, comme un enregistreur VLR, qui contient pour chaque terminal MS l'identité internationale IMSIThe HLR recorder is essentially a database, like a VLR recorder, which contains for each MS terminal the international identity IMSI
(International Mobile Subscriber Identity) de la carte SIM du terminal, c'est-à-dire de l'abonné possesseur de la carte SIM, le numéro d'annuaire et le profil d'abonnement de l'abonné, et le numéro de l'enregistreur VLR auquel est rattaché le terminal mobile et mis à jour lors de transferts entre zones de localisation.(International Mobile Subscriber Identity) of the SIM card of the terminal, i.e. of the subscriber owning the SIM card, the directory number and subscription profile of the subscriber, and the number of the VLR recorder to which the mobile terminal is attached and updated during transfers between location zones.
Le centre d' authentification AUC assure l'authentification des abonnés et participe à la confidentialité des données transitant dans 1 ' interface radio IR entre le terminal MS et la station de base BTS auquel il est rattaché à l'instant donné. Il gère un algorithme d ' authentification A3 et un algorithme A8 de
détermination de clé du chiffrement, parfois fusionnés en un seul algorithme A38, selon la norme GSM, qui sont redondants dans la carte SIM du terminal mobile MS, préalablement à toute communication avec le terminal, ou bien lors de la mise en fonctionnement du terminal ou lors d'un transfert intercellulaire. En particulier, le centre d'authentification AUC mémorise une clé d' authentification Ki attribuée uniquement à l'abonné en correspondance avec l'identité IMSI de l'abonné mémorisée dans l'enregistreur de localisation nominal HLR lors de la souscription d'abonnement par 1 ' abonné .The AUC authentication center authenticates subscribers and participates in the confidentiality of data passing through the IR radio interface between the terminal MS and the base station BTS to which it is attached at the given time. It manages an A3 authentication algorithm and an A8 algorithm of encryption key determination, sometimes merged into a single algorithm A38, according to the GSM standard, which are redundant in the SIM card of the mobile terminal MS, prior to any communication with the terminal, or when the terminal is in operation or during a handover. In particular, the authentication center AUC stores an authentication key Ki allocated only to the subscriber in correspondence with the subscriber identity IMSI stored in the nominal location register HLR during subscription subscription by 1 subscriber.
Dans un réseau de radiotéléphonie numérique de type GSM, représenté à la Figure 1, il est très important d'authentifier le terminal radiotéléphonique mobile MS pour, entre autre, pouvoir- reconnaître l'abonné. Afin d'assurer une flexibilité maximale, le centre d' authentification n'authentifie pas le terminal mobile MS lui-même mais la carte à puce SIM qu'il contient. Cette carte contient la clé Ki attribuée à l'abonné et prouve au moyen de l'algorithme d' authentification A3 qu'elle connaît la clé sans la révéler. Le réseau fixe envoie un nombre aléatoire RAD (challenge) à la carte et demande à la carte d'entrer le nombre aléatoire et la clé dans l'algorithme d'authentification pour un calcul cryptographique et de lui retourner le résultat sous la forme d'une réponse signée SRESIn a GSM type digital radiotelephone network, shown in Figure 1, it is very important to authenticate the mobile radiotelephone terminal MS in order, among other things, to be able to recognize the subscriber. In order to ensure maximum flexibility, the authentication center does not authenticate the mobile terminal MS itself but the SIM chip card it contains. This card contains the key Ki assigned to the subscriber and proves by means of the authentication algorithm A3 that it knows the key without revealing it. The fixed network sends a random number RAD (challenge) to the card and asks the card to enter the random number and the key in the authentication algorithm for a cryptographic calculation and to return the result in the form of a response signed SRES
(Signed RESponse) pour la norme GSM. Il est très difficile à un "attaquant", une tierce personne malveillante souhaitant établir des communications radiotéléphoniques débitées sur le compte du propriétaire de la carte SIM, de prévoir la valeur du nombre aléatoire. Sans la connaissance de la clé,
1 ' attaquant ne peut pas contrefaire une réponse . La taille du nombre aléatoire empêche l'attaquant de garder en mémoire toutes les valeurs du couple nombre aléatoire-réponse signée dans un dictionnaire. La procédure d'authentification dans le réseau de radiotéléphonie authentifie ainsi la carte SIM contenant une clé .(Signed RESponse) for the GSM standard. It is very difficult for an "attacker", a malicious third party wishing to establish radiotelephone communications debited on the account of the owner of the SIM card, to predict the value of the random number. Without knowing the key, The attacker cannot counterfeit an answer. The size of the random number prevents the attacker from keeping in memory all the values of the signed random number-response pair in a dictionary. The authentication procedure in the radiotelephony network thus authenticates the SIM card containing a key.
La procédure d' authentification, représentée à la figure 2, comprend brièvement les étapes suivantes :The authentication procedure, shown in Figure 2, briefly includes the following steps:
préalablement, le centre d'authentification AUC choisit plusieurs nombres aléatoires RAND et détermine d'une part plusieurs réponses de signature RSRES respectivement en fonction des nombres choisis RAND et de la clé Ki attribuée à l'abonné appliqués à l'algorithme d'authentification A3, et d'autre part plusieurs clés de chiffrement respectivement en fonction des nombres choisis RAND et de la clé Ki appliqués à l'algorithme de détermination de clé A8, afin de fournir des triplets [nombre aléatoire RAND, réponse de signature SRES, clé de chiffrement Kc] à l'enregistreur de localisation HLR, dès la souscription d'abonnement au service de radiotéléphonie mobile, puis chaque fois que l'enregistreur HLR a épuisé sa réserve de triplets, en correspondance avec l'identité IMSI de la carte SIM de 1 'abonné ;beforehand, the authentication center AUC chooses several random numbers RAND and determines on the one hand several signature responses RSRES respectively according to the chosen numbers RAND and the key Ki assigned to the subscriber applied to the authentication algorithm A3 , and on the other hand several encryption keys respectively as a function of the chosen numbers RAND and of the key Ki applied to the key determination algorithm A8, in order to provide triplets [random number RAND, signature response SRES, key of encryption Kc] to the HLR location recorder, upon subscription to the mobile radio service, then each time the HLR recorder has exhausted its reserve of triplets, corresponding to the IMSI identity of the SIM card of 1 subscriber;
- chaque fois que l'enregistreur de localisation des visiteurs VLR auquel est rattachée momentanément la carte SIM demande une authentification de la carte, l'enregistreur HLR choisit et fournit au moins un triplet à l'enregistreur VLR afin de transmettre
le nombre aléatoire du triplet choisi à la carte SIM à travers le réseau fixe et le terminal mobile MS ;- each time the VLR visitor location recorder to which the SIM card is temporarily attached requests authentication of the card, the HLR recorder chooses and supplies at least one triplet to the VLR recorder in order to transmit the random number of the triplet chosen on the SIM card through the fixed network and the mobile terminal MS;
la carte SIM effectue un calcul cryptographique en appliquant le nombre aléatoire transmis et la clé Ki à l'algorithme d' authentification A3 produisant la réponse signéethe SIM card performs a cryptographic calculation by applying the random number transmitted and the key Ki to the authentication algorithm A3 producing the signed response
SRES et la retourne à l'enregistreur VLR ;SRES and returns it to the VLR recorder;
- l'enregistreur VLR compare la réponse signée SRES à celle contenue dans le triplet choisi, et en cas d'égalité des réponses, la' carte est authentifiée.- the VLR recorder compares the response signed SRES to that contained in the chosen triplet, and in case of equality of responses, the ' card is authenticated.
Les réseaux de téléphonie cellulaire numérique existants de type GSM ne disposent pas d'un canal de transmission de données sécurisé assurant la confidentialité et l'intégrité des données transmises tout en assurant simultanément l'impossibilité de dénis de service.Existing digital cellular telephone networks of the GSM type do not have a secure data transmission channel ensuring the confidentiality and integrity of the data transmitted while simultaneously ensuring the denial of service is impossible.
En effet, des services d'envoi de message SMSIndeed, SMS message sending services
(Short Message Services) ont été définis, mais ils ne procurent aucune certitude quant à la réception des données, et ne garantissent donc pas l'impossibilité d'un dénis de service.(Short Message Services) have been defined, but they do not provide any certainty as to the reception of data, and therefore do not guarantee the impossibility of a denial of service.
Or dans de nombreux cas, il est nécessaire de pouvoir transmettre des données DATA en assurant leur intégrité, leur confidentialité et l'impossibilité d'un dénis de service, la plupart du temps pour des raisons de sécurité.In many cases, it is necessary to be able to transmit DATA data while ensuring its integrity, confidentiality and the impossibility of a denial of service, most of the time for security reasons.
L'invention vise à remédier aux inconvénients exposés ci-dessus, sans modifier le matériel du réseau de radiotéléphonie et avec quelques
modifications de logiciel en relation essentiellement avec l'authentification.The invention aims to remedy the drawbacks set out above, without modifying the equipment of the radiotelephony network and with a few software modifications mainly related to authentication.
A cette fin, un procédé de transmission sécurisée de données (DATA) entre une première entitéTo this end, a method of secure data transmission (DATA) between a first entity
(MS) et une deuxième entité (VLR, HLR, AUC) dans un réseau de télécommunication (RR) , comprenant une étape d' authentification de la première entité (MS) par la seconde entité (VLR, HLR, AUC) , ladite étape d' authentification comprenant des étapes (E6, E6 ' ) d'appliquer une clé (Ki) mémorisée dans les première et deuxième entités et un nombre aléatoire (NA) produit par la deuxième entité et transmis par la deuxième entité à la première entité à des algorithmes identiques (AA) mémorisés dans les première et deuxième entités, et comparer (E7) dans la deuxième entité (VLR, HLR, AUC) une réponse (SRES) produite par l'algorithme (AA) mémorisé dans la première entité et transmise à la deuxième entité et un résultat de réponse (RSRES) produit par l'algorithme (AA) mémorisé dans la deuxième entité, est caractérisé par les étapes de transmettre de la deuxième entité à la première entité les données (DATA) avec le nombre aléatoire (NA) , appliquer les données (DATA) avec le nombre aléatoire (NA) à l'algorithme (AA) dans la première entité et dans la seconde entité.(MS) and a second entity (VLR, HLR, AUC) in a telecommunications network (RR), comprising a step of authentication of the first entity (MS) by the second entity (VLR, HLR, AUC), said step authentication comprising steps (E6, E6 ') of applying a key (Ki) stored in the first and second entities and a random number (NA) produced by the second entity and transmitted by the second entity to the first entity to identical algorithms (AA) stored in the first and second entities, and compare (E7) in the second entity (VLR, HLR, AUC) a response (SRES) produced by the algorithm (AA) stored in the first entity and transmitted to the second entity and a response result (RSRES) produced by the algorithm (AA) stored in the second entity, is characterized by the steps of transmitting the data (DATA) with the random number from the second entity to the first entity (N / A) , apply the data (DATA) with the random number (NA) to the algorithm (AA) in the first entity and in the second entity.
Lorsque l'authentification est terminée, le réseau RR est certain que les données DATA sont bien parvenues à la carte SIM . du terminal MS . La validité de la réponse SRES fournie par la carte au réseau atteste que l'intégrité du nombre aléatoire NA et des données DATA a été préservée, et empêche tout dénis de service. La confidentialité est assurée par l'association des données DATA au nombre aléatoire
NA, ce qui rend leur localisation difficile. L'invention permet donc de résoudre les problèmes soulevés précédemment en n'impliquant qu'une modification du logiciel des cartes SIM, les premières entités, et des enregistreurs nominaux et centres d' authentification, compris dans les deuxièmes entités, sans avoir aucun impact sur l'infrastructure du réseau. Ces modifications peuvent être effectuées de manière graduelle sans bouleversement du réseau fixe.When the authentication is complete, the RR network is certain that the DATA data has reached the SIM card. MS terminal. The validity of the SRES response provided by the card to the network attests that the integrity of the random number NA and the DATA data has been preserved, and prevents any denial of service. Confidentiality is ensured by associating DATA data with the random number NA, which makes their location difficult. The invention therefore makes it possible to solve the problems raised previously by involving only a modification of the software of the SIM cards, the first entities, and of the nominal recorders and authentication centers, included in the second entities, without having any impact on network infrastructure. These modifications can be made gradually without disruption of the fixed network.
Dans le procédé, le nombre aléatoire (NA) et les données (DATA) peuvent respectivement avoir Q bits et P-Q bit.s de longueur, P étant un entier constant.In the method, the random number (NA) and the data (DATA) can respectively have Q bits and P-Q bits.s in length, P being a constant integer.
Le procédé peut comprendre une étape de chiffrement des données (DATA) ou du couple formé par le nombre aléatoire (NA) et les données (DATA) . Dans ce cas, la confidentialité des données DATA est accrue, ainsi que la résistance du système à des attaques de cryptanalyse .The method can include a step of encryption of the data (DATA) or of the pair formed by the random number (NA) and the data (DATA). In this case, the confidentiality of DATA data is increased, as well as the system's resistance to cryptanalysis attacks.
Dans le procédé, un moyen d'authentification et d'enregistrement d'identité de terminal (VLR, HLR, AUC) peut déterminer plusieurs triplets comprenant chacun un nombre aléatoire (NA) les données (DATA) et un résultat de réponse (RSRES) correspondant au nombre aléatoire (NA) et aux données (DATA) .In the method, a terminal identity authentication and registration means (VLR, HLR, AUC) can determine several triplets each comprising a random number (NA), the data (DATA) and a response result (RSRES). corresponding to the random number (NA) and the data (DATA).
Le procédé peut comprendre une étape de déterminer (E8) une clé de chiffrement (Kc) en fonction du nombre aléatoire (NA) , des données (DATA) et de la clé (Ki) dans la seconde entité (VLR, HLR, AUC) .
Le procédé peut également comprendre une étape de ne déterminer (ElO) une clé de chiffrement (Kc) en fonction du nombre aléatoire (NA) , des données (DATA) et de la clé (Ki) dans la première entité (MS) que lorsque la réponse (SRES) et le résultat de réponse (RSRES) comparés sont identiques.The method may include a step of determining (E8) an encryption key (Kc) as a function of the random number (NA), the data (DATA) and the key (Ki) in the second entity (VLR, HLR, AUC) . The method can also include a step of not determining (ElO) an encryption key (Kc) as a function of the random number (NA), the data (DATA) and the key (Ki) in the first entity (MS) only when the response (SRES) and the response result (RSRES) compared are identical.
Enfin, dans le procédé, les données (DATA) peuvent être utilisées dans la première entité (MS) par une application de gestion de compte prépayé, pour mettre à jour des droits d'accès à des fichiers (DF, EF) mémorisés dans la première entité ou par une application pour activer une clé additionnelle (Ki'), dans le cas où une ou plusieurs clés additionnelles Ki' ont été mémorisées dans les première et deuxièmes entités .Finally, in the method, the data (DATA) can be used in the first entity (MS) by a prepaid account management application, to update access rights to files (DF, EF) stored in the first entity or by an application to activate an additional key (Ki '), in the case where one or more additional keys Ki' have been stored in the first and second entities.
L'invention concerne également un module d'identité (SIM) dans une première entité (MS) qui est caractérisé en ce qu'il comprend des moyens (ROM, EEPROM) pour mémoriser un algorithme (AA) et une clé (Ki) , des moyens pour recevoir un nombre aléatoire (NA) et des données (DATA) et des moyens (ROM, EEPROM, RAM) pour exécuter au moins l'étape (E6) d'appliquer la clé (Ki) le nombre aléatoire (NA) et les données (DATA) à l'algorithme (AA) conformément à 1' invention.The invention also relates to an identity module (SIM) in a first entity (MS) which is characterized in that it comprises means (ROM, EEPROM) for storing an algorithm (AA) and a key (Ki), means for receiving a random number (NA) and data (DATA) and means (ROM, EEPROM, RAM) for executing at least step (E6) of applying the key (Ki) the random number (NA) and the data (DATA) to the algorithm (AA) according to the invention.
Enfin l'invention concerne aussi un centre d' authentification (AUC) dans un réseau de télécommunication (RR) qui est caractérisé en ce qu'il comprend des moyens pour mémoriser un algorithme (AA) et une clé (Ki) , des moyens pour sélectionner un nombre aléatoire (NA) et des données (DATA) et des moyens pour exécuter au moins l'étape (E6') d'appliquer la clé (Ki) le nombre aléatoire
(NA) et les données (DATA) à l'algorithme (AA) conformément à l'invention.Finally, the invention also relates to an authentication center (AUC) in a telecommunications network (RR) which is characterized in that it comprises means for storing an algorithm (AA) and a key (Ki), means for select a random number (NA) and data (DATA) and means to execute at least step (E6 ') to apply the key (Ki) the random number (NA) and the data (DATA) to the algorithm (AA) according to the invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention en référence aux dessins annexés correspondants dans lesquels :Other characteristics and advantages of the present invention will appear more clearly on reading the following description of several preferred embodiments of the invention with reference to the corresponding appended drawings in which:
- la figure 1 est un bloc-diagramme schématique d'un réseau de radiotéléphonie cellulaire numérique ;- Figure 1 is a schematic block diagram of a digital cellular radio network;
- la . figure 2 montre schématiquement des étapes d'un procédé d' authentification d'un réseau de radiotéléphonie cellulaire numérique ; et- the . FIG. 2 schematically shows steps of a method for authenticating a digital cellular radiotelephony network; and
la figure • 3 montre des étapes d'une transmission sécurisée de données selon l'invention ;Figure • 3 shows steps of a secure data transmission according to the invention;
Le procédé de l'invention est décrit ci-après dans le cadre du réseau de radiotéléphonie RR de type GSM, déjà présenté en référence à la figure 1, qui ne subit que des modifications et adjonctions de logiciel essentiellement dans le centre d' authentification AUC, ainsi que dans les cartes SIM des terminaux mobiles .The method of the invention is described below in the context of the RR radiotelephony network of GSM type, already presented with reference to FIG. 1, which undergoes only software modifications and additions essentially in the AUC authentication center. , as well as in the SIM cards of mobile terminals.
Dans la description ci-après, un réseau fixe est considéré comme la chaîne d'entités rattachées au terminal radiotéléphonique mobile considéré MS depuis l'interface radio IR, comprenant la station de base BTS, le contrôleur de station BSC, le commutateur MSC avec l'enregistreur de localisation des visiteurs VLR, et le couple HLR-AUC.
Il est rappelé qu'un terminal radiotelephonique mobile MS d'un abonné comprend un module à microprocesseur amovible, dite carte à puce SIM reliée à un bus du circuit numérique à microprocesseur dans le terminal, le bus desservant le clavier, l'écran et des prises de périphérique du terminal mobile. Comme montré à la figure 1, la carte à ' puce SIM contient principalement un microprocesseur, une mémoire ROM incluant le système d'exploitation de la carte et des algorithmes d'application spécifiques, une mémoire non volatile EEPROM qui contient toutes les caractéristiques liées à l'abonné telles que l'identité IMSI, le profil d'abonnement, la liste de numéros d'appelés avec leurs noms, des données de sécurité tels que clé et code confidentiel, etc., et une mémoire RAM servant au traitement des données à recevoir du et à transmettre vers le circuit numérique du terminal . En particulier, les algorithmes d' authentification et de détermination de clé de chiffrement et les clés et autres paramètres liés à ces algorithmes sont gérés et écrits dans les mémoires ROM et EEPROM.In the description below, a fixed network is considered to be the chain of entities attached to the mobile radiotelephone terminal considered MS from the radio interface IR, comprising the base station BTS, the station controller BSC, the switch MSC with the 'VLR visitor location recorder, and the HLR-AUC pair. It is recalled that a mobile radiotelephone terminal MS of a subscriber comprises a removable microprocessor module, known as a SIM chip card connected to a bus of the digital microprocessor circuit in the terminal, the bus serving the keyboard, the screen and device terminals of the mobile terminal. As shown in Figure 1, the SIM chip card mainly contains a microprocessor, a ROM memory including the operating system of the card and specific application algorithms, a non-volatile EEPROM memory which contains all the characteristics related to the subscriber such as the IMSI identity, the subscription profile, the list of called numbers with their names, security data such as key and confidential code, etc., and a RAM memory used for data processing to receive from and transmit to the digital circuit of the terminal. In particular, the authentication and encryption key determination algorithms and the keys and other parameters related to these algorithms are managed and written in the ROM and EEPROM memories.
En référence à la figure 2, le procédé de transmission d'information sécurisé selon l'invention succède à une mise en communication de la carte SIM du terminal radiotelephonique MS avec le sous-réseau BTS, BSC, MSC et VLR inclus dans le réseau de radiotéléphonie RR et rattaché temporairement au terminal radiotelephonique MS, et précède une détermination de clé de chiffrement.With reference to FIG. 2, the secure information transmission method according to the invention succeeds in placing the SIM card of the radiotelephone terminal MS in communication with the sub-network BTS, BSC, MSC and VLR included in the network of radiotelephony RR and temporarily attached to the radiotelephone terminal MS, and precedes an encryption key determination.
Le procédé montré à la figure 2 comprend essentiellement des étapes de E0 à Eli. Dans la figure 2, les étapes E0, E2 , E6 ' , E60, E20, E8 et E81 sont effectuées essentiellement dans le réseau fixe,
indépendamment de toute demande d' authentification, .et au moins préalablement à la demande de l'authentification considérée à l'étape E3 selon la réalisation illustrée.The process shown in Figure 2 essentially comprises steps from E0 to Eli. In FIG. 2, steps E0, E2, E6 ', E60, E20, E8 and E81 are carried out essentially in the fixed network, independently of any request for authentication, .and at least prior to the request for authentication considered in step E3 according to the illustrated embodiment.
Initialement, à une étape E0, le terminal mobile est considéré avoir mémorisé dans les mémoires ROM et EEPROM de sa carte SIM, l'identité IMSI de celle-ci, c'est-à-dire l'identité de l'abonné possesseur de la carte SIM, le cas échéant l'identité temporaire TMSI de la carte attribuée par le commutateur de rattachement MSC, une clé d' authentification Ki avec un algorithme d' authentification AA pour authentifier le terminal MS par le réseau, un algorithme de détermination de clé de chiffrement AC, un algorithme de chiffrement/déchiffrement . Ces données initiales et algorithmes sont également mémorisés à l'étape initiale EO dans le réseau fixe. Les clés Ki pour chaque abonné sont mémorisées dans le centre d'authentification AUC en correspondance avec l'identité d'abonné IMSI, l'identité temporaire n'étant attribuée que par l'enregistreur de localisation des visiteurs VLR relié au commutateur du service mobile MSC auquel est rattaché le terminal mobile MS . L'algorithme d' authentification AA et l'algorithme de détermination de clé de chiffrement AC sont mémorisés dans le centre d' authentification AUC, et l'algorithme de chiffrement/déchiffrement "est installé dans la station de base BTS . Comme on le verra dans la suite, le centre d' authentification AUC fournit des triplets [ (NA, DATA), RSRES, Kc] à l'enregistreur de localisation nominal HLR.Initially, at a step E0, the mobile terminal is considered to have stored in the ROM and EEPROM memories of its SIM card, the IMSI identity of the latter, that is to say the identity of the subscriber possessing the SIM card, if applicable the temporary identity TMSI of the card allocated by the attachment switch MSC, an authentication key Ki with an authentication algorithm AA for authenticating the terminal MS over the network, an algorithm for determining AC encryption key, an encryption / decryption algorithm. These initial data and algorithms are also stored in the initial step EO in the fixed network. The keys Ki for each subscriber are stored in the authentication center AUC in correspondence with the subscriber identity IMSI, the temporary identity being only assigned by the visitor location register VLR connected to the switch of the mobile service. MSC to which the mobile terminal MS is attached. The authentication algorithm AA and the encryption key determination algorithm AC are stored in the authentication center AUC, and the encryption / decryption algorithm " is installed in the base station BTS. As will be seen in the following, the AUC authentication center supplies triplets [(NA, DATA), RSRES, Kc] to the nominal location register HLR.
Lors d'une demande d'accès au service mobile par le terminal, par exemple après la mise en fonctionnement du terminal mobile MS, ou pour une
mise à jour de la localisation du terminal, ou préalablement à une communication téléphonique, ou périodiquement pour authentifier la carte SIM à la demande de l'enregistreur VLR, le terminal MS échange des signaux avec le sous-réseau de rattachement de manière à dédier au terminal MS un canal de communication et à déclarer par le terminal MS au sous-réseau l'identité de terminal en transmettant l'identité IMSI de la carte SIM du terminal à l'enregistreur de localisation des visiteurs VLR, ou le cas échéant 1 ' identité temporaire TMSI avec l'identité de la zone de localisation LAI relatives à la dernière communication établie. Ces échanges pour dédier un canal au terminal MS sont illustrés d'une manière simplifiée par l'étape El dans la figure 2.When requesting access to the mobile service by the terminal, for example after the mobile terminal MS has started operating, or for a updating the location of the terminal, or prior to a telephone call, or periodically to authenticate the SIM card at the request of the VLR recorder, the terminal MS exchanges signals with the home subnet so as to dedicate to the terminal MS a communication channel and to declare by the terminal MS to the subnet the identity of the terminal by transmitting the IMSI identity of the SIM card of the terminal to the visitor location recorder VLR, or if appropriate 1 ' TMSI temporary identity with the identity of the LAI localization area relating to the last communication established. These exchanges for dedicating a channel to the terminal MS are illustrated in a simplified manner by step El in FIG. 2.
Préalablement, dans le centre AUC, un générateur pseudo-aléatoire fournit plusieurs nombres aléatoires NA à Q bits. Les données DATA à transmettre de façon sécurisée selon le procédé de l'invention sont combinées avec chaque nombre aléatoire NA à Q bits et les couples (NA, DATA) résultats de cette combinaison sont écrits dans l'enregistreur HLR en association avec l'identité IMSI de la carte SIM, et au moins un couple (NA, DATA) choisi par l'enregistreur HLR est transmis à l'enregistreur VLR auquel est rattaché le terminal à l'étape E20.Beforehand, in the AUC center, a pseudo-random generator supplies several random numbers NA with Q bits. The DATA data to be transmitted securely according to the method of the invention is combined with each random number NA with Q bits and the pairs (NA, DATA) results of this combination are written in the HLR recorder in association with the identity IMSI of the SIM card, and at least one pair (NA, DATA) chosen by the HLR recorder is transmitted to the VLR recorder to which the terminal is attached in step E20.
Les données DATA sont transmises à la carte SIM selon le procédé de l'invention lorsque l'enregistreur de localisation des visiteurs VLR décide de procéder à l'authentification de la carte SIM par le réseau fixe: le couple choisi (NA, DATA) est introduit successivement dans des messages de demande d' authentification à l'étape E3 transmis respectivement par le commutateur MSC, le contrôleur
BSC et enfin la station de base BTS vers le terminal mobile MS à travers l'interface radio IR.The DATA data is transmitted to the SIM card according to the method of the invention when the VLR visitor location recorder decides to proceed to the authentication of the SIM card by the fixed network: the chosen pair (NA, DATA) is introduced successively in authentication request messages in step E3 transmitted respectively by the MSC switch, the controller BSC and finally the BTS base station to the mobile terminal MS through the IR radio interface.
Si les couples (NA, DATA) font P bits de longueur, l'entier P, avec P>Q, pourra être choisi de manière à ne pas modifier la longueur des messages d' authentification selon la norme en vigueur dans le réseau de radiotéléphonie RR, en l'occurrence la longueur des messages contenant un nombre RAND. Dans ce cas les modifications apportées au réseau RR et aux cartes SIM seront encore réduites. L'entier P est typiquement égal à 128, soit une taille du coupleIf the pairs (NA, DATA) are P bits in length, the integer P, with P> Q, can be chosen so as not to modify the length of the authentication messages according to the standard in force in the radiotelephony network. RR, in this case the length of messages containing a RAND number. In this case the modifications made to the RR network and to the SIM cards will be further reduced. The integer P is typically equal to 128, i.e. a size of the couple
(NA, DATA) égale à 16 octets. L'entier Q dénotant le nombre de bits dans le nombre aléatoire NA peut être supérieur ou inférieur à P/2 ; toutefois les entiers P et Q peuvent satisfaire l'égalité P/2 = Q.(NA, DATA) equal to 16 bytes. The integer Q denoting the number of bits in the random number NA can be greater or less than P / 2; however the integers P and Q can satisfy the equality P / 2 = Q.
Dans la carte SIM du terminal mobile MS, le nombre aléatoire NA et les données DATA sont écrits en mémoire RAM de la carte SIM à l'étape E4 en réponse aux messages de demande d' authentification transmis par la station de base de rattachement BTS.In the SIM card of the mobile terminal MS, the random number NA and the data DATA are written to the RAM memory of the SIM card in step E4 in response to the authentication request messages transmitted by the home base station BTS.
A cet instant la carte SIM a reçu les données DATA et peut les utiliser dans une application particulière dont plusieurs exemples seront fournis par la suite.At this time the SIM card has received the DATA data and can use it in a particular application, several examples of which will be provided below.
Le nombre aléatoire NA et les données DATA reçus et la clé d' authentification Ki sont lus à l'étape E5 afin de les appliquer à l'algorithme d' uthentification connu AA à l'étape E6. A ce stade, l'authentification se poursuit sensiblement comme dans une carte SIM connue. L'algorithme AA fournit une réponse signée SRES (Signed RESponse) qui est incluse dans un message transmis à la station de base
de rattachement BTS, laquelle la retransmet à l'enregistreur VLR à travers la station de base BTS, le contrôleur BCS et le commutateur MSC.The random number NA and the data DATA received and the authentication key Ki are read in step E5 in order to apply them to the known authentication algorithm AA in step E6. At this stage, authentication continues substantially as in a known SIM card. The AA algorithm provides a signed response SRES (Signed RESponse) which is included in a message transmitted to the base station BTS, which retransmits it to the VLR through the BTS base station, the BCS controller and the MSC switch.
Au préalable, avant la demande d'authentification Ξ3 et donc avant la réalisation des étapes E4 à E6 dans la carte SIM, les enregistreurs VLR et HLR ont mémorisé pour l'abonné le nombre NA et les données DATA, et le centre d' authentification AUC a appliqué, après l'étape E20, et pour chacun desdits nombres aléatoires NA, le couple (NA, DATA) et la clé Ki à l'algorithme AA à une étape E6 ' . L'algorithme AA produit un résultat de réponse signée RSRES pour chaque couple (NA, DATA) . Concomitamment avec l'étape E20, les résultats RSRES sont écrits dans l'enregistreur HLR à une étape E60 et le couple (NA, DATA) choisi par l'enregistreur estBeforehand, before the authentication request Ξ3 and therefore before carrying out steps E4 to E6 in the SIM card, the VLR and HLR recorders have stored for the subscriber the number NA and the DATA data, and the authentication center AUC applied, after step E20, and for each of said random numbers NA, the pair (NA, DATA) and the key Ki to the algorithm AA in step E6 '. The AA algorithm produces a response result signed RSRES for each pair (NA, DATA). Concomitantly with step E20, the RSRES results are written in the HLR recorder in a step E60 and the pair (NA, DATA) chosen by the recorder is
_ transmis avec le résultat correspondant RSRES à l'enregistreur VLR qui les a mémorisés._ transmitted with the corresponding RSRES result to the VLR recorder which memorized them.
A réception de la réponse signée SRES transmise par le terminal mobile MS après l'étape E6, l'enregistreur VLR lit le résultat de réponse signée RSRES à l'étape E61 et le compare à la réponse reçue SRES à l'étape E7. Si ces deux variables ne sont pas identiques, l'enregistreur VLR commande au commutateur de rattachement MSC de déconnecter le terminal et le réseau fixe à l'étape E71, empêchant le terminal de poursuivre sa demande d'accès au service mobile.On receipt of the signed response SRES transmitted by the mobile terminal MS after step E6, the recorder VLR reads the response result signed RSRES in step E61 and compares it with the response received SRES in step E7. If these two variables are not identical, the VLR register commands the attachment switch MSC to disconnect the terminal and the fixed network in step E71, preventing the terminal from continuing its request for access to the mobile service.
Dans le cas contraire, le centre d' authentification AUC valide l'authentification de la carte SIM à l'étape E7, pour autoriser le chiffrement et le déchiffrement des messages échangés
ultérieurement entre le terminal mobile MS et le sous-réseau BTS-BSC-MSC.Otherwise, the AUC authentication center validates the authentication of the SIM card in step E7, to authorize the encryption and decryption of the messages exchanged later between the mobile terminal MS and the BTS-BSC-MSC subnet.
A cet instant, le centre d' authentification AUC a non seulement authentifié la carte SIM, mais il a également la preuve que celle-ci a bien reçu les données DATA.At this point, the AUC authentication center has not only authenticated the SIM card, but also has proof that it has received the DATA data.
L'association des données DATA au nombre aléatoire NA peut avoir comme conséquence une relative diminution de la résistance du couple (NA,The association of the DATA data with the random number NA can result in a relative decrease in the resistance of the couple (NA,
DATA) aux attaques de cryptanalyse par rapport à un nombre aléatoire de même dimension. Dans le but d'atténuer cet effet, un chiffrement des données DATA ou du couple (NA, DATA) peut être effectué par le centre d' authentification AUC avant leur transmission vers la carte SIM. Une telle étape de chiffrement aura également comme conséquence d'améliorer notablement la confidentialité des données DATA transmises.DATA) to cryptanalysis attacks against a random number of the same dimension. In order to mitigate this effect, encryption of the DATA data or of the pair (NA, DATA) can be carried out by the AUC authentication center before their transmission to the SIM card. Such an encryption step will also have the consequence of significantly improving the confidentiality of the transmitted DATA data.
La réponse signée SRES que la carte SIM envoie au réseau pour s'authentifier est généralement' beaucoup plus courte que le nombre aléatoire RAND ou le couple (NA, DATA) transmis par le réseau à la carte SIM. Néanmoins, des données peuvent également être associées à la réponse signée SRES ou insérées dans celle-ci, de façon à permettre à la carte SIM de communiquer des informations au réseau RR. Même si la quantité d'informations transmises est très limitée, elle suffit à signaler au réseau un comportement révélateur de fraudes .The signed response SRES that the SIM card sends to the network for authentication is generally 'much shorter than the random number RAND or couple (NA DATA) transmitted by the network to the SIM card. However, data can also be associated with the response signed SRES or inserted into it, so as to allow the SIM card to communicate information to the RR network. Even if the amount of information transmitted is very limited, it is sufficient to report behavior revealing fraud to the network.
Une fois les données DATA reçues par la carte SIM et l'authentification de la carte SIM vérifiée par le centre d' authentification AUC, une clé de
chiffrement Kc peut alors être déterminée : au préalable, le centre d' authentification AUC a appliqué les couples (NA, DATA) correspondant auxdits plusieurs nombres aléatoires NC et la clé Ki à l'algorithme de détermination de clé de chiffrement AC à une étape E8 afin de produire des clés de chiffrement Kc, qui sont mémorisées dans l'enregistreur VLR à une étape E81 concomitante aux étapes E20 et E60. Ainsi, plusieurs triplets [ (NA, DATA) , RSRES, Kc] sont mémorisés préalablement dans l'enregistreur de localisation nominal HRL, et au moins l'un d'eux choisi est écrit dans l'enregistreur VLR en association avec l'identité IMSI/TMSI de la carte SIM.Once the DATA data has been received by the SIM card and the authentication of the SIM card has been verified by the AUC authentication center, a encryption Kc can then be determined: beforehand, the authentication center AUC has applied the pairs (NA, DATA) corresponding to said several random numbers NC and the key Ki to the algorithm for determining the encryption key AC in a step E8 in order to produce encryption keys Kc, which are stored in the recorder VLR in a step E81 concomitant with steps E20 and E60. Thus, several triples [(NA, DATA), RSRES, Kc] are stored beforehand in the nominal location register HRL, and at least one of them chosen is written in the VLR register in association with the identity IMSI / TMSI of the SIM card.
A la suite de l'étape E7, le commutateur MSC décide de passer en mode chiffré en transmettant un message d'autorisation de chiffrement avec la clé Kc, relayé par les entités BSC et BTS, vers le terminal mobile MS, la clé Kc étant prélevée par la station de base BTS .Following step E7, the switch MSC decides to switch to encrypted mode by transmitting an encryption authorization message with the key Kc, relayed by the entities BSC and BTS, to the mobile terminal MS, the key Kc being taken by the BTS base station.
Par ailleurs, à la suite de l'exécution de l'étape d' authentification E6, la carte SIM lit à l'étape E9 le couple nombre aléatoire NA et donnée DATA et également la clé d' authentification Ki afin de les appliquer à l'algorithme de chiffrement AC pour ' déterminer une clé de chiffrement Kc à l'étape ElO.Furthermore, following the execution of the authentication step E6, the SIM card reads in step E9 the couple random number NA and given DATA and also the authentication key Ki in order to apply them to the 'encryption algorithm AC to' determine an encryption key Kc in step ElO.
Finalement à des étapes Eli et Eli', le terminal MS et le sous-réseau de rattachement, particulièrement la station de base de rattachement BTS qui contient un algorithme de chiffrement et déchiffrement identique à celui contenu dans la carte SIM et qui a mémorisé la clé déterminée Kc, peuvent
échanger des messages chiffrés et déchiffrés avec la clé Kc .Finally at stages Eli and Eli ', the terminal MS and the attachment subnet, in particular the attachment base station BTS which contains an encryption and decryption algorithm identical to that contained in the SIM card and which has stored the key determined Kc, can exchange encrypted and decrypted messages with the Kc key.
Premier exemple de mise en oeuvre du procédé selon l'invention: sécurisation de réseaux de radio- télécommunication fonctionnant en mode prépayéFirst example of implementation of the method according to the invention: securing of radio-telecommunication networks operating in prepaid mode
Certains réseaux de télécommunication utilisent le mode de fonctionnement prépayé suivant : chaque fois que l'utilisateur du terminal mobile MS désire approvisionner son compte il se rend à un terminal de paiement effectue une transaction pour une certaine valeur. Une fois la transaction validée par un service bancaire, le réseau RR envoie à la carte SIM des informations dans le but de mettre à jour dans la carte un compteur ACM (Accumulated Gard Meter) et la valeur ' maximale ACMmax que ce compteur peut atteindre, au moyen d'un message SMS. Ensuite lors de chaque communication, le réseau RR envoie au terminal mobile MS une information de tarification ÇAI (Charge Advice Information) , que le terminal MS utilise pour envoyer à la carte SIM des commande d'incrémentation du compteur ACM. Grâce à des échanges avec la carte SIM, le terminal MS vérifie régulièrement que le compteur ACM ne dépasse pas sa valeur maximale permise ACMmax.Certain telecommunications networks use the following prepaid operating mode: each time the user of the mobile terminal MS wishes to fund his account, he goes to a payment terminal performs a transaction for a certain value. Once the transaction is validated by banking services, the network RR sends to the SIM card information in order to update the map ACM counter (Accumulated Gard Meter) and the value maximum ACMmax that this counter can reach, by means of an SMS message. Then during each communication, the network RR sends the mobile terminal MS pricing information ÇAI (Charge Advice Information), which the terminal MS uses to send to the SIM card commands to increment the ACM counter. Thanks to exchanges with the SIM card, the terminal MS regularly checks that the ACM counter does not exceed its maximum permitted value ACMmax.
Malheureusement, comme les échanges entre le terminal mobile MS et la carte SIM ne sont pas sécurisés, un tel système est assez facile à pirater.Unfortunately, since the exchanges between the mobile terminal MS and the SIM card are not secure, such a system is fairly easy to hack.
Grâce au procédé de transmission sécurisée de données selon l'invention, il devient possible de- transmettre à la carte SIM, de façon sécurisée, des informations de début et de fin de communication et/ou des données d'estimation de la fréquence des
augmentations du compteur ACM. La carte SIM est alors capable de détecter les tentatives de fraudes de façon autonome et de prendre des mesures appropriées .Thanks to the method of secure data transmission according to the invention, it becomes possible to transmit to the SIM card, in a secure manner, information at the start and end of communication and / or data for estimating the frequency of ACM counter increases. The SIM card is then capable of detecting fraud attempts independently and taking appropriate measures.
Second exemple de mise en oeuvre du procédé selon l'invention : modification de la carte SIM.Second example of implementation of the method according to the invention: modification of the SIM card.
Une modification de la carte SIM peut être nécessaire dans de nombreux cas . Par exemple en cas de détection par le réseau de tentatives de fraude, le réseau peut envoyer à la carte une commande de blocage temporaire ou permanent. Lors d'ajout ou de suppression de services, le procédé de transmission sécurisée de données selon l'invention permet de modifier les droits d'accès à des fichiers élémentaires EF (Elementary Files) ou à des fichiers dédiés DF (Dedicated Files) contenant par exemple des scripts de commande SIMToolkit ou μcombo .A change to the SIM card may be necessary in many cases. For example, if the network detects fraud attempts, the network can send the card a temporary or permanent blocking command. When adding or removing services, the secure data transmission method according to the invention makes it possible to modify the access rights to elementary files EF (Elementary Files) or to dedicated files DF (Dedicated Files) containing by example of SIMToolkit or μcombo command scripts.
Troisième exemple de mise en oeuvre du procédé selon l'invention : modification urgente d'une clé.Third example of implementation of the method according to the invention: urgent modification of a key.
Les cartes SIM contiennent de nombreuses clés qui peuvent servir pour différentes applications. Ces clés sont généralement mémorisées dans la carte SIM lors de sa phase de personnalisation. En utilisant le procédé de transmission selon l'invention, et en mémorisant dans la carte SIM une ou des clés de rechange, il suffit d'envoyer une commande de commutation de clé pour passer de l'utilisation d'une clé compromise, c'est à dire rendue publique, à l'utilisation d'une clé de rechange toujours secrète.SIM cards contain many keys which can be used for different applications. These keys are generally stored in the SIM card during its personalization phase. By using the transmission method according to the invention, and by storing in the SIM card one or more spare keys, it suffices to send a key switching command to pass from the use of a compromised key, it ie made public, using an always secret spare key.
Bien que 1 ' invention ait été décrite selon des réalisations préférées en référence à un réseau de radiotéléphonie entre un terminal radiotelephonique
mobile et le réseau fixe du réseau de radiotéléphonie, le procédé d' authentification de 1 ' invention peut être mis en oeuvre dans un réseau de télécommunication relativement à deux entités quelconques qui dans laquelle la première entité authentifie la seconde au moyen d'un mécanisme de challenge aléatoire / réponse signée.
Although the invention has been described according to preferred embodiments with reference to a radiotelephony network between a radiotelephone terminal mobile and the fixed network of the radiotelephony network, the authentication method of the invention can be implemented in a telecommunication network in relation to any two entities in which the first entity authenticates the second by means of a mechanism random challenge / signed response.