DE60001277T2

DE60001277T2 - Integritätsschutzmethode für signalisierung in einem funknetz

Info

Publication number: DE60001277T2
Application number: DE60001277T
Authority: DE
Inventors: Ahti Muhonen; Valtteri Niemi; Jaakko Rajaniemi
Original assignee: Nokia Oyj
Current assignee: Qualcomm Inc
Priority date: 1999-05-11
Filing date: 2000-05-11
Publication date: 2003-07-24
Anticipated expiration: 2020-05-12
Also published as: EP1180315B1; CN1134200C; FI112315B; CA2371365A1; BRPI0010408B1; JP2004222313A; CA2371365C; ES2191620T3; CN1350761A; AU4409000A; US7246242B1; BR0010408A; WO2000069206A1; ATE231674T1; FI991088A; JP2002544735A; FI991088A0; EP1180315A1; DE60001277D1

Description

TECHNISCHES GEBIET DER ERFINDUNG

Die Erfindung bezieht sich auf ein Verfahren zur Überprüfung der Integrität von Nachrichten zwischen einer Mobilstation und dem zellularen Netz. Insbesondere bezieht sich die Erfindung auf ein Verfahren gemäß dem Oberbegriff des Patentanspruchs 1.

HINTERGRUND DER ERFINDUNG

In der Telekommunikation besteht das allgemeine Problem, wie man sicherstellen kann, dass die empfangenen Informationen von einem autorisierten Sender gesendet werden und nicht von jemandem, der versucht, sich als der Sender auszugeben. Das Problem ist in zellularen Telekommunikationssystemen offensichtlich, bei denen die Luftschnittstelle eine exzellente Plattform zum Abhören und Ersetzen der Inhalte einer Übertragung unter Verwendung höherer Übertragungspegel selbst aus einer Entfernung darstellt. Eine grundlegende Lösung dieses Problems ist die Beglaubigung der kommunizierenden Teilnehmer. Ein Beglaubigungsvorgang soll die Identität beider kommunizierenden Teilnehmer aufdecken und überprüfen, so dass jeder Teilnehmer Informationen über die Identität des anderen Teilnehmers empfängt, und der Identität bis zu einem ausreichenden Grad trauen kann. Die Beglaubigung wird typischerweise in einer speziellen Prozedur zu Beginn der Verbindung durchgeführt. Jedoch lässt dies Platz für eine nicht autorisierte Manipulation, ein Einfügen und Löschen nachfolgender Nachrichten. Daher besteht das Erfordernis einer separaten Beglaubigung jeder übertragenen Nachricht. Diese Aufgabe kann durch Anfügen eines Nachrichtauthentizitätscodes (MAC) zu der Nachricht am Sendeende und Überprüfen des MAC- Werts am Empfangsende ausgeführt werden.
Ein MAC ist typischerweise eine relativ kurze Bit-Kette, was in spezieller Weise von der Nachricht abhängt, die sie schützt, und von einem geheimen Code, der sowohl dem Sender als auch dem Empfänger der Nachricht bekannt ist. Der Geheimcode wird typischerweise in Verbindung mit dem Beglaubigungsvorgang zu Beginn der Verbindung erzeugt und angenommen. In einigen Fällen ist auch der Algorithmus geheim, der zur Berechnung des MAC beruhend auf dem Geheimcode und der Nachricht verwendet wird, jedoch ist dies nicht der übliche Fall.
Der Vorgang der Beglaubigung einzelner Nachrichten wird oft Integritätsschutz genannt. Zum Schützen der Integrität der Signalisierung berechnet der Sendeteilnehmer einen MAC-Wert beruhend auf der zu sendenden Nachricht und dem Geheimcode unter Verwendung des bestimmten Algorithmus und sendet die Nachricht mit dem MAC-Wert. Der empfangende Teilnehmer berechnet erneut einen MAC-Wert beruhend auf der Nachricht und dem Geheimcode entsprechend dem bestimmten Algorithmus und vergleicht den empfangenen MAC und den berechneten MAC. Sind die zwei MAC-Werte gleich, kann der Empfänger darauf vertrauen, dass die Nachricht intakt ist und vom angenommenen Teilnehmer gesendet wurde. Hierbei wird angemerkt, dass der Integritätsschutz üblicherweise nicht den Schutz der Vertraulichkeit der gesendeten Nachrichten beinhaltet.
Integritätsschutzschemata sind nicht vollständig perfekt. Ein dritter Teilnehmer kann versuchen, eine zwischen einem ersten und einem zweiten Teilnehmer übertragene Nachricht zu manipulieren und kann darin erfolgreich sein. Es gibt zwei alternative Hauptverfahren zum Fälschen eines MAC-Werts für eine modifizierte oder eine neue Nachricht, nämlich durch das Erhalten des Geheimcodes zum einen und durch direkte Versuche ohne den Geheimcode.
Der Geheimcode kann von einem dritten Teilnehmer grundlegend auf zwei Arten erhalten werden:
- Durch Berechnen aller möglicher Codes bis ein Code gefunden ist, der mit Daten beobachteter Nachricht-MAC- Paaren übereinstimmt, oder ansonsten durch Brechen des Algorithmus zur Erzeugung der MAC-Werte oder
- Durch direktes Auffangen eines gespeicherten oder übertragenen Geheimcodes.
Die ursprünglichen kommunizierenden Teilnehmer können einen dritten Teilnehmer am Erhalten des Geheimcodes durch die Verwendung eines Algorithmus hindern, der kryptographisch stark ist und einen Geheimcode verwendet, der lang genug ist, eine erschöpfende Suche nach allen Codes zu verhindern, und der andere Sicherheitseinrichtungen zum Senden und Speichern der Geheimcodes verwendet.
Ein dritter Teilnehmer kann versuchen, den Nachrichtenaustausch zwischen den zwei Teilnehmern ohne einen Geheimcode grundsätzlich durch Raten des korrekten MAC-Werts oder durch Ersetzen einer früher zwischen den zwei Teilnehmern gesendeten Nachricht zu stören, wobei für diese Nachricht der richtige MAC aus der ursprünglichen Übertragung bekannt ist.
Ein richtiges Raten des MAC-Werts kann durch die Verwendung langer MAC-Werte verhindert werden. Der MAC-Wert sollte lang genug sein, die Wahrscheinlichkeit des richtigen Ratens auf ein ausreichend niedriges Niveau verglichen mit dem Vorteil, der durch eine erfolgreiche Fälschung gewonnen wird, zu reduzieren. Beispielsweise verringert die Verwendung eines 32- Bit MAC-Werts die Wahrscheinlichkeit des richtigen Ratens auf 1/4 294 967 296, was für die meisten Anwendungen gering genug ist.
Das Erhalten eines korrekten MAC-Werts unter Verwendung der Wiederholungsattacke, das heißt, durch Wiederholen einer früheren Nachricht, kann durch die Einführung eines variierenden Parameters in die Berechnung der MAC-Werte verhindert werden. Beispielsweise kann ein Zeitmarkierungswert, eine Sequenznummer oder eine Zufallszahl als weitere Eingabe in den MAC-Algorithmus zusätzlich zu dem geheimen Integritätscode und der Nachricht verwendet werden. Die vorliegende Erfindung ist mit diesem grundlegenden Verfahren verbunden. Nachstehend sind die herkömmlichen Verfahren genauer beschrieben.
Wird ein Zeitmarkierungswert verwendet, muss jeder Kommunikationsteilnehmer Zugriff auf eine zuverlässige Uhr haben, um den MAC auf die gleiche Weise berechnen zu können. Das Problem dieses Ansatzes besteht im Erfordernis der zuverlässigen Uhr. Die Uhren beider Teilnehmer müssen sehr genau und zeitlich sehr genau sein. Allerdings ist diese Bedingung in zellularen Telekommunikationssystemen nicht annehmbar: beide Teilnehmer, das heißt, die Mobilstation (MS) und das Netz haben keinen Zugriff auf eine Uhr, die zuverlässig genug ist.
Bei der Verwendung von Sequenznummern muss jeder Teilnehmer diese Sequenznummern verfolgen, die bereits verwendet wurden und nicht mehr akzeptiert werden. Die einfachste Weise zum Implementieren dieses Verfahrens besteht in der Speicherung der höchsten bisher bei der MAC-Berechnung verwendeten Sequenznummern. Dieser Ansatz hat den Nachteil, dass zwischen Verbindungen jeder Teilnehmer Zustandsinformationen halten muss, die wenigstens bis zu einem bestimmten Grad synchronisiert sind. Das heißt, sie müssen die bisher verwendete höchste Sequenznummer speichern. Dies erfordert die Verwendung großer Datenbanken auf der Netzseite.
Ein weiterer Ansatz besteht im Aufnehmen einer Zufallszahl in jede Nachricht, die die andere Seite bei der MAC-Berechnung verwenden muss, wenn sie das nächste Mal eine Nachricht sendet, für die eine MAC-Beglaubigung erforderlich ist. Dieser Ansatz hat den gleichen Nachteil wie der zuvor beschriebene, das heißt zwischen Verbindungen jedes Teilnehmers müssen Zustandsinformationen gehalten werden, die die Verwendung einer großen Datenbank auf der Netzseite erfordern.
Die US 5 475 763 von Kaufman et al. (1995) beschreibt ein Signatursystem, wie ein El Garnal- oder DSS-System, das die Verwendung einer Langzeitgeheimzahl beinhaltet, und eine Geheimzahl pro Nachricht erzeugt die Geheimzahl pro Nachricht ohne die Verwendung eines Zufallszahlengenerators oder nicht flüchtigen Speichers. Die Geheimzahl pro Nachricht wird durch die Anwendung einer Ein-Wege-Hash-Funktion in einer Kombination der Langzeitgeheimzahl und der Nachricht selbst erzeugt.

KURZZUSAMMENFASSUNG DER ERFINDUNG

Eine Aufgabe der Erfindung besteht in der Realisierung eines Verfahrens zur Integritätsüberprüfung, das die mit dem Stand der Technik verbundenen Probleme vermeidet. Eine weitere Aufgabe der Erfindung besteht in der Ausgestaltung eines Verfahrens zur Integritätsüberprüfung, das keine Speicherung von Zustandsinformationen auf der Netzseite erfordert.
Diese Aufgaben werden durch die Verwendung von zwei sich zeitlich ändernden Parametern bei der MAC-Berechnung gelöst, von denen einer durch die Mobilstation und der andere durch das Netz erzeugt wird. Der durch das Netz bestimmte Parameter wird lediglich in einer Sitzung verwendet und zur Mobilstation zu Beginn der Verbindung übertragen. Der durch die Mobilstation bestimmte Parameter wird in der Mobilstation zwischen Verbindungen gespeichert, um der Mobilstation die Verwendung eines anderen Parameters bei der nächsten Verbindung zu ermöglichen. Der durch die Mobilstation bestimmte Parameter wird zum Netz zu Beginn der Verbindung übertragen.
Das erfindungsgemäße Verfahren ist durch den kennzeichnenden Teil des unabhängigen Verfahrensanspruchs bestimmt. Die abhängigen Ansprüche beschreiben weitere vorteilhafte Ausführungsbeispiele der Erfindung.
Erfindungsgemäß bestimmen beide Teilnehmer einen sich verändernden Parameter, der bei der Erzeugung der MAC-Werte zu verwenden ist. Auf der Netzseite können in einem Mobilnetz alle Zustandsinformationen über den bestimmten Benutzer nach dem Trennen der Verbindung verworfen werden. Erfindungsgemäß werden sowohl eine Sequenznummer als auch ein vom Netz bestimmter Wert, wie eine Pseudozufallszahl, bei der Berechnung des MAC-Werts verwendet. Zu Beginn der Verbindung bestimmt die Mobilstation den für das Sequenzzählen verwendeten Anfangswert und sendet den Wert zum Netz. Zusätzlich zu dem Anfangswert wird ein Zählerwert verwendet. Der Anfangswert und der Zählerwert werden verknüpft, addiert oder auf andere Weise zur Erzeugung des Parameters kombiniert, der bei der Berechnung des MAC-Werts einer Nachricht zu verwenden ist. Eine Art und Weise zum Kombinieren der zwei Werte besteht in der Verwendung des Anfangswerts als Startwert des Zählers, was der Addition des Zählerwerts und des Anfangswerts entspricht. Die Erfindung begrenzt die beim erfindungsgemäßen Verfahren verwendeten Zählerwerte nicht. Ein geeigneter Wert ist beispielsweise die Protokolldateneinheit- (PDU-)Zahl des Funkverbindungssteuer-(RLC-)Protokolls, das heißt, die RLC-PDU-Zahl. Ein anderer geeigneter Wert besteht in der Verwendung eines Zählers, der in festen Intervallen inkrementiert wird, beispielsweise alle 10 Millisekunden. Vorzugsweise wird ein Zähler, wie der RLC-PDU-Zähler, der in Mobilstationen und im Netz bereits vorhanden ist, in einem erfindungsgemäßen Verfahren verwendet. Des weiteren können auch mit der Verschlüsselung von Daten über die Luft-Schnitt- Stelle assoziierte Zähler in einem erfindungsgemäßen Verfahren verwendet werden. Des weiteren enthält die Erfindung keine Beschränkung, welcher Anfangswert im erfindungsgemäßen Verfahren verwendet wird. Beispielsweise kann die aktuelle Hyperrahmennummer zum Zeitpunkt der Initiierung der Verbindung als Anfangswert verwendet werden. Ferner müssen die Zählerwerte nicht nach der Übertragung des Anfangswerts gesendet werden, da beide Seiten der Verbindung die Zähler auf die gleiche Weise während der Verbindung aktualisieren können, was die Synchronisierung bewahrt. Wird eine Verbindung getrennt, speichert die Mobilstation vorzugsweise den bei der Verbindung verwendeten Anfangswert in ihrem Speicher oder zumindest die höchstwertigen Bits des Anfangswerts, was der Mobilstation das nächste Mal die Verwendung eines anderen Anfangswerts ermöglicht. Die Mobilstation kann die Informationen beispielsweise in der SIM- (Teilnehmeridentitätsmodul-)Karte oder einer anderen Speichereinrichtung speichern, um der Mobilstation die Verwendung eines zuvor in der SIM-Karte der Mobilstation gespeicherten Werts bei der Bestimmung des Anfangswerts zu ermöglichen.
Das Netz bestimmt die Zufallszahl, oder in der Praxis eine Pseudozufallszahl zu Beginn der Verbindung. Die Zufallszahl ist sitzungsspezifisch, das heißt, sie muss nicht innerhalb einer Verbindung geändert oder zur Mobilstation mehr als einmal zu Beginn der Verbindung gesendet werden, und muss auch nicht im Netz zwischen Verbindungen gespeichert werden. Vorzugsweise ist das Netzelement, das die Zufallszahl erzeugt und für die MAC-Werterzeugung sorgt und empfangene Nachrichten und MAC-Werte überprüft, die Funknetzsteuereinrichtung (RNC). Die Erfindung ist aber nicht darauf beschränkt, da diese Funktionen in vielen anderen Netzelementen genauso gut realisiert werden können. Die Verwendung der RNC ist von Vorteil, da in diesem Fall das Kernnetz des zellularen Telekommunikationssystems nicht bei der Integritätsüberprüfung einzelner Nachrichten teilnehmen muss, und da die Mitteilungsübermittlung im Funkzugangsnetz eventuell auch durch eine Integritätsüberprüfung geschützt werden muss.
Die Erfindung ermöglicht beiden Seiten der Verbindung die Durchführung einer Integritätsüberprüfung. Da das Netz einen Zufallswert zu Beginn der Verbindung bestimmt, kann eine Mobilstation eines feindlichen Teilnehmers einen Wiedergabeangriff durch Wiedergeben einer aus einer vorhergehenden Verbindung aufgezeichneten Nachricht nicht erfolgreich durchführen. Da die Mobilstation den Anfangswert für die Verbindung bestimmt, sind Wiedergabeangriffe von einem unechten Netzelement, das von einem feindlichen Teilnehmer betrieben wird, nicht erfolgreich.

KURZBESCHREIBUNG DER ZEICHNUNG

Im Folgenden wird die Erfindung ausführlicher unter Bezugnahme auf die beiliegende Zeichnung beschrieben. Es zeigen:
Fig. 1 ein vorteilhaftes Ausführungsbeispiel der Erfindung,
Fig. 2 ein Verfahren gemäß einem vorteilhaften Ausführungsbeispiel der Erfindung und
Fig. 3 eine Signalisierung gemäß einem vorteilhaften Ausführungsbeispiel der Erfindung.
Für ähnliche Größen werden in den Figuren die gleichen Bezugszeichen verwendet.

AUSFÜHRLICHE BESCHREIBUNG

Fig. 1 zeigt einen Weg zur Berechnung des MAC-Werts gemäß der Erfindung. Der IK ist der geheime Integritätscode, der während eines Beglaubigungs- bzw. Authentizitätsvorgangs einer Mobilstation zu Beginn einer Verbindung erzeugt wird. Da der gleiche IK-Code zum Beglaubigen vieler Nachrichten verwendet wird, möglicherweise selbst während vieler folgender Verbindungen, sind sich zeitlich verändernde Parameter erforderlich, um feindliche Attacken während der Verbindung zu verhindern. Zu diesem Zweck werden auch ein Zählerwert COUNT und ein Zufallswert RANDOM bei der MAC-Berechnung verwendet. Erfindungsgemäß werden eine Nachricht 1 und die IK-, COUNT- und RANDOM-Werte in eine Berechnungseinrichtung 10 eingegeben, die einen MAC-Wert entsprechend den Eingaben und dem bestimmten Beglaubigungsalgorithmus berechnet. Es ist anzumerken, dass die Erfindung nicht auf eine spezielle Art der Berechnung des MAC-Werts aus den in Fig. 1 gezeigten Eingaben beschränkt ist. Die Erfindung ist nicht auf spezielle Längen der Eingangswerte beschränkt. Beispielsweise sind für das UMTS-(Universal Mobile Telecommunication System)Zellularsystem geeignete Längen 128 Bits für den IK- Wert, 32 Bits für den COUNT-Wert, 32 Bits für den RANDOM-Wert und 16 Bits für den MAC-Wert. Es können aber auch andere Längen selbst für das UMTS-System verwendet werden, und andere Eingaben können zusätzlich zu diesen Werten verwendet werden.
Wird ein neuer IK-Wert in einem Authentizitätsvorgang zu Beginn der gegenwärtigen Verbindung erzeugt, kann die Mobilstation den Anfangswert von COUNT zurücksetzen, da der neue IK-Wert eine Sicherheit gegenüber Wiedergabeangriffen liefert. Die Speicherung des Anfangswerts oder eines Teils davon zur Verwendung bei der nächsten Verbindung ist erforderlich, da sich der IK-Wert eventuell nicht verändert, wenn die nächste Verbindung errichtet wird. Dies ist beispielsweise bei der Verwendung einer Multifunktionsmobilstation im UMTS-System sehr wahrscheinlich, da die Mobilstation eine Vielzahl gleichzeitiger Verbindungen verschiedener Typen haben kann, und neue Verbindungen während einer einzelnen Kommunikationssitzung errichten und abbrechen kann. Das Netz führt nicht unbedingt eine volle Beglaubigung für jede neue Verbindung durch, wodurch die Mobilstation nicht immer einen neuen IK-Wert für jede neue Verbindung empfangen wird. Ändert sich aber der IK, kann die Mobilstation die anfänglichen COUNT-Werte ohne Gefahr einer Sicherheitsbeeinträchtigung zurücksetzen.
Fig. 2 zeigt ein Verfahren gemäß einem vorteilhaften Ausführungsbeispiel der Erfindung. Fig. 2 zeigt ein Verfahren zur Integritätsüberprüfung einer während einer Verbindung zwischen einem zellularen Telekommunikationsnetz und einer Mobilstation gesendeten Nachricht.
Im ersten Schritt 50 berechnet der Sendeteilnehmer den Authentizitätswert (MAC) der Nachricht auf der Grundlage der Nachricht, eines ersten durch das Netz bestimmten Werts, wobei dieser Wert lediglich für eine Verbindung gültig ist, eines zweiten zumindest teilweise durch das Netz bestimmten Werts und eines dritten zumindest teilweise durch die Mobilstation bestimmten Werts. Vorzugsweise ist der erste Wert ein Pseudozufallswert, wie der zuvor beschriebene RANDOM-Wert. Ferner ist der dritte Wert vorzugsweise ein Zählerwert, wie der zuvor beschriebene COUNT-Wert, der während der Verbindung inkrementiert wird. Beispielsweise kann der RLC-PDU-Wert für die Erzeugung des COUNT-Werts verwendet werden. Wie es zuvor beschrieben ist, bestimmt die Mobilstation einen Anfangswert für den Zählerwert zu Beginn der Verbindung. Der Anfangswert kann als Startwert für einen Zähler verwendet werden, der die COUNT-Werte erzeugt, oder der Anfangswert kann mit einem anderen Zählerwert kombiniert werden, wie dem RLC-PDU-Wert, um den dritten Wert zu erzeugen.
Im nächsten Schritt 52 wird die Nachricht vom Sendeteilnehmer zum Empfangsteilnehmer gesendet, der einen zweiten MAC-Wert wie vorstehend beschrieben berechnet, und den empfangenen MAC- Wert und den berechneten MAC-Wert in Schritt 56 vergleicht. Sind sie gleich, wird die Nachricht in Schritt 58 akzeptiert, und sind sie nicht gleich, wird die Nachricht in Schritt 60 zurückgewiesen. Im Fall einer Uplink-Mitteilungsübermittlung können die Schritte der Berechnung 54 und des Vergleichs 56 vorteilhaft durch eine Funknetzsteuereinrichtung im zellularen Telekommunikationsnetz durchgeführt werden. Das Verfahren in Fig. 2 wird zur Überprüfung der Integrität zumindest einiger Uplink- und Downlink-Nachrichten verwendet.
Fig. 3 zeigt ein Beispiel, wie eine Verbindung gemäß einem vorteilhaften Ausführungsbeispiel der Erfindung initiiert wird. Fig. 3 zeigt eine vorteilhafte Lösung des Problems, wie zwei Anfangswerte für den Zweck einer Integritätsüberprüfung ausgetauscht werden. Die in Fig. 3 gezeigte Signalisierungssequenz ist in keinster Weise auf das Zuführen lediglich der COUNT- und RANDOM-Werte wie vorstehend beschrieben beschränkt. Die Signalisierung gemäß Fig. 3 kann zum Austauschen von beliebigen zwei Codes zu Beginn einer Verbindung verwendet werden. Fig. 3 zeigt eine Beispielssignalisierung, die mit einem von der Mobilstation ausgehenden Ruf verbunden ist, aber entsprechende Signalisierungssequenzen können auch in anderen Situationen angewendet werden, wie bei der Errichtung eines an der Mobilstation endenden Rufs oder in einem Paging- Antwortvorgang.
Fig. 3 zeigt ein bestimmtes Beispiel eines Verfahrens gemäß der Erfindung. Die zentrale Idee in Fig. 3 besteht darin, dass die RNC die Nachricht oder Nachrichten, die von der Mobilstation empfangen werden und mit einem MAC-Wert beglaubigt sind, bis zu dem Zeitpunkt speichert, wenn sie den MAC-Wert der Nachricht(en) überprüfen kann. Wird später herausgefunden, dass einer oder alle MAC-Werte falsch sind, kann das Netz dann entscheiden, ob es die initiierte Verbindung verwerfen sollte.
Fig. 3 zeigt eine Signalisierung zwischen einer Mobilstation MS 20, einer Funknetzsteuereinrichtung RNC 30 und einem Kernnetz CN 40 in einer Situation, in der die Mobilstation eine Verbindung initiiert. Fig. 3 zeigt die Signalisierung unter Verwendung der Terminologie des UMTS-Systems. Im ersten Schritt 100 sendet die Mobilstation die Anfangsverbindungsanforderungsnachricht RRC SETUP REQ zum Netz. Nach dem Empfang der Verbindungsanforderungsnachricht erzeugt die RNC den RANDOM-Wert, woraufhin die RNC durch Senden 105 einer Bestätigungsnachricht ACK zur Mobilstation antwortet. Die RNC spezifiziert den RANDOM-Wert für die Mobilstation durch Anfügen des Werts als Parameter zu der ACK- Nachricht, was in Fig. 3 durch das Anhängsel RANDOM gezeigt ist, das unter dem Pfeil 105 erscheint. Nach dem Empfangen der Bestätigung und des RANDOM-Werts muss die Mobilstation den Anfangs-COUNT-Wert zum Netz senden. Dies kann grundlegend auf zwei Arten realisiert werden: durch Definieren einer neuen Nachricht für diesen Zweck, beispielsweise in der RNC-Schicht oder durch Anfügen des COUNT-Werts als Parameter an eine vorhandene Nachricht. Der Pfeil 110 bezeichnet den erstgenannten Ansatz, das heißt, er bezeichnet eine Nachricht, die speziell für das Senden des COUNT-Werts definiert ist. Der Pfeil 115 bezeichnet den zweitgenannten Ansatz, das heißt, das Anfügen des COUNT-Werts als Parameter zu einer vorhandenen Nachricht. Im Beispiel in Fig. 3 ist die vorhandene Nachricht eine CM SERV REQ Nachricht. Des weiteren kann auch eine IK- Code-Identifizierungsnummer als Parameter für die Nachricht übertragen werden. Während eines Beglaubigungsvorgangs, bei dem ein IK erzeugt wird, wird jedem IK eine Identifizierungsnummer zugeordnet, woraufhin die MS und das Netz auf den IK einfach durch die Verwendung der Identifizierungsnummer Bezug nehmen können.
Im Beispiel in Fig. 3 sendet die Mobilstation eine Betriebsklassendienstanforderungsnachricht CM SERV REQ zum Netz, wobei ein vorübergehender Identifizierer TMSI und ein Fähigkeitsklassenidentifizierer CM 2 für das Netz bestimmt werden. Wurde keine spezielle Nachricht zum Transportieren des Anfangs-COUNT-Werts zum Netz verwendet, wird der Anfangs- COUNT-Wert dem Netz als weiterer Parameter für die CM SERV REQ Nachricht zugeführt. Ferner sendet die Mobilstation einen auf der Grundlage der COUNT- und RANDOM-Werte berechneten MAC-Wert und einen während einer vorhergehenden Verbindung empfangenen und gespeicherten IK-Wert. Beim Empfangen der Nachricht entfernt die RNC den MAC-Wert aus der Nachricht sowie den möglicherweise vorhandenen COUNT-Wert und speichert diese und leitet 120 den Rest der Nachricht zum Kernnetz weiter. Die RNC speichert auch die gesamte Nachricht für eine spätere Verwendung, was nachstehend beschrieben ist. Gemäß UMTS- Spezifikationen kann das Kernnetz einen Beglaubigungsvorgang auf dieser Stufe, was durch die Pfeile 125 und 130 in Fig. 3 dargestellt ist, entsprechend einer Authentizitätsanforderungsnachricht AUTH REQ und einer Authentizitätsantwortnachricht AUTH RSP durchführen.
Der nächste Schritt hängt davon ab, ob das Netz einen IK-Wert für die Mobilstation hat oder nicht. Hat das Netz die Beglaubigung in den Schritten 125 und 130 durchgeführt, hat das Netz den bei der Beglaubigung bestimmten IK-Wert. Alternativ dazu kann das Netz einen alten in Verbindung mit einer vorhergehenden Verbindung gespeicherten IK-Wert haben. Der IK-Wert wird in den Kernnetzregistern gespeichert. Hat das Netz einen IK-Wert, wird das Verfahren an Schritt 135 fortgesetzt; wenn nicht, an Schritt 150. Dies ist durch Schritt 132 und den zugehörigen gestrichelten Pfeil in Fig. 3 dargestellt.
In Schritt 135 sendet das Kernnetz eine Verschlüsselungsmodusnachricht CIPH MODE zur RNC, wobei der Verschlüsselungscode CK und der IK-Wert als Parameter an die Nachricht angefügt sind. Mit dieser Nachricht führt das CN der RNC den IK-Wert zu, die zuvor den IK-Wert nicht kannte, wenn kein Beglaubigungsvorgang in den Schritten 125 und 130 durchgeführt wurde. Auf dieser Stufe ist die RNC zur Überprüfung der CM SERV REQ -Nachricht fähig, die in Schritt 115 gespeichert wurde, da sie nun den COUNT-, den RANDOM- und den IK-Wert hat, die zur Berechnung des MAC-Werts der Nachricht erforderlich sind. Die RNC berechnet einen MAC-Wert und vergleicht ihn 137 mit dem MAC-Wert, der zuvor in Schritt 115 gespeichert wurde. Stimmen sie überein, wird das Verfahren in Schritt 140 fortgesetzt. Stimmen sie nicht überein, wird das Verfahren in Schritt 160 fortgesetzt.
In Schritt 140 sendet die RNC eine CIPHERING COMMAND - Nachricht zur MS zum Beginnen einer Verschlüsselung, auf die die MS durch das Senden einer Verschlüsselungsantwortnachricht CIPHERING RSP zurück zur RNC antwortet 145. Danach wird die Kommunikation normal fortgesetzt, und diese Fortsetzung ist in Fig. 3 nicht gezeigt.
In Schritt 150 führt das Netz einen Beglaubigungsvorgang, der durch die Pfeile 150 und 155 in Fig. 3 dargestellt ist, entsprechend der Beglaubigungsanforderungsnachricht AUTH REQ und der Beglaubigungsantwortnachricht AUTH RSP durch. Danach informiert das Kernnetz die RNC über den neuen IK (nicht gezeigt).
Auf dieser Stufe muss die RNC sicherstellen, dass die MS die richtige ist und die MAC-Werte dementsprechend berechnen kann. Die RNC kann beispielsweise eine Betriebsklassenanforderungsprozedur oder eine andere geeignete Prozedur zu diesem Zweck durchführen. Das heißt, die RNC sendet 160 eine Betriebsklassenanforderungsnachricht CLASSMARK REQ zur MS, die durch das Senden 165 einer Antwortnachricht RSP zurück zur RNC antwortet, wobei die Betriebsklasseninformationen cm 2 als Parameter an die Nachricht und der berechnete MAC-Wert an das Ende der Nachricht angefügt werden. Nun kann die RNC wieder den MAC überprüfen, und hat kein feindlicher Teilnehmer eine der vorhergehenden Nachrichten wiedergegeben, werden die durch die RNC und die MS berechneten MAC-Werte übereinstimmen, da die drei Codewerte IK, RANDOM und COUNT nun sowohl der MS als auch der RNC bekannt sind. Nach dem Empfangen der Betriebsklassenantwortnachricht RSP sendet die RNC 170 die Betriebsklasseninformationen in einer CLASSMARK-Nachricht zum Kernnetz, wie es die UMTS-Spezifikationen erfordern.
Obwohl das Netz in der vorhergehenden Beschreibung so beschrieben ist, dass es eine Zufallszahl bestimmt, die als vom Netz bestimmter variierender Parameter zu verwenden ist, können auch andere Werte als Zufallswerte verwendet werden. Obwohl dies ein weniger vorteilhaftes Ausführungsbeispiel der Erfindung ist, kann das Netz beispielsweise einen Zählerwert verwenden und den Zählerwert in einem zentralen Register speichern, um einen anderen Wert während der nächsten Verbindung verwenden zu können. Natürlich hat dieses Ausführungsbeispiel den Nachteil, dass die Werte der Benutzer, die in den folgenden Verbindungen zu verwenden sind, gespeichert werden müssen.
In den vorhergehenden Beispielen wurde die Erfindung bezüglich eines zellularen Telekommunikationssystems beschrieben. Die Erfindung kann äußerst vorteilhaft in solchen Systemen verwendet werden, da sie eine sehr geringe Mitteilungsübermittlung erfordert, und demnach lediglich eine kleine Menge der wertvollen Luftschnittstellenressourcen verwendet. Allerdings kann die Erfindung auch in anderen Kommunikationssystemen angewendet werden.
Die Erfindung hat mehrere Vorteile. Gemäß den vorteilhaftesten Ausführungsbeispielen besteht beispielsweise kein Erfordernis zum Aufbewahren synchronisierter Zustandsinformationen zwischen verschiedenen Verbindungen. Das heißt, bei diesen Ausführungsbeispielen muss das Netz keine Zählerinformationen zum Bewirken der Integritätsüberprüfung speichern, was ein erheblicher Vorteil ist, da eine derartige Speicherung in einem zentralen Register bewirkt werden müsste, wie dem VLR (Visitor Location Register) oder dem HLR (Home Location Register). Gemäß diesen vorteilhaftesten Ausführungsbeispielen können alle Zustandsinformationen über die Verbindung auf der Netzseite in einem Mobilnetz nach dem Beenden der Verbindung verworfen werden. Die Erfindung ermöglicht die Durchführung einer Integritätsüberprüfung durch ein Netzelement außerhalb des Kernnetzes, wie in der RNC im Fall des zellularen UMTS- Systems.
Die Erfindung bestimmt keine obere Grenze für die Zahl der Werte, die bei der Berechnung der MAC-Werte verwendet werden. Es können genauso gut andere Werte zusätzlich zu den beispielsweise bezüglich Fig. 1 beschriebenen verwendet werden. Ferner enthält die Erfindung keine Beschränkung, welche Nachrichten der Integritätsüberprüfung unterzogen werden: alle Nachrichten, eine gewisse Gruppe von Nachrichten oder auf andere Weise ausgewählte Nachrichten.
Der Name einer gegebenen Funktionsgröße, wie der Funknetzsteuereinrichtung, unterscheidet sich oft im Kontext verschiedener zellularer Telekommunikationssysteme. Beispielsweise im GSM-System ist die einer Funknetzsteuereinrichtung (RNC) entsprechende Funktionsgröße die Basisstationssteuereinrichtung (BSC). Daher soll der Ausdruck Funknetzsteuereinrichtung alle entsprechenden Funktionsgrößen ungeachtet des für die Größe in dem bestimmten zellularen Telekommunikationssystem verwendeten Ausdrucks abdecken. Ferner sollen die verschiedenen Nachrichtnamen, wie der Nachrichtname RSC SETUP REQ, lediglich als Beispiel dienen, und die Erfindung ist nicht auf die Verwendung der in dieser Beschreibung genannten Nachrichtnamen beschränkt.
In Anbetracht der vorhergehenden Beschreibung erkennt der Fachmann, dass verschiedene Modifikationen innerhalb des Schutzbereichs der Erfindung durchgeführt werden können. Obwohl ein bevorzugtes Ausführungsbeispiel der Erfindung ausführlich beschrieben wurde, sollte erkannt werden, dass viele Modifikationen und Variationen diesbezüglich möglich sind, die alle in den Schutzbereich der Erfindung fallen.

Claims

1. Verfahren zur Integritätsüberprüfung von Nachrichten, die während einer Verbindung zwischen einem ersten Teilnehmer und einem zweiten Teilnehmer übertragen werden, wobei in dem Verfahren ein Authentizitätswert für eine Nachricht berechnet wird,

gekennzeichnet durch die Schritte, in denen der Authentizitätswert einer Nachricht berechnet wird (50) auf der Grundlage

der Nachricht,

eines ersten Werts, der durch den ersten Teilnehmer bestimmt wird, wobei der erste Wert lediglich für eine Verbindung gültig ist,

eines Zählerwerts, der zumindest teilweise durch den zweiten Teilnehmer bestimmt wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste Teilnehmer ein zellulares Telekommunikationsnetzwerk und der zweite Teilnehmer eine Mobilstation (20) ist.

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Authentizitätswert einer Nachricht auch auf der Grundlage eines zweiten Werts berechnet wird (54), der zumindest zum Teil durch den ersten Teilnehmer bestimmt wird.

4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste Wert ein Pseudozufallswert ist.

5. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Mobilstation (20) einen Anfangswert für den Zählerwert bestimmt.

6. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Mobilstation (20) einen Anfangswert bestimmt, der mit einem Zählerwert zur Erzeugung eines dritten Werts kombiniert wird.

7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Mobilstation (20) einen zuvor auf der SIM-Karte der Mobilstation gespeicherten Wert beim Bestimmen des Anfangswerts verwendet.

8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das zellulare Telekommunikationsnetzwerk ein UMTS- Netzwerk ist und der erste Wert durch eine Funknetzwerksteuereinrichtung (30) bestimmt wird.