ES2352832T3 - Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones. - Google Patents

Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones. Download PDF

Info

Publication number
ES2352832T3
ES2352832T3 ES06725686T ES06725686T ES2352832T3 ES 2352832 T3 ES2352832 T3 ES 2352832T3 ES 06725686 T ES06725686 T ES 06725686T ES 06725686 T ES06725686 T ES 06725686T ES 2352832 T3 ES2352832 T3 ES 2352832T3
Authority
ES
Spain
Prior art keywords
parameter
baselineskip
communication
protocol
communication partner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06725686T
Other languages
English (en)
Inventor
Gunther Horn
Marc Blommaert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2352832T3 publication Critical patent/ES2352832T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicación, en el que - a partir de un protocolo de autentificación y deducción de claves se determina al menos un primer parámetro, - el segundo interlocutor de comunicación transmite un parámetro adicional encriptado al primer interlocutor de comunicación, siendo el protocolo de encriptado utilizado para la transmisión encriptada del parámetro adicional independiente del protocolo de autentificación y deducción de claves, - a partir del primer parámetro y del parámetro adicional se determina la clave de seguridad.

Description

Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones.
La presente invención se refiere a un procedimiento y a un producto de programa de ordenador para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones.
Para sistemas de telefonía móvil de la tercera generación se conoce por las especificaciones de 3GPP un procedimiento según el que a partir de una relación de seguridad a largo plazo entre un usuario y un operador de red se deriva una relación de seguridad a corto plazo entre un usuario y un equipo de red de comunicaciones. La relación de seguridad a largo plazo se basa en una clave criptográfica secreta a largo plazo que está memorizada en un módulo de seguridad del usuario, una llamada tarjeta UMTS-SIM (con más precisión técnica: aplicación USIM sobre una tarjeta UICC), y en el centro de autentificación del operador de red. A partir de esta clave a largo plazo se deduce, según el llamado procedimiento GBA (GBA = Generic Bootstrapping Architecture, arquitectura genérica de autentificación e inicialización), una clave a corto plazo Ks, con la que se intercambian mensajes entre un aparato terminal (UE = User Equipment, equipado de usuario), una unidad de cálculo en la red de comunicaciones (BSF = Bootstrapping Server Function, función de servidor de inicialización), así como un sistema de abonados de la red de comunicaciones (HSS = Home Subscriber Server, servidor local de abonado). Esta clave a largo plazo se utiliza para asegurar la comunicación entre un aparato terminal de comunicación móvil de un usuario y otro equipo de la red de comunicaciones (NAF = Network Applikation Function, función de aplicación de la red), utilizando otra función de deducción de claves como Ks_NAF. El procedimiento GBA, que está especificado en 3G TS 33.220, se basa en el protocolo UMTS AKA (AKA = Authentication and Key Agreement, autentificación y acuerdo de claves). Este protocolo está especificado en 3G TS 33.102 y presupone forzosamente la existencia de una aplicación USIM en el usuario. El protocolo UMTS AKA genera entonces de manera segura claves de sesión CK e IK con una longitud de 128 bits cada una. Tal como se prescribe en TS 33.220, se deduce a partir de las claves de sesión CK e IK la clave a corto plazo Ks_NAF para asegurar la comunicación entre el aparato terminal de comunicación móvil de un usuario y un equipo de red de comuni-
caciones.
Desde luego, la difusión de los aparatos terminales de comunicación móvil según el estándar UMTS no está aún de lejos tan avanzada como la difusión de los aparatos terminales de comunicación móvil según el estándar GSM. Con ello también las tarjetas SIM, tal como se utilizan en cualquier teléfono móvil GSM, están bastante más difundidas que las tarjetas SIM-UMTS, que siguen encontrándose con poca frecuencia. No obstante, también los operadores de red GSM tienen un considerable interés en proporcionar enlaces seguros entre un aparato terminal de comunicación móvil y un equipo de red de comunicaciones para usuarios GSM. El objetivo de un proyecto actual de estandarización con el nombre 2G GBA es por lo tanto definir un procedimiento correspondiente a la GBA para asegurar una comunicación que utilice, en lugar de tarjetas SIM-UMTS y del protocolo AKA UMTS, bien una tarjeta SIM o una aplicación SIM sobre una tarjeta UICC y el protocolo AKA GSM.
Una base del seguimiento de este proyecto es la esperanza de no tener que establecer ninguna nueva relación de seguridad a largo plazo con el usuario en un futuro procedimiento 2G GBA para lograr una comunicación segura de un aparato terminal de comunicación móvil con un equipo de red de comunicaciones. En consecuencia, debe evitarse que tengan que distribuirse nuevas tarjetas SIM-UMTS entre los usuarios, lo cual implica siempre elevados costes para un operador de red. Por lo tanto, deben seguir utilizándose las tarjetas SIM o aplicaciones SIM que tiene el usuario sobre la tarjeta UICC, con lo que puede aprovecharse una relación ya existente entre un usuario y un operador de red.
Al respecto es problemático que el protocolo AKA GSM ofrece una seguridad bastante menor que el protocolo AKA-UMTS. Además, las claves de sesión generadas por el protocolo AKA-GSM son demasiado cortas (máximo 64 bits) para muchos fines. Además, las claves de sesión son utilizadas por algoritmos inseguros, como por ejemplo los algoritmos de encriptado de GSM A5/1 y A5/2. Existe por lo tanto el peligro de que estas claves de sesión lleguen a ser conocidas por un atacante, pudiendo quedar así comprometida por completo la seguridad de un procedimiento 2G GBA.
Con ello, la presente invención tiene como tarea básica ampliar un procedimiento GBA conocido por los sistemas de telefonía móvil de la tercera generación mediante las menores modificaciones posibles, utilizando el protocolo AKA-GSM y el SIM tal que en una comunicación entre un aparato terminal de comunicación móvil y un equipo de comunicación de red aumente aún más el nivel de seguridad frente al protocolo AKA GSM.
Otra tarea de la presente invención consiste en mejorar un procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones mediante medidas adecuadas tal que aumente el nivel de seguridad para la comunicación y el procedimiento mejorado se base al respecto en procedimientos ya existentes.
En el marco de la invención se resuelve esta tarea mediante un procedimiento y un producto de programa de ordenador con las características indicadas en la reivindicación 1 y la reivindicación 16. Ventajosos perfeccionamientos de la presente invención se indican en las reivindicaciones dependientes.
\global\parskip0.920000\baselineskip
En función de la presente invención, en un procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación, se determina al menos un primer parámetro para asegurar un enlace de comunicaciones a partir de un protocolo de autentificación y deducción de claves. Además, transmite el segundo interlocutor de comunicación un parámetro adicional encriptado al primer interlocutor de comunicación, siendo el protocolo de encriptado utilizado para la transmisión encriptada del parámetro adicional independiente del protocolo de autentificación y deducción de claves. A partir del primer parámetro y del parámetro adicional, se determina finalmente la clave de seguridad.
Según un perfeccionamiento de la presente invención, el parámetro adicional es un número aleatorio o un encadenamiento de un número aleatorio con otros datos.
Según otro perfeccionamiento de la presente invención, el número aleatorio contenido en el parámetro adicional es parte integrante del protocolo de autentificación y deducción de claves a partir del que se determina el primer parámetro.
Según otro perfeccionamiento de la presente invención, está realizado el primer interlocutor de comunicación como un aparato terminal de comunicación móvil y el segundo interlocutor de comunicación como equipo de red de comunicaciones.
Según un desarrollo ventajoso de la presente invención, se autentifica el segundo interlocutor de comunicación frente al primer interlocutor de comunicación mediante un certificado con una clave pública.
Según otro desarrollo ventajoso de la presente invención, se autentifica el primer interlocutor de comunicación frente al segundo interlocutor de comunicación mediante el protocolo de autenticidad y deducción de claves a partir del que se deduce el primer parámetro.
Según otro desarrollo ventajoso de la presente invención, se autentifica el primer interlocutor de comunicación frente al segundo interlocutor de comunicación con ayuda de un tercer interlocutor de comunicación especializado en la gestión de usuarios de la red de comunicaciones.
Según una variante de ejecución preferente, está realizado el primer interlocutor de comunicación como un User Equipment (equipo de usuario) según la especificación de telefonía móvil correspondiente a 3GPP, el segundo interlocutor de comunicación como una Bootstrapping Server Function (función de servidor de inicialización) según la especificación de telefonía móvil 3G TS 33. 220 y el tercer interlocutor de comunicación como un Home Subscriber System (sistema local de abonado) según la especificación de telefonía móvil 3G TS 33. 220.
Según otra variante de ejecución preferente, se utiliza como protocolo de seguridad para la transmisión confidencial del parámetro adicional el Transport Layer Security Protocol (protocolo de seguridad de la capa de transporte) según la especificación RFC 2246 o con ampliaciones según la especificación RFC 3546.
Según otra variante de ejecución preferente, se ejecuta el protocolo de autentificación y deducción de claves para determinar el primer parámetro según la especificación de telefonía móvil 3G TS 43.020.
Según otro perfeccionamiento, se transmiten los parámetros del protocolo de autentificación y deducción de claves para averiguar el primer parámetro de la forma adecuada en campos que están definidos según la especificación RFC 3310 para el HTTP Digest AKA (Authentication and Key Agreement, autentificación y acuerdo de clave).
Según otro perfeccionamiento, se realiza la transmisión de los parámetros según la especificación TS 33.220.
Según otro perfeccionamiento, se transmite el parámetro adicional de forma adecuada en los campos que están definidos según la especificación RFC 3310 para el HTTP Digest AKA (Authentication and Key Agreement).
Según otro perfeccionamiento, incluyen los campos "RAND" y "Server Specific Data" (datos específicos del servidor).
En la ejecución del producto de programa de ordenador correspondiente a la invención para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones, se determina a partir de un protocolo de autentificación y deducción de claves al menos un primer parámetro. Además, transmite el segundo interlocutor de comunicación un parámetro adicional encriptado al primer interlocutor de comunicación, siendo el protocolo de encriptado utilizado para la transmisión encriptada del parámetro adicional independiente del protocolo de autentificación y acuerdo de claves. A partir del primer parámetro y del parámetro adicional, se averigua la clave de seguridad, cuando corre el programa de control en el equipo de control de la secuencia del programa.
La presente invención se describirá a continuación más en detalle en base a un ejemplo de ejecución, sobre la base de los dibujos. Se muestran en
figura 1 un modelo de red esquemático de las entidades que están implicadas en un procedimiento de bootstrapping, y los puntos de referencia utilizados entre las entidades.
\global\parskip1.000000\baselineskip
figura 2 esquemáticamente un procedimiento de bootstrapping con vectores de autentificación 2G.
Antes de que pueda arrancar la comunicación entre el User Equipment (UE) 101 y la Network Application Function (NAF) (función de aplicación de la red) 103, deben ponerse de acuerdo primeramente el UE y la NAF sobre si quieren proceder según la Generic Bootstrapping Architecture (GBA) (arquitectura genérica de bootstrapping. En una primera etapa, inicia el UE 101 la comunicación a través de un punto de referencia Ua 102 con la NAF 103 sin ningún parámetro GBA relevante. Cuando la NAF exige la utilización de claves, que se obtienen mediante un procedimiento GBA, pero la consulta del UE no contiene ningún parámetro GBA relevante, responde la NAF con un mensaje de iniciación de bootstrapping.
Cuando el UE 101 desea interactuar con una NAF 103 y sabe que se procederá según el protocolo de bootstrapping, debe realizar primeramente una autentificación de bootstrapping. Caso contrario, debe realizar el UE una autentificación de bootstrapping sólo cuando ha recibido de NAF un mensaje sobre una iniciación bootstrapping necesaria o una solicitud de un nuevo tratamiento bootstrapping o bien cuando ya ha transcurrido el tiempo de validez de la clave Ks en el UE.
Para ello envía el UE 201 una solicitud HTTPS 204 a través del punto de referencia Ub 105 (ver figura 2) a la Bootstrapping Server Function (BSF) 202. Esta solicitud HTTPS de iniciación y cualquier otra comunicación entre el UE y la BSF se envían mediante un canal protegido Transport Layer Security (TLS) (seguridad de la capa de transporte). Al establecerse este canal TLS, autentifica el UE a la BSF mediante un certificado proporcionado por la BSF. El UE comprueba entonces si el atributo "REALM" contiene el mismo Fully Qualified Domain Name (FQDN) (nombre de dominio totalmente cualificado) de la BSF que aquél que se incluye en el certificado proporcionado por la BSF.
La BSF 202 solicita vectores de autentificación y GBA User Security Settings (GUSS), (ajustes de seguridad de usuario GBA) 205, del Home Subscriber System (HSS) 203 a través el punto de referencia Zh (ver figura 1, 104). El HSS envía de retorno el bloque completo de GBA User Security Settings (GUSS) y un vector de autentificación 2G (AV = RAND, SRES, Kc) 205 mediante el punto de referencia Zh. Mediante el tipo AV sabe la BSF que el UE está equipado con un 2G SIM. La BSF convierte el vector de autentificación 3G (RAND, Kc, SRES) a los parámetros RAND_{UMTS}, RES_{UMTS} y AUTN_{UMTS} de un vector de autentificación pseudo 3G. Una conversión en claves de sesión CK e IK de un vector de autentificación 3G, no es necesaria entonces:
-
RAND_{UMTS} = RAND
-
RES_{UMTS }= KDF (Key, "3GPP-GBA-RES|| SRES", acortado a 128 bits,
-
AUTN_{UMTS }= KDF (Key, "3GPP-GBA-AUTN|| RAND"), acortado a 128 bits, siendo Key = Kc || Kc || RAND y especificando KDF la Key Derivation Function (función de deducción de claves) especificada en el anexo B en TS 33.220. "Acortado a 128 bits" significa aquí que de los 256 bits de salida de KDF se eligen los 128 bits con los números 0 a 127.
La BSF debe también elegir un número aleatorio "Ks-input" y colocar Server Specific Data = Ks-Input en el campo "aka-nonce" de HTTP Digest AKA.
Para solicitar al UE que se autentifique él mismo, retransmite el servidor de BSF datos específicos del servidor es decir, Ks-Input "RAND_{UMTS} y AUTN_{UMTS}" en un mensaje "401" 206 al UE.
El UE extrae RAND del mensaje y calcula los correspondientes Kc y valores SRES 207. A continuación calcula el UE los parámetros de los vectores de autentificación pseudo 3G RAND_{UMTS}, RES_{UMTS} y AUTN_{UMTS} a partir de estos valores. El UE compara el AUTN_{UMTS} calculado con el valor correspondiente obtenido de la BSF. El UE interrumpe el protocolo cuando los valores no coinciden.
El UE envía otra solicitud HTTP con una respuesta Digest AKA a la BSF 209, utilizando RES_{UMTS} como palabra de paso.
La BSF autentifica al UE verificando el Digest AKA respuesta 209. Cuando la autentificación da resultado negativo, no debe utilizar la BSF este vector de autentificación de nuevo en ninguna otra comunicación.
El BSF genera material de claves Ks 210 calculando Ks = KDF (Key|| Ks-Input, "3GPP-GBA-Ks"|| SRES). El valor Bootstrapping Transaction Identifier (B-TID) (identificador de transacción de bootstrapping) debe generarse en el formato NAI, utilizando un valor RAND_{UMTS} codificado en base 64 y el nombre del servidor de BSF, por ejemplo Base64encode (RAND_{UMTS}) @BSF_Servers_Domain_Name.
La BSF envía un mensaje OK 200 juntamente con el B-TID al UE 211, para confirmar el éxito de la autentificación. Adicionalmente transmite la BSF en el mensaje OK 200 el tiempo de validez de la clave Ks.
El UE genera el material de claves Ks de la misma manera que la BSF 212.
El UE y la BSF utilizan ambos el material de clave Ks para deducir el material de claves Ks_NAF, para proteger el punto de referencia Ua. Ks_NAF se calcula mediante Ks_NAF = KFD (Ks, Key Derivation Parameters, parámetros de deducción de clave), siendo KDF la función de derivación de claves (Key Derivation Function) especificada en el anexo B y estando compuestos los parámetros de deducción de claves por el usuario IMPI, el NAF_ID y el RAND_UMTS. El NAF_ID está compuesto por el nombre DNS completo de la NAF. Para garantizar una deducción de clave consistente basada en el nombre NAF en el UE y la BSF, debe cumplirse al menos una de las tres premisas siguientes:
1.
La NAF sólo es conocida en DNS bajo un nombre de dominio (FQDN) y por lo tanto no se deben remitir por ejemplo dos nombres de dominio distintos a la dirección de IP de la NAF. Esto se logra mediante medidas administrativas.
2.
Cada inscripción DNS de la NAF remite a una dirección de IP distinta. La NAF contesta a todas estas direcciones de IP. Cada dirección de IP está ligada al correspondiente FQDN mediante configuración NAF. La NAF puede detectar en base a la dirección de IP qué FQDN hay que utilizar para la deducción de la clave.
3.
El punto de referencia Ua utiliza un protocolo que transmite el nombre del host a la NAF simultáneamente. Esto obliga a la NAF a comprobar la validez del nombre del host, para utilizar este nombre en todas las comunicaciones con el UE, cuando sea procedente, y transmitir este nombre a la BSF, para garantizar una correcta deducción del material de claves Ks_NAF.
El UE y la BSF deben memorizar la clave Ks con el correspondiente B-TID hasta que ha transcurrido el tiempo de validez de la clave Ks o bien hasta que sea renovada la clave Ks.
Cuando la clave Ks_NAF existe para el correspondiente parámetro de deducción de claves NAF_ID, pueden empezar el UE y la NAF una comunicación segura a través del punto de referencia Ua.
Hasta ahora se conocen dos propuestas de solución para un tal procedimiento 2G GBA que han sido presentados en los artículos S3-050053 de Nokia Y S3-005097 de Qualcomm en el grupo de estandarización relevante 3GPP SA3.
El artículo S3-050053 de Nokia soluciona el problema de que la clave de sesión GSM Kc sea demasiado corta utilizando para una instancia del procedimiento 2G GBA varias instancias del protocolo GSM AKA, los llamados tripletes GSM. De esta manera se obtienen varias claves de sesión Kc, que se combinan entonces para formar una clave a corto plazo suficientemente larga. El protocolo GSM AKA se utiliza aquí para la autentificación del usuario frente a la red, para la autentificación de la red frente al usuario y para acordar claves de sesión. Como protocolo portador para el protocolo GSM AKA se utiliza el protocolo HTTP Digest AKA según la especificación RFC 3310, adaptándose de manera adecuada los parámetros del protocolo GSM AKA mediante funciones de conversión.
El artículo S3-050097 de Qualcomm utiliza para acordar claves de sesión el procedimiento Diffie Hellman. La autentificación de la red frente al usuario se basa en la utilización de certificados y en una firma digital sobre parámetros del procedimiento Diffie Hellman. El protocolo GSM AKA se utiliza sólo para la autentificación del usuario frente a la red, utilizándose la clave GSM Kc para formar un Message Authentication Code (MAC) (código de autentificación de mensajes) sobre parámetros del procedimiento Diffie Hellman.
Por el contrario, resuelve la presente invención según el ejemplo de ejecución el problema antes descrito de la siguiente forma:
El procedimiento correspondiente a la invención utiliza como protocolo portador para el protocolo GSM AKA el protocolo HTTP Digest AKA según la especificación RFC 3310, adaptándose los parámetros del protocolo GSM AKA mediante funciones de conversión adecuadas. Se utiliza al respecto sólo una instancia del protocolo GSM AKA por cada instancia 2G GBA. Adicionalmente se establece un enlace Transport layer Security (TLS) según la especificación RFC 2246 entre el aparato terminal de comunicación móvil y la BSF. En este enlace TLS se activa un fuerte encriptado. La autentificación de la BSF frente al aparato terminal de comunicación móvil se realiza al establecerse este enlace TLS basándose en el certificado. No obstante, el aparato terminal de comunicación móvil no se autentifica al establecerse el enlace TLS. La autentificación del aparato terminal de comunicación móvil frente a la BSF se realiza utilizando el GSM AKA alojado en el protocolo HTTP Digest AKA.
De esta manera resulta el efecto ventajoso de que la seguridad de la clave a corto plazo según el presente procedimiento se basa tanto en la seguridad de GSM como también en la seguridad de TLS. La misma sólo puede quedar comprometida cuando quedan comprometidos ambos procedimientos GSM y TLS en el entorno de utilización concreto o cuando resulta posible un ataque al GSM tan grave que el procedimiento GSM puede quedar comprometido mientras corre el procedimiento de bootstrapping aquí descrito.
En el cálculo de la clave a corto plazo mediante una función de deducción de claves, intervienen los números aleatorios y los parámetros Kc y SRES (Signed Response, respuesta firmada) obtenidos a partir del protocolo GSM que, protegidos por el encriptado TLS como parte del protocolo HTTP Digest AKA, se transmiten confidencialmente de la BSF al aparato de comunicación móvil. Los números aleatorios pueden transmitirse por ejemplo en el campo "AKA-NONCE" según la especificación RFC 3310, tanto como Challenge RAND como también como parte de "Server Specific Data" (datos específicos del servidor).
Mediante las medidas propuestas en el procedimiento correspondiente a la invención, resultan en particular las siguientes ventajas:
-
Para encontrar la clave a corto plazo deducida, debe encontrar el atacante tanto los parámetros GSM Kc y SRES como también los números aleatorios transmitidos confidencialmente mediante TLS, es decir, el mismo debe atacar tanto el procedimiento GSM como también la utilización del procedimiento TLS. Así aumenta considerablemente la seguridad frente a ataques.
-
La longitud efectiva de la clave a corto plazo deducida puede aumentar claramente respecto a la propuesta en S3-050053 mediante la utilización de números aleatorios Ks-Input como parte del parámetro adicional, un parámetro que no es parte integrante de GSM-AKA. De esta manera aumenta aún más la seguridad contra ataques.
-
Sólo es necesario utilizar una única instancia de GSM AKA por cada instancia 2G GBA. Esto reduce claramente la carga en el centro de autentificación GSM respecto a la propuesta S3-050053.
-
Para la seguridad de la propuesta S3-050053 es necesario en general evitar de manera fiable que un atacante utilice en otro contexto tripletes GSM que hayan sido utilizados en 2G GBA. Así pueden averiguarse los parámetros Kc y SRES por ejemplo mediante un ataque a un algoritmo de encriptado A5/1 ó A5/2 y con ello averiguarse también la clave a corto plazo de 2G GBA. No obstante, esto es difícilmente realizable en la práctica. Por el contrario, un ataque al procedimiento aquí descrito sólo sería posible cuando un atacante pudiera averiguar los parámetros GSM Kc y SRES durante un ciclo del protocolo de 2G GBA. Pero esto sólo es posible según el estado actual de conocimientos durante un periodo de unos pocos segundos para el algoritmo A5/2, que no obstante ya no está permitido en aparatos terminales que apoyan 2G GBA. Por ello el procedimiento propuesto no sólo es bastante más practicable que la propuesta en S3-050053, sino que también aumenta aún más la seguridad.
-
Otra ventaja adicional frente a la propuesta en S3-050097 es que la seguridad de la presente invención se basa en varios factores independientes. En particular puede autentificar el UE a la BSF también comparando los AUTN_{UMTS} calculados y recibidos. Por el contrario, la seguridad de la propuesta de Qualcomm solamente se basa en la autentificación segura de la BSF mediante un certificado.
\vskip1.000000\baselineskip
Literatura:
3

Claims (16)

1. Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicación, en el que
-
a partir de un protocolo de autentificación y deducción de claves se determina al menos un primer parámetro,
-
el segundo interlocutor de comunicación transmite un parámetro adicional encriptado al primer interlocutor de comunicación, siendo el protocolo de encriptado utilizado para la transmisión encriptada del parámetro adicional independiente del protocolo de autentificación y deducción de claves,
-
a partir del primer parámetro y del parámetro adicional se determina la clave de seguridad.
\vskip1.000000\baselineskip
2. Procedimiento según la reivindicación 1,
en el que el parámetro adicional puede dividirse en al menos una primera y una segunda parte.
\vskip1.000000\baselineskip
3. Procedimiento según una de las reivindicaciones precedentes,
en el que el parámetro adicional es un número aleatorio o un encadenamiento de un número aleatorio con otros datos.
\vskip1.000000\baselineskip
4. Procedimiento según la reivindicación 3,
en el que una parte del número aleatorio es parte integrante del protocolo de autentificación y deducción de claves a partir del que se determina el primer parámetro.
\vskip1.000000\baselineskip
5. Procedimiento según una de las reivindicaciones precedentes,
en el que el primer interlocutor de comunicación está realizado como un aparato terminal de comunicación móvil y el segundo interlocutor de comunicación como equipo de red de comunicaciones.
\vskip1.000000\baselineskip
6. Procedimiento según una de las reivindicaciones precedentes,
en el que el segundo interlocutor de comunicación se autentifica frente al primer interlocutor de comunicación mediante un certificado con una clave pública.
\vskip1.000000\baselineskip
7. Procedimiento según una de las reivindicaciones precedentes,
en el que el primer interlocutor de comunicación se autentifica frente al segundo interlocutor de comunicación mediante el protocolo de autentificación y deducción de claves a partir del que se deduce el primer parámetro.
\vskip1.000000\baselineskip
8. Procedimiento según una de las reivindicaciones 1 a 6,
en el que el primer interlocutor de comunicación se autentifica frente al segundo interlocutor de comunicación con ayuda de un tercer interlocutor de comunicación especializado en la gestión de usuarios.
\vskip1.000000\baselineskip
9. Procedimiento según la reivindicación 8,
en el que el primer interlocutor de comunicación está realizado como User Equipment (201) (equipo de usuario), el segundo interlocutor de comunicación como una función Bootstrapping Server (202) (servidor de inicialización) y el tercer interlocutor de comunicación como un Home Subscriber Server (203) (servidor local de abonado).
\vskip1.000000\baselineskip
10. Procedimiento según una de las reivindicaciones precedentes,
en el que para la transmisión confidencial del parámetro adicional se utiliza como protocolo de seguridad el protocolo Transport Layer Security TLS (seguridad de la capa de transporte).
\vskip1.000000\baselineskip
11. Procedimiento según la reivindicación 2,
en el que las partes, de las que al menos hay dos, del parámetro adicional se transmiten en distintos campos.
\vskip1.000000\baselineskip
12. Procedimiento según la reivindicación 11,
en el que los campos incluyen "RAND" y "Server Specific Data" (datos específicos del servidor).
\vskip1.000000\baselineskip
13. Procedimiento según una de las reivindicaciones precedentes,
en el que la función de deducción de claves está configurada como Key Derivation Function con los parámetros de entrada haskey (clave hash) y hashdata (datos hash).
\vskip1.000000\baselineskip
14. Procedimiento según la reivindicación 13,
en el que la primera parte del parámetro adicional incide en el hashkey y la segunda parte del parámetro adicional en los hashdata.
\vskip1.000000\baselineskip
15. Procedimiento según la reivindicación 13,
en el que la primera parte del parámetro adicional incide en el hashkey y en los hashdata y la segunda parte del parámetro adicional en el hashkey.
\vskip1.000000\baselineskip
16. Producto de programa de ordenador que puede cargarse en una memoria de trabajo de un equipo de control de la secuencia del programa y que presenta al menos una parte del código en cuya ejecución para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicación
-
a partir de un protocolo de autentificación y deducción de claves se determina al menos un primer parámetro,
-
el segundo interlocutor de comunicación transmite un parámetro adicional encriptado al primer interlocutor de comunicación, siendo el protocolo de encriptado utilizado para la transmisión encriptada del parámetro adicional independiente del protocolo de autentificación y deducción de claves,
-
a partir del primer parámetro y del parámetro adicional se determina la clave de seguridad
cuando el programa de control corre en el equipo de secuencia del control de la secuencia del programa.
ES06725686T 2005-06-10 2006-04-10 Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones. Active ES2352832T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005026982A DE102005026982A1 (de) 2005-06-10 2005-06-10 Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung
DE102005026982 2005-06-10

Publications (1)

Publication Number Publication Date
ES2352832T3 true ES2352832T3 (es) 2011-02-23

Family

ID=36593782

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06725686T Active ES2352832T3 (es) 2005-06-10 2006-04-10 Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones.

Country Status (10)

Country Link
US (1) US8291222B2 (es)
EP (1) EP1889503B1 (es)
JP (1) JP4663011B2 (es)
KR (1) KR100980132B1 (es)
CN (1) CN101194529B (es)
AT (1) ATE481835T1 (es)
DE (2) DE102005026982A1 (es)
ES (1) ES2352832T3 (es)
PL (1) PL1889503T3 (es)
WO (1) WO2006131414A1 (es)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BRPI0611696B1 (pt) * 2005-06-13 2019-05-07 Nokia Technologies Oy Método, dispositivo e sistema para fornecer identidades de nós móveis em conjunto com preferências de autenticação em uma arquitetura de inicialização genérica
WO2008110979A2 (en) * 2007-03-13 2008-09-18 Philips Intellectual Property & Standards Gmbh Insulator material and method for manufacturing thereof
US9332575B2 (en) * 2007-06-27 2016-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for enabling connectivity in a communication network
GB2467599A (en) * 2009-02-10 2010-08-11 Nec Corp Communications device storing new network access data from smart card
TW201628371A (zh) * 2011-03-23 2016-08-01 內數位專利控股公司 確寶網路通訊系統及方法
EP2730112A4 (en) * 2011-07-08 2015-05-06 Nokia Corp METHOD AND APPARATUS FOR AUTHENTICATING SUBSCRIBERS TO LONG-TERM EVOLUTION TELECOMMUNICATION NETWORKS OR UNIVERSAL MOBILE TELECOMMUNICATION SYSTEM
US9015469B2 (en) 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
US10044713B2 (en) 2011-08-19 2018-08-07 Interdigital Patent Holdings, Inc. OpenID/local openID security
US9251315B2 (en) 2011-12-09 2016-02-02 Verizon Patent And Licensing Inc. Security key management based on service packaging
US8776197B2 (en) * 2011-12-09 2014-07-08 Verizon Patent And Licensing Inc. Secure enterprise service delivery
US8782774B1 (en) 2013-03-07 2014-07-15 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9350550B2 (en) 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
US8966267B1 (en) * 2014-04-08 2015-02-24 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US9184911B2 (en) 2014-04-08 2015-11-10 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
US8996873B1 (en) 2014-04-08 2015-03-31 Cloudflare, Inc. Secure session capability using public-key cryptography without access to the private key
CN104486077B (zh) * 2014-11-20 2017-09-15 中国科学院信息工程研究所 一种VoIP实时数据安全传输的端到端密钥协商方法
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
EP3414927B1 (en) * 2016-02-12 2020-06-24 Telefonaktiebolaget LM Ericsson (PUBL) Securing an interface and a process for establishing a secure communication link
DE102017202052A1 (de) * 2017-02-09 2018-08-09 Robert Bosch Gmbh Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes
EP3718330A4 (en) * 2017-11-29 2021-05-26 Telefonaktiebolaget LM Ericsson (publ) SESSION KEY CREATION
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
CN108599926B (zh) * 2018-03-20 2021-07-27 如般量子科技有限公司 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证***和方法
CN108616350B (zh) * 2018-03-20 2021-08-10 如般量子科技有限公司 一种基于对称密钥池的HTTP-Digest类AKA身份认证***和方法
US10903990B1 (en) 2020-03-11 2021-01-26 Cloudflare, Inc. Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint
CN113438071B (zh) * 2021-05-28 2024-04-09 荣耀终端有限公司 安全通信的方法及设备
KR20230152990A (ko) * 2022-04-28 2023-11-06 삼성전자주식회사 Aka를 통한 상호 tls 인증 시스템 및 장치

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2718312B1 (fr) * 1994-03-29 1996-06-07 Rola Nevoux Procédé d'authentification combinée d'un terminal de télécommunication et d'un module d'utilisateur.
US6487661B2 (en) * 1995-04-21 2002-11-26 Certicom Corp. Key agreement and transport protocol
US7243232B2 (en) * 1995-04-21 2007-07-10 Certicom Corp. Key agreement and transport protocol
US7334127B2 (en) * 1995-04-21 2008-02-19 Certicom Corp. Key agreement and transport protocol
US6785813B1 (en) * 1997-11-07 2004-08-31 Certicom Corp. Key agreement and transport protocol with implicit signatures
US5991407A (en) * 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
US6347339B1 (en) * 1998-12-01 2002-02-12 Cisco Technology, Inc. Detecting an active network node using a login attempt
GB9903123D0 (en) * 1999-02-11 1999-04-07 Nokia Telecommunications Oy Method of securing communication
FI109864B (fi) * 2000-03-30 2002-10-15 Nokia Corp Tilaajan autentikaatio
US6857075B2 (en) * 2000-12-11 2005-02-15 Lucent Technologies Inc. Key conversion system and method
FI114062B (fi) * 2001-06-08 2004-07-30 Nokia Corp Menetelmä tiedonsiirron turvallisuuden varmistamiseksi, tiedonsiirtojärjestelmä ja tiedonsiirtolaite
WO2003036857A1 (en) * 2001-10-24 2003-05-01 Nokia Corporation Ciphering as a part of the multicast cencept
US20030093663A1 (en) * 2001-11-09 2003-05-15 Walker Jesse R. Technique to bootstrap cryptographic keys between devices
JP3983561B2 (ja) 2002-02-04 2007-09-26 株式会社エヌ・ティ・ティ・ドコモ 秘密分散法による鍵管理システム、検証センタ、通信端末、検証センタ用プログラム、通信端末用プログラム、並びに秘密分散法による鍵管理方法
WO2003079614A1 (en) * 2002-03-18 2003-09-25 Nortel Networks Limited Resource allocation using an auto-discovery mechanism for provider-provisioned layer-2 and layer-3 virtual private networks
US20060288407A1 (en) * 2002-10-07 2006-12-21 Mats Naslund Security and privacy enhancements for security devices
US7908484B2 (en) * 2003-08-22 2011-03-15 Nokia Corporation Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack
US7506161B2 (en) * 2003-09-02 2009-03-17 Authernative, Inc. Communication session encryption and authentication system
CN100456671C (zh) * 2003-11-07 2009-01-28 华为技术有限公司 一种分配会话事务标识的方法
GB0326265D0 (en) * 2003-11-11 2003-12-17 Nokia Corp Shared secret usage for bootstrapping
US20050135622A1 (en) * 2003-12-18 2005-06-23 Fors Chad M. Upper layer security based on lower layer keying
US7574600B2 (en) * 2004-03-24 2009-08-11 Intel Corporation System and method for combining user and platform authentication in negotiated channel security protocols
EP1583312A1 (en) * 2004-04-02 2005-10-05 France Telecom Apparatuses and method for controlling access to an IP multimedia system from an application server
US20050273609A1 (en) * 2004-06-04 2005-12-08 Nokia Corporation Setting up a short-range wireless data transmission connection between devices
WO2005125261A1 (en) * 2004-06-17 2005-12-29 Telefonaktiebolaget Lm Ericsson (Publ) Security in a mobile communications system
GB0414421D0 (en) * 2004-06-28 2004-07-28 Nokia Corp Authenticating users
US7545932B2 (en) * 2004-10-29 2009-06-09 Thomson Licensing Secure authenticated channel
US7660987B2 (en) * 2004-10-29 2010-02-09 Baylis Stephen W Method of establishing a secure e-mail transmission link
WO2006079419A1 (en) * 2005-01-28 2006-08-03 Telefonaktiebolaget Lm Ericsson (Publ) User authentication and authorisation in a communications system
ES2436340T3 (es) * 2005-02-04 2013-12-30 Qualcomm Incorporated Secuencia Inicial segura para comunicaciones inalámbricas
JP2008530879A (ja) * 2005-02-11 2008-08-07 ノキア コーポレイション 通信ネットワークにおいてブートストラッピング手順を提供する方法及び装置
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
CN101180828B (zh) * 2005-05-16 2012-12-05 艾利森电话股份有限公司 用于在综合网络中加密和传输数据的装置与方法
US8087069B2 (en) * 2005-06-13 2011-12-27 Nokia Corporation Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)

Also Published As

Publication number Publication date
CN101194529B (zh) 2013-03-27
CN101194529A (zh) 2008-06-04
WO2006131414A1 (de) 2006-12-14
KR20080009235A (ko) 2008-01-25
PL1889503T3 (pl) 2011-03-31
EP1889503A1 (de) 2008-02-20
JP4663011B2 (ja) 2011-03-30
DE502006007893D1 (de) 2010-10-28
US8291222B2 (en) 2012-10-16
JP2008546333A (ja) 2008-12-18
ATE481835T1 (de) 2010-10-15
EP1889503B1 (de) 2010-09-15
KR100980132B1 (ko) 2010-09-03
US20090132806A1 (en) 2009-05-21
DE102005026982A1 (de) 2006-12-14

Similar Documents

Publication Publication Date Title
ES2352832T3 (es) Procedimiento para acordar una clave de seguridad entre al menos un primer y un segundo interlocutor de comunicación para asegurar un enlace de comunicaciones.
ES2526703T3 (es) Seguridad de comunicación
ES2364574T3 (es) Secuencia inicial segura para comunicaciones inalámbricas.
ES2706540T3 (es) Sistema de credenciales de equipos de usuario
US10931445B2 (en) Method and system for session key generation with diffie-hellman procedure
ES2424474T3 (es) Método y aparato para establecer una asociación de seguridad
US8503376B2 (en) Techniques for secure channelization between UICC and a terminal
CN102037707B (zh) 安全会话密钥生成
ES2400020T5 (es) Generación de claves criptográficas
ES2384634T3 (es) Diseño de seguridad mejorado para criptografía en sistemas de comunicaciones de móviles
Liu et al. Toward a secure access to 5G network
GB2518254A (en) Communicating with a machine to machine device
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
JP7335342B2 (ja) 電気通信ネットワークにおける端末内の移動体装置と協働するセキュアエレメントを認証する方法
US11228429B2 (en) Communication with server during network device during extensible authentication protocol—authentication and key agreement prime procedure
Agarwal et al. Operator-based over-the-air M2M wireless sensor network security
Kumar et al. Analysis and literature review of IEEE 802.1 x (Authentication) protocols
Caragata et al. Security of mobile Internet access with UMTS/HSDPA/LTE
Franklin et al. Enhanced authentication protocol for improving security in 3GPP LTE networks
Garg et al. Design of secure authentication protocol in SOCKS V5 for VPN using mobile phone
WO2023011702A1 (en) Establishment of forward secrecy during digest authentication
Shidhani et al. Access security in heterogeneous wireless networks
Reddy et al. A Review of 3G-WLAN Interworking
Pala How to Bootstrap Trust among Devices in Wireless Environments via EAP-STLS
WO2015133951A1 (en) Method, communication device, and computer program for improving communication privacy