Relatório Descritivo da Patente de Invenção para "PROCESSO
E DISPOSIÇÃO PARA VERIFICAÇÃO DE UMA AUTENTICIDADE DE UM PRIMEIRO PARTICIPANTE DE COMUNICAÇÃO EM UMA REDE DE CO- MUNICAÇÃO".
Dividido do PI0011703-0, depositado em 31.05.2000. A invenção refere-se a um processo e a uma disposição para verificação de uma autenticidade de um primeiro participante de comunica- ção em uma rede de comunicação.
Em uma rede de comunicação, em geral, dados são transmitidos entre usuários de comunicação, por exemplo um provedor de serviços e um usuário de serviços. Para proteger uma rede de comunicação contra uma penetração de um participante de comunicação não autorizado na rede de comunicação, via de regra é verificada a autenticidade de um participante de comunicação.
Do documento [1] são conhecidos um processo e uma disposi- ção para verificação de uma autenticidade de um primeiro participante de comunicação, especialmente um provedor de serviços ou um usuário de serviços, em uma rede de comunicação. O processo conhecido do documento [1] e a correspondente disposição se baseiam em um assim chamado padrão 3 G TS 33.102 Ver- são 3.0.0-Draft, que descreve uma arquitetura de segurança de um sistema de rádio móvel.
Na figura 4 está representado simbolicamente o procedimento quando de uma verificação de uma autenticidade de um primeiro participante de comunicação, como é conhecido do documento [1], e será a seguir expli- cado a seguir brevemente e a título de extrato.
Uma transferência de dados está representada na figura 4 res- pectivamente por uma seta. Uma direção de uma seta caracteriza uma dire- ção de transferência quando de uma transferência de dados. A figura 4 mostra um sistema de rádio móvel 400, abrangendo um usuário 401 de uma prestação de serviços de comunicação, por exemplo um telefone móvel, e um provedor 402 de um serviço de comunicação. O provedor 402 abrange uma rede de seleção 403 com um operador da rede de seleção, em que o usuário 401 solicita localmente um serviço de comuni- cação, e uma rede doméstica 404 com um operador de rede doméstica, em que o usuário 401 está identificado e registrado.
Além disso, apresentam o usuário 401, a rede de seleção 403 e a rede doméstica 404 respectivamente uma unidade de processamento central com uma memória, por exemplo um servidor (computador central), com cuja unidade de processamento o procedimento a seguir descrito é mo- nitorado e controlado e cuja memória de dados são e/ou estão armazena- dos. A rede de seleção 403 e a rede doméstica 404 estão ligadas en- tre si por meio de uma linha de dados, pela qual podem ser transmitidos da- dos digitais. O usuário 401 e a rede de seleção 403 estão ligados entre si por um meio de transmissão qualquer para transmissão de dados digitais.
Quando de uma comunicação, o usuário 401 seleciona um 410 na rede de seleção 403. No início da comunicação ocorre uma verificação tanto da autenticidade do usuário 401 como também da autenticidade do provedor 402.
Para tanto, a rede de seleção 403 requer os assim chamados dados de autenticação, com os quais é possível a verificação da autenticida- de do usuário 401 e do provedor 402, da rede doméstica 404 em 411.
Os dados e autenticação, que são estabelecidos pela rede do- méstica 404, abrangem um número aleatório e um número seqüencial do provedor 402. O número seqüencial do provedor 402 é de tal maneira esta- belecido que um contador do provedor 402 a cada tentativa de comunicação entre o usuário 401 e o provedor 402 aumenta o número seqüencial do pro- vedor 402 do valor 1.
Cabe assinalar que o número aleatório e o número seqüencial do provedor 402 representam apenas uma parte dos dados de autenticação e não devem ser entendidos conclusivamente. Outros dados de identificação são conhecidos de [1]. A rede doméstica 404 transmite os dados de autenticação re- queridos à rede de seleção 403 412. A rede de seleção 403 processa os da- dos de autenticação recebidos de maneira apropriada 413 e transmite os dados de autenticação processados ao usuário 401 414.
Com emprego de um número seqüencial próprio, que é manipu- lado em correspondência ao número seqüencial do provedor 402, e do nú- mero seqüencial do provedor 402, o usuário verifica a autenticidade do pro- vedor 402 415. O procedimento quando da verificação da autenticidade do pro- vedor 402 está descrita em [1].
Um resultado da verificação da autenticidade do provedor 402, "autenticidade do provedor em ordem" 416, "autenticidade do provedor em ordem, mas ocorreu um erro de seqüência" 417 ou "autenticidade do prove- dor não em ordem" 418, é transmitido 419 pelo usuário 401 ao provedor 402.
Com o resultado "autenticidade do provedor em ordem" 416, ve- rifica a rede selecionada 403, como está descrito em [1], a autenticidade do usuário 401 420.
Com o resultado "autenticidade do provedor não em ordem" 418, a comunicação é interrompida ou novamente iniciada 421.
Com o resultado "autenticidade do provedor em ordem, mas ocorreu um erro de seqüência" 417, se tem uma ressincronização de tal ma- neira que a rede doméstica 404 emite 422 uma consulta de ressincronização ao usuário 401. O usuário responde com uma resposta de ressincronização, em que os dados de ressincronização são transmitidos 423 à rede domésti- ca 404. Em função da resposta de ressincronização é alterado 424 o número seqüencial do provedor 402. Em seguida ocorre o teste da autenticidade do usuário 401, como é conhecido de [1]. O procedimento descrito apresenta a desvantagem de que, quando de uma verificação de uma autenticidade de um participante de co- municação, especialmente quando da verificação da autenticidade de um provedor de serviços, muitos dados devem ser transmitidos entre os usuári- os de comunicação.
Assim, a invenção se baseia no problema de indicar um proces- so simplificado e aperfeiçoado bem como uma disposição simplificada e aperfeiçoada, em comparação com o processo conhecido e a disposição conhecida, para verificação de uma autenticidade de um participante de co- municação em uma rede de comunicação. O problema é solucionado pelos processos bem como pelas dis- posições com as características segundo as reivindicações independentes.
No processo para verificação de uma autenticidade de um pri- meiro participante de comunicação em uma rede de comunicação, no primei- ro participante de comunicação com emprego de uma indicação de identifi- cação de erro do primeiro e uma informação sobre uma indicação aleatória é formada uma primeira informação de erro. Em um segundo participante de comunicação na rede de comunicação, com emprego de uma indicação de identificação de erro do segundo participante de comunicação e a informa- ção sobre a indicação aleatória, é formada uma segunda informação de erro.
Com emprego da primeira informação de erro e da segunda informação de erro é verificada a autenticidade do primeiro participante de comunicação.
Com a disposição para verificação de uma autenticidade de um primeiro participante de comunicação em uma rede de comunicação o pri- meiro participante de comunicação é de tal maneira ajustado que, com em- prego de uma indicação de identificação de erro do primeiro participante de comunicação e uma informação sobre uma indicação aleatória, pode ser formada uma primeira informação de erro. Além disso, apresenta a disposi- ção um segundo participante de comunicação na rede de comunicação, que é ajustado de tal maneira que, com emprego de uma indicação de identifica- ção de erro do segundo participante de comunicação e a informação sobre a indicação aleatória, pode ser formada uma segunda informação de erro.
Com emprego da primeira informação de erro e a segunda informação de er- ro é verificável a autenticidade do primeiro participante de comunicação.
Sob a verificação da autenticidade de um participante de comu- nicação em uma rede de comunicação devem ser entendidas etapas de pro- cesso, que, em sentido mais amplo, são executadas com uma verificação de uma autorização de um participante de comunicação para acesso a uma re- de de comunicação ou uma participação em uma comunicação em uma rede de comunicação. São assim abrangidas tanto as etapas de processo, que são re- alizadas no âmbito de uma verificação da autorização de um participante de comunicação ao acesso a uma rede de comunicação, como também as eta- pas de processo, que são realizadas no âmbito de um processamento ou uma administração de dados, que são empregados quando da verificação.
Outras configurações preferidas da invenção resultam das rei- vindicações dependentes.
As outras configurações adiante descritas referem-se tanto ao processo e à disposição. A invenção e as outras configurações adiante descritas podem ser concretizadas tanto em software como também em hardware, por exem- plo com emprego de um circuito elétrico especial.
Em uma configuração é o primeiro participante de comunicação um provedor de serviços e/ou o segundo participante de comunicação um usuário de serviços na rede de comunicação.
De preferência como indicação de identificação de erro é em- pregado um número seqüencial.
Em uma configuração é a informação sobre a indicação aleatória um número aleatório.
Em uma outra configuração, o teste da autenticidade é simplifi- cado pelo fato de que é estabelecida uma diferença entre a indicação de identificação de erro do primeiro participante de comunicação e a indicação de identificação de erro do segundo participante de comunicação.
Em uma configuração, o teste da autenticidade é ainda mais aperfeiçoado, no que concerne à segurança da rede de comunicação, pelo fato de que a diferença é restringida.
De preferência, uma configuração é empregada no âmbito de um sistema de rádio móvel. No sistema de rádio móvel o usuário de serviço é realizado como telefone móvel e/ou o provedor de serviço como operador de rede de rádio móvel.
Nas figuras está representado um exemplo de execução da in- venção, que é mais pormenorizadamente explicado adiante.
Mostram: Figura 1 - um sistema de rádio móvel;
Figura 2 - um esboço, em que simbolicamente está representada uma verificação de uma autenticidade de um participante de comunicação;
Figura 3 - um fluxograma, em que estão representadas etapas individuais de processo quando de uma verificação de uma autenticidade de um provedor de serviço em uma rede de comunicação;
Figura 4 - um esboço, em que simbolicamente está representada uma verificação de uma autenticidade de um participante de comunicação segundo o padrão 3G TS 33.102 Versão 3.0.0.
Exemplo de execução: sistema de rádio móvel Na figura 1 está representado um sistema de rádio móvel 100. O sistema de rádio móvel 100 abrange um telefone móvel 101, uma rede de seleção 102 local com um operador de rede de seleção 103 e uma rede do- méstica 104 com um operador de rede doméstica 105.
Na rede doméstica 104 está inscrito e registrado o telefone mó- vel 101.
Além disso, apresentam o telefone móvel 101, a rede de seleção 102 e a rede doméstica 104 respectivamente uma unidade de processa- mento central 106, 107, 108 com uma memória 109, 110, 111, com cujas unidades de processamento 106, 107, 108 é monitorado e controlado o pro- cedimento a seguir descrito e em cujas memórias 109, 110, 111 são e/ou es- tão armazenados dados. A rede de seleção 102 e a rede doméstica 104 estão ligadas en- tre si por meio de uma linha de dados 112, pela qual dados digitais podem ser transmitidos. O telefone móvel 101 e a rede de seleção 102 estão liga- dos entre si por um meio de transmissão qualquer 113 para transmissão de dados digitais.
Na figura 2 estão representados e é a seguir explicados breve- mente e a título de extrato o procedimento quando de uma verificação de uma autenticidade do telefone móvel 101 e o procedimento quando de uma verificação da autenticidade da rede doméstica 104 ou da operação de rede doméstica 105.
Uma transmissão da dados está representada na figura 2 res- pectivamente por uma seta. Uma direção de uma seta caracteriza uma dire- ção de transmissão quando de uma transmissão de dados. O procedimento representado simbolicamente na figura 2 e des- crito a seguir se baseia em um assim chamado padrão 3G TS 33.102 Versão 3.0.0, que descreve uma arquitetura de segurança de um sistema de rádio móvel e está descrito em [1].
Quando de uma comunicação, o telefone móvel 201 se liga 210 na rede de seleção 203. No início da comunicação ocorre uma verificação tanto da autenticidade do telefone móvel 201 como também da autenticidade da rede doméstica 204 ou do operador da rede doméstica.
Para tanto a rede de seleção 203 requer da rede doméstica 204 em 211 dados de autenticação, com os quais é possível a verificação da autenticidade do usuário 201 e da rede doméstica 204 ou do operador da rede doméstica.
Os dados de autenticação, que são estabelecidos pela rede do- méstica 204, abrangem um número aleatório e um número seqüencial da rede doméstica 204 (cf. figura 3, etapa 310). O número seqüencial da rede doméstica 204 é de tal maneira estabelecido que um contador da rede do- méstica 204 a cada tentativa de comunicação entre o telefone móvel 201 e a rede doméstica 204 aumenta do valor 1 o número seqüencial da rede do- méstica 204.
Cabe assinalar que o número aleatório e o número seqüencial da rede doméstica 204 representam apenas uma parte dos dados de auten- ticação e não devem ser entendidos como conclusivos. Outros dados de autenticação estão mencionados em [1]. A rede doméstica 204 transmite 212 os dados de autenticação requeridos à rede de seleção 203 . A rede de seleção 203 processa os da- dos de autenticação recebidos de maneira 213 apropriada e transmite 214 os dados de autenticação processados ao telefone móvel 201. O telefone móvel 201 verifica 215 com emprego de um número seqüencial próprio, que é manipulado em correspondência ao número se- qüencial da rede doméstica, e do número seqüencial da rede doméstica 204 a autenticidade da rede doméstica 204. Em correspondência à rede domés- tica 204 apresenta o telefone móvel 201 igualmente um contador. O procedimento quando da verificação da autenticidade da rede doméstica 204 está descrito em [1]. Etapas de processo disso divergentes estão descritas a seguir.
No âmbito da verificação da autenticidade da rede doméstica 203, é realizado um assim chamado teste de ultrapassagem do contador do telefone móvel 201. Por esse teste de ultrapassagem é impedida uma ultra- passagem de uma faixa de números admissível do contador do telefone mó- vel 201.
Quando do teste de ultrapassagem são testadas as seguintes condições: 1) Número seqüencial da rede doméstica 204 > número seqüen- cial do telefone móvel 201; 2) Número seqüencial da rede doméstica 204 - número seqüen- cial do telefone móvel 201 < divergência predeterminável (aqui: 1000000); sendo que para a divergência predeterminável vale: - divergência predeterminável suficientemente grande, para ex- cluir na operação de comunicação normal ou isenta de pane que: Número seqüencial da rede doméstica 204 - número seqüencial do telefone móvel 201 > divergência predeterminável; - máximo número seqüencial admissível do telefone móvel 201/divergência predeterminável suficientemente grande, para excluir que o máximo número seqüencial admissível do telefone móvel 201 seja alcança- do em operação.
Um resultado da verificação da autenticidade da rede doméstica 204, "autenticidade em ordem" 216, "autenticidade em ordem, mas ocorreu um erro de seqüência" 217 ou "autenticidade não em ordem" 218, é transmi- tido 419 pelo telefone móvel 201 à rede doméstica 204.
Com o resultado "autenticidade em ordem" 216 verifica 220 a rede de seleção 203, como descrito em [1], a autenticidade do telefone mó- vel 201.
Com o resultado "autenticidade não em ordem" 218 a comunica- ção é interrompida ou novamente iniciada 221.
Com o resultado "autenticidade em ordem, mas ocorreu um erro de seqüência" 217 ocorre uma ressincronização 222. Por ressincronização se deve entender uma alteração do número seqüencial da rede doméstica 204.
Para tanto transmite 222 o telefone móvel 201 dados de ressin- cronização à rede de seleção 203.
Os dados de ressincronização abrangem o mesmo número ale- atório, que foi transmitido no âmbito dos dados de autenticação, bem como o número seqüencial do telefone móvel 201 (cf. figura 3 etapa 320). A rede de seleção 203 processa os dados de ressincronização de maneira apropriada e transmite os dados de ressincronização processa- dos à rede doméstica 204. A rede doméstica verifica 223 com emprego dos dados de res- sincronização processados o número seqüencial do telefone móvel 201 e o número seqüencial da rede doméstica 204 e altera eventualmente o número seqüencial da rede doméstica 204 (cf. figura 3 etapa 330).
Em seguida, a rede doméstica 204 transmite à rede de seleção 203 novos dados de autenticação, que abrangem eventualmente o número seqüencial alterado da rede doméstica 204.
Para ilustração do procedimento descrito estão representadas na figura 3 importantes etapas 300 do procedimento. A figura 3 mostra uma primeira etapa 310, no âmbito da qual são estabelecidos os dados de autenticação (primeira informação de erro).
No âmbito de uma segunda etapa 320 são estabelecidos os da- dos de ressincronização (segunda informação de erro).
No âmbito de uma terceira etapa 330 são verificados, com em- prego dos dados de ressincronização, o número seqüencial do telefone mó- vel e o número seqüencial da rede doméstica. A seguir é descrita uma alternativa do primeiro exemplo de exe- cução.
No exemplo de execução alternativo está concretizado um pro- cesso, com o qual a rede doméstica é tornada mais segura frente a uma perda de dados quando de uma queda do sistema.
Para tanto, respectivamente em intervalo temporal predetermi- nável, o número seqüencial atual da rede doméstica é armazenado na me- mória da rede doméstica. Um número seqüencial da rede doméstica, perdido quando de uma queda do sistema da rede doméstica, é de tal maneira recu- perado que ao valor do número seqüencial memorizado é adicionado um valor de acréscimo predeterminável. O valor de acréscimo predeterminável é de tal maneira dimensionado que não é possível uma ultrapassagem de nú- mero seqüencial do telefone móvel e não é ultrapassada a divergência pre- determinável.
No exemplo de execução alternativo, o valor de acréscimo pre- determinável é de tal maneira determinado que um número médio de tentati- vas de autenticação de um dia da rede doméstica, determinado de valores experimentais quando de uma operação da rede de comunicação, é multipli- cado com um fator com o valor 10.
Nesse documento está citada a seguinte publicação: [1] Padrão 3G TS 33.102 Versão 3.0.0-Draft, 3rd Generation Par- tner Project, Technical Specification Group Services and System Aspects, 3G Security, Security Architecture, 05/1999.